提问

#楼主# 2020-6-30

跳转到指定楼层
背景说明:

1、本次通过AWS CLI方式配置VPC对等连接,需要提前在IAM中建立ec2的用户策略,并在实例上通过aws configure配置用户的access key和Secret access key。本次测试的是同一个账户下跨region的vpc对等连接,两个region分别是孟买(ap-south-1)和新加坡(ap-southeast-1),对等连接的请求方是孟买,接受方是新加坡

2、分别在两个region上配置好VPC,做好子网及路由表的配置,并将子网和路由表进行关联。

在孟买地区已开启的实例上执行创建VPC对等连接命令:
aws ec2 create-vpc-peering-connection --vpc-id vpc-23926e4b --peer-vpc-id vpc-96a400f3 --peer-region ap-southeast-1

该命令中vpc-23926e4b为孟买地区的vpc,vpc-96a400f3为新加坡的vpc,执行完命令从输出入下入所示:

a1.png

可以使用aws ec2 describe-vpc-peering-connections命令获取当前的对等连接:

a2.png

在新加坡地区已开启的实例上执行接受VPC对等连接命令:
aws ec2 accept-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132

pcx-0ea10df72691ca132为获取到对等连接的ID,控制台输出如下:

a3.png

此时在新加坡实例上执行aws ec2 describe-vpc-peering-connections命令,可以看到测试的对等连接的状态为active:

a4.png

分别在孟买和新加坡地区的路由表上添加对等连接路由。
孟买实例执行:
aws ec2 create-route --route-table-id rtb-60913608 --destination-cidr-block 172.31.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132

rtb-3608为孟买地区绑定子网的路由表,172.31.0.0/16为新加坡地区VPC子网端;

新加坡同样执行:
aws ec2 create-route --route-table-id rtb-5117a934 --destination-cidr-block 192.168.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132

控制台输出如图所示:

a5.png

该显示表示创建成功,执行aws ec2 describe-route-tables来获取当前路由表的设置,如图:

a6.png

分别在两个地区的实例上添加自定义的安全组规则,本次测试为两台实例只允许对等连接的实例能够ping测试。

孟买实例执行:
aws ec2 authorize-security-group-ingress --group-id sg-a20c3dca --protocol icmp --port -1 --cidr 172.31.0.0/16

新加坡实例执行:
aws ec2 authorize-security-group-ingress --group-id sg-088def4e6587262a4 --protocol icmp --port -1 --cidr 192.168.0.0/16

如下图所示,直接ping孟买实例的外网IP是失败的,但是内网IP可以。

a7.png

此时对等连接建立完成。

可以通过执行:
aws ec2 delete-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132
来删除建立的对等连接。

此时通过执行aws ec2 describe-vpc-peering-connections获取到的状态为deleted。

a8.png

以上就是所有配置步骤。

本文为光环云SA团队原创文章,转载请注明作者及出处。

底部二维码.png

转播转播
回复

使用道具

成为第一个回答人

B Color Link Quote Code Smilies
光环云社区 |京ICP备18044167号-13|

京公网安备 11010102003758号