如何通过AWS CLI方式配置VPC对等连接

背景说明：

1、本次通过AWS CLI方式配置VPC对等连接，需要提前在IAM中建立ec2的用户策略，并在实例上通过aws configure配置用户的access key和Secret access key。本次测试的是同一个账户下跨region的vpc对等连接，两个region分别是孟买（ap-south-1）和新加坡（ap-southeast-1），对等连接的请求方是孟买，接受方是新加坡

2、分别在两个region上配置好VPC，做好子网及路由表的配置，并将子网和路由表进行关联。

在孟买地区已开启的实例上执行创建VPC对等连接命令：

aws ec2 create-vpc-peering-connection --vpc-id vpc-23926e4b --peer-vpc-id vpc-96a400f3 --peer-region ap-southeast-1

该命令中vpc-23926e4b为孟买地区的vpc，vpc-96a400f3为新加坡的vpc，执行完命令从输出入下入所示：

可以使用aws ec2 describe-vpc-peering-connections命令获取当前的对等连接：

在新加坡地区已开启的实例上执行接受VPC对等连接命令：

aws ec2 accept-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132

pcx-0ea10df72691ca132为获取到对等连接的ID，控制台输出如下：

此时在新加坡实例上执行aws ec2 describe-vpc-peering-connections命令，可以看到测试的对等连接的状态为active：

分别在孟买和新加坡地区的路由表上添加对等连接路由。

孟买实例执行：

aws ec2 create-route --route-table-id rtb-60913608 --destination-cidr-block 172.31.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132

rtb-3608为孟买地区绑定子网的路由表，172.31.0.0/16为新加坡地区VPC子网端；

新加坡同样执行：

aws ec2 create-route --route-table-id rtb-5117a934 --destination-cidr-block 192.168.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132

控制台输出如图所示：

该显示表示创建成功，执行aws ec2 describe-route-tables来获取当前路由表的设置，如图：

分别在两个地区的实例上添加自定义的安全组规则，本次测试为两台实例只允许对等连接的实例能够ping测试。

孟买实例执行：

aws ec2 authorize-security-group-ingress --group-id sg-a20c3dca --protocol icmp --port -1 --cidr 172.31.0.0/16

新加坡实例执行：

aws ec2 authorize-security-group-ingress --group-id sg-088def4e6587262a4 --protocol icmp --port -1 --cidr 192.168.0.0/16

如下图所示，直接ping孟买实例的外网IP是失败的，但是内网IP可以。

此时对等连接建立完成。

可以通过执行：

aws ec2 delete-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132

来删除建立的对等连接。

此时通过执行aws ec2 describe-vpc-peering-connections获取到的状态为deleted。

以上就是所有配置步骤。

本文为光环云SA团队原创文章，转载请注明作者及出处。

本文已加入光环云《AWS技术实战》电子书，获取全书可加入光环云社群后向管理员（微信 sinnet-cloud）索取。关注我们了解更多AWS技术和云计算行业精彩内容。