我有一个现有的 VPC (vpcA
),并且最近设置了一个新的 VPC (vpcB
),其中包含私有(private)子网 (privateSubnet
) 和公共(public)子网 (publicSubnet
)。我想允许来自 vpcA
的连接至vpcB
.vpcB
使用堡垒服务器设置以允许来自 publicSubnet
的 ssh和 privateSubnet
- 这很有效,所以我知道 ssh 设置正确......所以开始我想我会尝试允许来自 vpcA
的 ssh 连接到privateSubnet
在 vpcB
.
我已经设置了一个对等连接,并且我已经按照亚马逊的故障排除指南中的所有说明操作 resolving VPC peer network connectivity issues .连接处于事件状态,我从 vpcA
设置了路由路线 10.0.1.0/24
到私有(private)网络(私有(private)地址是 10.0.1.10
),ACL 策略似乎允许端口 22 上的所有流量(现在),并且安全组允许端口 22 上的访问(现在再次)。当前实例本身没有配置防火墙规则,但是当我尝试从 vpcA
上的实例通过 ssh 连接时我得到的是:
$ ssh -vvv 10.0.1.10
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 10.0.1.10 [10.0.1.10] port 22.
debug2: fd 3 setting O_NONBLOCK
debug1: connect to address 10.0.1.10 port 22: Connection timed out
ssh: connect to host 10.0.1.10 port 22: Connection timed out
traceroute 给了我这个:
traceroute to 10.0.1.10 (10.0.1.10), 30 hops max, 60 byte packets
1 * * *
2 * * *
... [same up to 30]
来自
publicSubnet
中堡垒服务器的 ssh在 vpcB
至privateSubnet
在 vpcB
工作正常,所以我知道 ssh 本身正在处理实例本身。但显然流量没有通过 VPC 对等连接。我意识到故障排除可能需要比我迄今为止提供的更多详细信息,但有没有人有这个设置?关于下一步看哪里或我可以提供什么配置来给我们提示问题所在的任何建议?
谢谢!
最佳答案
您的 traceroute
输出表明,没有路由转发您的请求。
CIDR
为您的 vpcA 和 vpcB 不重叠 10.0.1.0/24
应该是 VPC 对等连接 - 以 开头pcx- 关于amazon-web-services - 允许 Amazon VPC A 访问 VPC B 上的新私有(private)子网?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46018412/