可以在對等 vpc 中調用 aws 接口端點嗎？

Question

我有兩個 vpc，一個是 mgmt vpc，其中所有必要的 vpc 接口端點都連接到 AWS 服務，另一個對等 vpc 與 mgmt vpc 建立了對等連接。 我嘗試在對等 vpc 中將 ssh 放入我的實例（稱為實例 A），並使用以下命令通過 cli 調用 aws api

aws ec2 describe-instances

但每次連接仍然超時。

我檢查了我的 vpc 端點安全組並再次確認我已將其設置為允許來自附加到實例 A 的安全組的所有傳入流量。並且我的實例 A 的安全組已設置為允許所有流量出口到 vpce 安全組。

有人知道或遇到過這個問題嗎？ 我錯過了什么或做錯了什么？

編輯：我的對等 vpc 有幾個子網，唯一的 IGW 位於入口/出口層子網中。 在 web 層子網中，有我試圖在那里調用 vpce 的實例，這里的子網有 NAT 網關。

對於 mgmt vpc，進入 ssh 的唯一方法是通過 vpc 內的 jumphost 實例。

web 層子網的路由表如下：

Destination            Target
100.113.189.0/24       pcx-0d3974s489064s3sd
100.113.206.0/24       local
10.196.162.128/25      local

web 層子網實例的安全組如下：

 Outbound
 Port Range             Protocol      Source
 All                    All           sgrp-<vpce_to_ec2>

mgmt vpc 中帶有 vpce 的子網的路由表：

Destination            Target
100.113.206.0/24       pcx-0d3974c6890640bd2
100.113.189.0/24      local
10.196.157.128/25     local
pl-6fa54006           vpce-<this_is_for_s3>

對於 vpce 到 ec2 安全組：

Inbound
Port Range             Protocol      Source
All                    All           sgrp-<web_tier_instance>
All                    All           100.113.189.0/24

請注意，每個 vpc 都分配了兩個 cidr 塊。 mgmt vpc 中也有 s3 端點網關

Answer 1

根據評論。

我試圖重現該問題和 OP 的架構，並且可以驗證在使用--endpoint-url時與端點的連接是否有效。

aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com

上面的端點 url ( vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com ) 可以從 VPC Interface details 獲取。

啟用對等連接的DNS 分辨率支持也可能有效。 在這種情況下，可能不需要--endpoint-url 。 但是，我沒有在我的測試中驗證這一點，因為我只專注於解決--endpoint-url的問題。