amazon-web-services - 可以在对等 vpc 中调用 aws 接口端点吗?
问题描述
我有两个 vpc,一个是 mgmt vpc,其中所有必要的 vpc 接口端点都连接到 AWS 服务,另一个对等 vpc 与 mgmt vpc 建立了对等连接。我试图在对等 vpc 中通过 ssh 进入我的实例(称为实例 A),并使用以下命令通过 cli 调用 aws api
aws ec2 describe-instances
但每次连接仍然超时。
我检查了我的 vpc 端点安全组并再次确认我已将其设置为允许来自附加到实例 A 的安全组的所有传入流量。并且我的实例 A 的安全组已设置为允许所有流量出口到 vpce 安全组。
有人知道或遇到过这个问题吗?我错过了什么或做错了什么?
编辑:我的对等 vpc 有几个子网,唯一的 IGW 位于入口/出口层子网中。在 Web 层子网中,有一些我试图在那里调用 vpce 的实例,而这里的子网有 NAT 网关。
对于 mgmt vpc,ssh 进入的唯一方法是通过 vpc 内的 jumphost 实例。
Web 层子网的路由表如下:
Destination Target
100.113.189.0/24 pcx-0d3974s489064s3sd
100.113.206.0/24 local
10.196.162.128/25 local
Web 层子网实例的安全组如下:
Outbound
Port Range Protocol Source
All All sgrp-<vpce_to_ec2>
mgmt vpc 中带有 vpce 的子网的路由表:
Destination Target
100.113.206.0/24 pcx-0d3974c6890640bd2
100.113.189.0/24 local
10.196.157.128/25 local
pl-6fa54006 vpce-<this_is_for_s3>
对于 vpce 到 ec2 安全组:
Inbound
Port Range Protocol Source
All All sgrp-<web_tier_instance>
All All 100.113.189.0/24
请注意,每个 vpc 都分配了两个 cidr 块。mgmt vpc 中也有 s3 端点网关
解决方案
根据评论。
我试图重现该问题和 OP 的架构,并且可以验证是否使用了与端点的连接--endpoint-url。
aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com
在上面,vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com可以从 VPC 接口详细信息中获取端点 url ( )。
为对等连接启用DNS 解析支持可能也有效。在那种情况下--endpoint-url可能不需要。但是,我没有在我的测试中验证这一点,因为我只专注于用--endpoint-url.
推荐阅读
- gradle - FontAwesomeFX 无法使用 Gradle (IntelliJ) 找到 de.jensd:fontawesomefx-fontawesome:4.7.0-11
- python - 为电子邮件附件创建文件路径
- google-app-engine - 应用引擎微服务的 API 网关?
- lua - 位置查找器不工作,而是显示一些不寻常的东西。有什么帮助吗?罗布洛克斯工作室
- ruby-on-rails - 使用 Rails API 进行 Steam OpenID 身份验证后如何返回 React 应用程序,包括响应数据
- c# - ASP.NET Core WebAPI FromBody 属性未验证对象非引用字段
- intellij-idea - 如何在 IntelliJ IDEA 中为 Akka application.conf 启用自动完成功能
- python - 我对 Discord API 的 HTTP 请求仅返回 Forbidden (403)
- gatling - 每个 Gatling 请求中的唯一 ID
- android - Photon Server 连接 Demo 在 Android studio 上执行错误