Ich habe VPC A mit CIDR 10.A.0.0/16und VPC B mit CIDR 10.B.0.0/16. Ich habe VPC A und B verbunden und die Routentabellen aktualisiert und 10.B.0.0/16kann von einem Server aus einen Server anpingen 10.A.0.0/16und umgekehrt.
Die Anwendungen auf VPC A verwenden auch einige IPs in dem 192.168.0.0/16Bereich. Das kann ich nicht so einfach ändern, aber ich muss 192.168.0.0/16VPC A von VPC B aus erreichen können. VPC A wird für einen älteren Kubernetes-Cluster verwendet, der project-calico verwendet. Worker-Knoten (EC2-Instanzen) erhalten IPs im VPC-CIDR-Block, 10.A.0.0/16aber das Calico-Netzwerk wird mit der Cluster-CIDR-Einstellung festgelegt 192.168.0.0/16und Pod-IPs auf diesen Worker-Knoten werden in diesem Bereich zugewiesen. Der neuere Cluster ist ein EKS-Cluster und Pod-IPs werden aus dem CIDR-Bereich der VPC zugewiesen 10.B.0.0/16. Während der Übergangsphase habe ich die VPCs der beiden Cluster miteinander verbunden. Es läuft eine verteilte Elixir-Anwendung und die Pods bilden einen Erlang-Cluster, indem sie sich gegenseitig über ihre Pod-IP-Adressen erreichen. Mit meinem aktuellen Peering können Pods von Cluster A sowohl Pods A als auch Pods B erreichen, aber Pods von Cluster B können nur B erreichen (da die 192.168.0.0/16IPs nicht erreichbar sind).
Ich habe versucht, 192.168.0.0/16die für VPC B verwendete Routentabelle zu ergänzen und das Ziel der Peer-Verbindung festzulegen. Das funktioniert nicht, weil es sich meines Erachtens 192.168.0.0/16nicht im CIDR-Block für VPC A befindet.
Ich kann keinen 192.168.0.0/16sekundären CIDR in VPC A hinzufügen, da dieser eingeschränkt ist. SieheEinschränkungen der CIDR-BlockzuordnungUndVerwandte Frage. Ich verstehe, dass es eingeschränkt ist, aber warum ist es eingeschränkt? RFC1918 scheint nichts gegen die Verwendung von mehr als einem der privaten Adressräume zu sagen.
Ich habe auch versucht, ein Transit Gateway zu erstellen, beide VPCs anzuhängen und eine statische Route zur Transit Gateway-Routentabelle hinzuzufügen, die auf 192.168.0.0/16den VPC A-Anhang abzielt. Aber ich kann diesen Bereich von VPC B aus immer noch nicht erreichen.
Routentabelle
Die Routentabelle für das private Subnetz für VPC A
10.A.0.0/16 local
10.B.0.0/16 pcx-[VPC A - VPC B peering connection]
0.0.0.0/0 nat-[gateway for cluster A]
Routentabelle für das private Subnetz für VPC B
10.B.0.0/16 local
10.A.0.0/16 pcx-[VPC A - VPC B peering connection]
192.168.0.0/16 pcx-[VPC A - VPC B peering connection]
0.0.0.0/0 nat-[gateway for cluster B]
Dies funktioniert natürlich nicht, da 192.168.0.0/16es sich nicht im CIDR-Block von VPC A befindet und auch nicht hinzugefügt werden kann.
Wenn ich eine Shell auf einem Node AI zum Laufen bringe, kann ich einen 192.168...Pod anpingen und ich kann einen 10.B.0.0Pod anpingen. Aber von einer Shell auf einem Node BI kann ich nur einen 10.B.0.0Pod anpingen.
Gibt es eine andere Möglichkeit, eine Peer-Verbindung zu beiden 10.0.0.0/8CIDR 192.168.0.0/16-Blöcken im selben VPC herzustellen?