Konfigurationen mit spezifischen Routen - Amazon Virtual Private Cloud

Konfigurationen mit spezifischen Routen

Sie können VPC-Peering-Verbindungen konfigurieren, um Zugriff auf einen Teil des CIDR-Blocks, einen bestimmten CIDR-Block (wenn die VPC mehrere CIDR-Blöcke besitzt) oder eine spezifische Instance innerhalb der Peer-VPC zu gewähren. In diesen Beispielen wird eine zentrale VPC mit zwei oder mehr VPCs verbunden, die überlappende CIDR-Blöcke nutzen. Weitere Beispiele zu Szenarien, in denen Sie eine spezifische VPC-Peering-Verbindungskonfiguration benötigen, finden Sie unter VPC Peering-Szenarien. Weitere Informationen zum Erstellen von und zum Arbeiten mit VPC-Peering-Verbindungen finden Sie unter Arbeiten mit VPC-Peering-Verbindungen. Weitere Informationen zur Aktualisierung Ihrer Routing-Tabellen finden Sie unter Aktualisieren der Routing-Tabellen für eine VPC-Peering-Verbindung.

Zwei VPCs, die mit zwei Subnetzen in einer VPC verbunden sind

Sie haben eine zentrale VPC (VPC A) und eine VPC-Peering-Verbindung zwischen VPC A und VPC B (pcx-aaaabbbb) sowie zwischen VPC A und VPC C (pcx-aaaacccc). VPC A hat zwei Subnetze: eines für jede VPC-Peering-Verbindung.


                    Zwei VPCs, die mit zwei Subnetzen verbunden sind

Diese Konfiguration kann sinnvoll sein, wenn Sie eine zentrale VPC mit unterschiedlichen Ressourcen in verschiedenen Subnetzen haben. Andere VPCs benötigen möglicherweise einen Zugriff auf einige (jedoch nicht alle) dieser Ressourcen.

Die Routing-Tabelle für Subnetz X zeigt auf die VPC-Peering-Verbindung pcx-aaaabbbb und bietet einen Zugriff auf den gesamten CIDR-Block von VPC B. Die Routing-Tabelle von VPC B zeigt auf pcx-aaaabbbb und bietet nur einen Zugriff auf den CIDR-Block von Subnetz X in VPC A. Ebenso zeigt die Routing-Tabelle für Subnetz Y auf die VPC-Peering-Verbindung pcx-aaaacccc für den Zugriff auf den gesamten CIDR-Block von VPC C. Die Routing-Tabelle von VPC C zeigt auf pcx-aaaacccc, um nur den Zugriff auf den CIDR-Block von Subnetz Y in VPC A bereitzustellen.

Routing-Tabelle Zielbereich Ziel
Subnetz X in VPC A 172.16.0.0/16 Local
10.0.0.0/16 pcx-aaaabbbb
Subnetz Y in VPC A 172.16.0.0/16 Local
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 Local
172.16.0.0/24 pcx-aaaabbbb
VPC C 10.0.0.0/16 Local
172.16.1.0/24 pcx-aaaacccc

Analog dazu kann die zentrale VPC (VPC A) mehrere CIDR-Blöcke haben, und VPC B und VPC C können eine VPC-Peering-Verbindung zu einem Subnetz in jedem CIDR-Block haben.


    			Zwei VPCs, die mit einem CIDR-Block durch Peering verbunden sind
Routing-Tabelle Zielbereich Ziel
Subnetz X in VPC A 10.2.0.0/16 Local
10.3.0.0/16 Local
10.0.0.0/16 pcx-aaaabbbb
Subnetz Y in VPC A 10.2.0.0/16 Local
10.3.0.0/16 Local
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 Local
10.2.0.0/24 pcx-aaaabbbb
VPC C 10.0.0.0/16 Local
10.3.0.0/24 pcx-aaaacccc

Weitere Informationen finden Sie unter Hinzufügen von IPv4 CIDR-Blöcken zu einer VPC im Amazon VPC Benutzerhandbuch.

Zwei VPCs, die mit zwei Subnetzen in einer VPC für IPv6 verbunden sind

Sie haben die gleiche VPC-Peering-Konfiguration wie oben. VPC A und VPC B sind IPv6-fähig, entsprechend besitzen beide VPCs zugeordnete IPv6-CIDR-Blöcke. Subnetz X in VPC A muss ein IPv6-CIDR-Block zugeordnet sein.


                        Zwei VPCs, die mit zwei Subnetzen verbunden sind

Sie können VPC B für die Kommunikation mit Subnetz X in VPC A über IPv6 per VPC-Peering-Verbindung aktivieren. Hierzu fügen Sie der Routing-Tabelle für VPC A eine Route mit dem Zielbereich des IPv6 CIDR-Blocks von VPC B hinzu. Außerdem fügen Sie der Routing-Tabelle von VPC B eine Route mit dem Zielbereich der IPv6 CIDR von Subnetz X in VPC A hinzu.

Routing-Tabelle Zielbereich Ziel Hinweise
Subnetz X in VPC A 172.16.0.0/16 Local
2001:db8:abcd:aa00::/56 Local Eine lokale Route, die automatisch für die IPv6-Kommunikation innerhalb der VPC hinzugefügt wird.
10.0.0.0/16 pcx-aaaabbbb
2001:db8:1234:bb00::/56 pcx-aaaabbbb Route zum IPv6 CIDR-Block von VPC B.
Subnetz Y in VPC A 172.16.0.0/16 Local
2001:db8:abcd:aa00::/56 Local Eine lokale Route, die automatisch für die IPv6-Kommunikation innerhalb der VPC hinzugefügt wird.
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 Local
2001:db8:1234:bb00::/56 Local Eine lokale Route, die automatisch für die IPv6-Kommunikation innerhalb der VPC hinzugefügt wird.
172.16.0.0/24 pcx-aaaabbbb
2001:db8:abcd:aa00::/64 pcx-aaaabbbb Route zum IPv6 CIDR-Block von VPC A.
VPC C 10.0.0.0/16 Local
172.16.1.0/24 pcx-aaaacccc

Zwei über Peering mit demselben CIDR-Block verbundene VPCs in einer VPC

Sie haben eine zentrale VPC (VPC A) und eine VPC-Peering-Verbindung zwischen VPC A und VPC B (pcx-aaaabbbb) sowie zwischen VPC A und VPC C (pcx-aaaacccc). VPC A hat zwei CIDR-Blöcke: einen für jede VPC-Peering-Verbindung.

Routing-Tabelle Zielbereich Ziel
VPC A 10.0.0.0/16 Local
10.2.0.0/16 Local
172.31.0.0/16 pcx-aaaabbbb
192.168.0.0/24 pcx-aaaacccc
VPC B 172.31.0.0/16 Local
10.0.0.0/16 pcx-aaaabbbb
VPC C 192.168.0.0/24 Local
10.2.0.0/16 pcx-aaaacccc

Weitere Informationen finden Sie unter Hinzufügen von IPv4 CIDR-Blöcken zu einer VPC im Amazon VPC Benutzerhandbuch.

Eine VPC, die mit bestimmten Subnetzen in zwei VPCs verbunden ist

Sie haben eine zentrale VPC (VPC A) mit einem Subnetz und eine VPC-Peering-Verbindung zwischen VPC A und VPC B (pcx-aaaabbbb) sowie zwischen VPC A und VPC C (pcx-aaaacccc). VPC B und VPC C haben beide zwei Subnetze. Nur eines von ihnen wird jeweils für die Peering-Verbindung mit VPC A verwendet.


          Eine VPC, die mit Subnetzen durch Peering verbunden ist

Diese Konfiguration kann sinnvoll sein, wenn Sie Ressourcen in einer zentralen VPC haben, die über einen einzelnen Ressourcensatz verfügt (z. B. Active Directory-Services), auf die andere VPC zugreifen müssen. Die zentrale VPC benötigt keinen Vollzugriff auf die verbundene VPC.

Die Routing-Tabelle für VPC A zeigt auf beide VPC-Peering-Verbindungen, um nur auf bestimmte Subnetze in VPC B und VPC C zugreifen zu können. Die Routing-Tabellen für die Subnetze in VPC B und VPC C zeigen auf ihre VPC-Peering-Verbindungen, um auf das VPC A-Subnetz zugreifen zu können.

Routing-Tabelle Zielbereich Ziel
VPC A 172.16.0.0/16 Local
10.0.0.0/24 pcx-aaaabbbb
10.0.1.0/24 pcx-aaaacccc
Subnetz A in VPC B 10.0.0.0/16 Local
172.16.0.0/24 pcx-aaaabbbb
Subnetz B in VPC C 10.0.0.0/16 Local
172.16.0.0/24 pcx-aaaacccc

Routing für Antwortdatenverkehr

Wenn Sie eine VPC über ein Peering mit mehreren VPCs verbinden, die sich überschneidende oder sich entsprechende CIDR-Blöcke haben, achten Sie darauf, dass Ihre Routing-Tabellen so konfiguriert sind, dass kein Antwortdatenverkehr von Ihrer VPC an die falsche VPC gesendet wird. AWS unterstützt derzeit kein Unicast Reverse Path Forwarding in VPC-Peering-Verbindungen, das die Quell-IP von Paketen prüft und Antwortpakete zurück zur Quelle leitet.

VPC A ist beispielsweise mit VPC B und VPC C verbunden. VPC B und VPC C haben übereinstimmende CIDR-Blöcke und ihre Subnetze haben übereinstimmende CIDR-Blöcke. Die Routing-Tabelle für Subnetz B in VPC B zeigt auf die VPC-Peering-Verbindung pcx-aaaabbbb, um so auf das VPC A-Subnetz zugreifen zu können. Die Routing-Tabelle von VPC A ist so konfiguriert, dass Sie 10.0.0.0/16-Datenverkehr an die VPC-Peering-Verbindung pcx-aaaaccccc sendet.

Routing-Tabelle Zielbereich Ziel
Subnetz B in VPC B 10.0.0.0/16 Local
172.16.0.0/24 pcx-aaaabbbb
VPC A 172.16.0.0/24 Local
10.0.0.0/16 pcx-aaaacccc

            Fehlerhaftes Antwort-Routing beim Peering

Eine Instance in Subnetz B in VPC B mit einer privaten IP-Adresse 10.0.1.66/32 sendet über die VPC-Peering-Verbindung pcx-aaaabbbb Datenverkehr an den Active Directory-Server in VPC A. VPC A sendet den Antwortdatenverkehr an 10.0.1.66/32. Die Routing-Tabelle von VPC A ist jedoch so konfiguriert, dass jeglicher Datenverkehr im IP-Adressbereich 10.0.0.0/16 an die VPC-Peering-Verbindung pcx-aaaacccc gesendet wird. Wenn Subnetz B in VPC C über eine Instance mit der IP-Adresse 10.0.1.66/32 verfügt, empfängt es den Antwortdatenverkehr von VPC A. Die Instance in Subnetz B in VPC B empfängt keine Antwort auf ihre Anfrage an VPC A.

Um dies zu verhindern, können Sie der Routing-Tabelle von VPC A eine spezifische Route mit dem Zielbereich 10.0.1.0/24 und dem Ziel pcx-aaaabbbb hinzufügen. Die Route für den Datenverkehr an 10.0.1.0/24 ist spezifischer. Daher wird der Datenverkehr für den IP-Adressbereich 10.0.1.0/24 über die VPC-Peering-Verbindung pcx-aaaabbbb geleitet.

Als Alternative hat die Routing-Tabelle für VPC A im folgenden Beispiel eine Route für jedes Subnetz für jede VPC-Peering-Verbindung. VPC A kann mit Subnetz B in VPC B und mit Subnetz A in VPC C kommunizieren. Dieses Szenario kann dann verwendet werden, wenn Sie eine weitere VPC-Peering-Verbindung zu einem weiteren Subnetz hinzufügen müssen, das sich im IP-Adressbereich 10.0.0.0/16 befindet. In diesem Fall können Sie einfach eine weitere Route für das entsprechende Subnetz hinzufügen.

Zielbereich Ziel
172.16.0.0/16 Local
10.0.1.0/24 pcx-aaaabbbb
10.0.0.0/24 pcx-aaaacccc

Je nach Ihrem Nutzungsszenario können Sie alternativ eine Route für eine spezifische IP-Adresse in VPC B erstellen und so dafür sorgen, dass der Datenverkehr an den richtigen Server zurückgeroutet wird (die Routing-Tabelle nutzt den längsten Präfix als Priorität für die Routen):

Zielbereich Ziel
172.16.0.0/16 Local
10.0.1.66/32i pcx-aaaabbbb
10.0.0.0/16 pcx-aaaacccc

Instances in einer VPC, die mit Instances in zwei VPCs verbunden sind

Sie haben eine zentrale VPC (VPC A) mit einem Subnetz und eine VPC-Peering-Verbindung zwischen VPC A und VPC B (pcx-aaaabbbb) sowie zwischen VPC A und VPC C (pcx-aaaacccc). VPC A hat ein Subnetz mit mehreren Instances (eine für jede VPC, mit der sie verbunden ist.). Sie können eine solche Konfiguration nutzen, um den Peering-Datenverkehr auf bestimmte Instances zu beschränken.


                    Instances in einer VPC, die mit Instances in zwei VPCs verbunden sind

Jede VPC-Routing-Tabelle zeigt auf die relevante VPC-Peering-Verbindung, um so auf eine einzelne IP-Adresse (und somit auf eine bestimmte Instance) im Peer-VPC zugreifen zu können.

Routing-Tabelle Zielbereich Ziel
VPC A 172.16.0.0/16 Local
10.0.0.44/32 pcx-aaaabbbb
10.0.0.55/32 pcx-aaaacccc
VPC B 10.0.0.0/16 Local
172.16.0.88/32 pcx-aaaabbbb
VPC C 10.0.0.0/16 Local
172.16.0.99/32 pcx-aaaacccc

Eine VPC, die über den längsten übereinstimmenden Präfix verbunden ist mit zwei VPCs

Sie haben eine zentrale VPC (VPC A) mit einem Subnetz und eine VPC-Peering-Verbindung zwischen VPC A und VPC B (pcx-aaaabbbb) sowie zwischen VPC A und VPC C (pcx-aaaacccc). VPC B und VPC C haben übereinstimmende CIDR-Blöcke. Sie möchten die VPC-Peering-Verbindung pcx-aaaabbbb zum Routen von Datenverkehr zwischen VPC A und einer spezifischen Instance in VPC B nutzen. Der gesamte restliche Datenverkehr an den IP-Adressbereich 10.0.0.0/16 wird über pcx-aaaacccc zwischen VPC A und VPC C geroutet.


                    Peering über den längsten übereinstimmenden Präfix

VPC-Routing-Tabellen verwenden den längsten übereinstimmenden Präfix, um die eindeutigste Route über die gewünschte VPC-Peering-Verbindung zu ermitteln. Der gesamte restliche Datenverkehr wird über die nächste übereinstimmende Route geroutet (in diesem Fall über die VPC-Peering-Verbindung pcx-aaaacccc).

Routing-Tabelle Zielbereich Ziel
VPC A 172.16.0.0/16 Local
10.0.0.77/32 pcx-aaaabbbb
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 Local
172.16.0.0/16 pcx-aaaabbbb
VPC C 10.0.0.0/16 Local
172.16.0.0/16 pcx-aaaacccc
Wichtig

Wenn eine andere Instance als 10.0.0.77/32 in VPC B Datenverkehr an VPC A sendet, kann der Antwortdatenverkehr an VPC C statt an VPC B geroutet werden. Weitere Informationen finden Sie unter Routing für Antwortdatenverkehr.

Mehrere VPC-Konfigurationen

In diesem Beispiel ist eine zentrale VPC (VPC A) in einer Spoke-Konfiguration mit mehreren VPCs verbunden. Weitere Informationen zu den unterschiedlichen Konfigurationstypen finden Sie unter Eine mit mehreren VPCs durch Peering verbundene VPC. Sie haben außerdem drei VPCs (M, N und P), die in einer kompletten Mesh-Konfiguration verbunden sind. Weitere Informationen zu den unterschiedlichen Konfigurationstypen finden Sie unter Drei durch Peering verbundene VPCs.

VPC C hat außerdem eine VPC-Peering-Verbindung mit VPC M (pcx-ccccmmmm). VPC A und VPC M haben überlappende CIDR-Blöcke. Das bedeutet, dass der Peering-Datenverkehr zwischen VPC A und VPC C auf ein spezifisches Subnetz (Subnetz A) in VPC C beschränkt ist. So ist sichergestellt, dass beim Empfang einer Anfrage von VPC A oder VPC M in VPC C dieses den Antwortdatenverkehr an die richtige VPC sendet. AWS unterstützt derzeit kein Unicast Reverse Path Forwarding in VPC-Peering-Verbindungen, das die Quell-IP von Paketen prüft und Antwortpakete zurück zur Quelle leitet. Weitere Informationen finden Sie unter Routing für Antwortdatenverkehr.

VPC A und VPC M haben ebenfalls überlappende CIDR-Blöcke. Der Peering-Datenverkehr zwischen VPC M und VPC C ist auf Subnetz B in VPC C beschränkt. Der Peering-Datenverkehr zwischen VPC M und VPC P ist auf Subnetz A in VPC P beschränkt. So ist sichergestellt, dass beim Empfang einer Anfrage von VPC C oder VPC P in VPC M dieses den Antwortdatenverkehr an die richtige VPC sendet.


                    Mehrere VPC-Peering-Verbindungen

Die Routing-Tabelle für die VPCs B, D, E, F und G zeigen auf die relevanten Peering-Verbindungen, um auf den kompletten CIDR-Block für VPC A zugreifen zu können. Die Routing-Tabelle für VPC A zeigt auf die entsprechenden VPC-Peering-Verbindungen für die VPCs B, D, E, F, und G, um auf deren kompletten CIDR-Blöcke zugreifen zu können. Für Peering-Verbindung pcx-aaaacccc routet die Routing-Tabelle von VPC A den Datenverkehr nur an Subnetz A in VPC C (192.168.0.0/24). Die Routing-Tabelle für Subnetz A in VPC-C zeigt auf den kompletten CIDR-Block von VPC A.

Die Routing-Tabelle von VPC N zeigt auf die relevanten VPC-Peering-Verbindungen, um auf die kompletten CIDR-Blöcke von VPC M und VPC P zugreifen zu können. Die Routing-Tabelle von VPC P zeigt auf die relevante Peering-Verbindung, um auf den kompletten CIDR-Block von VPC N zugreifen zu können. Die Routing-Tabelle von Subnetz A in VPC P zeigt auf die relevante Peering-Verbindung, um auf den kompletten CIDR-Block von VPC M zugreifen zu können. Die Routing-Tabelle von VPC M zeigt auf die relevante Peering-Verbindung, um auf das Subnetz B in VPC C und Subnetz A in VPC P zugreifen zu können.

Routing-Tabelle Zielbereich Ziel
VPC A 172.16.0.0/16 Local
10.0.0.0/16 pcx-aaaabbbb
192.168.0.0/24 pcx-aaaacccc
10.2.0.0/16 pcx-aaaadddd
10.3.0.0/16 pcx-aaaaeeee
172.17.0.0/16 pcx-aaaaffff
10.4.0.0/16 pcx-aaaagggg
VPC B 10.0.0.0/16 Local
172.16.0.0/16 pcx-aaaabbbb
Subnetz A in VPC C 192.168.0.0/16 Local
172.16.0.0/16 pcx-aaaacccc
Subnetz B in VPC C 192.168.0.0/16 Local
172.16.0.0/16 pcx-ccccmmmm
VPC D 10.2.0.0/16 Local
172.16.0.0/16 pcx-aaaadddd
VPC E 10.3.0.0/16 Local
172.16.0.0/16 pcx-aaaaeeee
VPC F 172.17.0.0/16 Local
172.16.0.0/16 pcx-aaaaaffff
VPC G 10.4.0.0/16 Local
172.16.0.0/16 pcx-aaaagggg
VPC M 172.16.0.0/16 Local
192.168.1.0/24 pcx-ccccmmmm
10.0.0.0/16 pcx-mmmmnnnn
192.168.0.0/24 pcx-mmmmpppp
VPC N 10.0.0.0/16 Local
172.16.0.0/16 pcx-mmmmnnnn
192.168.0.0/16 pcx-nnnnpppp
VPC P 192.168.0.0/16 Local
10.0.0.0/16 pcx-nnnnpppp
172.16.0.0/16 pcx-mmmmpppp