Configuramos o AWS VPC em 2 regiões conforme ilustrado acima. A conexão VPN agora funciona entre duas instâncias, cada uma conectada diretamente às VPCs em cada extremidade da configuração da VPN (ou seja, VPC PROD em eu-west1 e VPC PROD em ap-south1). Assim, o "serviço remoto" pode se comunicar com o "serviço Prod". Isto é ilustrado pela linha pontilhada verde.
Como há uma conexão de peering entre os dois VPCs eu-west1, eu esperava que o VPC PROD no ap-south1 fosse capaz de se comunicar com o VPC ADMIN no eu-west1. Este não parece ser o caso. Ou seja, "Atendimento remoto"não podecomunique-se com "Serviço de administração". Ilustrado pela linha pontilhada vermelha.
VPC ADMIN tem entradas na tabela de roteamento:
10.100.0.0/16 ==> peering connection to VPC PROD (eu-west1)
VPC PROD (eu-west1) possui entradas na tabela de roteamento:
10.100.0.0/16 ==> Virtual Private Gateway (VPG) / VPN connection
Além disso, o VPC PROD (ap-south1) possui entradas na tabela de roteamento:
172.20.0.0/16 and 172.30.0.0/16 ==> strongswan instance.
Eu imagino que o problema pode ser que o tráfego do ap-south1 chegue no roteador VPG eu-west1s e tenha uma demanda difícil, ele pode chegar ao seu endpoint no VPC associado aos VPGs e não olhará para a tabela de roteamento dos VPCs e, portanto, venceu Não há suporte para o uso da entrada da tabela de roteamento correspondente para enviar o tráfego para a conexão de peering para o VPC ADMIN. Alguém pode confirmar se isso deve ou não funcionar?
No momento, a única maneira de fazer isso parece criar uma segunda conexão VPN que teria um VPG associado ao VPC ADMIN. Em seguida, ajuste o roteamento em ap-south1 para atingir a VPN antiga 172.20.0.0/16 (VPC PROD)e a nova VPN para 172.30.0.0/16 (VPC ADMIN). Isso deve funcionar, mas custará o dobro e significa mais configuração para manter...
Outras ideias para fazer funcionar?
Responder1
Isso não funciona, por design.
Roteamento de ponta a ponta por meio de um gateway ou conexão privada
Se uma das VPCs em um relacionamento de peering tiver uma das conexões a seguir, você não poderá estender o relacionamento de peering para essa conexão:
- Uma conexão VPN
...
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
O peering de VPC permite acesso apenas de instância a instância através do limite da VPC. Ele não permite acesso a nenhum tipo de "gateway", como Internet Gateway, NAT Gateway, VPC Service Endpoint, AWS Direct Connect ou Hardware VPN.
O tráfego que atravessa uma conexão de peering não pode “transitar” pela VPC e sair pelo outro lado.
Responder2
Existem alguns parceiros de rede da AWS que fornecem conexões de peering entre regiões e/ou entre contas.https://aws.amazon.com/networking/partner-solutions/
Responder3
Você precisa usar instâncias do EC2 para fornecer roteamento de ponta a ponta. Documento abaixo https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/ Seção VPC de trânsito