Contoh: VPC terisolasi dengan layanan bersama

Anda dapat mengonfigurasi gateway transit Anda sebagai beberapa router terisolasi yang menggunakan layanan bersama. Hal ini mirip dengan menggunakan beberapa transit gateway, tetapi memberikan lebih banyak fleksibilitas dalam kasus di mana rute dan lampiran mungkin berubah. Dalam skenario ini, setiap router terisolasi memiliki tabel rute tunggal. Semua lampiran yang terkait dengan router terisolasi menyebar dan dikaitkan dengan tabel rutenya. Lampiran yang terkait dengan satu router terisolasi dapat merutekan paket satu sama lain, tetapi tidak dapat merutekan paket ke atau menerima paket dari lampiran untuk router lain yang terisolasi. Lampiran dapat merutekan paket ke atau menerima paket dari layanan bersama. Anda dapat menggunakan skenario ini ketika Anda memiliki grup yang perlu diisolasi, tetapi menggunakan layanan bersama, misalnya sistem produksi.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Paket dari subnet di VPC A, VPC B, dan VPC C yang memiliki internet sebagai tujuan, rute pertama melalui gateway transit dan kemudian rute ke gateway pelanggan untuk Site-to-Site VPN. Paket dari subnet di VPC A, VPC B, atau VPC C yang memiliki tujuan subnet di rute VPC A, VPC B, atau VPC C melalui gateway transit, di mana mereka diblokir karena tidak ada rute untuk mereka di tabel rute gateway transit. Paket dari VPC A, VPC B, dan VPC C yang memiliki VPC D sebagai rute tujuan melalui gateway transit dan kemudian ke VPC D.

Sumber daya

Buat sumber daya berikut untuk skenario ini:

• Empat VPC. Untuk informasi tentang membuat VPC, lihat Membuat VPC di Panduan Pengguna Amazon VPC.

• Transit gateway. Untuk informasi selengkapnya, lihat Membuat gateway transit.

• Empat lampiran di gateway transit, satu per VPC. Untuk informasi selengkapnya, lihat Buat lampiran gateway transit ke VPC.

• Lampiran VPN Site-to-Site pada gateway transit. Untuk informasi selengkapnya, lihat Buat lampiran gateway transit ke VPN.

  Pastikan Anda meninjau persyaratan untuk perangkat gateway pelanggan Anda di Panduan AWS Site-to-Site VPN Pengguna.

Ketika koneksi VPN habis, sesi BGP dibuat dan VPN CIDR menyebar ke tabel rute gateway transit dan CIDR VPC ditambahkan ke tabel BGP gateway pelanggan.

• Setiap VPC terisolasi dikaitkan dengan tabel rute terisolasi dan disebarkan ke tabel rute bersama.

• Setiap VPC layanan bersama dikaitkan dengan tabel rute bersama dan disebarkan ke kedua tabel rute.

Perutean

Setiap VPC memiliki tabel rute, dan gateway transit memiliki dua tabel rute — satu untuk VPC dan satu untuk koneksi VPN dan layanan bersama VPC.

VPC A, VPC B, VPC C, dan VPC D tabel rute

Setiap VPC memiliki tabel rute dengan dua entri. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas subnet IPv4 lainnya ke gateway transit.

Tujuan	Target
10.1.0.0/16	Lokal
0.0.0.0/0	ID gerbang transit

Tabel rute transit gateway

Skenario ini menggunakan satu tabel rute untuk VPC dan satu tabel rute untuk koneksi VPN.

Lampiran VPC A, B, dan C dikaitkan dengan tabel rute berikut, yang memiliki rute propagasi untuk lampiran VPN dan rute propagasi untuk lampiran untuk VPC D.

Tujuan	Target	Jenis rute
10.99.99.0/24	Lampiran untuk koneksi VPN	diperbanyak
10.4.0.0/16	Lampiran untuk VPC D	diperbanyak

Lampiran VPN dan lampiran VPC (VPC D) layanan bersama dikaitkan dengan tabel rute berikut, yang memiliki entri yang mengarah ke masing-masing lampiran VPC. Hal ini memungkinkan komunikasi ke VPC dari koneksi VPN dan layanan bersama VPC.

Tujuan	Target	Jenis rute
10.1.0.0/16	Lampiran untuk VPC A	diperbanyak
10.2.0.0/16	Lampiran untuk VPC B	diperbanyak
10.3.0.0/16	Lampiran untuk VPC C	diperbanyak

Untuk informasi selengkapnya, lihat Menyebarkan rute ke tabel rute gateway transit.

Tabel BGP gateway pelanggan

Tabel BGP gateway pelanggan berisi CIDR untuk keempat VPC.