Pourquoi ne puis-je pas créer de connexion d'appairage de VPC Amazon avec un VPC provenant d'un autre compte AWS ?

Lecture de 4 minute(s)
0

J'essaie de créer une connexion d'appairage de Cloud privé virtuel Amazon (Amazon VPC) entre mon VPC Amazon et un VPC qui est associé à un autre compte AWS. Cependant, j'obtiens le message d'erreur suivant : " La connexion a échoué en raison d'un ID de VPC incorrect, d'un ID de compte incorrect ou d'une plage CIDR superposée.»

Solution

Vérifiez les paramètres Amazon VPC

Lorsque vous vous connectez à un VPC d'un autre compte AWS, assurez-vous de vérifier les paramètres suivants :

  • L'ID de compte pour le VPC (Accepteur) est entré correctement.
  • L'ID de VPC correct pour le VPC (Accepteur) est sélectionné.
  • Aucun des blocs CIDR primaires ou secondaires de votre VPC (Demandeur) et VPC (Accepteur) ne se chevauchent.
    Remarque: si vos VPC ont des blocs CIDR se chevauchant, alors vous ne pouvez pas créer de connexion d'appairage de VPC. Vous devez supprimer et recréer l'un des VPC avec un bloc CIDR sans chevauchement.

Mettre en œuvre une meilleure pratique pour le chevauchement des blocs CIDR

Utilisez une passerelle NAT privée et un équilibreur de charge d'application avec le transit par passerelle AWS pour établir une communication privée entre deux VPC dont les blocs d'adresse CIDR se chevauchent.

Effectuez les étapes suivantes.

Premier VPC :

  1. Ajoutez un CIDR secondaire non identique.
  2. Créez des sous-réseaux privés supplémentaires dans les blocs principal et secondaire des CIDR.
  3. Créez une passerelle NAT privée dans le sous-réseau CIDR secondaire pour établir une adresse IP privée à partir de la plage de sous-réseaux.

Deuxième VPC :

  1. Ajoutez un CIDR secondaire au CIDR principal qui se chevauche.
  2. Créez un autre sous-réseau privé identique dans le CIDR principal.
  3. Dans le sous-réseau privé nouvellement créé, lancez une application hébergeant une instance Amazon Elastic Compute Cloud (Amazon EC2).
  4. Créez deux autres sous-réseaux privés dans différentes zones de disponibilité.
  5. Créez un équilibreur de charge d'application interne, puis sélectionnez les sous-réseaux à partir de l'étape 4.
  6. Configurez l'équilibreur de charge d'application et enregistrez l'instance en sélectionnant l'instance lancée en tant que cible. Remarque : Les cibles de l'équilibreur de charge d'application doivent être les charges de travail du sous-réseau privé du CIDR principal auxquelles les charges de travail du premier VPC doivent accéder. Assurez-vous également que les cibles enregistrées sont saines.

Passerelle de transit :

  1. Créez une passerelle de transit et choisissez Désactiver pour la propagation de la table de routage par défaut.
  2. Créez des pièces jointes de transit par passerelle VPC pour chaque VPC en associant les sous-réseaux appropriés dans chaque zone de disponibilité.
  3. Entrez des itinéraires dans la table de routage de transit par passerelle pour router les CIDR de destination vers les pièces jointes au VPC.

Table de routage du VPC :

Pour le premier VPC :

  1. Modifiez la table de routage de la charge globale dans le sous-réseau privé.
  2. Ajoutez une route statique pour le CIDR de destination secondaire via la passerelle NAT privée.
  3. Créez ou modifiez une table de routage de sous-réseau NAT dans laquelle la passerelle NAT privée est lancée.
  4. Ajoutez une entrée d'itinéraire au CIDR secondaire du VPC de destination avec le transit par passerelle.

Pour le deuxième VPC :

  1. Modifiez la table de routage des sous-réseaux Application Load Balancer.
  2. Ajoutez des routes pour le trafic de retour du CIDR secondaire du premier VPC avec le transit par passerelle.

Contrôle de connectivité :

  1. Connectez-vous à l'instance du premier VPC de la charge de travail à l'aide de SSH.
  2. Testez la connectivité de l'instance cible dans le deuxième VPC via l'équilibreur de charge d'application.

Important : assurez-vous que la zone de disponibilité ou les sous-réseaux de la pièce jointe au VPC s'alignent sur la zone de disponibilité ou les sous-réseaux de la passerelle NAT.

Restrictions :

  • Le routage du trafic vers une passerelle NAT privée et un autre VPC rend le réseau sur site unidirectionnel. Lorsque le réseau local est unidirectionnel, les ressources situées de l'autre côté des connexions ne peuvent pas utiliser de passerelle NAT.
  • Vous pouvez router votre passerelle NAT vers le transit par passerelle uniquement pour les communications privées sortantes entre deux VPC ou un VPC et votre réseau local.
  • Étant donné que les passerelles NAT exécutent uniquement le NAT source, la configuration précédente autorise uniquement la source à initier une connexion au VPC de destination. Si vous avez besoin d'un trafic bidirectionnel entre le deuxième VPC superposé et le premier, vous devez inverser la configuration. Créez la passerelle NAT dans le deuxième VPC et demandez à l'équilibreur de charge d'application de cibler l'instance dans le premier VPC.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans