能够通过VPN从本地ping EC2。但是，无法ping DMS复制实例

Question

我已经设置了VPN，并且能够从本地ping通EC2实例的私有IP，反之亦然。但是，我无法ping通DMS复制实例的专用IP。

我已经在EC2中创建了一个指向DB的端点。端点测试连接成功。但是，本地数据库的端点测试连接失败。

EC2和DMS复制实例使用相同的子网，安全组等。详细信息在下图中给出。

我可以知道

1）为什么DMS实例未与本地通信（反之亦然）

2）为什么EC2在VPN上可以正常工作，但在DMS实例上不能正常工作？

编辑：

与DMS实例关联的安全组的详细信息：

• vpc-EC2使用的默认vpc
• 入站规则-所有流量，所有协议，所有端口范围，源= 192.168.0.0/24
• 出站规则-所有流量，所有协议，所有端口范围，源= 0.0.0.0/0

路由表：

• 目的地-10.0.0.0/16，目标=本地
• 目的地-0.0.0.0/0，目标=互联网网关
• 目标-192.168.0.0/24，目标= VPN中使用的虚拟专用网关

这是我尝试测试DMS DB端点连接时收到的错误消息：

  

测试端点失败：应用程序状态：1020912，应用程序消息：连接失败发生网络错误，应用程序详细消息：RetCode：SQL_ERROR SqlState：HYT00 NativeError：0消息：[unixODBC] [Microsoft] [ODBC] SQL Server驱动程序13]登录超时ODBC常规错误。

Answer 1

您可能需要描述/提供完整的网络拓扑以获取更精确的答案，但是基于AWS在“ Network Security for AWS Database Migration Service”上的文档，我的最佳猜测是您缺少源和目标数据库配置：

  

数据库端点必须包含允许从复制实例进行传入访问的网络ACL和安全组规则。您可以使用复制实例的安全组，专用IP地址，公用IP地址或NAT网关的公用地址来实现此目的，具体取决于您的配置。

还，您提到的此EC2是NAT实例吗？以防万一：

  

如果您的网络使用VPN隧道，则充当NAT网关的Amazon EC2实例必须使用具有允许复制实例通过其发送流量的规则的安全组。