VPCAmazon-Anhänge in Amazon VPC Transit Gateways - Amazon VPC
VPCLebenszyklus von AnhängenReferenzierung von Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPCAmazon-Anhänge in Amazon VPC Transit Gateways

Eine Amazon Virtual Private Cloud (VPC) -Anlage an ein Transit-Gateway ermöglicht es Ihnen, den Verkehr zu und von einem oder mehreren VPC Subnetzen weiterzuleiten. Wenn Sie eine Verbindung VPC zu einem Transit-Gateway herstellen, müssen Sie aus jeder Availability Zone ein Subnetz angeben, das vom Transit-Gateway für die Weiterleitung des Datenverkehrs verwendet werden soll. Die Angabe eines Subnetzes aus einer Availability Zone ermöglicht es, Datenverkehr an Ressourcen in jedem Subnetz in dieser Availability Zone zu leiten.

Einschränkungen

  • Wenn Sie eine Verbindung VPC zu einem Transit-Gateway herstellen, können Ressourcen in Availability Zones, in denen keine Transit-Gateway-Verbindung besteht, das Transit-Gateway nicht erreichen. Wenn in einer Subnetz-Routing-Tabelle eine Route zum Transit Gateway vorhanden ist, wird Datenverkehr nur dann zum Transit Gateway weitergeleitet, wenn das Transit Gateway eine Anhang in einem Subnetz in dieser Availability Zone besitzt.

  • Die Ressourcen in einem VPC an ein Transit-Gateway angeschlossenen System können nicht auf die Sicherheitsgruppen eines anderen Gateways zugreifenVPC, das ebenfalls mit demselben Transit-Gateway verbunden ist.

  • Ein Transit-Gateway unterstützt keine DNS Auflösung für benutzerdefinierte DNS Namen angehängter VPCs Einrichtungen, die private gehostete Zonen in Amazon Route 53 verwenden. Informationen zur Konfiguration der Namensauflösung für privat gehostete Zonen für alle, die an ein Transit-Gateway VPCs angeschlossen sind, finden Sie unter Zentralisierte DNS Verwaltung der Hybrid-Cloud mit Amazon Route 53 und AWS Transit Gateway.

  • Ein Transit-Gateway unterstützt kein Routing zwischen und VPCs identischCIDRs. Wenn Sie ein Transit-Gateway VPC an ein Transit-Gateway anhängen und es mit dem CIDR eines anderen identisch CIDR istVPC, das bereits an das Transit-Gateway angeschlossen ist, werden die Routen für das neu hinzugefügte Transit-Gateway VPC nicht in die Routentabelle des Transit-Gateways übertragen.

  • Sie können keinen Anhang für ein VPC Subnetz erstellen, das sich in einer lokalen Zone befindet. Jedoch können Sie Ihr Netzwerk so konfigurieren, dass Subnetze in der Local Zone eine Verbindung mit einem Transit-Gateway über die übergeordnete Availability Zone herstellen. Weitere Informationen finden Sie unter Verbinden von Subnetzen der Local Zone mit einem Transit Gateway.

  • Sie können keinen IPv6 Transit-Gateway-Anhang erstellen, indem Sie Subnetze verwenden, die nur aus Subnetzen bestehen. Subnetze für Transit-Gateway-Anhänge müssen auch Adressen unterstützen. IPv4

  • Ein Transit-Gateway muss mindestens einen VPC Anhang haben, bevor dieses Transit-Gateway einer Routing-Tabelle hinzugefügt werden kann.

VPCLebenszyklus von Anhängen

Ein VPC Anhang durchläuft verschiedene Phasen, beginnend mit der Initiierung der Anfrage. In jeder Phase gibt es möglicherweise Aktionen, die Sie ergreifen können, und am Ende des Lebenszyklus bleibt der VPC Anhang für einen bestimmten Zeitraum in der Ausgabe Amazon Virtual Private Cloud Console und in API der Befehlszeile sichtbar.

Das folgende Diagramm zeigt die Phasen, die eine Anhang in einer einzelnen Kontokonfiguration oder eine kontoübergreifende Konfiguration durchlaufen kann, bei der Auto accept shared attachments (Gemeinsame Anhänge automatisch akzeptieren) werden aktiviert ist.

VPCLebenszyklus eines Anhangs

  • Ausstehend: Eine Anfrage für einen VPC Anhang wurde initiiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach available verschoben werden.

  • Fehlgeschlagen: Eine Anfrage für einen VPC Anhang schlägt fehl. In diesem Stadium wird der VPC Anhang an gesendetfailed.

  • Fehlgeschlagen: Die Anforderung des VPC Anhangs ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.

  • Verfügbar: Der VPC Anhang ist verfügbar, und der Verkehr kann zwischen dem VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach modifying bzw. deleting verschoben werden.

  • Löschen: Ein VPC Anhang, der gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach deleted verschoben werden.

  • Gelöscht: Ein available VPC Anhang wurde gelöscht. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.

  • Ändern: Es wurde eine Anfrage zur Änderung der Eigenschaften des VPC Anhangs gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach available bzw. rolling back verschoben werden.

  • Rollback: Die Anfrage zur Änderung des VPC Anhangs kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach available verschoben werden.

Das folgende Diagramm zeigt die Phasen, die eine Anfügung in einer kontoübergreifenden Konfiguration durchlaufen kann, bei der Auto accept shared attachments (Gemeinsame Anfügungen automatisch akzeptieren) deaktiviert ist.

Kontoübergreifender Lebenszyklus von VPC Anhängen, bei dem die automatische Annahme gemeinsam genutzter Anlagen deaktiviert ist

  • Annahme steht noch aus: Die VPC Anhangsanforderung wartet auf ihre Annahme. In dieser Phase kann die Anfügung nach pending, rejecting oder deleting verschoben werden.

  • Ablehnen: Ein VPC Anhang, der gerade abgelehnt wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach rejected verschoben werden.

  • Abgelehnt: Ein pending acceptance VPC Anhang wurde abgelehnt. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.

  • Ausstehend: Der VPC Anhang wurde akzeptiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach available verschoben werden.

  • Fehlgeschlagen: Eine Anfrage für einen VPC Anhang schlägt fehl. In diesem Stadium wird der VPC Anhang an gesendetfailed.

  • Fehlgeschlagen: Die Anforderung des VPC Anhangs ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.

  • Verfügbar: Der VPC Anhang ist verfügbar, und der Verkehr kann zwischen dem VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach modifying bzw. deleting verschoben werden.

  • Löschen: Ein VPC Anhang, der gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach deleted verschoben werden.

  • Gelöscht: Ein available pending acceptance VPC Oder-Anhang wurde gelöscht. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden sichtbar und ist danach nicht mehr sichtbar.

  • Ändern: Es wurde eine Anfrage zur Änderung der Eigenschaften des VPC Anhangs gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach available bzw. rolling back verschoben werden.

  • Rollback: Die Anfrage zur Änderung des VPC Anhangs kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach available verschoben werden.

Referenzierung von Sicherheitsgruppen

Sie können diese Funktion verwenden, um die Verwaltung von Sicherheitsgruppen und die Kontrolle des instance-to-instance Datenverkehrs zu vereinfachenVPCs, der an dasselbe Transit-Gateway angeschlossen ist. Sie können nur in Regeln für eingehenden Datenverkehr Querverweise auf Sicherheitsgruppen erstellen. Sicherheitsregeln für ausgehende Nachrichten unterstützen keine Verweise auf Sicherheitsgruppen. Mit der Aktivierung oder Verwendung der Sicherheitsgruppenreferenzierung sind keine zusätzlichen Kosten verbunden.

Die Unterstützung von Verweisen auf Sicherheitsgruppen kann sowohl für Transit-Gateways als auch für Transit-Gateway-Anlagen konfiguriert werden. VPC Die Referenzierung von Sicherheitsgruppen funktioniert nur, wenn sie sowohl für ein Transit-Gateway als auch für dessen Anlagen aktiviert wurde. VPC

Wichtig

  • Wenn Sie die Sicherheitsgruppenreferenzierung für ein Transit-Gateway deaktivieren, wird sie für alle VPC Anlagen deaktiviert.

  • Die Referenzierung von Sicherheitsgruppen wird für VPC Anlagen in der Availability Zone use1-az3 nicht unterstützt.

  • Für Local Zone-Konnektivität über ein Transit-Gateway werden nur die folgenden Local Zones unterstützt: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a und us-west-2-phx-2a.

  • Wir empfehlen, diese Funktion auf VPC Anhangsebene für VPCs Subnetze in nicht unterstützten Local Zones, AWS Outposts und AWS Wavelength Zones zu deaktivieren, da dies zu Dienstunterbrechungen führen kann.

Aufgaben