與 VPC 的傳輸閘道連接 - Amazon VPC
VPC 連接生命週期建立與 VPC 的傳輸閘道連接修改您的 VPC 連接修改您的 VPC 連接標籤檢視 VPC 連接刪除 VPC 連接疑難排解 VPC 連接

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與 VPC 的傳輸閘道連接

將 VPC 連結至傳輸閘道時,必須從每個可用區域指定一個子網路,以供傳輸閘道使用來路由流量。從可用區域中指定一個子網路,可讓流量抵達該可用區域中所有子網路的資源。

限制

  • 若您將 VPC 連線至傳輸閘道時,位在可用區域中,但無傳輸閘道連接的任何資源將無法連線該傳輸閘道。如果子網路路由表中有傳輸閘道的路由,則只有當傳輸閘道在相同可用區域的子網路中有連接時,流量才會轉送至傳輸閘道。

  • 附加至傳輸閘道的 VPC 內的資源,無法存取同樣附加至該傳輸閘道的不同 VPC 內的安全群組。

  • 傳輸閘道不支援對連線之 VPC 的自訂 DNS 名稱使用 DNS 解析,而此 VPC 是在 Amazon Route 53 中使用私有託管區域所設定的。若要為連接到 Transit Gateway 的所有 VPC 設定私有託管區域的名稱解析,請參閱使用 Amazon Route 53 進行混合雲的集中式 DNS 管理和 AWS 傳輸閘道

  • 傳輸閘道不支援具有相同 CIDR 的 VPC 之間的路由。如果將 VPC 連接到傳輸閘道,且該 VPC 的 CIDR 與已連接到傳輸閘道的另一個 VPC 的 CIDR 相同,則新連接 VPC 的路由不會傳播到傳輸閘道路由表。

  • 您無法為駐留在本機區域的 VPC 子網路建立連接。但是,您可以設定網路,從而本機區域中的子網路可透過父可用區域連線至傳輸閘道。如需詳細資訊,請參閱將本機區域子網路連線至傳輸閘道

  • 您無法使用僅限 IPv6 的子網建立傳輸閘道連接。傳輸閘道連接子網也必須支援 IPv4 地址。

  • 傳輸閘道至少必須有一個 VPC 連接,才能將傳輸閘道新增至路由表。

VPC 連接生命週期

VPC 連接會經過各個階段,從請求啟動時開始。您在每個階段中都可以採取動作;生命週期結束後,VPC 連接仍會顯示於 Amazon Virtual Private Cloud Console 和 API 或命令列輸出中。

下圖顯示連接在單一帳戶組態中,或在開啟 Auto accept shared attachments (自動接受共享連接) 的跨帳戶組態中,可能經歷的狀態。

VPC 連接生命週期

  • Pending (待定):已啟動 VPC 連接並正處於佈建程序中的請求。在這個階段,連接可能會失敗,或者可以移至 available

  • Failing (失敗):VPC 連接的請求失敗。在這個階段,VPC 連接移至 failed

  • Failed (失敗):VPC 連接的請求已經失敗。處於此狀態時,無法將其刪除。失敗的 VPC 連接會保持可見 2 小時,然後不再可見。

  • Available (可用):VPC 連接可用,且流量可以在 VPC 和傳輸閘道之間流動。在這個階段,連接可以移至 modifying,或移至 deleting

  • Deleting (刪除中):正在刪除的 VPC 連接。在這個階段,連接可以移至 deleted

  • Deleted (已刪除):已刪除 available VPC 連接。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。

  • Modifying (修改中):已提出請求修改 VPC 連接的屬性。在這個階段,連接可以移至 available,或移至 rolling back

  • Rolling back (復原中):無法完成 VPC 連接修改請求,且系統正在復原所做的任何變更。在這個階段,連接可以移至 available

下圖顯示連接在關閉 Auto accept shared attachments (自動接受共享連接) 的跨帳戶組態中,可能經歷的狀態。

關閉 Auto accept shared attachments (自動接受共享連接) 的跨帳戶 VPC 連接生命週期

  • Pending-acceptance (待處理接受):VPC 連接請求正在等待接受。在這個階段,連接可以移至 pending、移至 rejecting,或移至 deleting

  • Rejecting (拒絕中):正在刪除的 VPC 連接。在這個階段,連接可以移至 rejected

  • Rejected (已拒絕):pending acceptance VPC 連接已被拒絕。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。

  • Pending (待定):已接受 VPC 連接並正處於佈建程序中。在這個階段,連接可能會失敗,或者可以移至 available

  • Failing (失敗):VPC 連接的請求失敗。在這個階段,VPC 連接移至 failed

  • Failed (失敗):VPC 連接的請求已經失敗。處於此狀態時,無法將其刪除。失敗的 VPC 連接會保持可見 2 小時,然後不再可見。

  • Available (可用):VPC 連接可用,且流量可以在 VPC 和傳輸閘道之間流動。在這個階段,連接可以移至 modifying,或移至 deleting

  • Deleting (刪除中):正在刪除的 VPC 連接。在這個階段,連接可以移至 deleted

  • Deleted (已刪除):已刪除 availablepending acceptance VPC 連接。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。

  • Modifying (修改中):已提出請求修改 VPC 連接的屬性。在這個階段,連接可以移至 available,或移至 rolling back

  • Rolling back (復原中):無法完成 VPC 連接修改請求,且系統正在復原所做的任何變更。在這個階段,連接可以移至 available

建立與 VPC 的傳輸閘道連接

使用主控台建立 VPC 連接

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。

  3. 選擇 Create transit gateway attachment (建立傳輸閘道連接)。

  4. Name tag (名稱標籤) 中,可選擇輸入傳輸閘道連接的名稱。

  5. Transit gateway ID (傳輸閘道 ID) 中,選擇用於連接的傳輸閘道。您可以選擇自己擁有的傳輸閘道,或是與您共享的傳輸閘道。

  6. Attachment type (連接類型)中,選擇 VPC

  7. 選擇是否要啟用 DNS SupportIPv6 Support應用裝置模式支援

    如果選擇應用裝置模式,則來源和目的地之間的流量在該流程的存留期內,VPC 附件會使用相同的可用區域。

  8. 對於 VPC ID,請選擇要連接至傳輸閘道的 VPC。

    此 VPC 必須至少有一個子網路與之建立關聯。

  9. 子網路 ID 中,為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。

  10. 選擇 Create transit gateway attachment (建立傳輸閘道連接)。

若要使用建立 VPC 附件 AWS CLI

使用 create-transit-gateway-vpc-附件命令。

修改您的 VPC 連接

使用主控台修改您的 VPC 連接

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。

  3. 選取 VPC 連接,然後選擇 Actions (動作)、Modify transit gateway attachment (修改傳輸閘道連接)。

  4. 若要啟用 DNS 支援,請選取 DNS support (DNS 支援)

  5. 若要將子網路新增至子網路旁邊的連接中,請選取該核取方塊。

    當連接處於修改狀態時,新增或修改 VPC 連接子網路可能會影響資料流量。

  6. 選擇 Modify transit gateway attachment (修改傳輸閘道連接)。

若要使用修改 VPC 附件 AWS CLI

使用 modify-transit-gateway-vpc-附件命令。

修改您的 VPC 連接標籤

使用主控台修改您的 VPC 連接標籤

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。

  3. 選取 VPC 連接,然後選擇 Actions (動作)、Manage tags (管理標籤)。

  4. [新增標籤] 選擇新增標籤,並執行下列動作:

    • 對於 Key (金鑰),輸入金鑰名稱。

    • 對於 Value (值),進入金鑰值。

  5. [移除標籤] 在標籤旁邊,選擇 Remove tag (移除標籤)

  6. 選擇 Save (儲存)。

    VPC 連接標籤只能使用主控台修改。

檢視 VPC 連接

使用主控台檢視您的 VPC 連接

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。

  3. Resource Type (資源類型) 欄中,尋找 VPC。這些是 VPC 連接。

  4. 選擇連接來檢視其詳細資訊。

若要使用檢視 VPC 附件 AWS CLI

使用 describe-transit-gateway-vpc-附件指令。

刪除 VPC 連接

使用主控台刪除 VPC 連接

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。

  3. 選取 VPC 連接。

  4. 選擇 Actions (動作)、Delete transit gateway attachment (刪除傳輸閘道連接)。

  5. 當出現提示時,輸入 delete,然後選擇 Delete (刪除)。

若要使用刪除 VPC 附件 AWS CLI

使用 delete-transit-gateway-vpc-附件命令。

疑難排解 VPC 連接建立

以下主題可協助您在建立 VPC 連接時對可能發生的問題進行疑難排解。

問題

VPC 連接失敗。

原因

原因可能為下列之一:

  1. 建立 VPC 連接的使用者沒有建立服務連結角色的正確許可。

  2. 由於 IAM 請求太多,因此存在調節問題,例如您正在使用 AWS CloudFormation 來建立許可和角色。

  3. 帳戶具有服務連結的角色,而且服務連結的角色已修改。

  4. 傳輸閘道未處於 available 狀態。

解決方案

視原因而定,請嘗試下列步驟:

  1. 確認使用者具有建立服務連結角色的正確許可。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可。使用者具有許可之後,建立 VPC 連接。

  2. 透過主控台或 API 手動建立 VPC 連接。如需詳細資訊,請參閱 建立與 VPC 的傳輸閘道連接

  3. 確認服務連結角色具有正確的許可。如需詳細資訊,請參閱 傳輸閘道服務連結角色

  4. 確認傳輸閘道處於 available 狀態。如需詳細資訊,請參閱 檢視傳輸閘道