ฉันมีคำถามที่ซับซ้อน:

ฉันได้เชื่อมต่อ VPC หลายตัวกับ EC2 Instances (IPSec) เพื่อกำหนดเส้นทางการรับส่งข้อมูลระหว่าง VPC ข้ามภูมิภาค ฉันมีการเชื่อมต่อ VPN กับแต่ละภูมิภาค aws และทุกอย่างทำงานได้ดี

Traffic from my office to 10.20.*.* go to ->
VPN connection LINE 1 in AWS eu-west-1 ->
vpc_ireland - CIDR 10.20.0.0/16
here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia

Traffic from my office to 10.60.*.* go to ->
VPN connection LINE 2 in AWS us-east-1 ->
vpc_viriginia - CIDR 10.60.0.0/16
in AWS us-east-1 I have ipsec instance that route the traffic from 10.20.0.0/16 to vpc_ireland

ฉันต้องการตรวจสอบให้แน่ใจว่าหากการเชื่อมต่อ/สาย vpn อันใดอันหนึ่งหยุดทำงาน ฉันจะยังคงสามารถเข้าถึงภูมิภาค aws ผ่าน VPN อื่นในภูมิภาค aws อื่นได้

ตัวอย่างเช่น หากVPN connection LINE 2 (virginia)หยุดทำงาน การรับส่งข้อมูลทั้งหมดจากสำนักงานของฉัน10.60.*.*จะไปVPN connection LINE 1 (vpc_ireland)และจากที่นั่นจะกำหนดเส้นทางไปยังvpc_viriginiaอินสแตนซ์ IPSec ของฉันโดยอัตโนมัติ ราวกับว่าไม่มีอะไรเกิดขึ้น

ตัวอย่าง: ถ้าVPN connection LINE 2 ลงไป:myoffice -> 10.60.203.11 -> VPN connection LINE 1 -> vpc_ireland -> ipsec instance in ireland -> vpc_viriginia

อย่างที่ฉันบอกว่าฉันมีการเชื่อมต่อระหว่างภูมิภาคของฉันกับอินสแตนซ์ IPSec

คำถามของฉันคือ ถ้าการเชื่อมต่อ VPN LINE 2 หยุดทำงาน การรับส่งข้อมูลทั้งหมด10.60.*.*จะกำหนดเส้นทางโดยอัตโนมัติจากที่ทำงานของฉันไปที่vpc_ireland - CIDR 10.20.0.0/16แต่ฉันเดาว่าvpc_irelandพวกเขาจะปฏิเสธพวกเขาเพราะ IP 10.60.*.*ไม่ได้อยู่ในเครือข่ายเดียวกันของvpc_ireland - CIDR 10.20.0.0/16.

ดังนั้นฉันจึงสงสัยว่าตัวเลือกของฉันคืออะไร (โดยไม่ต้องลบ AWS VPN ปัจจุบันของฉัน)

การจะมีความเฉพาะเจาะจงมากขึ้นวิธีที่ฉันสามารถทำได้การจราจรเส้นทางจาก IP ที่ (ช่วยให้พูดเช่น10.60.111.9) ผ่านการเชื่อมต่อ VPN ไอร์แลนด์ (เมื่อการเชื่อมต่อ VPN เวอร์จิเนียไปลง) เพื่อvpc_irelandแต่ IP ที่ที่ฉันเส้นทางไม่ได้อยู่ในเครือข่ายเดียวกันCIDR 10.20.0.0/16?

คำถามอ้างถึงฝั่ง AWS เท่านั้น หลังจากที่ฉันกำหนดเส้นทางการรับส่งข้อมูลจากสำนักงานของฉัน

ฉันยินดีที่จะตอบคำถามใด ๆ หากคำถามของฉันไม่เข้าใจ

ขอบคุณล่วงหน้า!!

UPDATE - ฉันจะพยายามเจาะจงมากขึ้นกับคำถามของฉัน:

  1. AWS VPN ในเวอร์จิเนียล่ม
  2. การรับส่งข้อมูลทั้งหมดจาก10.60.*.*เส้นทางสำนักงานของฉันไปยังการเชื่อมต่อ AWS VPN LINE 1 ในAWS eu-west-1.
  3. ดังนั้นหากฉันส่ง Ping จากที่ทำงานไปตอนนี้10.60.100.13ก็จะเป็นเส้นทางไปยัง Ireland VPN 4.แต่ VPC ในไอร์แลนด์ด้วยCIDR block 10.20.0.0/16.

หากฉันสามารถกำหนดเส้นทางการรับส่งข้อมูลที่ไปยัง Ireland VPN จาก IP ในCIDR block 10.60.*.*VPC ปัจจุบันของฉันในไอร์แลนด์ด้วยCIDR block 10.20.0.0/16ฉันสามารถใช้ตารางเส้นทางและอินสแตนซ์ IPSEC เพื่อกำหนดเส้นทางกลับไปที่ Virginia VPC

เป็นไปได้ไหมที่จะกำหนดเส้นทางการรับส่งข้อมูลจากซับเน็ตอื่นไปยังบล็อก CIDR อื่นใน VPC IP 10.60.100.13ถึงCIDR block 10.20.0.0/16?

answer

ลองทำดูก็ได้นะ

eu-west-1 - VPC1 - VPNGatewway1  -- office  (direct route)
eu-west-1 - VPC1 - VPNGatewway1  -- office  (via VPC2 route)
             | 
            peer
             |
eu-west-1 - VPC2 - VPNGatewway2  -- office  (direct route)
eu-west-1 - VPC2 - VPNGatewway2  -- office  (via VPC1 route)

แต่ก่อนที่คุณจะทำอะไร FYI เกตเวย์ vpn มีจุดเข้าใช้งานสองจุด ดังนั้นจึงมีความซ้ำซ้อนสร้างขึ้นแล้ว

มีสิ่งหนึ่งที่คุณต้องพิจารณาคือ ตารางเส้นทางแม้ว่าจะมีรายการสำหรับทั้งสำนักงานและVPC อื่นจะส่งปริมาณการใช้งานไปยังเส้นทางเริ่มต้นสำหรับสำนักงานของคุณ (เกตเวย์ VPN) สำหรับสิ่งนี้ คุณต้องสร้างสคริปต์ขนาดเล็กที่เปลี่ยนลำดับความสำคัญของเส้นทาง ดังนั้นหาก VPNGateway1 ไม่สามารถเชื่อมต่อกับสำนักงานของคุณได้ มากกว่าที่คุณให้ลำดับความสำคัญต่ำกว่านี้ และกำหนดเส้นทาง office_space/netmask ผ่าน VPC2