到AWS VPC的子网路由似乎不起作用

Question

我正在尝试设置一个尾比例尺节点作为我的AWS VPC的中继。我已经按照这里的指示写了好几遍了。不幸的是，我似乎无法对第二个实例(非尾秤)执行ssh。我的过程，简单地说：

• 使用VPC向导设置AWS VPC
• 在VPC上、在公共子网上、启用SSH和我的私钥上创建一个实例tailscale-relay。为它分配一个名为sg-tailscale-relay的新安全组
• 从ssh到tailscale-relay，安装尾秤
• 启用IP转发(每个文档这里)
• sudo tailscale up --advertise-routes=10.0.0.0/24，其中10.0.0.0/24是在私有子网中指定的范围(以及在公共子网中的等效范围，见底部的照片)。
• 禁用Tailscale控制台中此节点的密钥过期并授权子网路由
• 在其安全组中关闭ssh对tailscale-relay的访问，然后验证我是否可以使用它的尾比例尺IP (恼人的是，仍然需要我的.pem密钥)
• 创建另一个实例test-tailscale，将其分配给相同的VPC，但分配给私有子网。不要给它一个公开的知识产权。允许来自sg-tailscale-relay子网的所有入站通信，但不允许来自其他任何地方
• 然后，从我的本地机器SSH到test-tailscale的私有IP超时。
• 我可以ping test-tailscale从tailscale-relay (但不是tailscale ping，显然)

怎么回事？我不明白我做错了什么。

• 奖励:我可以没有私钥吗？

专用子网路由表

Answer 1

一种可能是在非AWS尾比例尺节点中，如果它是Linux系统，您将使用该节点发送ping。Linux是第一个开发的客户机，也是最常用作子网路由器本身的客户机。

默认情况下，所有其他客户端都接受子网路由，但默认情况下，Linux不指定也需要指定tailscale up --accept-routes=true。