VPC Peering-Grundlagen - Amazon Virtual Private Cloud

VPC Peering-Grundlagen

Beachten Sie beim Herstellen einer Peering-Verbindung Folgendes:

  1. Der Eigentümer der anfordernden VPC sendet eine Anforderung zur Herstellung der VPC-Peering-Verbindung an den Eigentümer der annehmenden VPC. Die annehmende VPC können entweder Sie oder ein anderes AWS-Konto besitzen. Sie darf keinen CIDR-Block haben, der sich mit dem CIDR-Block der anfordernden VPCs überschneidet.

  2. Der Eigentümer der annehmenden VPC akzeptiert die Anforderung für die VPC-Peering-Verbindung, um die VPC-Peering-Verbindung zu aktivieren.

  3. Um den Datenverkehr zwischen den Peer-VPCs unter Verwendung privater IP-Adressen zu ermöglichen, muss der Eigentümer von jeder einzelnen VPC der VPC-Peering-Verbindung eine Route zu einer oder mehreren Routing-Tabellen seiner VPCs manuell hinzufügen, die auf den IP-Adressbereich der anderen VPC (der Peer-VPC) verweist.

  4. Falls erforderlich, aktualisieren Sie zudem die Sicherheitsgruppenregeln, die mit Ihrer Instance verknüpft sind, um sicherzustellen, dass der Verkehr zu und von der Peer-VPC nicht eingeschränkt wird. Wenn sich beide VPCs in derselben Region befinden, können Sie auf eine Sicherheitsgruppe von der Peer-VPC als Quelle oder Ziel für Eingangs- oder Ausgangsregeln in Ihren Sicherheitsgruppen-Regeln verweisen.

  5. Wenn Instances auf jeder Seite einer VPC-Peering-Verbindung einander mit einem öffentlichen DNS-Hostnamen ansprechen, löst sich der Hostname standardmäßig in der öffentlichen IP-Adresse der Instances auf. Um dieses Verhalten zu ändern, aktivieren Sie die Auflösung des DNS-Hostnamens für Ihren VPC-Verbindung. Nach dem Aktivieren der Auflösung des DNS-Hostnamens wird der Hostname zur privaten IP-Adresse der Instance aufgelöst, wenn Instances auf jeder Seite einer VPC-Peering-Verbindung einander mit einem öffentlichen DNS-Hostnamen ansprechen.

Weitere Informationen finden Sie unter Arbeiten mit VPC-Peering-Verbindungen.

Lebenszyklus einer VPC-Peering-Verbindung

Eine VPC-Peering-Verbindung durchläuft verschiedene Phasen, die mit der Einleitung der Anforderung beginnen. In jeder Phase kann es Aktionen geben, die Sie einleiten können. Am Ende Ihres Lebenszyklus bleibt die VPC-Peering-Verbindung in der Amazon VPC Konsole und API oder in der Befehlszeilen Ausgabe eine Zeit lang sichtbar.


                            Lebenszyklus einer VPC-Peering-Verbindung
  • Auslösungsanforderung: Eine Anforderung für eine VPC-Peering-Verbindung ist ausgelöst worden. In dieser Phase könnte eine Peering-Verbindung fehlschlagen oder nach pending-acceptance verschoben werden.

  • Fehlgeschlagen: Die Anforderung für die VPC-Peering-Verbindung ist fehlgeschlagen. Während dieser Phase kann sie nicht angenommen, abgewiesen oder gelöscht werden. Die fehlgeschlagene VPC-Peering-Verbindung bleibt für den Auftraggeber zwei Stunden lang sichtbar.

  • In Annahme: Die VPC-Peering-Verbindungsanforderung befindet sich in Erwartung der Annahme des Eigentümers der annehmenden VPC. Während dieser Phase kann der Eigentümer der anfordernden VPC die Anforderung löschen und der Eigentümer der annehmenden VPC kann die Anforderung annehmen oder ablehnen. Falls keine Aktionen bezüglich der Anforderung eingeleitet werden, läuft diese in 7 Tagen ab.

  • Abgelaufen: Die VPC-Peering-Verbindungsanforderung ist abgelaufen. Keine Aktionen wurden diesbezüglich seitens der VPC-Eigentümer vorgenommen. Die abgelaufene VPC-Peering-Verbindung bleibt für beide VPC-Eigentümer 2 Tage lang sichtbar.

  • Abgelehnt: Der Eigentümer der annehmenden VPC hat eine VPC-Peering-Verbindungsanforderung, die sich im Status pending-acceptance befindet, abgelehnt. Während dieser Phase kann die Anforderung nicht akzeptiert werden. Die abgelehnte VPC-Peering-Verbindung bleibt für den Eigentümer der anfordernden VPC 2 Tage und für den Eigentümer der annehmenden VPC 2 Stunden lang sichtbar. Falls die Anforderung innerhalb desselben AWS-Kontos erstellt worden ist, bleibt die Anforderung 2 Stunden lang sichtbar.

  • Bereitstellung: Die VPC-Peering-Verbindungsanforderung ist akzeptiert worden und wird sich bald im Status active befinden.

  • Aktiv: Die VPC-Peering-Verbindung ist aktiv und Datenverkehr kann zwischen den VPCs fließen (vorausgesetzt, Ihre Sicherheitsgruppen und Routingtabellen lassen den Datenverkehr zu). Während dieses Status können beide VPC-Eigentümer die VPC-Peering-Verbindung löschen, aber nicht ablehnen.

    Anmerkung

    Falls ein Ereignis in einer Region, in der sich eine VPC befindet, den Datenverkehr verhindert, bleibt der Status der VPC-Peering-Verbindung Active.

  • Löschen: Bezieht sich auf eine regionsübergreifende VPC-Peering-Verbindung, die gerade gelöscht wird. Der Eigentümer einer VPC hat eine Anfrage gestellt, eine active VPC-Peering-Verbindung zu löschen, oder der Eigentümer der anfordernden VPC hat eine Anfrage gestellt, eine pending-acceptanceVPC-Peering-Verbindungsanfrage zu löschen.

  • Gelöscht: Eine VPC-Peering-Verbindung im Status active wurde von beiden VPC-Eigentümern gelöscht oder eine VPC-Peering-Verbindungsanforderung im Status pending-acceptance wurde von dem Eigentümer der anfordernden VPC gelöscht. Während dieser Phase kann sie nicht angenommen oder abgelehnt werden. Die VPC-Peering-Verbindung bleibt für die Partei, die sie gelöscht hat, 2 Stunden und für die andere Partei 2 Tage lang sichtbar. Falls die VPC-Peering-Verbindung innerhalb desselben AWS-Kontos erstellt worden ist, bleibt die gelöschte Anforderung 2 Stunden lang sichtbar.

Multiple VPC-Peering-Verbindungen

Eine VPC-Peering-Verbindung ist eine Eins-zu-eins-Beziehung zwischen zwei VPCs. Sie können mehrere VPC Peering-Verbindungen für jede VPC, deren Eigentümer Sie sind, erstellen. Es werden aber keine transitiven Peering-Beziehungen unterstützt. Es werden keine Peering-Beziehungen mit VPCs bestehen, zu denen Ihre VPC kein direkter Peer ist.

Das folgende Diagramm ist ein Beispiel für eine VPC, die mit zwei verschiedenen VPCs durch Peering verbunden ist. Es gibt zwei VPC-Peering-Verbindungen: VPC A ist sowohl mit VPC B als auch VPC C durch Peering verbunden. VPC B und VPC C sind nicht durch Peering verbunden. Sie können VPC A nicht als Transitpunkt für das Peering zwischen VPC B und VPC C verwenden. Falls Sie einen Verkehrsbetrieb zwischen VPC B und VPC C ermöglichen möchten, müssen Sie eine eigene VPC-Peering-Verbindung zwischen den beiden erstellen.


                Eine VPC, die mit zwei VPCs durch Peering verbunden ist

Preisgestaltung für eine VPC-Peering-Verbindung

Wenn sich die VPCs in der VPC-Peering-Verbindung innerhalb derselben Region befinden, sind die Gebühren für die Übertragung von Daten innerhalb einer VPC-Peering-Verbindung dieselben wie für die Übertragung von Daten über Availability Zones. Befinden sich die VPCs in unterschiedlichen Regionen, gelten regionsübergreifende Datenübertragungskosten.

Weitere Informationen finden Sie unter Amazon EC2 – Preise.

VPC Peering-Einschränkungen

Um eine VPC Peering-Verbindung zu einer anderen VPC zu erstellen, müssen Sie folgende Einschränkungen und Regeln kennen:

  • Sie können keine VPC-Peering-Verbindung zwischen VPCs erstellen, deren IPv4- oder IPv6-CIDR-Blöcke identisch sind oder sich überschneiden. Amazon weist Ihrer VPC immer einen einzigartigen IPv6-CIDR-Block zu. Falls Ihre IPv6-CIDR-Blöcke einzigartig sind, Ihre IPv4-Blöcke jedoch nicht, können Sie keine Peering-Verbindung erstellen.

  • Die Anzahl aktiver und ausstehender VPC Peering-Verbindungen pro VPC unterliegt einem Kontingent. Weitere Informationen finden Sie unter Amazon VPC-Kontingente im Amazon VPC Benutzerhandbuch.

  • Das VPC-Peering unterstützt keine transitiven Peering-Beziehungen. In einer VPC-Peering-Verbindung hat Ihre VPCs keinen Zugriff auf andere VPCs, für die möglicherweise ein Peering mit der Peer-VPC besteht. Hierzu gehören auch VPC-Peering-Verbindungen, die gänzlich innerhalb Ihres eigenen AWS-Kontos erstellt werden. Weitere Informationen zu nicht unterstützten Peering-Beziehungen finden Sie unter Nicht unterstützte VPC Peering-Konfigurationen. Beispiele für unterstützte Peering-Beziehungen finden Sie unter VPC Peering-Szenarien.

  • Sie können nicht mehr als eine VPC-Peering-Verbindung zwischen denselben beiden VPCs gleichzeitig haben.

  • Unicast Reverse Path Forwarding wird für VPC-Peering-Verbindungen nicht unterstützt. Weitere Informationen finden Sie unter Routing für Antwortdatenverkehr.

  • Sie können Ressourcen auf beiden Seiten einer VPC-Peering-Verbindung aktivieren, um über IPv6 miteinander zu kommunizieren. Die IPv6-Kommunikation wird jedoch nicht automatisch durchgeführt. Sie müssen einen IPv6-CIDR-Block mit jeder VPC verbinden, die Instanzen für die IPv6-Kommunikation in den VPCs aktivieren und Routen zu Ihren Routing-Tabellen hinzufügen, die IPv6-Verkehrsdaten senden, welche für Peer-VPC zur VPC-Peering-Verbindung vorgesehen sind. Weitere Informationen finden Sie unter VPCs und Subnetze im Amazon VPC Benutzerhandbuch.

  • Tags, die Sie für Ihre VPC-Peering-Verbindung erstellen, werden nur für das Konto oder die Region angewendet, in dem bzw. der Sie sie erstellt haben.

  • Wenn der IPv4-CIDR-Block einer VPC in einer VPC-Peering-Verbindung außerhalb der von RFC 1918 vorgegebenen IPv4-Adressbereiche liegt, können private DNS-Hostnamen für diese VPC nicht in private IP-Adressen aufgelöst werden. Um private DNS-Hostnamen in private IP-Adressen aufzulösen, können Sie eine Unterstützung der DNS-Auflösung für die VPC-Peering-Verbindung aktivieren. Weitere Informationen finden Sie unter Aktivieren einer DNS-Auflösungsunterstützung für eine VPC-Peering-Verbindung.

  • Sie können in einer Peer-VPC keine Verbindung zum Amazon DNS Server herstellen oder diesen abfragen.

Eine regionsübergreifende VPC-Peering-Verbindung weist weitere Einschränkungen auf:

  • Sie können keine Sicherheitsgruppenregel erstellen, die auf eine Peer-VPC-Sicherheitsgruppe verweist.

  • Sie können keine Unterstützung für eine EC2-Classic-Instanz aktivieren, die über ClassicLink mit einem VPC verknüpft ist, um mit der Peer-VPC zu kommunizieren.

  • Die maximale Größe der Übertragungseinheit (Maximum Transmission Unit, MTU) über die VPC Peering-Verbindung beträgt 1.500 Byte (es werden keine Jumbo-Frames unterstützt).

  • Sie müssen den Support für DNS-Auflösung für die VPC-Peering-Verbindung aktivieren, um private DNS-Hostnamen der gleichrangingen VPC in private IP-Adressen aufzulösen, auch wenn die IPv4 CIDR für die VPC in den durch RFC 1918 festgelegten privaten IPv4-Adressebereichen liegen.

  • Interregion Peering in China ist nur zwischen der Region China (Peking), betrieben von SINNET, und der Region „China (Ningxia)“, betrieben von NWCD, möglich.