Direcionar o tráfego entre uma VPC em uma região para uma VPC em outra região

3

Para permitir que instâncias em um VPC em Oregon (us-west-2) contatem instâncias em outro VPC na Irlanda (eu-west-1), eu instalei máquinas de gateway OpenSwan em ambas as regiões e estabeleci um IPSEC túnel entre as duas regiões que opera adequadamente.

Details:
Oregon VPC CIDR: 172.31.0.0/16
Ireland VPC CIDR: 172.91.0.0/16

Na Irlanda, usei um modelo do CloudFormation que escrevi para criar uma nova pilha que, entre outras coisas, cria um novo VPC isolado e uma das tarefas que o CloudFormation está executando é espiar entre o padrão Ireland VPC e o recém-criado criado (isolado) VPC.

The new isolated VPC CIDR: 172.52.0.0/16.

No momento, se eu executar um comando ping de uma instância que reside na VPC padrão do Oregon (172.31.xx) em direção a uma instância que reside na VPC padrão da Irlanda (172.91.xx), ela funciona como um encanto.

Em seguida, gostaria que as máquinas na nova VPC (172.52.x.x) isolada pudessem alcançar instâncias na VPC padrão no Oregon (172.31.x.x).

A tabela de rotas associada ao VPC padrão no Oregon está configurada para rotear o tráfego:

to: 172.52.0.0/16 GW: Interface of the OpenSwan server in Oregon.
to: 172.91.0.0/16 GW: Interface of the OpenSwan server in Oregon.

A tabela de rotas associada ao VPC padrão na Irlanda está configurada para rotear o tráfego:

to: 172.31.0.0/16 GW: Interface of the OpenSwan server in Ireland.
to: 172.52.0.0/16 GW: The peering connection ID (between 172.52.x.x and 172.91.x.x)

Grupo de segurança que está anexado à instância do OpenSwan @ Oregon:

Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Ireland.

Grupo de segurança que está anexado à instância do OpenSwan @ Ireland:

Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Oregon.

ipsec.conf:

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        protostack=netkey
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:172.91.0.0/16,%v4:172.52.0.0/16,%v4:25.0.0.0/8,%v4:172.31.0.0/16,%v4:172.59.0.0/20,%v6:fd00::/8,%v6:fe80::/10
        oe=off

include /etc/ipsec.d/*.conf

Eu sou capaz de pingar uma instância que reside na VPC padrão do Oregon de cada uma das máquinas OpenSwan (Oregon / Irlanda) e vice-versa, mas não consigo pingar essa instância de uma instância que reside na 172.52.xx / 16 sub-rede.

Qual rota você acha que está perdendo? Preciso permitir que instâncias no VPC isolado na Irlanda atinjam o VPC padrão no Oregon.

    
por Itai Ganot 03.12.2017 / 17:34

2 respostas

1

Ok, parece que a Amazon ouviu minha ligação e estendeu seu atual comando" create-vpc-peering " há apenas alguns dias e agora permite comparar VPCs em diferentes regiões.

Parece que no momento ainda não é suportado pelo AWS Cloud Formation, mas isso pode ser feito através da interface do usuário e do Cli.

Se você procurar na documentação oficial da Amazon - create-vpc -peering , você verá um novo switch:

[--peer-region <value>]

Assim, a necessidade de VPN entre as regiões não é mais porque eu posso usar esse recurso de peering de região cruzada para atingir meu objetivo de estabelecer rede entre minha VPC isolada na Irlanda e a VPC de gerenciamento em Oregon.

    
por 06.12.2017 / 08:29
1

O seu Config não funciona porque o peering VPC não é transitivo, consulte: link para o documento oficial nele. O que isto significa para a sua configuração é que somente o tráfego entre o VPC padrão da Irlanda e o VPC isolado da Irlanda fluirá (172.91.0.0/16 < - > 172.91.0.0/16)

Os pacotes do Oregon destinados à VPC isolada (172.31.0.0/16 < - > 172.52.0.0/16) serão descartados pelo link de peering, mesmo que você coloque rotas nas rotas VPCs isoladas e padrão tabelas, o que eu acho que você está faltando.

Se você precisar apenas de conexão em uma direção (ou seja, servidor em cliente VPN isolado em Oregon. Você poderia ter a instância openVPN do tráfego NAT irlandês do Oregon em direção à VPC Isolada ... isso faria com que o tráfego através do link de peering fosse 172.91.0.0/16 que é permitido.

Se o NAT não funcionar, você precisará configurar a conectividade direta entre o VPC isolado e o VPC do Oregon, com mais túneis VPN ou o novo peering entre regiões link (note que eu não usei ainda, então eu tenho não tem idéia de quais limitações adicionais ela pode ter)

    
por 03.12.2017 / 23:44