VPC具有特定路由的對等組態 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC具有特定路由的對等組態

您可以設定VPC對等連線的路由表,以限制對等網路區CIDR塊、特定區CIDR塊 (如果VPC有多個CIDR區塊) 或對等VPC中特定資源的存取。在這些範例中,一VPC個中心與至少兩個具有重疊CIDR圖塊VPCs的對等。

如需您可能需要特定對VPC等連線組態的案例範例,請參閱VPC對等連線網路案例。如需使用對VPC等連線的更多資訊,請參閱使用VPC對等連接。如需更新路由表的詳細資訊,請參閱更新對VPC等連線的路由表

兩個VPCs在一個訪問特定子網 VPC

在此配置中,有一個VPC具有兩個子網(VPCA)的中心,VPCA 和 VPC B()之間的對等連接以及 VPC A 和 VPC C(pcx-aaaabbbb)之間的對等連接。pcx-aaaacccc每個都VPC需要存取 A 中的其中一個子網路中VPC的資源。

兩個VPCs對等於兩個子網路 VPC

子網路 1 的路由表使用VPC對等連線pcx-aaaabbbb來存取 B 的整個CIDR區塊。VPC B 的路由表用pcx-aaaabbbb來存取 VPC A 中子網路 1 的CIDR區塊。子網路 2 的路由表使用VPC對等連線pcx-aaaacccc來存取 C 的整個CIDR區塊。VPC C 表的路由表用pcx-aaaacccc來存取 A 中子網路 2 的CIDR區塊。VPC VPC VPC

路由表 目的地 目標
子網路 1 (VPCA) VPC A CIDR 區域
VPC B CIDR pcx-aaaabbbb
子網路 2 (VPCA) VPC A CIDR 區域
VPC C CIDR pcx-aaaacccc
VPCB VPC B CIDR 區域
Subnet 1 CIDR pcx-aaaabbbb
VPCC VPC C CIDR 區域
Subnet 2 CIDR pcx-aaaacccc

您可以將此組態延伸至多個CIDR區塊。假設 VPC A 和 VPC B 同時具有IPv4和IPv6CIDR塊,並且子網 1 具有關聯的IPv6CIDR塊。您可以啟IPv6用 VPC B 透過使用VPC對等連線與 VPC A 中的子網路 1 進行通訊。為VPC此,請將路由添加到 A 的路由表,其中包含 VPC B IPv6 CIDR 塊的目的地,並添加到 VPC B 的路由表,其目的地為 VPC A 中子網 1 IPv6 CIDR 的路由。

路由表 目的地 目標 備註
VPCA 中的子網路 1 VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域 自動新增用IPv6於在VPC.
VPC B IPv4 CIDR pcx-aaaabbbb
VPC B IPv6 CIDR pcx-aaaabbbb 路由到 VPC B IPv6 CIDR 塊。
VPCA 中的子網路 2 VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域 自動新增用IPv6於在VPC.
VPC C IPv4 CIDR pcx-aaaacccc
VPCB VPC B IPv4 CIDR 區域
VPC B IPv6 CIDR 區域 自動新增用IPv6於在VPC.
Subnet 1 IPv4 CIDR pcx-aaaabbbb
Subnet 2 IPv4 CIDR pcx-aaaabbbb 路由到 IPv6 CIDR VPC A 的塊
VPCC VPC C IPv4 CIDR 區域
Subnet 2 IPv4 CIDR pcx-aaaacccc

兩個VPCs在一個訪問特定CIDR塊 VPC

在此配置中,存在一個中央VPC(VPCA),VPCA 和 VPC B()之間的對等連接以及 VPC A 和 VPC C(pcx-aaaabbbbpcx-aaaacccc)之間的對等連接。VPCA 對每個對等連線都有一個CIDR區塊。

路由表 目的地 目標
VPCA VPC A CIDR 1 區域
VPC A CIDR 2 區域
VPC B CIDR pcx-aaaabbbb
VPC C CIDR pcx-aaaacccc
VPCB VPC B CIDR 區域
VPC A CIDR 1 pcx-aaaabbbb
VPCC VPC C CIDR 區域
VPC A CIDR 2 pcx-aaaacccc

一VPC個訪問兩個特定子網 VPCs

在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCB 和 VPC C 各有兩個子網路。VPCA 和 VPC B 之間的對等連接僅使用 B 中的一個子網路VPC。A 和 C 之間VPC的對等連接僅使用 VPC C 中的其中一個子網路。VPC

一個與兩VPC個子網對等

當您擁有具有其他人VPCs需要存取VPC的單一資源集 (例如 Active Directory 服務) 的中央時,請使用此組態。中央VPC不需要完全訪問它與之相似的。VPCs

VPCA 的路由表使用對等連接僅存取對等中的特定子網路。VPCs子網路 1 的路由表使用與 VPC A 的對等連線來存取 VPC A 中的子網路。子網路 2 的路由表使用與 A 的對等連線來存取 VPC A 中的子網路。VPC

路由表 目的地 目標
VPCA VPC A CIDR 區域
Subnet 1 CIDR pcx-aaaabbbb
Subnet 2 CIDR pcx-aaaacccc
子網路 1 (VPCB) VPC B CIDR 區域
Subnet in VPC A CIDR pcx-aaaabbbb
子網路 2 (VPCC) VPC C CIDR 區域
Subnet in VPC A CIDR pcx-aaaacccc

回應流量的路由

如果您有多個具有重疊或匹配CIDR塊VPCs的對等,請確保已配置路由表,以避免將響應流量從您的發送VPC到不正VPC確的。VPC AWS 在檢查封包的來源 IP 並將回覆封包路由傳回至來源的VPC對等連線中,不支援單點傳送反向路徑轉送。

例如,VPCA 與 VPC B 和 C 對等,B 和 VPC VPC C VPC 具有匹配CIDR塊,並且它們的子網具有匹配CIDR的塊。VPCB 中子網路 2 的路由表指VPC向對等連接pcx-aaaabbbb以存取 VPC A 子網路。路由表格設定為傳送目的地至對等連線的VPCCIDR流量。VPC pcx-aaaaccccc

路由表 目的地 目標
子網路 2 (VPCB) VPC B CIDR 區域
Subnet in VPC A CIDR pcx-aaaabbbb
VPCA VPC A CIDR 區域
VPC C CIDR pcx-aaaacccc

假設 VPC B 中子網路 2 中的執行個體會使用VPC對等連線pcx-aaaabbbb將流量傳送到 VPC A 中的 Active Directory 伺服器。VPC會將回應流量傳送至作用中目錄伺服器。不過,路由表格設定為將VPCCIDR範圍內的所有流量傳送至VPC對等連pcx-aaaacccc線。VPC如果 VPC C 中的子網路 2 具有與子網中兩個子網路中的執行個體具有相同 IP 位址的VPC執行個體,則會從 VPC A 接收來自 A 的回應流量。VPC B 中子網路 2 中的執行個體不會收到對 VPC A 的要求的回應。

若要避免這種情況發生,您可以將特定路由新增至 VPC A 路由表格,而 VPC B 中CIDR的子網路 2 作為目的地和目標pcx-aaaabbbb。新路由較為明確,因此傳送至子網路 2 的流量會路CIDR由至VPC對等連線 pcx-aaaabbbb

或者,在下列範例中,VPCA 路由表具有每個對VPC等連線的每個子網路的路由。VPCA 可以與 B 中的子網路 VPC B 和 VPC C 中的子網路 A 通訊,如果您需要新增另一個與 VPC B 和 VPC C 位於相同位址範圍內的子網路的對VPC等連線,這個案例很有用,您只需為該特定子網路新增另一個路由即可。

目的地 目標
VPC A CIDR 區域
Subnet 2 CIDR pcx-aaaabbbb
Subnet 1 CIDR pcx-aaaacccc

或者,根據您的使用案例,您可以在 VPC B 中建立通往特定 IP 位址的路由,以確保流量路由回正確的伺服器 (路由表使用最長的前綴相符來排列路由的優先順序):

目的地 目標
VPC A CIDR 區域
Specific IP address in subnet 2 pcx-aaaabbbb
VPC B CIDR pcx-aaaacccc

一個執行個體中VPC存取兩個特定執行個體 VPCs

在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCA 有一個子網路,每個對等連線都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。

對等於兩個執行個VPC體的執行個體 VPCs

每個VPC路由表都指向相關的VPC對等連接,以訪問對等VPC中的單個 IP 地址(因此是特定的實例)。

路由表 目的地 目標
VPCA VPC A CIDR 區域
Instance 3 IP address pcx-aaaabbbb
Instance 4 IP address pcx-aaaacccc
VPCB VPC B CIDR 區域
Instance 1 IP address pcx-aaaabbbb
VPCC VPC C CIDR 區域
Instance 2 IP address pcx-aaaacccc

一個VPCVPCs使用最長前綴匹配訪問兩個

在這種配置中,有一個中央VPC(VPCA)與一個子網,VPCA 和 VPC B(pcx-aaaabbbb)之間的對等連接以及 VPC A 和 VPC C(pcx-aaaacccc)之間的對等連接。VPCB 和 VPC C 具有匹配CIDR塊。您可以使用VPC對等連pcx-aaaabbbb線,在 VPC A 和 VPC B 中的特定執行個體之間路由流量路由傳送至 VPC VPC B 和 VPC C 共用之CIDR位址範圍的所有其他流量。pcx-aaaacccc

使用最長前綴相符對等互連

VPC路由表使用最長的前綴匹配來選擇所需的對VPC等連接中最特定的路由。所有其他流量都會透過下一個相符路由 (在此情況下) 透過VPC對等連pcx-aaaacccc線進行路由。

路由表 目的地 目標
VPCA VPC A CIDR block 區域
Instance X IP address pcx-aaaabbbb
VPC C CIDR block pcx-aaaacccc
VPCB VPC B CIDR block 區域
VPC A CIDR block pcx-aaaabbbb
VPCC VPC C CIDR block 區域
VPC A CIDR block pcx-aaaacccc
重要

如果 VPC B 中執行個體 X 以外的執行個體將流量傳送到 VPC A,則回應流量可能會路由到 VPC C 而不是 VPC B。如需詳細資訊,請參閱回應流量的路由

多種VPC配置

在此配置中,有一個中央VPC(VPCA)在支點配置VPCs中與多個對等。在完整網格組態中,您也有三個 VPCs (VPCsX、Y 和 Z) 對等。

VPCD 還與 VPC X(pcx-ddddxxxx)具有VPC對等連接。VPCA 和 VPC X 具有重疊的CIDR塊。這意味著 VPC A 和 VPC D 之間的對等流量僅限於 D 中的特定子網(子網路 1),這是為了確保如果 VPC D 接收來自 VPC A 或 VPC X 的請求,它會將響應流量發送到正VPC確的VPC。 AWS 在檢查封包的來源 IP 並將回覆封包路由傳回至來源的VPC對等連線中,不支援單點傳送反向路徑轉送。如需詳細資訊,請參閱回應流量的路由

同樣,VPCD 和 VPC Z 具有重疊的CIDR塊。VPCD 和 VPC X 之間的對等流量限制為 VPC D 中的子網路 2,VPCX 和 VPC Z 之間的對等流量限制為 VPC Z 中的子網路 1。這是為了確保如果 VPC X 接收來自 VPC D 或 VPC Z 的對等流量,它會將回應流量傳送回正確的回應流量。VPC

多個互連組態

VPCsB、C、E、F 和 G 的路由表指向相關的對等連接以存取 A 的完整CIDR區塊,而 VPC A 路由表則指向 VPCs B、C、E、F 和 G 的相關對等連接以存取其完整CIDR區塊。VPC對於對等連接pcx-aaaadddd,VPCA 路由表將流量路由到 VPC D 中的子網路 1,D 中的子網路 1 路由表指向 A 的完整CIDR區塊。VPC VPC

VPCY 路由表指向相關的對等連線以存取 VPC X 和 VPC Z 的完整CIDR區塊,VPCZ 路由表指向相關的對等連線以存取 Y 的完整區CIDR塊VPC。VPC Z 中的子網路 1 路由表指向相關對等連線,以存取 Y 的完整區CIDR塊VPC。VPC X 路由表指向存取 VPC D 中子網路 2 和 Z 中的子網路 2 的相關對等連線。VPC

路由表 目的地 目標
VPCA VPC A CIDR 區域
VPC B CIDR pcx-aaaabbbb
VPC C CIDR pcx-aaaacccc
Subnet 1 CIDR in VPC D pcx-aaaadddd
VPC E CIDR pcx-aaaaeeee
VPC F CIDR pcx-aaaaffff
VPC G CIDR pcx-aaaagggg
VPCB VPC B CIDR 區域
VPC A CIDR pcx-aaaabbbb
VPCC VPC C CIDR 區域
VPC A CIDR pcx-aaaacccc
VPCD 中的子網路 1 VPC D CIDR 區域
VPC A CIDR pcx-aaaadddd
VPCD 中的子網路 2 VPC D CIDR 區域
VPC X CIDR pcx-ddddxxxx
VPCE VPC E CIDR 區域
VPC A CIDR pcx-aaaaeeee
VPCF VPC F CIDR 區域
VPC A CIDR pcx-aaaaaffff
VPCG VPC G CIDR 區域
VPC A CIDR pcx-aaaagggg
VPCX VPC X CIDR 區域
Subnet 2 CIDR in VPC D pcx-ddddxxxx
VPC Y CIDR pcx-xxxxyyyy
Subnet 1 CIDR in VPC Z pcx-xxxxzzzz
VPCY VPC Y CIDR 區域
VPC X CIDR pcx-xxxxyyyy
VPC Z CIDR pcx-yyyyzzzz
VPCZ VPC Z CIDR 區域
VPC Y CIDR pcx-yyyyzzzz
VPC X CIDR pcx-xxxxzzzz