本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本地网关路由表
作为机架安装的一部分, AWS 创建本地网关、配置VIFs和群VIF组。本地网关归与 Outpost 关联的 AWS 账户所有。您将创建本地网关路由表。本地网关路由表必须与VIF组相关联和VPC。您可以创建和管理群VIF组的关联以及VPC. 只有本地网关的所有者才能修改本地网关路由表。
机架上的 Outpost 子网路由表可以包括通往本地网络的路由。本地网关将此流量路由到本地网络,以实现低延迟路由。
本地网关路由表的模式决定了 Outposts 子网中的实例如何与您的本地网络通信。默认选项是直接VPC路由,它使用实例的私有 IP 地址。另一种选择是使用您提供的客户拥有的 IP 地址池 (CoIP) 中的地址。直接VPC路由和 CoIP 是相互排斥的选项,用于控制路由的工作原理。
您可以使用与其他 AWS 账户或组织单位共享本地网关路由表 AWS Resource Access Manager。有关更多信息,请参阅使用共享 AWS Outposts 资源。
直接VPC路由
直接VPC路由使用您的实例的私有 IP 地址VPC来促进与您的本地网络的通信。这些地址将通过通告到您的本地网络。BGP广告BGP仅适用于属于您的 Outposts 机架上子网的私有 IP 地址。这种路由类型是 Outpost 的默认模式。在此模式下,本地网关NAT对实例不起作用,您无需为EC2实例分配弹性 IP 地址。您可以选择使用自己的地址空间,而不是直接VPC路由模式。有关更多信息,请参阅 客户拥有的 IP 地址。
直接VPC路由模式不支持重叠CIDR范围。
仅实例网络接口支持直接VPC路由。对于代表您 AWS 创建的网络接口(称为请求者管理的网络接口),您的本地网络无法访问其私有 IP 地址。例如,您的本地网络无法直接访问VPC终端节点。
以下示例说明了直接VPC路由。
示例:通过互联网连接 VPC
Outpost 子网中的实例可以通过连接到 Outpost 子网的互联网网关访问互联网。VPC
请考虑以下配置:
-
父级VPC跨越两个可用区,每个可用区都有一个子网。
-
Outpost 有一个子网。
-
每个子网都有一个EC2实例。
-
本地网关使用BGP广告向本地网络通告 Outpost 子网的私有 IP 地址。
注意
BGP只有前哨站上以本地网关为目的地的路由的子网才支持播发。任何其他子网都不会通过通告。BGP
在下图中,来自 Outpost 子网中实例的流量可以使用互联网网关VPC来访问互联网。
要通过父区域实现互联网连接,Outpost 子网的路由表必须包含以下路由。
| 目标位置 | 目标 | 注释 |
|---|---|---|
VPC CIDR |
本地 | 在中的子网之间提供连接。VPC |
| 0.0.0.0 | internet-gateway-id |
将发往互联网网关的流量发送到互联网网关。 |
on-premises network CIDR |
local-gateway-id |
将发往本地网络的流量发送到本地网关。 |
示例:通过本地网络连接互联网
Outpost 子网中的实例可以通过本地网络访问互联网。Outpost 子网中的实例不需要公有 IP 地址或弹性 IP 地址。
请考虑以下配置:
-
前哨子网有一个EC2实例。
-
本地网络中的路由器执行网络地址转换 (NAT)。
-
本地网关使用BGP广告向本地网络通告 Outpost 子网的私有 IP 地址。
注意
BGP只有前哨站上以本地网关为目的地的路由的子网才支持播发。任何其他子网都不会通过通告。BGP
在下图中,Outpost 子网中实例的流量可以使用本地网关访问互联网或本地网络。来自本地网络的流量使用本地网关访问 Outpost 子网中的实例。
要通过本地网络实现互联网连接,Outpost 子网的路由表必须包含以下路由。
| 目标位置 | 目标 | 注释 |
|---|---|---|
VPC CIDR |
本地 | 在中的子网之间提供连接。VPC |
| 0.0.0.0/0 | local-gateway-id |
将发往互联网网关的流量发送到本地网关。 |
对互联网的出站访问
如果从 Outpost 子网中实例发起的流量以互联网为目的地,则使用 0.0.0.0/0 的路由将流量路由到本地网关。本地网关将流量发送到路由器。路由器使用在路由器上将私有 IP 地址NAT转换为公有 IP 地址,然后将流量发送到目的地。
对本地网络的出站访问
如果从 Outpost 子网中实例发起的流量以本地网络为目的地,则使用 0.0.0.0/0 的路由将流量路由到本地网关。本地网关将流量发送到本地网络中的目的地。
来自本地网络的入站访问
如果来自本地网络的流量以 Outpost 子网中的实例为目标,则会使用实例的私有 IP 地址。当流量到达本地网关时,本地网关会将流量发送到中的目的地VPC。
客户拥有的 IP 地址
默认情况下,本地网关使用您的实例的私有 IP 地址VPC来促进与您的本地网络的通信。但是,您可以提供一个地址范围,即客户拥有的 IP 地址池 (CoIP),它支持重叠的CIDR范围和其他网络拓扑。
如果您选择 CoIP,则必须创建一个地址池,将其分配给本地网关路由表,然后通过BGP将这些地址通告回您的客户网络。与您的本地网关路由表关联的所有由客户拥有的 IP 地址在路由表中显示为传播路由。
客户拥有的 IP 地址为您的本地网络中的资源提供本地或外部连接。您可以将这些 IP 地址分配给 Outpost 上的资源(例如EC2实例),方法是从客户拥有的 IP 池中分配新的弹性 IP 地址,然后将其分配给您的资源。有关更多信息,请参阅 CoIP 池。
以下要求适用于客户拥有的 IP 地址池:
-
您必须能够在您的网络中路由该地址
-
方CIDR块必须至少为 /26
当您从客户拥有的 IP 地址池中分配弹性 IP 地址时,您继续拥有客户拥有的 IP 地址池中的 IP 地址。您有责任根据需要在内部网络上进行广告宣传,或者WAN.
您可以选择使用 AWS Resource Access Manager与组织 AWS 账户 中的多个客户共享客户拥有的资源池。共享池后,参与者可以从客户拥有的 IP 地址池中分配弹性 IP 地址,然后将其分配给 Outpos EC2 t 上的实例。有关更多信息,请参阅 共享您的 AWS Outposts 资源。
示例:通过互联网连接 VPC
Outpost 子网中的实例可以通过连接到 Outpost 子网的互联网网关访问互联网。VPC
请考虑以下配置:
-
父级VPC跨越两个可用区,每个可用区都有一个子网。
-
Outpost 有一个子网。
-
每个子网都有一个EC2实例。
-
有一个客户拥有的 IP 地址池。
-
Outpost 子网中的实例具有来自客户拥有的 IP 地址池的弹性 IP 地址。
-
本地网关使用BGP广告将客户拥有的 IP 地址池通告到本地网络。
要通过区域实现互联网连接,Outpost 子网的路由表必须包含以下路由。
| 目标位置 | 目标 | 注释 |
|---|---|---|
VPC CIDR |
本地 | 在中的子网之间提供连接。VPC |
| 0.0.0.0 | internet-gateway-id |
将发往公共互联网的流量发送到互联网网关。 |
On-premises network CIDR |
local-gateway-id |
将发往本地网络的流量发送到本地网关。 |
示例:通过本地网络连接互联网
Outpost 子网中的实例可以通过本地网络访问互联网。
请考虑以下配置:
-
前哨子网有一个EC2实例。
-
有一个客户拥有的 IP 地址池。
-
本地网关使用BGP广告将客户拥有的 IP 地址池通告到本地网络。
-
一种将 10.0.3.112 映射到 10.1.0.2 的弹性 IP 地址关联。
-
客户本地网络中的路由器执行NAT。
要通过本地网关实现互联网连接,Outpost 子网的路由表必须包含以下路由。
| 目标位置 | 目标 | 注释 |
|---|---|---|
VPC CIDR |
本地 | 在中的子网之间提供连接。VPC |
| 0.0.0.0/0 | local-gateway-id |
将发往互联网网关的流量发送到本地网关。 |
对互联网的出站访问
从 Outpost 子网中以互联网为目的地的EC2实例发起的流量使用 0.0.0.0/0 的路由将流量路由到本地网关。本地网关将实例的私有 IP 地址映射到客户拥有的 IP 地址,然后将流量发送到路由器。路由器使用将客户拥有的 IP 地址NAT转换为路由器上的公有 IP 地址,然后将流量发送到目的地。
对本地网络的出站访问
从 Outpost 子网中以本地网络为目的地的EC2实例发起的流量使用 0.0.0.0/0 的路由将流量路由到本地网关。本地网关将EC2实例的 IP 地址转换为客户拥有的 IP 地址(弹性 IP 地址),然后将流量发送到目的地。
来自本地网络的入站访问
如果来自本地网络的流量以 Outpost 子网中的实例为目标,则会使用实例的客户拥有的 IP 地址(弹性 IP 地址)。当流量到达本地网关时,本地网关会将客户拥有的 IP 地址(弹性 IP 地址)映射到实例 IP 地址,然后将流量发送到中的VPC目的地。此外,本地网关路由表还会评估所有以弹性网络接口为目标的路由。如果目标地址与任何静态路由的目的地相匹配CIDR,则流量将发送到该 elastic network interface。当流量沿着静态路由到达弹性网络接口时,目的地地址会被保留,并且不会转换为网络接口的私有 IP 地址。
自定义路由表
您可以为本地网关创建自定义路由表。本地网关路由表必须与VIF组相关联和VPC。有关 step-by-step 说明,请参阅配置本地网关连接。
