本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
含特定路由的 VPC 對等互連組態
您可以設定 VPC 對等互連的路由表,以限制對子網路 CIDR 區塊、特定 CIDR 區塊 (如果 VPC 有多個 CIDR 區塊) 或對等 VPC 中特定資源的存取權。在這些範例中,中央 VPC 已對等互連至具有重疊 CIDR 區塊的兩個 VPC (至少)。
如需可能需要特定 VPC 互連連線組態之藍本的範例,請參閱 VPC 互連案例。如需如何使用 VPC 對等互連的詳細資訊,請參閱使用 VPC 對等互連連線。如需更新路由表的詳細資訊,請參閱更新 VPC 對等互連連線的路由表。
組態
存取一個 VPC 中的特定子網路的兩個 VPC
在此組態中,有一個具有兩個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (pcx-aaaabbbb) 之間的對等互連,以及 VPC A 與 VPC C (pcx-aaaacccc) 之間的對等互連。每個 VPC 都只需要存取 VPC A 的其中一個子網路中的資源。
子網路 1 的路由表會使用 VPC 對等互連 pcx-aaaabbbb,以存取 VPC B 的整個 CIDR 區塊。VPC B 的路由表使用 pcx-aaaabbbb 來存取 VPC A 子網路 1 中的 CIDR 區塊。子網路 2 的路由表會使用 VPC 對等互連 pcx-aaaacccc 來存取 VPC C 的整個 CIDR 區塊。VPC C 表格的路由表會使用 pcx-aaaacccc,以存取 VPC A 的子網路 2 的 CIDR 區塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 1 (VPC A) | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
| 子網路 2 (VPC A) | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
子網路 1 CIDR |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
子網路 2 CIDR |
pcx-aaaacccc |
您可以將此組態延伸至多個 CIDR 區塊。假設 VPC A 和 VPC B 同時具有 IPv4 和 IPv6 CIDR 區塊,且子網路 1 具有關聯的 IPv6 CIDR 區塊。您可以讓 VPC B 透過 IPv6 使用 VPC 對等互連與 VPC A 中的子網路 1 通訊。若要執行此作業,請針對目標為 VPC B 之 IPv6 CIDR 區塊的 VPC A 將路由新增至路由表,並針對目標為 VPC A 中子網路 1 之 IPv6 CIDR 的 VPC B 將路由新增至路由表。
| 路由表 | 目的地 | 目標 | 備註 |
|---|---|---|---|
| VPC A 中的子網路 1 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 自動為 VPC 內 IPv6 通訊所新增的本機路由。 | |
VPC B IPv4 CIDR |
pcx-aaaabbbb | ||
VPC B IPv6 CIDR |
pcx-aaaabbbb | VPC B 之 IPv6 CIDR 區塊的路由。 | |
| VPC A 中的子網路 2 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 自動為 VPC 內 IPv6 通訊所新增的本機路由。 | |
VPC C IPv4 CIDR |
pcx-aaaacccc | ||
| VPC B | VPC B IPv4 CIDR |
區域 | |
VPC B IPv6 CIDR |
區域 | 自動為 VPC 內 IPv6 通訊所新增的本機路由。 | |
子網路 1 IPv4 CIDR |
pcx-aaaabbbb | ||
子網路 2 IPv4 CIDR |
pcx-aaaabbbb | VPC A 之 IPv6 CIDR 區塊的路由。 | |
| VPC C | VPC C IPv4 CIDR |
區域 | |
子網路 2 IPv4 CIDR |
pcx-aaaacccc |
存取一個 VPC 中的特定 CIDR 區塊的兩個 VPC
在此組態中,有一個中央 VPC (VPC A)、VPC A 與 VPC B (pcx-aaaabbbb) 之間的對等互連,以及 VPC A 與 VPC C (pcx-aaaacccc) 之間的對等互連。每個對等互連的 VPC A 有一個 CIDR 區塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR 1 |
區域 |
VPC A CIDR 2 |
區域 | |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
VPC A CIDR 1 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
VPC A CIDR 2 |
pcx-aaaacccc |
存取兩個 VPC 中的特定子網路的一個 VPC
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (pcx-aaaabbbb) 之間的對等互連,以及 VPC A 與 VPC C (pcx-aaaacccc) 之間的對等互連。VPC B 與 VPC C 各有兩個子網路。VPC A 與 VPC B 之間的對等互連僅使用 VPC B 中的其中一個子網路。VPC A 與 VPC C 之間的對等互連僅使用 VPC C 中的其中一個子網路。
當您的中央 VPC 具有其他 VPC 需要存取的一組資源 (例如 Active Directory 服務) 時,使用此組態。中央 VPC 不需要完整存取與其互連的 VPC。
VPC A 的路由表只會使用對等互連來存取對等互連 VPC 中的特定子網路。子網路 1 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。子網路 2 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
子網路 1 CIDR |
pcx-aaaabbbb | |
子網路 2 CIDR |
pcx-aaaacccc | |
| 子網路 1 (VPC B) | VPC B CIDR |
區域 |
VPC A CIDR 中的子網路 |
pcx-aaaabbbb | |
| 子網路 2 (VPC C) | VPC C CIDR |
區域 |
VPC A CIDR 中的子網路 |
pcx-aaaacccc |
回應流量的路由
如果您的 VPC 與多個具有重疊或相符 CIDR 區塊的 VPC 互連,請確保路由表已妥善設定,避免從您的 VPC 向不正確的 VPC 傳送回應流量。AWS 不支援 VPC 對等互連中的單播反向路徑轉送,這會檢查封包的來源 IP,並將回覆封包路由回來源。
例如,VPC A 已與 VPC B 和 VPC C 互連。VPC B 和 VPC C 具有相符 CIDR 區塊,而其子網路具有相符 CIDR 區塊。VPC B 中子網路 2 的路由表指向 VPC 對等互連 pcx-aaaabbbb 以存取 VPC A 子網路。VPC A 路由表設定為將目的地為 VPC CIDR 的流量傳送至對等互連 pcx-aaaaccccc。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 2 (VPC B) | VPC B CIDR |
區域 |
VPC A CIDR 中的子網路 |
pcx-aaaabbbb | |
| VPC A | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc |
假設 VPC B 的子網路 2 中的執行個體使用 VPC 對等互連 pcx-aaaabbbb 將流量傳送至 VPC A 中的 Active Directory 伺服器。VPC A 會將回應流量傳送至 Active Directory 伺服器。不過,VPC A 路由表設定為將 VPC CIDR 範圍內的所有流量都傳送至 VPC 對等互連 pcx-aaaacccc。如果 VPC C 中子網路 2 的執行個體具有與 VPC B 的子網路 2 中執行個體相同的 IP 地址,則會收到來自 VPC A 的回應流量。VPC B 之子網路 2 中的執行個體不會收到其對 VPC A 所提出請求的回應。
若要避免發生這種狀況,您可以將特定路由新增至 VPC A 路由表,其中 VPC B 中子網路 2 的 CIDR 作為目的地,目標為 pcx-aaaabbbb。新路由更為具體,因此目的地為子網路 2 CIDR 的流量會路由至 VPC 對等互連 pcx-aaaabbbb
或者,在下列範例中,VPC A 的路由表具有每個 VPC 對等互連之每個子網路的路由。VPC A 可以與 VPC B 中的子網路 B 通訊以及與 VPC C 中的子網路 A 通訊。如果您需要新增另一個子網路在與 VPC B 和 VPC C 相同地址範圍內的另一個 VPC 對等互連,則此案例十分有用,您只需要新增該特定子網路的另一個路由。
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
子網路 2 CIDR |
pcx-aaaabbbb |
子網路 1 CIDR |
pcx-aaaacccc |
或者,根據您的使用案例,您可以建立 VPC B 中特定 IP 地址的路由,確保將流量遞送回正確的伺服器 (路由表使用最長字首相符來設定路由的優先順序):
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
子網路 2 中的特定 IP 地址 |
pcx-aaaabbbb |
VPC B CIDR |
pcx-aaaacccc |
一個 VPC 中的執行個體存取兩個 VPC 中的特定執行個體
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (pcx-aaaabbbb) 之間的對等互連,以及 VPC A 與 VPC C (pcx-aaaacccc) 之間的對等互連。VPC A 有一個子網路,每個對等互連都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。
每個 VPC 路由表都指向相關 VPC 互連連線,以存取對等 VPC 中的單一 IP 地址 (因此為特定執行個體)。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
執行個體 3 IP 地址 |
pcx-aaaabbbb | |
執行個體 4 IP 地址 |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
執行個體 1 IP 地址 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
執行個體 2 IP 地址 |
pcx-aaaacccc |
使用最長前置詞相符項目來存取兩個 VPC 的一個 VPC
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (pcx-aaaabbbb) 之間的對等互連,以及 VPC A 與 VPC C (pcx-aaaacccc) 之間的對等互連。VPC B 和 VPC C 具有相符 CIDR 區塊。您使用 VPC 對等互連 pcx-aaaabbbb 在 VPC A 與 VPC B 中特定執行個體之間路由流量。目的地為 VPC B 和 VPC C 共享的 CIDR 地址範圍的所有其他流量透過 pcx-aaaacccc 路由至 VPC C。
VPC 路由表使用最長字首相符來選取預定 VPC 互連連線的最具體路由。所有其他流量都會遞送至下一個相符路由,在此情況下,透過 VPC 互連連線 pcx-aaaacccc。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR 區塊 |
區域 |
執行個體 X IP 地址 |
pcx-aaaabbbb | |
VPC C CIDR 區塊 |
pcx-aaaacccc | |
| VPC B | VPC B CIDR 區塊 |
區域 |
VPC A CIDR 區塊 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR 區塊 |
區域 |
VPC A CIDR 區塊 |
pcx-aaaacccc |
重要
如果 VPC B 中執行個體 X 以外的執行個體將流量傳送至 VPC A,則回應流量可能會路由至 VPC C,而非 VPC B。如需詳細資訊,請參閱回應流量的路由。
多個 VPC 組態
在本組態中,有一個中央 VPC (VPC A) 已與阻礙組態中的多個 VPC 對等互連。您在完整網格組態中也會有三個 VPC (VPC X、Y 和 Z) 對等互連在一起。
VPC D 也具有與 VPC X (pcx-ddddxxxx) 的 VPC 對等互連。VPC A 和 VPC X 具有重疊 CIDR 區塊。這表示 VPC A 和 VPC D 之間的對等流量僅限於 VPC D 中的特定子網路 (子網路 1),這是為了確保 VPC D 收到來自 VPC A 或 VPC X 的要求時,會將回應流量傳送至正確的 VPC。 AWS在 VPC 對等連線中不支援單點傳播反向路徑轉送,這些連線會檢查封包的來源 IP,並將回覆封包路由傳回至來源。如需詳細資訊,請參閱 回應流量的路由。
同樣地,VPC D 和 VPC Z 具有重疊 CIDR 區塊。VPC D 與 VPC X 之間的對等互連流量限制為 VPC D 中的子網路 2,而 VPC X 與 VPC Z 之間的對等互連流量限制為 VPC Z 中的子網路 1。這確保如果 VPC X 收到來自 VPC D 或 VPC Z 的對等互連流量,則會將回應流量傳送回正確 VPC。
VPC B、C、E、F 和 G 的路由表都指向相關對等互連以存取 VPC A 的完整 CIDR 區塊,而 VPC A 路由表指向 VPC B、C、E、F 和 G 的相關對等互連以存取其完整 CIDR 區塊。針對對等互連 pcx-aaaadddd,VPC A 路由表只會將流量路由至 VPC D 中的子網路 1,而 VPC D 中的子網路 1 路由表指向 VPC A 的完整 CIDR 區塊。
VPC Y 路由表指向相關對等互連以存取 VPC X 和 VPC Z 的完整 CIDR 區塊,而 VPC Z 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC Z 中的子網路 1 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC X 路由表指向相關對等互連以存取 VPC D 中的子網路 2 以及 VPC Z 中的子網路 1。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
VPC D 中的子網路 1 CIDR |
pcx-aaaadddd | |
VPC E CIDR |
pcx-aaaaeeee | |
VPC F CIDR |
pcx-aaaaffff | |
VPC G CIDR |
pcx-aaaagggg | |
| VPC B | VPC B CIDR |
區域 |
VPC A CIDR |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
VPC A CIDR |
pcx-aaaacccc | |
| VPC D 中的子網路 1 | VPC D CIDR |
區域 |
VPC A CIDR |
pcx-aaaadddd | |
| VPC D 中的子網路 2 | VPC D CIDR |
區域 |
VPC X CIDR |
pcx-ddddxxxx | |
| VPC E | VPC E CIDR |
區域 |
VPC A CIDR |
pcx-aaaaeeee | |
| VPC F | VPC F CIDR |
區域 |
VPC A CIDR |
pcx-aaaaaffff | |
| VPC G | VPC G CIDR |
區域 |
VPC A CIDR |
pcx-aaaagggg | |
| VPC X | VPC X CIDR |
區域 |
VPC D 中的子網路 2 CIDR |
pcx-ddddxxxx | |
VPC Y CIDR |
pcx-xxxxyyyy | |
VPC Z 中的子網路 1 CIDR |
pcx-xxxxzzzz | |
| VPC Y | VPC Y CIDR |
區域 |
VPC X CIDR |
pcx-xxxxyyyy | |
VPC Z CIDR |
pcx-yyyyzzzz | |
| VPC Z | VPC Z CIDR |
區域 |
VPC Y CIDR |
pcx-yyyyzzzz | |
VPC X CIDR |
pcx-xxxxzzzz |
