问题[vpc-peering](server)

因此，我有一个位于专用 VPC (EKS-VPC) 中的 EKS 集群。在我的主 VPC 中，我有一个面向公众的 ALB，我希望它以某种方式将流量引导到在 EKS 中运行的服务。更具体地说，我希望 ALB 将对特定端点的请求转发到 EKS，并将所有其他请求转发到我的主 VPC 中的 EC2 实例。

因此，例如请求myservice.mydomain.com将转到主 VPC 内的 EC2 实例，但请求myservice.mydomain.com/myapi/myendpoint将转到在 EKS 中运行的服务 - 因此是不同的 VPC

我在主 VPC 和 EKS VPC 之间启用了 VPC 对等互连，并且我更新了我的路由表。

我当然已经配置了一个 Ingress 并在 EKS 中设置了 ALB 控制器，它负责内部 ALB 配置

我正在考虑为 EKS 集群创建一个内部 ALB。然后获取其 IP 并创建一个新的 IP 目标组，将其与主 ALB 相关联。但是，您可以想象这会失败，因为对内部 ALB 私有 IP 的运行状况检查失败。所以我想知道这种情况下的最佳选择是什么？

我有两个 VPC：A 和 B。

我希望 A 中的任何节点都能够打开到 B 中的任何节点的 TCP 连接，但反过来不行。B 中的任何节点还必须能够打开到公共 Internet 主机的传出连接。实现这一目标的最佳方法是什么？

用例：VPC A 包含许多敏感的内部服务，而 VPC B 包含运行完全不受信任的代码的节点。VPC A 需要向 VPC B 发出 HTTP 请求，但不得公开任何内部服务。

VPC 对等允许 A 和 B 中的任何节点之间的直接连接 - 这不能在路由级别上受到限制。安全组可用于阻止传出连接，但由于没有 DENY 规则，因此配置起来有点棘手。

网络 ACL 在这里没有用，因为必须允许从 B -> A 返回的流量。

还有其他选择吗？类似于 NAT 网关，只允许在一个方向打开连接？AWS 确实支持私有 NAT 网关，但我找不到任何此类配置的文档。

我有几个连接到 Mongo Atlas 集群的 lambda 函数。Mongo Atlas 和我的 AWS 账户之间的连接是通过 VPC 对等互连完成的。Lambda 函数附加到此 VPC。

我正在经历 Lambdas 的长时间冷启动，lambda 需要大约 10 秒才能响应 VPC，而没有 VPC 大约需要 1-2 秒。根据 AWS 前段时间所做的更改（https://aws.amazon.com/blogs/compute/announcing-improved-vpc-networking-for-aws-lambda-functions/），我不应该经历长时间的冷启动。

我的配置截图：

lambda vpc 配置

vpc 对等配置

vpc 配置

vpc 路由表

我的设置有问题吗？

有关对等互连的AWS 文档是指 VPC B 和 C 各自具有具有相同 CIDR 的子网并且都与 VPC A 对等互连的情况，如下图所示：

该文档没有向我说明是否可以在 VPC C 中设置路由，以便将响应流量路由到正确 VPC 中的正确子网。这可能吗？

即如果流量源自 VPC B 的子网 B，它的返回流量是否可以正确路由到它，使得源自 VPC C 的子网 B 的流量也可以正确路由到它？如果是这样，你如何做到这一点？

与this和this有些相关。这是一个非常基本且可能是菜鸟的问题。

我想在 GCP（一个组织）中设置几个服务（GCE、GAE、GCR 和 GCF 的组合）。其中一些需要相互交流，而另一些则不需要。当然，我不想在没有充分理由的情况下向互联网公开任何服务，因此它们应该在内部进行通信（通过它们的内部 IP/DNS）。不同的服务属于不同的团队，因此我想把它们放到不同的项目中。

当然，我做了一些研究，我看到的三个选项是：

A)将所有内容放在一个项目中
B)选择一个项目作为宿主项目并使用共享 VPC
C)在需要时使用对等互连

每个都有优点和缺点。

A -简单但也违反了最小权限，没有明确的服务分离
B - 也很简单，但一切都可以连接到其他一切，不太清楚哪个项目应该是主机，主机决定 FW 规则等单独 - 如果，例如，我需要从本地机器连接到数据库吗？
C - 看起来不错，但仅限于 25 个对等点 - 如果服务需要连接到更多点怎么办？

我觉得我缺少一些基本的东西。默认情况下，项目是相互隔离的，对吗？它们从默认VPC 开始，如果我要在两个 vanilla 项目中创建两个 VM，它们将收到相同的内部 IP。您可能已经注意到我在网络设计方面没有很强的背景。

什么是好的选择，这种情况的最佳实践是什么（以及为什么）？我错过了一些选择吗？

我有 2 个具有 2 个不同 VPC 的 GCP 项目：

VPC1 有默认子网 VPC2 有一个默认子网和一个自定义子网然后我有 2 个实例，每个项目中都有一个：

instance1 有一个到 VPC1 默认子网的网络接口（内部 IP 10.128.0.2）

instance2 有 2 个网络接口用于：

a) VPC2 默认：默认 10.128.0.1（不是问题，因为默认没有对等互连）

b) VPC2 自定义：自定义 10.230.0.3（对等的）

子网存在于正确的区域中，并且 IP 范围不重叠。VPC1default 到 VPC2custom 上的 VPC 对等互连处于活动状态，并且路由已导出/导入。

这两个实例都位于 VPC 对等中声明的区域子网所涵盖的区域中。

但是，当我尝试使用内部 IP 从一个实例到另一个实例 ping 时，它会超时。从 10.128.0.2，ping 10.230.0.3

防火墙规则已更新以允许来自两个 VPC IP 范围的所有端口。由于第二个网络接口，我在 VPC2 中弹出 instance3 以检查它是否可能是防火墙或 DHCP。Instance3 的配置方式与instance2 相同，即2 个子网，默认和自定义。我设法使两个实例都可以毫无问题地进行通信...但仍然无法与来自其他对等 VPC 的这两个实例中的任何一个进行通信

我尝试运行网络智能连接测试，但似乎数据包正在通过。但是 ssh、ping 或任何服务超时....

我在 AWS 上有一个 Wordpress 网站us-east-1。由于业务政策，我不能使用 CDN 或多租户。我在澳大利亚的管理员说该站点已关闭或速度很慢，但这取决于我和 isup.me。

如果我在悉尼的 AWS 区域创建一个 AWS Client VPN，澳大利亚的管理员连接到它然后使用该站点，他们会看到性能提升吗？us-east-1我的想法是，与他们在澳大利亚的 ISP 相比，他们通过更快的“AWS 到 AWS”网络连接到澳大利亚的 AWS 。

澄清：

us-east-1我在该地区的 EC2 上安装了一个 wordpress 站点。

澳大利亚的用户说它很慢并且无法打开。当他们这样做时，我检查了来自美国的网站，而且速度很快。

我通常会部署到 Cloudfront，或者在悉尼地区的 EC2 上安装 wordpress 版本，但这次我不能这样做，因为该网站运行广告，我不想冒广告违规的风险或有势头如果我需要在 DDoS 下停止广告，请访问 CDN。

所以，我想在悉尼地区创建一个 AWS 客户端 VPN： https ://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html

澳大利亚的用户连接到该站点，然后打开站点 URL。由于他们在 AWS VPN 上，因此流量从 AWS 悉尼地区流向 AWS us-east-1，这与他们当前的互联网提供商现在正在做的事情相反。

我的另一个选择是在悉尼的 EC2 上使用相同的数据库启动 Wordpress，剥离以便他们可以输入帖子，但我想避免这种情况，因为它仍然可能存在风险。

我正在查看的另一件事是 Amazon Workspaces： https ://aws.amazon.com/workspaces

我正在尝试在 Google Cloud 上安装以下平台：

2 个私有（原生）GKE 集群，位于 2 个不同的 VPC 中，为了让它们能够访问互联网，每个 vpc 都配置了一个 Cloud Nat。

我需要的是 2 个 GKE 集群交互，但对等 VPC，我只能在 POD 之间进行通信，而不是在 POD -> 服务或 POD -> 内部负载均衡器之间进行通信。

集群：

NAME     LOCATION      MASTER_VERSION  MASTER_IP        MACHINE_TYPE  NODE_VERSION   NUM_NODES  STATUS
Shrek01  asia-east1-a  1.16.8-gke.15   <none>           g1-small      1.16.8-gke.15  3          RUNNING
Shrek02  asia-east2-a  1.15.9-gke.24   <none>           g1-small      1.15.9-gke.24  3          RUNNING

虚拟个人电脑：

NAME         SUBNET_MODE  BGP_ROUTING_MODE  IPV4_RANGE  GATEWAY_IPV4
Shrek01      CUSTOM       REGIONAL
Shrek02      CUSTOM       REGIONAL

子网：

NAME                REGION        NETWORK      RANGE
Shrek01             asia-east1    Shrek01      192.168.13.0/24
Shrek02             asia-east2    Shrek02      192.168.14.0/24

对等：

NAME                                     NETWORK      PEER_PROJECT                  PEER_NETWORK                            AUTO_CREATE_ROUTES  STATE   STATE_DETAILS
Shrek01-Shrek01-peering                  Shrek01      pocprod2-2019001              Shrek02                                 True                ACTIVE  [2020-05-16T14:29:57.864-07:00]: Connected.
Shrek02-Shrek01-peering                  Shrek02      pocprod2-2019001              Shrek01                                 True                ACTIVE  [2020-05-16T14:29:57.864-07:00]: Connected.

防火墙规则：

• “Shrek01-对等入口”

{
  "allowed": [
    {
      "IPProtocol": "all"
    }
  ],
  "creationTimestamp": "2020-05-16T16:05:14.829-07:00",
  "description": "",
  "direction": "INGRESS",
  "disabled": false,
  "id": "6807007164648771397",
  "kind": "compute#firewall",
  "logConfig": {
    "enable": false
  },
  "name": "peering-ingress",
  "network": "https://www.googleapis.com/compute/v1/projects/pocprod2-2019001/global/networks/Shrek01",
  "priority": 1000,
  "selfLink": "https://www.googleapis.com/compute/v1/projects/pocprod2-2019001/global/firewalls/peering-ingress",
  "sourceRanges": [
    "192.168.14.0/24",
    "10.113.64.0/19",
    "10.213.64.0/19"
  ]
}

• “Shrek02-对等入口”

{
  "allowed": [
    {
      "IPProtocol": "all"
    }
  ],
  "creationTimestamp": "2020-05-16T16:24:28.545-07:00",
  "description": "",
  "direction": "INGRESS",
  "disabled": false,
  "id": "7130188648920500419",
  "kind": "compute#firewall",
  "logConfig": {
    "enable": false
  },
  "name": "Shrek02-peering-ingress",
  "network": "https://www.googleapis.com/compute/v1/projects/pocprod2-2019001/global/networks/Shrek02",
  "priority": 1000,
  "selfLink": "https://www.googleapis.com/compute/v1/projects/pocprod2-2019001/global/firewalls/Shrek02-peering-ingress",
  "sourceRanges": [
    "192.168.13.0/24",
    "10.113.32.0/19",
    "10.213.32.0/19"
  ]
}

k8s Shrek01集群：

• kubectl get svc -o wide

NAME         TYPE           CLUSTER-IP     EXTERNAL-IP    PORT(S)        AGE   SELECTOR
kubernetes   ClusterIP      10.213.32.1    <none>         443/TCP        85m   <none>
nginx        LoadBalancer   10.213.60.14   192.168.13.7   80:32612/TCP   92s   app=nginx
nginx-cip    ClusterIP      10.213.34.24   <none>         80/TCP         93s   app=nginx
nginx-np     NodePort       10.213.35.31   <none>         80:30444/TCP   92s   app=nginx

• kubectl get pod -o wide

NAME                     READY   STATUS    RESTARTS   AGE     IP             NODE                                     NOMINATED NODE   READINESS GATES
nginx-64b4f9bb85-9sjcp   1/1     Running   0          3m34s   10.113.34.11   gke-Shrek01-default-pool-f9ecbfcc-dz9z   <none>           <none>
nginx-64b4f9bb85-l2bzd   1/1     Running   0          3m34s   10.113.32.5    gke-Shrek01-default-pool-f9ecbfcc-pdll   <none>           <none>
nginx-64b4f9bb85-xd7kw   1/1     Running   0          3m34s   10.113.33.9    gke-Shrek01-default-pool-f9ecbfcc-v67d   <none>           <none>

• kubectl get nodes -o wide

NAME                                     STATUS   ROLES    AGE   VERSION          INTERNAL-IP    EXTERNAL-IP   OS-IMAGE                             KERNEL-VERSION   CONTAINER-RUNTIME
gke-Shrek01-default-pool-f9ecbfcc-dz9z   Ready    <none>   89m   v1.16.8-gke.15   192.168.13.4                 Container-Optimized OS from Google   4.19.109+        docker://19.3.1
gke-Shrek01-default-pool-f9ecbfcc-pdll   Ready    <none>   89m   v1.16.8-gke.15   192.168.13.2                 Container-Optimized OS from Google   4.19.109+        docker://19.3.1
gke-Shrek01-default-pool-f9ecbfcc-v67d   Ready    <none>   89m   v1.16.8-gke.15   192.168.13.3                 Container-Optimized OS from Google   4.19.109+        docker://19.3.1

• 从 Shrek02 的 pod 检查：

root@nginx-5c66c56f55-8jwv2:/# echo ${MY_POD_IP} 
10.113.66.9

# internal load balancer
root@nginx-5c66c56f55-8jwv2:/# nc -vz 192.168.13.7 80
192.168.13.7: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.13.7] 80 (?) : Connection timed out

# intarnal load balancer's Cluster IP
root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.213.60.14 80
10.213.60.14: inverse host lookup failed: Unknown host
(UNKNOWN) [10.213.60.14] 80 (?) : Connection timed out

# ClusterIP
root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.213.34.24 80
10.213.34.24: inverse host lookup failed: Unknown host
(UNKNOWN) [10.213.34.24] 80 (?) : Connection timed out

# NodePort 
root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.213.35.31 80
10.213.35.31: inverse host lookup failed: Unknown host
(UNKNOWN) [10.213.35.31] 80 (?) : Connection timed out

# Pod IP
root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.113.34.11 80
10.113.34.11: inverse host lookup failed: Unknown host
(UNKNOWN) [10.113.34.11] 80 (?) open

root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.113.32.5 80
10.113.32.5: inverse host lookup failed: Unknown host
(UNKNOWN) [10.113.32.5] 80 (?) open

root@nginx-5c66c56f55-8jwv2:/# nc -vz 10.113.33.9 80
10.113.33.9: inverse host lookup failed: Unknown host
(UNKNOWN) [10.113.33.9] 80 (?) open

我忘了任何步骤吗？我没发现错误。

我有 2 个 VPC（X 和 Y）。我们在两者之间建立了一个 vpc 对等连接。在 VPC X 中，我们有一个 CNAME 需要解析为 VPC Y 中的 ELB。有没有办法让 VPC X 中的 ELB 将流量转发到 VPC Y 中的 ELB？

我知道这种配置很奇怪，而且我无法真正改变，所以我会尝试任何有意义的事情来继续前进。

我在 VPC 的 2 个私有子网中的 AWS 中设置了 Active Directory 服务。

我希望能够从中访问 AD 的同一账户中有另一个 VPC。但是由于某种原因，它无法从它自己的 VPC 之外的任何地方访问。

我已经在 VPC 之间设置了对等互连，并确认 VPC 中的 EC2 实例可以通信。

Active Directory 是否有一些特殊的东西可以防止从它自己的 VPC 外部访问它？我看不到我可以进行的任何其他配置来解决此问题。我已经确认路由表、ACL 等都是正确的。

任何帮助将不胜感激。