本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPC具有特定路由的對等組態
您可以設定VPC對等連線的路由表,以限制對等網路區CIDR塊、特定區CIDR塊 (如果VPC有多個CIDR區塊) 或對等VPC中特定資源的存取。在這些範例中,一VPC個中心與至少兩個具有重疊CIDR圖塊VPCs的對等。
如需您可能需要特定對VPC等連線組態的案例範例,請參閱VPC對等連線網路案例。如需使用對VPC等連線的更多資訊,請參閱使用VPC對等連接。如需更新路由表的詳細資訊,請參閱更新對VPC等連線的路由表。
組態
兩個VPCs在一個訪問特定子網 VPC
在此配置中,有一個VPC具有兩個子網(VPCA)的中心,VPCA 和 VPC B()之間的對等連接以及 VPC A 和 VPC C(pcx-aaaabbbb)之間的對等連接。pcx-aaaacccc每個都VPC需要存取 A 中的其中一個子網路中VPC的資源。
子網路 1 的路由表使用VPC對等連線pcx-aaaabbbb來存取 B 的整個CIDR區塊。VPC B 的路由表用pcx-aaaabbbb來存取 VPC A 中子網路 1 的CIDR區塊。子網路 2 的路由表使用VPC對等連線pcx-aaaacccc來存取 C 的整個CIDR區塊。VPC C 表的路由表用pcx-aaaacccc來存取 A 中子網路 2 的CIDR區塊。VPC VPC VPC
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 1 (VPCA) | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
| 子網路 2 (VPCA) | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc | |
| VPCB | VPC B CIDR |
區域 |
Subnet 1 CIDR |
pcx-aaaabbbb | |
| VPCC | VPC C CIDR |
區域 |
Subnet 2 CIDR |
pcx-aaaacccc |
您可以將此組態延伸至多個CIDR區塊。假設 VPC A 和 VPC B 同時具有IPv4和IPv6CIDR塊,並且子網 1 具有關聯的IPv6CIDR塊。您可以啟IPv6用 VPC B 透過使用VPC對等連線與 VPC A 中的子網路 1 進行通訊。為VPC此,請將路由添加到 A 的路由表,其中包含 VPC B IPv6 CIDR 塊的目的地,並添加到 VPC B 的路由表,其目的地為 VPC A 中子網 1 IPv6 CIDR 的路由。
| 路由表 | 目的地 | 目標 | 備註 |
|---|---|---|---|
| VPCA 中的子網路 1 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 自動新增用IPv6於在VPC. | |
VPC B IPv4 CIDR |
pcx-aaaabbbb | ||
VPC B IPv6 CIDR |
pcx-aaaabbbb | 路由到 VPC B IPv6 CIDR 塊。 | |
| VPCA 中的子網路 2 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 自動新增用IPv6於在VPC. | |
VPC C IPv4 CIDR |
pcx-aaaacccc | ||
| VPCB | VPC B IPv4 CIDR |
區域 | |
VPC B IPv6 CIDR |
區域 | 自動新增用IPv6於在VPC. | |
Subnet 1 IPv4 CIDR |
pcx-aaaabbbb | ||
Subnet 2 IPv4 CIDR |
pcx-aaaabbbb | 路由到 IPv6 CIDR VPC A 的塊 | |
| VPCC | VPC C IPv4 CIDR |
區域 | |
Subnet 2 IPv4 CIDR |
pcx-aaaacccc |
兩個VPCs在一個訪問特定CIDR塊 VPC
在此配置中,存在一個中央VPC(VPCA),VPCA 和 VPC B()之間的對等連接以及 VPC A 和 VPC C(pcx-aaaabbbbpcx-aaaacccc)之間的對等連接。VPCA 對每個對等連線都有一個CIDR區塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPCA | VPC A CIDR 1 |
區域 |
VPC A CIDR 2 |
區域 | |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
| VPCB | VPC B CIDR |
區域 |
VPC A CIDR 1 |
pcx-aaaabbbb | |
| VPCC | VPC C CIDR |
區域 |
VPC A CIDR 2 |
pcx-aaaacccc |
一VPC個訪問兩個特定子網 VPCs
在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCB 和 VPC C 各有兩個子網路。VPCA 和 VPC B 之間的對等連接僅使用 B 中的一個子網路VPC。A 和 C 之間VPC的對等連接僅使用 VPC C 中的其中一個子網路。VPC
當您擁有具有其他人VPCs需要存取VPC的單一資源集 (例如 Active Directory 服務) 的中央時,請使用此組態。中央VPC不需要完全訪問它與之相似的。VPCs
VPCA 的路由表使用對等連接僅存取對等中的特定子網路。VPCs子網路 1 的路由表使用與 VPC A 的對等連線來存取 VPC A 中的子網路。子網路 2 的路由表使用與 A 的對等連線來存取 VPC A 中的子網路。VPC
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPCA | VPC A CIDR |
區域 |
Subnet 1 CIDR |
pcx-aaaabbbb | |
Subnet 2 CIDR |
pcx-aaaacccc | |
| 子網路 1 (VPCB) | VPC B CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaabbbb | |
| 子網路 2 (VPCC) | VPC C CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaacccc |
回應流量的路由
如果您有多個具有重疊或匹配CIDR塊VPCs的對等,請確保已配置路由表,以避免將響應流量從您的發送VPC到不正VPC確的。VPC AWS 在檢查封包的來源 IP 並將回覆封包路由傳回至來源的VPC對等連線中,不支援單點傳送反向路徑轉送。
例如,VPCA 與 VPC B 和 C 對等,B 和 VPC VPC C VPC 具有匹配CIDR塊,並且它們的子網具有匹配CIDR的塊。VPCB 中子網路 2 的路由表指VPC向對等連接pcx-aaaabbbb以存取 VPC A 子網路。路由表格設定為傳送目的地至對等連線的VPCCIDR流量。VPC pcx-aaaaccccc
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 2 (VPCB) | VPC B CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaabbbb | |
| VPCA | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc |
假設 VPC B 中子網路 2 中的執行個體會使用VPC對等連線pcx-aaaabbbb將流量傳送到 VPC A 中的 Active Directory 伺服器。VPC會將回應流量傳送至作用中目錄伺服器。不過,路由表格設定為將VPCCIDR範圍內的所有流量傳送至VPC對等連pcx-aaaacccc線。VPC如果 VPC C 中的子網路 2 具有與子網中兩個子網路中的執行個體具有相同 IP 位址的VPC執行個體,則會從 VPC A 接收來自 A 的回應流量。VPC B 中子網路 2 中的執行個體不會收到對 VPC A 的要求的回應。
若要避免這種情況發生,您可以將特定路由新增至 VPC A 路由表格,而 VPC B 中CIDR的子網路 2 作為目的地和目標pcx-aaaabbbb。新路由較為明確,因此傳送至子網路 2 的流量會路CIDR由至VPC對等連線 pcx-aaaabbbb
或者,在下列範例中,VPCA 路由表具有每個對VPC等連線的每個子網路的路由。VPCA 可以與 B 中的子網路 VPC B 和 VPC C 中的子網路 A 通訊,如果您需要新增另一個與 VPC B 和 VPC C 位於相同位址範圍內的子網路的對VPC等連線,這個案例很有用,您只需為該特定子網路新增另一個路由即可。
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
Subnet 2 CIDR |
pcx-aaaabbbb |
Subnet 1 CIDR |
pcx-aaaacccc |
或者,根據您的使用案例,您可以在 VPC B 中建立通往特定 IP 位址的路由,以確保流量路由回正確的伺服器 (路由表使用最長的前綴相符來排列路由的優先順序):
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
Specific IP address in subnet 2 |
pcx-aaaabbbb |
VPC B CIDR |
pcx-aaaacccc |
一個執行個體中VPC存取兩個特定執行個體 VPCs
在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCA 有一個子網路,每個對等連線都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。
每個VPC路由表都指向相關的VPC對等連接,以訪問對等VPC中的單個 IP 地址(因此是特定的實例)。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPCA | VPC A CIDR |
區域 |
Instance 3 IP address |
pcx-aaaabbbb | |
Instance 4 IP address |
pcx-aaaacccc | |
| VPCB | VPC B CIDR |
區域 |
Instance 1 IP address |
pcx-aaaabbbb | |
| VPCC | VPC C CIDR |
區域 |
Instance 2 IP address |
pcx-aaaacccc |
一個VPCVPCs使用最長前綴匹配訪問兩個
在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCB 和 VPC C 具有匹配CIDR塊。您可以使用VPC對等連pcx-aaaabbbb線,在 VPC A 和 VPC B 中的特定執行個體之間路由流量路由傳送至 VPC VPC B 和 VPC C 共用之CIDR位址範圍的所有其他流量。pcx-aaaacccc
VPC路由表使用最長的前綴匹配來選擇所需的對VPC等連接中最特定的路由。所有其他流量都會透過下一個相符路由 (在此情況下) 透過VPC對等連pcx-aaaacccc線進行路由。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPCA | VPC A CIDR block |
區域 |
Instance X IP address |
pcx-aaaabbbb | |
VPC C CIDR block |
pcx-aaaacccc | |
| VPCB | VPC B CIDR block |
區域 |
VPC A CIDR block |
pcx-aaaabbbb | |
| VPCC | VPC C CIDR block |
區域 |
VPC A CIDR block |
pcx-aaaacccc |
重要
如果 VPC B 中執行個體 X 以外的執行個體將流量傳送到 VPC A,則回應流量可能會路由到 VPC C 而不是 VPC B。如需詳細資訊,請參閱回應流量的路由。
多種VPC配置
在此配置中,有一個中央VPC(VPCA)在支點配置VPCs中與多個對等。在完整網格組態中,您也有三個 VPCs (VPCsX、Y 和 Z) 對等。
VPCD 還與 VPC X(pcx-ddddxxxx)具有VPC對等連接。VPCA 和 VPC X 具有重疊的CIDR塊。這意味著 VPC A 和 VPC D 之間的對等流量僅限於 D 中的特定子網(子網路 1),這是為了確保如果 VPC D 接收來自 VPC A 或 VPC X 的請求,它會將響應流量發送到正VPC確的VPC。 AWS 在檢查封包的來源 IP 並將回覆封包路由傳回至來源的VPC對等連線中,不支援單點傳送反向路徑轉送。如需詳細資訊,請參閱回應流量的路由。
同樣,VPCD 和 VPC Z 具有重疊的CIDR塊。VPCD 和 VPC X 之間的對等流量限制為 VPC D 中的子網路 2,VPCX 和 VPC Z 之間的對等流量限制為 VPC Z 中的子網路 1。這是為了確保如果 VPC X 接收來自 VPC D 或 VPC Z 的對等流量,它會將回應流量傳送回正確的回應流量。VPC
VPCsB、C、E、F 和 G 的路由表指向相關的對等連接以存取 A 的完整CIDR區塊,而 VPC A 路由表則指向 VPCs B、C、E、F 和 G 的相關對等連接以存取其完整CIDR區塊。VPC對於對等連接pcx-aaaadddd,VPCA 路由表將流量路由到 VPC D 中的子網路 1,D 中的子網路 1 路由表指向 A 的完整CIDR區塊。VPC VPC
VPCY 路由表指向相關的對等連線以存取 VPC X 和 VPC Z 的完整CIDR區塊,VPCZ 路由表指向相關的對等連線以存取 Y 的完整區CIDR塊VPC。VPC Z 中的子網路 1 路由表指向相關對等連線,以存取 Y 的完整區CIDR塊VPC。VPC X 路由表指向存取 VPC D 中子網路 2 和 Z 中的子網路 2 的相關對等連線。VPC
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPCA | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
Subnet 1 CIDR in VPC D |
pcx-aaaadddd | |
VPC E CIDR |
pcx-aaaaeeee | |
VPC F CIDR |
pcx-aaaaffff | |
VPC G CIDR |
pcx-aaaagggg | |
| VPCB | VPC B CIDR |
區域 |
VPC A CIDR |
pcx-aaaabbbb | |
| VPCC | VPC C CIDR |
區域 |
VPC A CIDR |
pcx-aaaacccc | |
| VPCD 中的子網路 1 | VPC D CIDR |
區域 |
VPC A CIDR |
pcx-aaaadddd | |
| VPCD 中的子網路 2 | VPC D CIDR |
區域 |
VPC X CIDR |
pcx-ddddxxxx | |
| VPCE | VPC E CIDR |
區域 |
VPC A CIDR |
pcx-aaaaeeee | |
| VPCF | VPC F CIDR |
區域 |
VPC A CIDR |
pcx-aaaaaffff | |
| VPCG | VPC G CIDR |
區域 |
VPC A CIDR |
pcx-aaaagggg | |
| VPCX | VPC X CIDR |
區域 |
Subnet 2 CIDR in VPC D |
pcx-ddddxxxx | |
VPC Y CIDR |
pcx-xxxxyyyy | |
Subnet 1 CIDR in VPC Z |
pcx-xxxxzzzz | |
| VPCY | VPC Y CIDR |
區域 |
VPC X CIDR |
pcx-xxxxyyyy | |
VPC Z CIDR |
pcx-yyyyzzzz | |
| VPCZ | VPC Z CIDR |
區域 |
VPC Y CIDR |
pcx-yyyyzzzz | |
VPC X CIDR |
pcx-xxxxzzzz |
