Configuraciones de emparejamiento de VPC con rutas específicas
Puede configurar tablas de enrutamiento para que una conexión de emparejamiento de VPC restrinja el acceso a un bloque de CIDR de subred, un bloque de CIDR concreto (si la VPC tiene varios bloques de CIDR) o a un recurso específico en la VPC. En estos ejemplos se empareja una VPC central con al menos dos VPC que tienen bloques de CIDR superpuestos.
Para obtener ejemplos de escenarios en los que puede necesitar una configuración de interconexión de VPC específica, consulte Escenarios de conexión de emparejamiento de VPC en la red. Para obtener más información sobre el uso de conexiones de emparejamiento de VPC; consulte Trabaje con interconexiones de VPC. Para obtener más información acerca de la actualización de las tablas de ruteo, consulte Actualice sus tablas de enrutamiento para interconexiones de VPC.
Configuraciones
- Dos VPC que acceden a subredes específicas en una VPC
- Dos VPC que acceden a bloques de CIDR específicos en una VPC
- Una VPC que accede a subredes específicas en dos VPC
- Instancias en una VPC que acceden a instancias específicas en dos VPC
- Una VPC que accede a dos VPC mediante coincidencias con el prefijo de mayor longitud
- Múltiples configuraciones de VPC
Dos VPC que acceden a subredes específicas en una VPC
En esta configuración, hay una VPC central con dos subredes (VPC A), una conexión de emparejamiento entre la VPC A y la VPC B (pcx-aaaabbbb) y una conexión de emparejamiento entre la VPC A y la VPC C (pcx-aaaacccc). Cada VPC requiere acceso a los recursos de solo una de las subredes en la VPC A.
La tabla de enrutamiento de la subred 1 utiliza la conexión de emparejamiento de VPC pcx-aaaabbbb para acceder a todo el bloque de CIDR de la VPC B. La tabla de enrutamiento para la VPC B utiliza pcx-aaaabbbb para acceder al bloque de CIDR de la subred 1 en la VPC A. La tabla de enrutamiento de la subred 2 utiliza la conexión de emparejamiento de VPC pcx-aaaacccc para acceder a todo el bloque de CIDR de la VPC C. La tabla de enrutamiento para la VPC C utiliza pcx-aaaacccc para acceder al bloque de CIDR de la subred 2 en la VPC A.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| Subred 1 (VPC A) | CIDR de VPC A |
Local |
CIDR de VPC B |
pcx-aaaabbbb | |
| Subred 2 (VPC A) | CIDR de VPC A |
Local |
CIDR de VPC C |
pcx-aaaacccc | |
| VPC B | CIDR de VPC B |
Local |
CIDR de subred 1 |
pcx-aaaabbbb | |
| VPC C | CIDR de VPC C |
Local |
CIDR de subred 2 |
pcx-aaaacccc |
Puede extender esta configuración a varios bloques de CIDR. Supongamos que la VPC A y la VPC B tienen bloques de CIDR IPv4 e IPv6 y que la subred 1 tiene un bloque de CIDR IPv6 asociado. Puede habilitar la VPC B para que se comunique con la subred 1 de la VPC A a través de IPv6 mediante la conexión de emparejamiento de VPC. Para ello, agregue una ruta a la tabla de enrutamiento de la VPC A con destino al bloque de CIDR IPv6 para la VPC B, así como una ruta a la tabla de enrutamiento de la VPC B con destino al bloque de CIDR IPv6 de la subred 1 de la VPC A.
| Tabla de enrutamiento | Destino | Objetivo | Notas |
|---|---|---|---|
| Subred 1 de la VPC A | CIDR IPv4 de VPC A |
Local | |
CIDR IPv6 de VPC A |
Local | Ruta local que se añade automáticamente para la comunicación IPv6 en la VPC. | |
CIDR IPv4 de VPC B |
pcx-aaaabbbb | ||
CIDR IPv6 de VPC B |
pcx-aaaabbbb | Ruta al bloque de CIDR IPv6 de la VPC B. | |
| Subred 2 de la VPC A | CIDR IPv4 de VPC A |
Local | |
CIDR IPv6 de VPC A |
Local | Ruta local que se añade automáticamente para la comunicación IPv6 en la VPC. | |
CIDR IPv4 de VPC C |
pcx-aaaacccc | ||
| VPC B | CIDR IPv4 de VPC B |
Local | |
CIDR IPv6 de VPC B |
Local | Ruta local que se añade automáticamente para la comunicación IPv6 en la VPC. | |
CIDR IPv4 de la subred 1 |
pcx-aaaabbbb | ||
CIDR IPv4 de la subred 2 |
pcx-aaaabbbb | Ruta al bloque de CIDR IPv6 de la VPC A. | |
| VPC C | CIDR IPv4 de VPC C |
Local | |
CIDR IPv4 de la subred 2 |
pcx-aaaacccc |
Dos VPC que acceden a bloques de CIDR específicos en una VPC
En esta configuración, hay una VPC central (VPC A), una conexión de emparejamiento entre la VPC A y la VPC B (pcx-aaaabbbb) y una conexión de emparejamiento entre la VPC A y la VPC C (pcx-aaaacccc). La VPC A tiene un bloque de CIDR por cada conexión de emparejamiento.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| VPC A | CIDR 1 de VPC A |
Local |
CIDR 2 de VPC A |
Local | |
CIDR de VPC B |
pcx-aaaabbbb | |
CIDR de VPC C |
pcx-aaaacccc | |
| VPC B | CIDR de VPC B |
Local |
CIDR 1 de VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR de VPC C |
Local |
CIDR 2 de VPC A |
pcx-aaaacccc |
Una VPC que accede a subredes específicas en dos VPC
En esta configuración, hay una VPC central (VPC A) con una subred, una conexión de emparejamiento entre la VPC A y la VPC B (pcx-aaaabbbb) y una conexión de emparejamiento entre la VPC A y la VPC C (pcx-aaaacccc). La VPC B y la VPC C tienen dos subredes cada una. La conexión de emparejamiento entre la VPC A y la VPC B utiliza solo una de las subredes en la VPC B. La conexión de emparejamiento entre la VPC A y la VPC C utiliza solo una de las subredes en la VPC C.
Use esta configuración cuando tenga una VPC central con un único conjunto de recursos, como los servicios de Active Directory, a los que otras VPC necesiten tener acceso. La VPC central no requiere acceso completo a las VPC a las que está interconectada.
La tabla de enrutamiento para la VPC A utiliza las conexiones de emparejamiento para acceder solo a subredes específicas en las VPC emparejadas. La tabla de enrutamiento para la subred 1 utiliza la conexión de emparejamiento con la VPC A para acceder a la subred en la VPC A. La tabla de enrutamiento para la subred 2 utiliza la conexión de emparejamiento con la VPC A para acceder a la subred en la VPC A.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| VPC A | CIDR de VPC A |
Local |
CIDR de subred 1 |
pcx-aaaabbbb | |
CIDR de subred 2 |
pcx-aaaacccc | |
| Subred 1 (VPC B) | CIDR de VPC B |
Local |
Subred en CIDR de VPC A |
pcx-aaaabbbb | |
| Subred 2 (VPC C) | CIDR de VPC C |
Local |
Subred en CIDR de VPC A |
pcx-aaaacccc |
Enrutamiento del tráfico de respuesta
Si tiene una VPC emparejada con varias VPC con bloques de CIDR superpuestos o que coinciden, asegúrese de que las tablas de enrutamiento estén configuradas para evitar el envío de tráfico de respuesta desde la VPC a una VPC incorrecta. AWS no admite el reenvío de rutas inversas de unidifusión en conexiones de emparejamiento de VPC que comprueben la IP de origen de los paquetes y direccionen los paquetes de respuesta de vuelta al origen.
Por ejemplo, la VPC A está interconectada con la VPC B y la VPC C. La VPC B y la VPC tiene bloques de CIDR coincidentes al igual que sus respectivas subredes. La tabla de enrutamiento de la subred 2 de la VPC B apunta a la conexión de emparejamiento de VPC pcx-aaaabbbb para obtener acceso a la subred de la VPC A. La tabla de enrutamiento de la VPC A está configurada para enviar el tráfico destinado al CIRD de VPC a la conexión de emparejamiento pcx-aaaaccccc.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| Subred 2 (VPC B) | CIDR de VPC B |
Local |
Subred en CIDR de VPC A |
pcx-aaaabbbb | |
| VPC A | CIDR de VPC A |
Local |
CIDR de VPC C |
pcx-aaaacccc |
Supongamos que una instancia de la subred 2 de la VPC B envía tráfico al servidor de Active Directory de la VPC A mediante la conexión de emparejamiento de VPC pcx-aaaabbbb. La VPC A envía el tráfico de respuesta al servidor de Active Directory. Sin embargo, la tabla de enrutamiento de la VPC A está configurada para enviar todo el tráfico del rango de CIDR de VPC a la conexión de emparejamiento de VPC pcx-aaaacccc. Si la subred 2 de la VPC C tiene una instancia con la misma dirección IP que la instancia en la subred 2 de la VPC B, esta recibirá el tráfico de respuesta de la VPC A. La instancia de la subred 2 de la VPC B no recibirá respuesta a las solicitudes que envíe a la VPC A.
Para evitar esto, puede agregar una ruta específica a la tabla de enrutamiento de la VPC A con el CIDR de la subred 2 de la VPC B como destino y objetivo pcx-aaaabbbb. La nueva ruta es más específica. Por lo tanto, el tráfico destinado al CIDR de la subred 2 se envía a la conexión de emparejamiento de VPC pcx-aaaabbbb.
De manera alternativa, en el ejemplo siguiente, la tabla de enrutamiento de la VPC A tiene una ruta para cada subred de cada conexión de emparejamiento de VPC. La VPC A puede comunicarse con la subred B de la VPC B y con la subred A de la VPC C. Esta situación es útil si necesita agregar otra conexión de emparejamiento de VPC con otra subred que se encuentra en el mismo intervalo de dirección IP que las VPC B y VPC C; basta con agregar otra ruta para dicha subred específica.
| Destino | Objetivo |
|---|---|
CIDR de VPC A |
Local |
CIDR de subred 2 |
pcx-aaaabbbb |
CIDR de subred 1 |
pcx-aaaacccc |
De manera alternativa, dependiendo de su caso, puede crear una ruta a una dirección IP específica de la VPC B para asegurarse de que el tráfico se direccione de nuevo al servidor correcto (la tabla de ruteo utiliza la coincidencia con el prefijo de mayor longitud para establecer una prioridad en las rutas):
| Destino | Objetivo |
|---|---|
CIDR de VPC A |
Local |
Dirección IP específica en la subred 2 |
pcx-aaaabbbb |
CIDR de VPC B |
pcx-aaaacccc |
Instancias en una VPC que acceden a instancias específicas en dos VPC
En esta configuración, hay una VPC central (VPC A) con una subred, una conexión de emparejamiento entre la VPC A y la VPC B (pcx-aaaabbbb) y una conexión de emparejamiento entre la VPC A y la VPC C (pcx-aaaacccc). La VPC A tiene una subred con una instancia para cada conexión de emparejamiento. Puede usar esta configuración para limitar el tráfico de emparejamiento a instancias específicas.
Cada tabla de ruteo de VPC apunta a la interconexión de VPC relevante para obtener acceso a una única dirección IP (y, por lo tanto, a una instancia específica) de la VPC interconectada.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| VPC A | CIDR de VPC A |
Local |
Dirección IP de la instancia 3 |
pcx-aaaabbbb | |
Dirección IP de la instancia 4 |
pcx-aaaacccc | |
| VPC B | CIDR de VPC B |
Local |
Dirección IP de la instancia 1 |
pcx-aaaabbbb | |
| VPC C | CIDR de VPC C |
Local |
Dirección IP de la instancia 2 |
pcx-aaaacccc |
Una VPC que accede a dos VPC mediante coincidencias con el prefijo de mayor longitud
En esta configuración, hay una VPC central (VPC A) con una subred, una conexión de emparejamiento entre la VPC A y la VPC B (pcx-aaaabbbb) y una conexión de emparejamiento entre la VPC A y la VPC C (pcx-aaaacccc). La VPC B y la VPC C tienen bloques de CIDR coincidentes. Utiliza la conexión de emparejamiento de VPC pcx-aaaabbbb para dirigir el tráfico entre la VPC A y una instancia específica en la VPC B. El resto del tráfico con destino al rango de dirección de CIDR compartido entre la VPC B y la VPC C se direcciona hacia la VPC C mediante pcx-aaaacccc.
Las tablas de ruteo de la VPC utilizan la coincidencia con el prefijo de mayor longitud para seleccionar la ruta más específica en la interconexión de VPC. El resto del tráfico se direcciona mediante la siguiente ruta coincidente; en este caso, la interconexión de VPC pcx-aaaacccc.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| VPC A | Bloque de CIDR de VPC A |
Local |
Dirección IP de la instancia X |
pcx-aaaabbbb | |
Bloque de CIDR de VPC C |
pcx-aaaacccc | |
| VPC B | Bloque de CIDR de VPC B |
Local |
Bloque de CIDR de VPC A |
pcx-aaaabbbb | |
| VPC C | Bloque de CIDR de VPC C |
Local |
Bloque de CIDR de VPC A |
pcx-aaaacccc |
importante
Si una instancia distinta a la instancia X de la VPC B envía tráfico a la VPC A, es posible que el tráfico de respuesta se direccione a la VPC C en lugar de a la VPC B. Para obtener más información, consulte Enrutamiento del tráfico de respuesta.
Múltiples configuraciones de VPC
En esta configuración, hay una VPC central (VPC A) que está emparejada a múltiples VPC en una configuración radial. También tiene tres VPC (VPC X, Y y Z) emparejadas en una configuración de malla completa.
La VPC D también tiene una conexión de emparejamiento de VPC con la VPC X (pcx-ddddxxxx). La VPC A y la VPC X tienen bloques de CIDR superpuestos. Esto significa que el tráfico de emparejamiento entre la VPC A y la VPC D está limitado a una subred específica (subred 1) en la VPC D. Esto garantiza que, si la VPC D recibe una solicitud desde la VPC A o la VPC X, el tráfico de respuesta se enviará a la VPC correcta. AWS no admite el reenvío de rutas inversas unidifusión en conexiones de emparejamiento de VPC que comprueben la IP de origen de los paquetes y direccionen los paquetes de respuesta de vuelta al origen. Para obtener más información, consulte Enrutamiento del tráfico de respuesta.
Del mismo modo, la VPC D y la VPC Z tienen bloques de CIDR superpuestos. El tráfico de emparejamiento entre la VPC D y la VPC X está limitado a la subred 2 de la VPC D y el tráfico de emparejamiento entre la VPC X y la VPC Z está limitado a la subred 1 de la VPC Z. De este modo, se garantiza que, si la VPC X recibe tráfico de emparejamiento de la VPC D o la VPC Z, el tráfico de respuesta se enviará de nuevo a la VPC correcta.
Las tablas de enrutamiento de las VPC B, C, E, F y G apuntan a las conexiones de emparejamiento relevantes para obtener acceso al bloque de CIDR completo de la VPC A. Asimismo, la tabla de enrutamiento de la VPC A apunta a las conexiones de emparejamiento relevantes de las VPC B, C, E, F y G para obtener acceso a sus bloques de CIDR completos. Para la conexión de emparejamiento pcx-aaaadddd, la tabla de enrutamiento de la VPC A direcciona el tráfico solo a la subred 1 de la VPC D y la tabla de enrutamiento de la subred 1 de la VPC D apunta al bloque de CIDR completo de la VPC A.
La tabla de enrutamiento de la VPC Y apunta a las conexiones de emparejamiento relevantes para obtener acceso a los bloques de CIDR completos de la VPC X y la VPC Z. Asimismo, la tabla de enrutamiento de la VPC Z apunta a la conexión de emparejamiento relevante para obtener acceso al bloque de CIDR completo de la VPC Y. La tabla de enrutamiento de la subred 1 de la VPC Z apunta a la conexión de emparejamiento relevante para obtener acceso al bloque de CIDR completo de la VPC Y. La tabla de enrutamiento de la VPC X apunta a la conexión de emparejamiento relevante para obtener acceso a la subred 2 de la VPC D y a la subred 1 de la VPC Z.
| Tabla de enrutamiento | Destino | Objetivo |
|---|---|---|
| VPC A | CIDR de VPC A |
Local |
CIDR de VPC B |
pcx-aaaabbbb | |
CIDR de VPC C |
pcx-aaaacccc | |
CIDR de subred 1 en VPC D |
pcx-aaaadddd | |
CIDR de VPC E |
pcx-aaaaeeee | |
CIDR de VPC F |
pcx-aaaaffff | |
CIDR de VPC G |
pcx-aaaagggg | |
| VPC B | CIDR de VPC B |
Local |
CIDR de VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR de VPC C |
Local |
CIDR de VPC A |
pcx-aaaacccc | |
| Subred 1 de la VPC D | CIDR de VPC D |
Local |
CIDR de VPC A |
pcx-aaaadddd | |
| Subred 2 de la VPC D | CIDR de VPC D |
Local |
CIDR de VPC X |
pcx-ddddxxxx | |
| VPC E | CIDR de VPC E |
Local |
CIDR de VPC A |
pcx-aaaaeeee | |
| VPC F | CIDR de VPC F |
Local |
CIDR de VPC A |
pcx-aaaaaffff | |
| VPC G | CIDR de VPC G |
Local |
CIDR de VPC A |
pcx-aaaagggg | |
| VPC X | CIDR de VPC X |
Local |
CIDR de subred 2 en VPC D |
pcx-ddddxxxx | |
CIDR de VPC Y |
pcx-xxxxyyyy | |
CIDR de subred 1 en VPC Z |
pcx-xxxxzzzz | |
| VPC Y | CIDR de VPC Y |
Local |
CIDR de VPC X |
pcx-xxxxyyyy | |
CIDR de VPC Z |
pcx-yyyyzzzz | |
| VPC Z | CIDR de VPC Z |
Local |
CIDR de VPC Y |
pcx-yyyyzzzz | |
CIDR de VPC X |
pcx-xxxxzzzz |
