Jag har ett on-prem-nätverk och ett primärt AWS-konto. Dessa är för närvarande anslutna via en site-to-site VPN-anslutning.
Jag har ett andra AWS-konto som har VPC-peering med det primära AWS-kontot. Jag kan dirigera mellan dem som förväntat.
Jag undrar om det är möjligt för det andra AWS-kontot att dirigera till on-prem-nätverket via den site-to-site VPN-anslutning som är upprättad på det primära AWS-kontot via VPC-peer.
Är detta möjligt eller behöver det sekundära AWS-kontot också en site-to-site VPN-anslutning mellan det och on-prem-nätverket?
På det sekundära AWS-kontot lade jag till en rutt för on-prem CIDR för att gå via VPC-peer, men jag kan inte komma åt resurser på on-prem-nätverket. Jag antar att något också måste göras på det primära AWS:et, med rutt-tabellen, men jag tror inte att jag kan dirigera trafik för samma on-prem CIDR till både VPC-peer och site-to-site VPN-anslutningen.
Nej, du kan inte transitera genom en VPC från en VPC-peeringanslutning. Du skulle behöva skapa en VPN-anslutning till VPC:n. Du kan också införa en Transit Gateway i topologin, flytta VPN:en dit och sedan dela den mellan båda VPC:erna som är anslutna till Transit Gateway.
I ditt nuvarande läge kan du inte göra transitvägning, VPC-peering stöder inte detta. Lösningen är: Transit Gateway
Du kan definitivt uppnå ditt mål men du måste modifiera/omkonfigurera peering VPC och ipsec VPN.
Site-to-site VPG och även peering VPC-anslutningar kan ersättas med en enda Transit Gateway. Du kan bifoga en ny VPN Customer Gateway (för att återupprätta VPN) och ansluta båda VPC:erna till TG via TG-bilagor. TG stödjer flera VPC- och VPN-anslutningar till den (det är hela poängen) och tillagd routning ger granulär tillgång mellan VPC:er och VPN
På detta sätt blir peering onödigt, TG gör transit-routingen.
TG kan användas för lastbalansering eller ökad genomströmning genom flera IPSec-tunnlar till den enda TG.
Det är ännu mer kostnadseffektivt om du har mer än 2 peerings (eller en peering och en VPN)