允许Amazon VPC A访问VPC B上的新私有子网？

Question

我有一个现有的VPC（vpcA），并且最近建立了一个新的VPC（vpcB），同时拥有一个私有子网（privateSubnet）和公共子网（publicSubnet）。我想要允许从vpcA到vpcB的连接。

vpcB是建立一个堡垒服务器允许从publicSubnet和privateSubnet SSH - 这个工作，所以我知道SSH的设置是否正确......所以上手我想我会尝试允许来自vpcA到privateSubnet上vpcB SSH连接。

我已经建立了一个对等连接，并且我遵循了关于resolving VPC peer network connectivity issues的亚马逊故障排除指南中的所有说明。连接处于活动状态，我的路由设置从vpcA到10.0.1.0/24到专用网络（私有地址是10.0.1.10），ACL策略似乎允许端口22上的所有流量（现在），并且安全组允许端口22上的访问（现在再次）。目前的情况下，本身没有配置防火墙规则，但是当我试图通过SSH从一个实例连接上vpcA我得到的是：

$ ssh -vvv 10.0.1.10 
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014 
debug1: Reading configuration data /etc/ssh/ssh_config 
debug1: /etc/ssh/ssh_config line 19: Applying options for * 
debug2: ssh_connect: needpriv 0 
debug1: Connecting to 10.0.1.10 [10.0.1.10] port 22. 
debug2: fd 3 setting O_NONBLOCK 
debug1: connect to address 10.0.1.10 port 22: Connection timed out 
ssh: connect to host 10.0.1.10 port 22: Connection timed out 

的traceroute给了我这样的：

traceroute to 10.0.1.10 (10.0.1.10), 30 hops max, 60 byte packets 
1 * * * 
2 * * * 
... [same up to 30] 

SSH从堡垒服务器publicSubnet在vpcB到privateSubnet在vpcB工作正常，所以我知道ssh本身正在实例本身。但很明显，流量并未通过VPC对等连接。

我意识到故障排除可能需要比迄今为止提供的更多细节，但是有没有人有过这种设置？关于下一步看什么或者我可以提供哪些配置给我们提示问题出在哪里的任何建议？

谢谢！

Answer 1

所有由helloV提到的东西的截图需要被覆盖，因为有很多事情可以去错在这里。但是，我的具体情况是，我有条目从vpcA路由到vpcB，但没有路由的返回流量从vpcB vpcA。

的Amazon documentation on routing tables for VPC Peering暗指这需要在这句话：

要启用VPC的对等连接交通的VPC间的路由，你必须添加路由到一个或多个您的VPC路由表的是点到VPC对等连接以访问对等连接中其他VPC的全部或部分CIDR块。同样，其他VPC的所有者必须添加一条路由到其VPC路由表，以将流量路由回您的VPC。

这里的最后一句话是关键 - 所提到的例子突出了这个问题。老实说，我因此感到有点困惑最初但this explanation which refers to overlapping CIDR blocks in routes也阐明了为什么需要这条路线：

AWS目前不支持单播反向路径VPC等连接转发该检查的数据包和路线回复中的源IP包返回到源。

那么整体follow this advice和helloV的帖子中的建议。但请记住，这些路由需要在所讨论的子网间双向传输，以便让数据包在两个方向上流动。

Answer 2

您的traceroute输出建议，没有路线来转发您的请求。

• 确保CIDR为您和用电位Vpca VPCB不重叠
• 检查的专用子网，并在公共用电位Vpca子网的路由表有路由流量VPCB的条目。
• 有一个单独的公共和私人路由表。
• 的路线10.0.1.0/24应该是对等VPC连接的目标 - 始于pcx-
• 是对VPC对等体连接认可和积极？
• 如果实在不行，张贴子网的路由表