У меня есть два аккаунта Amazon AWS, платный, на котором размещены публичные веб-серверы (называемые "оплаченный" ниже) и бесплатный аккаунт (называемый "бесплатно" ниже). У каждого есть пара экземпляров EC2, работающих под управлением Amazon Linux в собственном VPC, каждый с одной подсетью без перекрытия между ними. Я хотел иметь возможность легко передавать файлы между аккаунтами, включая доступ к пустому репозиторию git наоплаченныйотбесплатно. Итак, я прочитал о пиринговых соединениях VPC и считаю, что правильно следовал инструкциям, создав и приняв пиринговое соединение между VPC, затем изменив группы безопасности и настроив маршруты в каждом VPC для доступа к подсети в другом VPC.
Вот базовая настройка дляоплаченныйсчет:
ВПК:
Пиринговое соединение и маршруты:
Группа безопасности:
А вот та же информация длябесплатносчет:
ВПК:
Пиринговое соединение и маршруты:
Группа безопасности:
Я обнаружил, что из примера воплаченныйаккаунт, я могу успешно пинговать экземпляр в бесплатном аккаунте:
$ ip -f inet addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc pfifo_fast state UP qlen 1000
inet 10.0.0.12/24 brd 10.0.0.255 scope global eth0
valid_lft forever preferred_lft forever
$ ping 172.31.30.44
PING 172.31.30.44 (172.31.30.44) 56(84) bytes of data.
64 bytes from 172.31.30.44: icmp_seq=1 ttl=255 time=0.722 ms
Но я не могу пинговать сбесплатносчет коплаченныйсчет:
$ ip -f inet addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc pfifo_fast state UP group default qlen 1000
inet 172.31.30.44/20 brd 172.31.31.255 scope global dynamic eth0
valid_lft 3259sec preferred_lft 3259sec
$ ping 10.0.0.12
PING 10.0.0.12 (10.0.0.12) 56(84) bytes of data.
^C
--- 10.0.0.12 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13308ms
Может ли кто-нибудь объяснить, почему эта конфигурация не позволяет мне пинговать хост воплаченныйаккаунт от хоста вбесплатносчет?
Нужно ли мне предоставить дополнительную информацию (если да, то какую)?
решение1
В комментариях кэтот ответна несвязанный вопрос о сетевых списках контроля доступа наоплаченныйVPC учетной записи, я упомянул, что заменил использование ACL сети AWS командой linux iptables. Когда я настраивал его десять лет назад, я не ожидал, что когда-либо захочу общаться с любыми частными адресами за пределами моей собственной подсети. Поэтому я сбрасывал входящие соединения с 172.16.0.0/12. Вот почему я смог достичьбесплатноотоплаченный, но не наоборот. Удаление этого блока iptables решает проблему.
Как неловко!