允許Amazon VPC A訪問VPC B上的新私有子網？

Question

我有一個現有的VPC（vpcA），並且最近建立了一個新的VPC（vpcB），同時擁有一個私有子網（privateSubnet）和公共子網（publicSubnet）。我想要允許從vpcA到vpcB的連接。

vpcB是建立一個堡壘服務器允許從publicSubnet和privateSubnet SSH - 這個工作，所以我知道SSH的設置是否正確......所以上手我想我會嘗試允許來自vpcA到privateSubnet上vpcB SSH連接。

我已經建立了一個對等連接，並且我遵循了關於resolving VPC peer network connectivity issues的亞馬遜故障排除指南中的所有說明。連接處於活動狀態，我的路由設置從vpcA到10.0.1.0/24到專用網絡（私有地址是10.0.1.10），ACL策略似乎允許端口22上的所有流量（現在），並且安全組允許端口22上的訪問（現在再次）。目前的情況下，本身沒有配置防火牆規則，但是當我試圖通過SSH從一個實例連接上vpcA我得到的是：

$ ssh -vvv 10.0.1.10 
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014 
debug1: Reading configuration data /etc/ssh/ssh_config 
debug1: /etc/ssh/ssh_config line 19: Applying options for * 
debug2: ssh_connect: needpriv 0 
debug1: Connecting to 10.0.1.10 [10.0.1.10] port 22. 
debug2: fd 3 setting O_NONBLOCK 
debug1: connect to address 10.0.1.10 port 22: Connection timed out 
ssh: connect to host 10.0.1.10 port 22: Connection timed out 

的traceroute給了我這樣的：

traceroute to 10.0.1.10 (10.0.1.10), 30 hops max, 60 byte packets 
1 * * * 
2 * * * 
... [same up to 30] 

SSH從堡壘服務器publicSubnet在vpcB到privateSubnet在vpcB工作正常，所以我知道ssh本身正在實例本身。但很明顯，流量並未通過VPC對等連接。

我意識到故障排除可能需要比迄今爲止提供的更多細節，但是有沒有人有過這種設置？關於下一步看什麼或者我可以提供哪些配置給我們提示問題出在哪裏的任何建議？

謝謝！

Answer 1

所有由helloV提到的東西的截圖需要被覆蓋，因爲有很多事情可以去錯在這裏。但是，我的具體情況是，我有條目從vpcA路由到vpcB，但沒有路由的返回流量從vpcB vpcA。

的Amazon documentation on routing tables for VPC Peering暗指這需要在這句話：

要啓用VPC的對等連接交通的VPC間的路由，你必須添加路由到一個或多個您的VPC路由表的是點到VPC對等連接以訪問對等連接中其他VPC的全部或部分CIDR塊。同樣，其他VPC的所有者必須添加一條路由到其VPC路由表，以將流量路由回您的VPC。

這裏的最後一句話是關鍵 - 所提到的例子突出了這個問題。老實說，我因此感到有點困惑最初但this explanation which refers to overlapping CIDR blocks in routes也闡明瞭爲什麼需要這條路線：

AWS目前不支持單播反向路徑VPC等連接轉發該檢查的數據包和路線回覆中的源IP包返回到源。

那麼整體follow this advice和helloV的帖子中的建議。但請記住，這些路由需要在所討論的子網間雙向傳輸，以便讓數據包在兩個方向上流動。

Answer 2

您的traceroute輸出建議，沒有路線來轉發您的請求。

• 確保CIDR爲您和用電位Vpca VPCB不重疊
• 檢查的專用子網，並在公共用電位Vpca子網的路由表有路由流量VPCB的條目。
• 有一個單獨的公共和私人路由表。
• 的路線10.0.1.0/24應該是對等VPC連接的目標 - 始於pcx-
• 是對VPC對等體連接認可和積極？
• 如果實在不行，張貼子網的路由表