具有 azure vnet 对等互连的 Aws vpn 网关答案

【问题标题】：Aws vpn gateway with azure vnet peering具有 azure vnet 对等互连的 Aws vpn 网关
【发布时间】：2022-06-29 21:28:18
【问题描述】：

我在 EastUS 有一个连接到 Azure VNet 的 AWS vpn 网关，它工作正常。我想在 CentralUS 中创建另一个 VM，因此我在 CentralUS 中创建了另一个 VNet，并在该 VM 和 EastUS 之间创建了 VNet 对等互连。 VNet 对等也可以工作，但我无法从 AWS 中的 VPC 访问。我向 CentralUS 的私有 cidr 添加了另一条静态路由，但我无法访问它。请问有什么想法吗？不知道还有什么办法可以让它发挥作用...

【问题讨论】：

您是否有机会添加一个图表来说明什么不起作用？ AWS 和 Azure 之间有 VPN S2S 吗？这些 VNET 之间是否有防火墙？对等互连是否允许流量转发？
嗨@Greg，我在 AWS us-east-1 上有一个 RDS，我想通过 VPN 网关将我的 Azure 环境连接到这个 RDS。我遵循了本手册 - techcommunity.microsoft.com/t5/fasttrack-for-azure/… 我已经从 Azure EastUS 连接到 AWS us-east-1，并且我可以从 EastUS 访问我在 AWS us-east-1 中的 RDS。现在我需要在 CentralUS 上部署另一个虚拟机，所以我在 EastUS 和 CentralUS 之间进行了 VNet 对等互连，它们之间可以正常工作，但我无法从 CentralUS 访问 RDS ....

标签： amazon-web-services azure vpn vpc vnet

【解决方案1】：

• 我建议您检查部署在美国中部的 VM 的 NSG 以获取允许的端口和服务，因为您可能使用 RDP 或 SSH 从美国东部通过 VPN 访问美国中部的 VM TCP 上的端口 3389 和 TCP 上的 22 端口。因此，请检查这些端口是否在 AWS VPC 以及 Azure VM 的 NSG 中被允许。

• 另外，请检查是否没有针对美国中部地区的企业网络 Azure 政策，以在该地区部署 Azure 资源（如 VM）并连接到它们。您将能够看到企业网络 Azure 策略（如“零信任网络安全”）如果配置为阻止从美国东部的网络管理器部分访问该虚拟机。

• 检查您在 AWS VPN 连接以及 Azure 虚拟网关中配置的公共 IP 地址以及您从 AWS 控制台下载的配置文件。

• IKEv1 预共享密钥也可能已过期或输入不正确。因此，请也检查一下。另外，我建议您检查其他参数，例如已在 AWS 和 Azure 中配置的 VPN 网关中使用的加密方案。在 Azure 端进行配置时可能会出现一些故障。

• 另请通过从 VM 执行以下命令来检查在美国中部创建的 VM 的连接，以检查是否有任何端口被阻止。只需替换以下命令中的端口号：-

 Test-NetConnection -Port 80 -InformationLevel "Detailed"

【讨论】：