Configurações de emparelhamento de VPCs com rotas específicas
É possível configurar tabelas de rotas para uma conexão de emparelhamento de VPC para restringir o acesso a um bloco CIDR da sub-rede, a um bloco CIDR específico (se a VPC tiver vários blocos CIDR) ou a um recurso específico em uma VPC emparelhada. Nestes exemplos, uma VPC central é emparelhada a pelo menos duas VPCs com blocos CIDR sobrepostos.
Para exemplos de cenários nos quais você possa precisar de uma configuração de conexão de emparelhamento de VPC específica, consulte Cenários de conexão de emparelhamento da VPC. Para obter mais informações sobre como trabalhar com conexões de emparelhamento de VPC, consulte Conexões de emparelhamento da VPC. Para obter mais informações sobre como atualizar as tabelas de rotas, consulte Atualizar suas tabelas de rotas para uma conexão de emparelhamento da VPC.
Configurações
Duas VPCs que acessam sub-redes específicas em uma VPC
Nesta configuração, há uma VPC central com duas sub-redes (VPC A), uma conexão de emparelhamento entre a VPC A e a VPC B (pcx-aaaabbbb) e uma conexão de emparelhamento entre a VPC A e a VPC C (pcx-aaaacccc). Cada VPC exige acesso aos recursos em apenas uma das sub-redes na VPC A.
A tabela de rotas da sub-rede 1 usa a conexão de emparelhamento da VPC pcx-aaaabbbb para acessar todo o bloco CIDR da VPC B. A tabela de rotas da VPC B usa pcx-aaaabbbb para acessar o bloco CIDR da sub-rede 1 na VPC A. A tabela de rotas da sub-rede 2 aponta para a conexão de emparelhamento da VPC pcx-aaaacccc para acessar todo o bloco CIDR da VPC C. A tabela de rotas da VPC C usa pcx-aaaacccc para acessar o bloco CIDR da sub-rede 2 na VPC A.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| Sub-rede 1 (VPC A) | CIDR da VPC A |
Local |
CIDR da VPC B |
pcx-aaaabbbb | |
| Sub-rede 2 (VPC A) | CIDR da VPC A |
Local |
CIDR da VPC C |
pcx-aaaacccc | |
| VPC B | CIDR da VPC B |
Local |
CIDR da sub-rede 1 |
pcx-aaaabbbb | |
| VPC C | CIDR da VPC C |
Local |
CIDR da sub-rede 2 |
pcx-aaaacccc |
Você pode estender essa configuração para vários blocos CIDR. Suponha que a VPC A e a VPC B tenham blocos CIDR IPv4 e IPv6 e que a sub-rede 1 tenha um bloco CIDR IPv6 associado. Você pode habilitar a VPC B para se comunicar com a sub-rede 1 na VPC A por meio do IPv6 usando a conexão de emparelhamento da VPC. Para isso, adicione uma rota à tabela de rotas para a VPC A com um destino do bloco CIDR IPv6 para VPC B e uma rota à tabela de rotas para a VPC B com um destino do CIDR IPv6 da sub-rede 1 na VPC A.
| Tabela de rotas | Destino | Destino | Observações |
|---|---|---|---|
| Sub-rede 1 na VPC A | CIDR IPv4 da VPC A |
Local | |
CIDR IPv6 da VPC A |
Local | Rota local que é adicionada automaticamente para comunicação IPv6 na VPC. | |
CIDR IPv4 da VPC B |
pcx-aaaabbbb | ||
CIDR IPv6 da VPC B |
pcx-aaaabbbb | Rota para o bloco CIDR IPv6 da VPC B. | |
| Sub-rede 2 na VPC A | CIDR IPv4 da VPC A |
Local | |
CIDR IPv6 da VPC A |
Local | Rota local que é adicionada automaticamente para comunicação IPv6 na VPC. | |
CIDR IPv4 da VPC C |
pcx-aaaacccc | ||
| VPC B | CIDR IPv4 da VPC B |
Local | |
CIDR IPv6 da VPC B |
Local | Rota local que é adicionada automaticamente para comunicação IPv6 na VPC. | |
CIDR IPv4 da sub-rede 1 |
pcx-aaaabbbb | ||
CIDR IPv6 da sub-rede 1 |
pcx-aaaabbbb | Rota para o bloco CIDR IPv6 da VPC A. | |
| VPC C | CIDR IPv4 da VPC C |
Local | |
CIDR IPv4 da sub-rede 2 |
pcx-aaaacccc |
Duas VPCs que acessam blocos CIDR específicos em uma VPC
Nessa configuração, há uma VPC central (VPC A), uma conexão de emparelhamento entre a VPC A e a VPC B (pcx-aaaabbbb) e uma conexão de emparelhamento entre a VPC A e a VPC C (pcx-aaaacccc). A VPC A tem um bloco CIDR para cada conexão de emparelhamento.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| VPC A | CIDR 1 da VPC A |
Local |
CIDR 2 da VPC A |
Local | |
CIDR da VPC B |
pcx-aaaabbbb | |
CIDR da VPC C |
pcx-aaaacccc | |
| VPC B | CIDR da VPC B |
Local |
CIDR 1 da VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR da VPC C |
Local |
CIDR 2 da VPC A |
pcx-aaaacccc |
Duas VPCs que acessam sub-redes específicas em duas VPCs
Nesta configuração, há uma VPC central (VPC A) com uma sub-rede, uma conexão de emparelhamento entre a VPC A e a VPC B (pcx-aaaabbbb) e uma conexão de emparelhamento entre a VPC A e a VPC C (pcx-aaaacccc). VPC B e VPC C possuem duas sub-redes cada. A conexão de emparelhamento entre VPC A e VPC B usa somente uma das sub-redes de VPC B. A conexão de emparelhamento entre VPC A e VPC C usa somente uma das sub-redes da VPC C.
Use essa configuração quando houver uma VPC central que tenha um único conjunto de recursos, como os serviços do Active Directory, que precisa ser acessado por outras VPCs. A VPC central não requer acesso total às VPCs com as quais foi emparelhada.
A tabela de rotas da VPC A usa as conexões de emparelhamento para acessar somente sub-redes específicas nas VPCs emparelhadas. A tabela de rotas da sub-rede 1 usa a conexão de emparelhamento com a VPC A para acessar a sub-rede na VPC A. A tabela de rotas da sub-rede 2 usa a conexão de emparelhamento com a VPC A para acessar a sub-rede na VPC A.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| VPC A | CIDR da VPC A |
Local |
CIDR da sub-rede 1 |
pcx-aaaabbbb | |
CIDR da sub-rede 2 |
pcx-aaaacccc | |
| Sub-rede 1 (VPC B) | CIDR da VPC B |
Local |
Sub-rede no CIDR da VPC A |
pcx-aaaabbbb | |
| Sub-rede 2 (VPC C) | CIDR da VPC C |
Local |
Sub-rede no CIDR da VPC A |
pcx-aaaacccc |
Rota para tráfego de resposta
Se você tiver uma VPC emparelhada com várias VPCs que possuem blocos CIDR correspondentes ou sobrepostos, verifique se as tabelas de rotas estão configuradas, para evitar o envio de tráfego de resposta da sua VPC para a VPC incorreta. A AWS não oferece suporte ao encaminhamento invertido unicast em conexões de emparelhamento de VPC que verificam o IP de origem de pacotes e encaminham pacotes de resposta de volta à origem.
Por exemplo, a VPC A é emparelhada com VPC B e VPC C. VPC B e VPC C possuem blocos CIDR correspondentes e suas sub-redes possuem blocos CIDR correspondentes. A tabela de rotas para a sub-rede 2 na VPC B aponta para a conexão de emparelhamento da VPC pcx-aaaabbbb para acessar a sub-rede da VPC A. A tabela de rotas da VPC A está configurada para enviar tráfego destinado ao CIDR da VPC para a conexão de emparelhamento pcx-aaaaccccc.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| Sub-rede 2 (VPC B) | CIDR da VPC B |
Local |
Sub-rede no CIDR da VPC A |
pcx-aaaabbbb | |
| VPC A | CIDR da VPC A |
Local |
CIDR da VPC C |
pcx-aaaacccc |
Suponha que uma instância na sub-rede 2 na VPC B envie tráfego para o servidor do Active Directory na VPC A usando a conexão de emparelhamento da VPC pcx-aaaabbbb. A VPC A envia o tráfego de resposta ao servidor do Active Directory. Entretanto, a tabela de rotas da VPC A está configurada para enviar todo o tráfego dentro do intervalo de CIDR da VPC para a conexão de emparelhamento da VPC pcx-aaaacccc. Se a sub-rede 2 na VPC C tiver uma instância com o mesmo endereço IP da instância na sub-rede dois da VPC B, ela receberá o tráfego de resposta da VPC A. A instância na sub-rede 2 na VPC B não receberá resposta à sua solicitação à VPC A.
Para evitar essa situação, você pode adicionar uma rota específica à tabela de rotas da VPC A com o CIDR da sub-rede 2 na VPC B como destino de pcx-aaaabbbb. A nova rota é mais específica. Portanto, o tráfego destinado para o CIDR da sub-rede 2 é roteado para a conexão de emparelhamento da VPC pcx-aaaabbbb
Como alternativa, no exemplo a seguir, a tabela de rotas da VPC A possui uma rota para cada sub-rede da conexão de emparelhamento da VPC. A VPC A pode se comunicar com a sub-rede 2 na VPC B e com a sub-rede 1 na VPC C. Esse cenário será útil caso você precise adicionar outra conexão de emparelhamento da VPC a outra sub-rede que esteja no intervalo de endereço que a VPC B e a VPC C. Basta adicionar outra rota para essa sub-rede específica.
| Destino | Destino |
|---|---|
CIDR da VPC A |
Local |
CIDR da sub-rede 2 |
pcx-aaaabbbb |
CIDR da sub-rede 1 |
pcx-aaaacccc |
Como alternativa, dependendo do caso de uso, você pode criar uma rota para um endereço IP específico na VPC B para garantir que o tráfego volte para o servidor correto (a tabela de rotas usa a correspondência de prefixo mais longa para priorizar as rotas):
| Destino | Destino |
|---|---|
CIDR da VPC A |
Local |
Endereço IP específico na sub-rede 2 |
pcx-aaaabbbb |
CIDR da VPC B |
pcx-aaaacccc |
Instâncias em uma VPC que acessam instâncias específicas em duas VPCs
Nesta configuração, há uma VPC central (VPC A) com uma sub-rede, uma conexão de emparelhamento entre a VPC A e a VPC B (pcx-aaaabbbb) e uma conexão de emparelhamento entre a VPC A e a VPC C (pcx-aaaacccc). VPC A tem uma sub-rede com uma instância para cada conexão de emparelhamento. Você pode usar essa configuração para limitar o tráfego de emparelhamento a instâncias específicas.
Cada tabela de rota VPC aponta para a conexão de emparelhamento de VPC relevante para acessar um único endereço IP (e, portanto, uma instância específica) na VPC de mesmo nível.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| VPC A | CIDR da VPC A |
Local |
Endereço IP da instância 3 |
pcx-aaaabbbb | |
Endereço IP da instância 4 |
pcx-aaaacccc | |
| VPC B | CIDR da VPC B |
Local |
Endereço IP da instância 1 |
pcx-aaaabbbb | |
| VPC C | CIDR da VPC C |
Local |
Endereço IP da instância 2 |
pcx-aaaacccc |
Uma VPC que acessa duas VPCs usando correspondências de prefixo mais longas
Nesta configuração, há uma VPC central (VPC A) com uma sub-rede, uma conexão de emparelhamento entre a VPC A e a VPC B (pcx-aaaabbbb) e uma conexão de emparelhamento entre a VPC A e a VPC C (pcx-aaaacccc). A VPC B e VPC C possuem blocos CIDR correspondentes. Você utiliza a conexão de emparelhamento da VPC pcx-aaaabbbb para rotear o tráfego entre a VPC A e a instância específica na VPC B. Qualquer outro tráfego destinado ao intervalo de endereços CIDR compartilhado por VPC B e VPC C é roteado para a VPC C por meio de pcx-aaaacccc.
As tabelas de rotas VPC usam a correspondência de prefixo mais longa para selecionar a rota mais específica em toda a conexão de emparelhamento de VPC desejada. Qualquer outro tráfego é roteado através da próxima rota correspondente. Neste caso, através da conexão de emparelhamento de VPC pcx-aaaacccc.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| VPC A | Bloco CIDR da VPC A |
Local |
Endereço IP da instância X |
pcx-aaaabbbb | |
Bloco CIDR da VPC C |
pcx-aaaacccc | |
| VPC B | Bloco CIDR da VPC B |
Local |
Bloco CIDR da VPC A |
pcx-aaaabbbb | |
| VPC C | Bloco CIDR da VPC C |
Local |
Bloco CIDR da VPC A |
pcx-aaaacccc |
Importante
Se uma instância diferente da instância X na VPC B envia tráfego para a VPC A, o tráfego de resposta pode ser roteado para a VPC C em vez de para a VPC B. Para obter mais informações, consulte Rota para tráfego de resposta.
Configurações de várias VPCs
Nesta configuração, uma VPC central (VPC A) é emparelhada com várias VPCs em uma configuração spoke. Você também possui três VPCs (VPCs X, Y e Z) emparelhadas em uma configuração de malha completa.
A VPC D também possui uma conexão de emparelhamento da VPC com a VPC X (pcx-ddddxxxx). A VPC A e VPC X possuem blocos CIDR sobrepostos. Isso significa que o tráfego de emparelhamento entre a VPC A e a VPC D é limitado a uma sub-rede específica (sub-rede 1) na VPC D. Isso garante que, se a VPC D receber uma solicitação da VPC A ou da VPC X, ela enviará o tráfego de resposta à VPC correta. A AWS não oferece suporte ao encaminhamento do caminho inverso unicast em conexões de emparelhamento da VPC, que verifica o IP de origem de pacotes e roteia pacotes de resposta de volta à origem. Para ter mais informações, consulte Rota para tráfego de resposta.
Da mesma forma, a VPC D e a VPC Z possuem blocos CIDR sobrepostos. O tráfego entre a VPC D e a VPC X é limitado à sub-rede 2 na VPC D e o tráfego de emparelhamento entre a VPC X e a VPC Z está limitado à sub-rede 1 na VPC Z. Isso garante que, se a VPC X receber tráfego de emparelhamento da VPC D ou VPC Z, ela enviará o tráfego de resposta de volta à VPC correta.
As tabelas de rotas das VPCs B, C, E, F e G apontam para as conexões de emparelhamento relevantes para acessar o bloco CIDR completo para a VPC A. A tabela de rotas da VPC A aponta para as conexões de emparelhamento relevantes para as VPCs B, C, E, F e G para acessar seus blocos CIDR completos. Para a conexão de emparelhamento pcx-aaaadddd, a tabela de rotas da VPC A roteia o tráfego apenas para a sub-rede 1 na VPC D e a tabela de rotas da sub-rede 1 na VPCDC aponta para o bloco CIDR completo da VPC A.
A tabela de rotas da VPC Y aponta para as conexões de emparelhamento relevantes para acessar os blocos CIDR completos da VPC X e da VPC Z. A tabela de rotas da VPC Z aponta para a conexão de emparelhamento relevante para acessar o bloco CIDR completo da VPC Y. A tabela de rotas da sub-rede 1 na VPC Z aponta para a conexão de emparelhamento relevante para acessar o bloco CIDR completo da VPC Y. A tabela de rotas da VPC X aponta para a conexão de emparelhamento relevante para acessar a sub-rede 2 na VPC D e a sub-rede 1 na VPC Z.
| Tabela de rotas | Destino | Alvo |
|---|---|---|
| VPC A | CIDR da VPC A |
Local |
CIDR da VPC B |
pcx-aaaabbbb | |
CIDR da VPC C |
pcx-aaaacccc | |
CIDR da sub-rede 1 na VPC D |
pcx-aaaadddd | |
CIDR da VPC E |
pcx-aaaaeeee | |
CIDR da VPC F |
pcx-aaaaffff | |
CIDR da VPC G |
pcx-aaaagggg | |
| VPC B | CIDR da VPC B |
Local |
CIDR da VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR da VPC C |
Local |
CIDR da VPC A |
pcx-aaaacccc | |
| Sub-rede 1 na VPC D | CIDR da VPC D |
Local |
CIDR da VPC A |
pcx-aaaadddd | |
| Sub-rede 2 na VPC D | CIDR da VPC D |
Local |
CIDR da VPC X |
pcx-ddddxxxx | |
| VPC E | CIDR da VPC E |
Local |
CIDR da VPC A |
pcx-aaaaeeee | |
| VPC F | CIDR da VPC F |
Local |
CIDR da VPC A |
pcx-aaaaaffff | |
| VPC G | CIDR da VPC G |
Local |
CIDR da VPC A |
pcx-aaaagggg | |
| VPC X | CIDR da VPC X |
Local |
CIDR da sub-rede 2 na VPC D |
pcx-ddddxxxx | |
CIDR da VPC Y |
pcx-xxxxyyyy | |
CIDR da sub-rede 1 na VPC Z |
pcx-xxxxzzzz | |
| VPC Y | CIDR da VPC Y |
Local |
CIDR da VPC X |
pcx-xxxxyyyy | |
CIDR da VPC Z |
pcx-yyyyzzzz | |
| VPC Z | CIDR da VPC Z |
Local |
CIDR da VPC Y |
pcx-yyyyzzzz | |
CIDR da VPC X |
pcx-xxxxzzzz |
