本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
範例:隔離 VPC 與共享服務
您可以將傳輸閘道配置為使用共享服務的多個隔離路由器。這就類似於使用多個傳輸閘道,但更具彈性,可讓路由和附件變更。在此案例中,每個隔離路由器都有單一路由表。與隔離路由器相關聯的所有附件都會加以傳播,並與其路由表建立關聯。與一個隔離路由器相關聯的附件可彼此路由封包,但無法針對另一個隔離路由器的附件路由或接收封包。附件可以將路由封包至或從共享服務接收封包。當您有需要隔離但使用共享服務的群組 (例如生產系統) 時,您可以使用此案例。
概要
下圖顯示此案例組態的重要元件。來自 VPC A、VPC B 和 VPC C 中子網路的封包若以網際網路做為目的地,會先經過傳輸閘道然後路由傳送至 Site-to-Site VPN 的客戶閘道。來自 VPC A、VPC B 和 VPC C 中子網路的封包若以 VPC A、VPC B 和 VPC C 中子網路為目的地,經過傳輸閘道路由時會將它們封鎖,因為傳輸閘道路由表中沒有它們的路由。來自 VPC A、VPC B 和 VPC C 的封包若以 VPC D 為目的地,會經過傳輸閘道再路由傳送到 VPC D。
資源
您可以為此案例建立下列資源:
-
四個 VPC。如需建立 VPC 的相關資訊,請參閱 Amazon VPC 使用者指南中的建立 VPC。
-
傳輸閘道。如需詳細資訊,請參閱建立傳輸閘道。
-
傳輸閘道上的四個連接,每個 VPC 一個。如需更多詳細資訊,請參閱 建立與 VPC 的傳輸閘道連接。
-
傳輸閘道上的 Site-to-Site VPN 附件。如需更多詳細資訊,請參閱 建立附加至 VPN 的傳輸閘道連接。
請務必在 AWS Site-to-Site VPN 使用者指南中檢閱客戶閘道裝置的需求。
當 VPN 連線運作時,會建立 BGP 工作階段,並且 VPN CIDR 會傳播至傳輸閘道路由表,而 VPC CIDR 會新增至客戶閘道 BGP 表格。
-
每個隔離的 VPC 都與隔離的路由表相關聯,並傳播至共用路由表。
-
每個共用服務 VPC 都與共用路由表相關聯,並傳播至兩個路由表。
路由
每個 VPC 都有一個路由表,而傳輸閘道則有兩個路由表—一個用於 VPC,另一個用於 VPN 連線和共享服務 VPC。
VPC A、VPC B、VPC C 和 VPC D 路由表
每個 VPC 的路由表有兩個項目。第一個項目是 VPC 中本機路由的預設項目;該項目能讓此 VPC 中的執行個體互相通訊。第二個項目會將所有其他 IPv4 子網路流量路由傳送至傳輸閘道。
| 目的地 | 目標 |
|---|---|
| 10.1.0.0/16 | 區域 |
| 0.0.0.0/0 | 傳輸閘道 ID |
Transit Gateway 路由表
此案例會對 VPC 使用一個路由表,並對 VPN 連線使用一個路由表。
VPC A、B 和 C 連接與下列路由表關聯,該表具有 VPN 附件的傳播路由,以及 VPC D 附件的傳播路由。
| 目的地 | 目標 | 路由類型 |
|---|---|---|
| 10.99.99.0/24 | VPN 連接的附件 |
傳播 |
| 10.4.0.0/16 | VPC D 的附件 |
已傳播 |
VPN 連接和共用服務 VPC (VPC D) 連接與下列路由表相關聯,其中包含指向每個 VPC 連接的項目。如此可透過 VPN 連線和共用服務 VPC 與 VPC 進行通訊。
| 目的地 | 目標 | 路由類型 |
|---|---|---|
| 10.1.0.0/16 | VPC A 的連接 |
傳播 |
| 10.2.0.0/16 | VPC B 的連接 |
傳播 |
| 10.3.0.0/16 | VPC C 的連接 |
已傳播 |
如需更多詳細資訊,請參閱 將路由傳播至傳輸閘道路由表。
客戶閘道 BGP 表格
客戶閘道 BGP 表格包含所有四個 VPC 的 CIDR。
