本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
具有特定路由的VPC對等組態
您可以設定 VPC 對等連線的路由表,以限制對子網路 CIDR 區塊、特定 CIDR 區塊 (如果 VPC 有多個 CIDR 區塊) 或對等 VPC 中特定資源的存取。在這些範例中,中央 VPC 會與至少兩個具有重疊 VPCs 區塊的 CIDR 對等。
如需您可能需要特定 VPC 對等互連連線組態的案例範例,請參閱 VPC對等連線網路案例。如需使用 VPC 互連連線的詳細資訊,請參閱 使用VPC對等連接。如需更新路由表的詳細資訊,請參閱更新對VPC等連線的路由表。
組態
存取單一 VPCs 中特定子網路的兩個 VPC
在此組態中,有一個具有兩個子網路的中央 VPC (VPC A)、VPC A 和 VPC B (pcx-aaaabbbb) 之間的對等連線,以及 VPC A 和 VPC C () 之間的對等連線pcx-aaaacccc。每個 VPC 只需要存取 VPC A 中其中一個子網路中的資源。
子網路 1 的路由表使用 VPC 對等連線pcx-aaaabbbb來存取 VPC B 的整個 CIDR 區塊。VPC B 的路由表用於pcx-aaaabbbb存取 Word A 中CIDR子網路 1 的 VPC 區塊。子網路 2 的路由表使用 VPC 對等連線pcx-aaaacccc來存取 VPC C 的整個 CIDR 區塊。VPC C 的路由表用於pcx-aaaacccc存取 Word A 中子網路 2 的 VPC CIDR區塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 1 (VPC A) | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
| 子網路 2 (VPC A) | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
Subnet 1 CIDR |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
Subnet 2 CIDR |
pcx-aaaacccc |
您可以將此組態擴展到多個 CIDR 區塊。假設 VPC A 和 VPC B 同時具有 IPv4 和 CIDR IPv6 區塊,且該子網路 1 具有關聯的 IPv6 CIDR。您可以使用 VPC VPC對等連線,讓 VPC B 透過 IPv6 與子網路 1 通訊。若要執行此操作,請將路由新增至 VPC A 的路由表,其目的地為 IPv6 B 的 VPC CIDR區塊,以及將路由新增至 VPC B 的路由表,其目的地為 IPv6 A 中的子網路 1 的 VPC CIDR。
| 路由表 | 目的地 | 目標 | 備註 |
|---|---|---|---|
| VPC A 中的子網路 1 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 在 IPv6 內自動為 VPC 通訊新增的本機路由。 | |
VPC B IPv4 CIDR |
pcx-aaaabbbb | ||
VPC B IPv6 CIDR |
pcx-aaaabbbb | 路由至 IPv6 B 的 VPC CIDR區塊。 | |
| VPC A 中的子網路 2 | VPC A IPv4 CIDR |
區域 | |
VPC A IPv6 CIDR |
區域 | 在 IPv6 內自動為 VPC 通訊新增的本機路由。 | |
VPC C IPv4 CIDR |
pcx-aaaacccc | ||
| VPC B | VPC B IPv4 CIDR |
區域 | |
VPC B IPv6 CIDR |
區域 | 在 IPv6 內自動為 VPC 通訊新增的本機路由。 | |
Subnet 1 IPv4 CIDR |
pcx-aaaabbbb | ||
Subnet 1 IPv6 CIDR |
pcx-aaaabbbb | 路由至 IPv6 A 的 VPC CIDR區塊。 | |
| VPC C | VPC C IPv4 CIDR |
區域 | |
Subnet 2 IPv4 CIDR |
pcx-aaaacccc |
存取單一 VPCs 中特定 CIDR 區塊的兩個 VPC
在此組態中,有中央 VPC (VPC A)、VPC A 和 VPC B (pcx-aaaabbbb) 之間的對等連線,以及 VPC A 和 VPC C () 之間的對等連線pcx-aaaacccc。VPC字 A 每個對等連線都有一個單CIDR區塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR 1 |
區域 |
VPC A CIDR 2 |
區域 | |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
VPC A CIDR 1 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
VPC A CIDR 2 |
pcx-aaaacccc |
一個 VPC,可在兩個 VPCs 中存取特定子網路
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 和 VPC B (pcx-aaaabbbb) 之間的對等連線,以及 VPC A 和 VPC C () 之間的對等連線pcx-aaaacccc。VPC B 和單VPC C 各有兩個子網路。VPC A 和 VPC B 之間的對等連線僅使用 VPC B 中的其中一個子網路。VPC A 和 VPC C 之間的對等連線僅使用 VPC C 中的其中一個子網路。
當您的中央 VPC 具有一組其他 VPCs 需要存取的資源時,例如 Active Directory 服務,請使用此組態。中央 VPC 不需要完整存取與其對等的 VPCs。
VPC A 的路由表使用對等連線,僅存取對等 VPCs 中的特定子網路。子網路 1 的路由表使用與 VPC A 的對等連線來存取 VPC A 中的子網路。子網路 2 的路由表使用與 VPC A 的對等連線來存取 VPC A 中的子網路。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
Subnet 1 CIDR |
pcx-aaaabbbb | |
Subnet 2 CIDR |
pcx-aaaacccc | |
| 子網路 1 (VPC B) | VPC B CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaabbbb | |
| 子網路 2 (VPC C) | VPC C CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaacccc |
回應流量的路由
如果您的 VPC 與具有重疊或相符 CIDR 區塊的多個 VPCs 對等,請確定您的路由表已設定為避免將回應流量從 VPC 傳送到不正確的 VPC。 AWS 不支援在 VPC 對等連線中單點傳送反向路徑轉送,以檢查封包的來源 IP 並將回覆封包路由回來源。
例如,VPC A 與 VPC B 和 VPC C 對等。VPC B 和 VPC C 具有相符的 CIDR 區塊,且其子網路具有相符的 CIDR 區塊。VPC B 中子網路 2 的路由表指向 VPC 對等連線pcx-aaaabbbb,以存取 VPC A 子網路。VPC A 路由表設定為將目的地為 VPC 的流量傳送至CIDR對等連線 pcx-aaaaccccc。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| 子網路 2 (VPC B) | VPC B CIDR |
區域 |
Subnet in VPC A CIDR |
pcx-aaaabbbb | |
| VPC A | VPC A CIDR |
區域 |
VPC C CIDR |
pcx-aaaacccc |
假設 VPC B 中子網路 2 中的執行個體使用 VPC 對等連線 將流量傳送到 VPC A 中的 Active Directory 伺服器pcx-aaaabbbb。VPC A 會將回應流量傳送至 Active Directory 伺服器。不過,VPC A 路由表設定為將 VPC CIDR範圍內的所有流量傳送到 VPC 對等連線 pcx-aaaacccc。如果 VPC C 中的子網路 2 的執行個體與 VPC B 的子網路 2 中的執行個體具有相同的 IP 地址,則會從 VPC A 接收回應流量。VPC B 中子網路 2 中的執行個體不會收到對 VPC A 請求的回應。
若要防止這種情況,您可以將特定路由新增至 VPC A 路由表,其中 CIDR B 中的子網路 2 的 VPC 作為目的地和 的目標pcx-aaaabbbb。新路由更具體,因此子網路 2 CIDR 的流量會路由至 VPC 對等連線 pcx-aaaabbbb
或者,在下列範例中,VPC A 路由表具有每個 VPC 對等互連連線每個子網路的路由。VPC A 可以與 VPC B 中的子網路 B 和 VPC C 中的子網路 A 通訊。如果您需要新增另一個 VPC 對等連線與另一個子網路,而該子網路的地址範圍與 VPC B 和 VPC C 相同,則此案例很有用,您只需為該特定子網路新增另一個路由即可。
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
Subnet 2 CIDR |
pcx-aaaabbbb |
Subnet 1 CIDR |
pcx-aaaacccc |
或者,根據您的使用案例,您可以在 VPC B 中建立路由至特定 IP 地址,以確保路由回正確伺服器的流量 (路由表使用最長的字首比對來排定路由的優先順序):
| 目的地 | 目標 |
|---|---|
VPC A CIDR |
區域 |
Specific IP address in subnet 2 |
pcx-aaaabbbb |
VPC B CIDR |
pcx-aaaacccc |
一個 VPC 中存取兩個 VPCs 中特定執行個體的執行個體
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 和 VPC B (pcx-aaaabbbb) 之間的對等連線,以及 VPC A 和 VPC C () 之間的對等連線pcx-aaaacccc。VPC A 具有一個子網路,每個對等連線都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。
每個 VPC 路由表都會指向相關的 VPC 對等連線,以存取對等 VPC 中的單一 IP 地址 (因此是特定執行個體)。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
Instance 3 IP address |
pcx-aaaabbbb | |
Instance 4 IP address |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
區域 |
Instance 1 IP address |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
Instance 2 IP address |
pcx-aaaacccc |
一個使用最長字首相符項目存取兩個 VPCs 的VPC
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 和 VPC B (pcx-aaaabbbb) 之間的對等連線,以及 VPC A 和 VPC C () 之間的對等連線pcx-aaaacccc。VPC B 和 VPC C 具有相符的 CIDR 區塊。您可以使用 VPC 對等連線pcx-aaaabbbb,在 VPC A 和 VPC B 中的特定執行個體之間路由流量。所有其他流量,其目的地為 VPC B 和 VPC C 共用的 CIDR 地址範圍,都會透過 路由至 VPC Cpcx-aaaacccc。
VPC 路由表使用最長的字首比對,在預期的 VPC 對等互連之間選取最具體的路由。所有其他流量都會透過下一個相符的路由路由,在此情況下,透過 VPC 對等連線 路由pcx-aaaacccc。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR block |
區域 |
Instance X IP address |
pcx-aaaabbbb | |
VPC C CIDR block |
pcx-aaaacccc | |
| VPC B | VPC B CIDR block |
區域 |
VPC A CIDR block |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR block |
區域 |
VPC A CIDR block |
pcx-aaaacccc |
重要
如果 VPC B 中執行個體 X 以外的執行個體將流量傳送到 VPC A,回應流量可能會路由至 VPC C,而不是 VPC B。如需詳細資訊,請參閱 回應流量的路由。
多個 VPC 組態
在此組態中,有一個中央 VPC (VPC A) 與發言組態中的多個 VPCs 對等。您也可以在完整的網格組態中對等三個 VPCs (VPCs X、Y 和 Z)。
VPC D 也具有與 VPC X () 的 VPC 對等連線pcx-ddddxxxx。VPC字 A 和VPC X 有重疊的CIDR區塊。這表示 VPC A 和 VPC D 之間的對等流量僅限於 VPC D 中的特定子網路 (子網路 1)。這是為了確保如果 VPC D 收到來自 VPC A 或 VPC X 的請求,它會將回應流量傳送到正確的 VPC。 AWS 不支援在檢查封包來源 IP 並將回覆封包路由傳回來源的 VPC 對等連線中單點傳送反向路徑轉送。如需詳細資訊,請參閱回應流量的路由。
同樣地,VPC D 和 VPC Z 具有重疊的 CIDR 區塊。VPC D 和 VPC X 之間的對等流量僅限於 VPC D 中的子網路 2,VPC X 和 VPC Z 之間的對等流量僅限於 VPC Z 中的子網路 1。這是為了確保如果 VPC X 從 VPC D 或 VPC Z 接收對等流量,則會將回應流量傳回正確的 VPC。
VPCs B、C、E、F 和 G 的路由表指向相關的對等連線,以存取 CIDR A 的完整 VPC 區塊,而 VPC A 路由表指向 VPCs B、C、E、F 和 G 的相關對等連線,以存取其完整的 CIDR 區塊。對於對等連線 pcx-aaaadddd,VPC A 路由表只會將流量路由至 VPC D 中的子網路 1,而 VPC D 中的子網路 1 路由表會指向 CIDR A 的完整 VPC 區塊。
VPC Y 路由表指向相關的對等連線,以存取 VPC X 和 VPC Z 的完整 CIDR 區塊,而 VPC Z 路由表指向相關的對等連線,以存取 VPC Y 的完整 CIDR 區塊。VPC Z 中的子網路 1 路由表指向相關的對等連線,以存取 VPC Y 的完整 CIDR 區塊。VPC X 路由表指向相關的對等連線,以存取 VPC D 中的子網路 2 和 VPC Z 中的子網路 1。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | VPC A CIDR |
區域 |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
Subnet 1 CIDR in VPC D |
pcx-aaaadddd | |
VPC E CIDR |
pcx-aaaaeeee | |
VPC F CIDR |
pcx-aaaaffff | |
VPC G CIDR |
pcx-aaaagggg | |
| VPC B | VPC B CIDR |
區域 |
VPC A CIDR |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
區域 |
VPC A CIDR |
pcx-aaaacccc | |
| VPC D 中的子網路 1 | VPC D CIDR |
區域 |
VPC A CIDR |
pcx-aaaadddd | |
| VPC D 中的子網路 2 | VPC D CIDR |
區域 |
VPC X CIDR |
pcx-ddddxxxx | |
| VPC E | VPC E CIDR |
區域 |
VPC A CIDR |
pcx-aaaaeeee | |
| VPC F | VPC F CIDR |
區域 |
VPC A CIDR |
pcx-aaaaaffff | |
| VPC G | VPC G CIDR |
區域 |
VPC A CIDR |
pcx-aaaagggg | |
| VPC X | VPC X CIDR |
區域 |
Subnet 2 CIDR in VPC D |
pcx-ddddxxxx | |
VPC Y CIDR |
pcx-xxxxyyyy | |
Subnet 1 CIDR in VPC Z |
pcx-xxxxzzzz | |
| VPC Y | VPC Y CIDR |
區域 |
VPC X CIDR |
pcx-xxxxyyyy | |
VPC Z CIDR |
pcx-yyyyzzzz | |
| VPC Z | VPC Z CIDR |
區域 |
VPC Y CIDR |
pcx-yyyyzzzz | |
VPC X CIDR |
pcx-xxxxzzzz |
