问题标签 [aws-vpc-peering]

我需要能够从伦敦 EC2 检索驻留在澳大利亚 S3 存储中的 S3 对象并最大限度地减少延迟。

在伦敦 EC2 实例上，我将 S3Client 上的 RegionEndpoint 设置为 ApSouthEast2 并获取它。

我面临的问题是检索小文件（10kb 文件 - 1.2s+）需要很长时间。我在服务器上也设置了对等互连，因此我可以从伦敦 ping ApSouthEast2 中的 EC2 实例，而且我的往返行程都是 0 毫秒。

但是，当从 S3 检索数据时，情况就不同了。我如何允许 s3 存储桶在“内部”可用（vpc 端点和通过现有的对等互连？？），因为我假设通过 WAN 的遍历会造成巨大的延迟。

必须强调的是，我所做的任何更改仍然需要 S3 存储桶在其当前状态下可用，因为这是一个生产系统。

我正在研究以下链接以将 lightsail vpc 与 aws vpc 连接，但它正在连接到文档中提到的默认链接。我试图使用的资源在另一个 vpc 中。 https://lightsail.aws.amazon.com/ls/docs/en_us/articles/lightsail-how-to-set-up-vpc-peering-with-aws-resources

有没有其他方法可以手动或其他方式连接 lightsail vpc 和 aws vpc，而不是使用默认方式。

我在同一个账户和区域中有两个 VPC，VPC-A并且VPC-B. 我在两者之间创建了一个 VPC 对等连接，VPC-A接受者和VPC-B请求者在哪里。

VPC-A包含一些接口端点，以便能够访问带有公共 IP 的 AWS 服务（ECR、SSM、日志）（工作正常）。

现在我想启动一个VPC-B也没有公共 IP 的 Fargate 任务，希望我可以使用对等连接来访问所需的端点VPC-A，但我无法让它工作。

当我在 中启动 fargate 任务时VPC-B，我收到一条CannotPullContainerError消息：

等待连接时取消请求（等待标头时超出了 Client.Timeout）

表示无法到达终点。

但是，当我使用与源相同的任务的弹性网络接口和所需的 VPC 端点作为目标运行可达性分析时，它会返回 Reachable带有预期路径的结果（ID 已编辑）：

我想我可能在某处遗漏了一些配置，但是在哪里呢？或者这甚至可能吗？

我的最终目标是让 AWS Lambda 从 Kafka 主题触发，其中 Kafka 是在另一个 AWS 账户上运行的 MSK 集群。

设置。 Lambda 和 MSK 集群位于不同的 AWS 账户上。每个都连接到自己的 VPC，即子网（通过 NAT GW 私有），并由安全组设置防火墙（为了实验，我将它们全部设置为允许）

直接的问题。 我不能对 lambda 使用“MSK 触发器”，因为它需要为 MSK 集群指定 ARN，但这是不可能的，因为该 MSK 集群位于另一个帐户上，并且无法在 lambda 触发器的上下文中引用。

我试图解决的问题。 我正在尝试使用“Kafka 触发器”，它需要指定引导服务器（我有）、主题名称（我有）、批量大小和起始位置（不是问题）。问题在于第二组选项允许在 MSK 集群前对 lambda 触发器进行身份验证。它可以是 1) 基于网络的设置，以 MSK 集群的 VPC/子网/SecurityGroup 的组合形式，2) 基于机密的设置，以 SASL/xxx 配置的形式。

前一个选项，即基于网络的设置，不能使用，因为它需要来自 Kafka 集群的 VPC 和其他参数，即子网和安全组，这些参数在配置 Lambda 的账户上不可用。

后者需要指定其中一种 SASL 方法，即 PLAIN、SCRAM512 和 SCRAM256，并与存储用户名/密码组合的 SecretManager 记录的引用配对。我选择这种方法作为（在我看来）理论上可行的跨账户通信的唯一方法。

我做了什么：

1. 在 Lambda 帐户上，我在 SecretManager 中使用 2 个键创建了一条记录：username和password一些特定的值
2. 在 Kafka 帐户上，我为 MSK 集群启用了 SASL/SCRAM 身份验证。它需要在 SecretManager 中设置一个记录，我做到了。我在 Lambda 账户上使用了与密钥相同的凭据。之后，我可以看到引导服务器的 3 个选项：（<hostname>:9092明文）、<hostname>:9094（TLS）和<hostname>:9096（SASL/SCRAM）。
3. 我在我的 lambda 函数的 kafka 触发器设置中使用了引导服务器规范（具有 9096 端口的那个）。
4. 为了在 Lambda 和 Kafka 的子网之间授予跨账户连接，我在路由表中设置了具有相应规则的 VPC 对等连接器。
5. 我通过在 Lambda 的子网上旋转 EC2 测试了这些子网之间的连接性，并试图nmap -Pn -p 9092,9094,9096 <bootstrap server hostname>获得以下响应：

结果。 无论我在引导服务器/端口和 SASL 方法的不同组合方面尝试什么，我都会在 Lambda 触发器端收到此错误：问题：连接错误。请检查您的事件源连接配置

由于未提供其他详细信息，因此我找不到任何调试此错误情况的方法。在 MSK 集群上启用 CloudWatch 并没有帮助，因为它没有收集任何有用的信息。

我想在 CDK 打字稿中创建一个 VPC 对等请求，但是，它不只是创建一个挂起的请求，而是尝试直接接受它。我可以在不立即接受的情况下创建请求吗？

我有一个类似于下面的结构：

使用 VPC 对等连接的两个 VPC。是否可以添加第三个 VPC( VPC C ) 以通过 VPC B 到达 VPC A，而无需在 VPC A 和 VPC C 之间建立对等连接？

我实际上有以下情况：

我使用 VPN 静态路由从主机 A 成功到达主机 C。我现在需要从主机 B 访问它。我想从 VPC B 创建一个路由表，该路由表通过对等连接使用主机 C 的 ip/32 转发请求......但它不起作用。

有办法做到这一点吗？

注意我不能使用中转网关

谢谢！

我尝试在 2 个不同 AWS 账户的新加坡地区的 2 个 VPC 之间建立 vpc 对等连接。我按照官网上的“vpc_peering_connection”和“vpc_peering_connection_accepter”的terraform文档。所以这是我的代码和失败：

请求者

当我运行时，terraform plan什么都没有失败。运行时terraform apply，我收到此失败：

但是仍然创建了 VPC 对等连接，并且我获得了 VPC 对等 ID

接受者

结果：terraform plan完成terraform apply。

• 两个账户中 VPC 对等互连的状态为活动。但是当我terraform apply再次在Requester中运行时，VPC 对等互连被破坏并被替换。

我在多个地区都有 lightsail 实例。

我想让 Region_1 中的 Instance_1 能够与来自该区域的自定义 aws vpc 进行通信。

我了解每个 lightsail 实例都是一个独立的 vps（虚拟专用服务器）。

1. 这么说是否正确 - 当启用 vpc 对等互连时（在帐户设置下），该区域中的所有 lightsail 实例都可以访问该区域的默认 vpc？

2. 有没有办法只为 1 个 lightsail 实例启用它？

3. 假设一个区域有多个 vpc（比如一个默认 vpc 和一个额外的 vpc），那么有没有办法让 vpc 与非默认 aws vpc 对等？

我有两个 EC2 实例——一个在 AWS Ashburn ( us-east-1)，另一个在 AWS Tokyo ( ap-northeast-1)。它们之间的 Ping 延迟为 144 毫秒，我使用ping从一个实例到另一个实例的公共 IP 的命令进行了检查。

我现在创建了一个 VPC 对等连接，将路由表配置为具有彼此 VPC 的完整 CIDR 地址。我还启用了 DNS 解析。我的对等连接的状态是活动的，看起来 VPC 已完美配置。但是，我看到 ping 时间没有下降。

我现在正在 ping 我的 EC2 实例的私有 IPv4 地址。traceroute 现在相当简单，如下所示 -

它只显示一跳而不是之前的多跳。

我知道 AWS Ashburn 和 Tokyo 之间可以使用 Direct Link、VPC Peering、AWS Private Link 等实现 134.7ms 延迟。

我错过了什么？有什么建议我应该尝试吗？