https://docs.aws.amazon.com/zh_cn/vpc/latest/peering/peering-configurations-partial-access.html
您可以配置 VPC 對等連接以便訪問對等 VPC 內的部分 CIDR 塊、特定 CIDR 塊(如果 VPC 有多個 CIDR 塊)或特定實例。在這些示例中,一個中心 VPC 與具有重疊 CIDR 塊的兩個或更多 VPC 對等。有關可能需要特定 VPC 對等連接配置的方案示例,請參閱VPC 對等方案。有關創建和使用 VPC 對等連接的更多信息,請參閱使用 VPC 對等連接。有關更新路由表的更多信息,請參閱為 VPC 對等連接更新路由表。
配置
兩個 VPC 與一個 VPC 中的兩個子網對等
您有一個中心 VPC (VPC A),在 VPC A 與 VPC B 之間具有 VPC 對等連接 (pcx-aaaabbbb),並且在 VPC A 與 VPC C 之間具有 VPC 對等連接 (pcx-aaaacccc)。VPC A 具有兩個子網:每個 VPC 對等連接各一個。
當您的中心 VPC 在不同子網中具有單獨資源集時,可能需要使用這種類型的配置。其他 VPC 可能需要訪問某些資源,但不是所有資源。
子網 X 的路由表指向 VPC 對等連接 pcx-aaaabbbb 以訪問 VPC B 的整個 CIDR 塊。VPC B 的路由表指向 pcx-aaaabbbb 以便僅訪問 VPC A 中子網 X 的 CIDR 塊。同樣,子網 Y 的路由表指向 VPC 對等連接 pcx-aaaacccc 以訪問 VPC C 的整個 CIDR 塊。VPC C 的路由表指向 pcx-aaaacccc 以便僅訪問 VPC A 中子網 Y 的 CIDR 塊。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A 中的子網 X | 172.16.0.0/16 | 本地 |
| 10.0.0.0/16 | pcx-aaaabbbb | |
| VPC A 中的子網 Y | 172.16.0.0/16 | 本地 |
| 10.0.0.0/16 | pcx-aaaacccc | |
| VPC B | 10.0.0.0/16 | 本地 |
| 172.16.0.0/24 | pcx-aaaabbbb | |
| VPC C | 10.0.0.0/16 | 本地 |
| 172.16.1.0/24 | pcx-aaaacccc |
同樣,中心 VPC (VPC A) 可以有多個 CIDR 塊,而 VPC B 和 VPC C 可以與每個 CIDR 塊的子網都有 VPC 對等連接。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A 中的子網 X | 10.2.0.0/16 | 本地 |
| 10.3.0.0/16 | 本地 | |
| 10.0.0.0/16 | pcx-aaaabbbb | |
| VPC A 中的子網 Y | 10.2.0.0/16 | 本地 |
| 10.3.0.0/16 | 本地 | |
| 10.0.0.0/16 | pcx-aaaacccc | |
| VPC B | 10.0.0.0/16 | 本地 |
| 10.2.0.0/24 | pcx-aaaabbbb | |
| VPC C | 10.0.0.0/16 | 本地 |
| 10.3.0.0/24 | pcx-aaaacccc |
有關更多信息,請參閱 Amazon VPC 用戶指南 中的向 VPC 中添加 IPv4 CIDR 塊。
兩個 VPC 與一個用於 IPv6 的 VPC 中的兩個子網對等
您的 VPC 對等配置如上所示。啟用了 VPC A 和 VPC B 進行 IPv6 通信 – 兩個 VPC 都具有關聯的 IPv6 CIDR 塊,VPC A 中的子網 X 具有關聯的 IPv6 CIDR 塊。
您可以使用 VPC 對等連接使 VPC B 能夠通過 IPv6 與 VPC A 中的子網 X 通信。為此,請為 VPC A 的路由表添加一條目標為 VPC B 的 IPv6 CIDR 塊的路由,並為 VPC B 的路由表添加一條目標為 VPC A 中子網 X 的 IPv6 CIDR 塊的路由。
| 路由表 | 目的地 | 目標 | 備注 |
|---|---|---|---|
| VPC A 中的子網 X | 172.16.0.0/16 | 本地 | |
| 2001:db8:abcd:aa00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 10.0.0.0/16 | pcx-aaaabbbb | ||
| 2001:db8:1234:bb00::/56 | pcx-aaaabbbb | 到 VPC B 的 IPv6 CIDR 塊的路由。 | |
| VPC A 中的子網 Y | 172.16.0.0/16 | 本地 | |
| 2001:db8:abcd:aa00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 10.0.0.0/16 | pcx-aaaacccc | ||
| VPC B | 10.0.0.0/16 | 本地 | |
| 2001:db8:1234:bb00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 172.16.0.0/24 | pcx-aaaabbbb | ||
| 2001:db8:abcd:aa00::/64 | pcx-aaaabbbb | 到 VPC A 的 IPv6 CIDR 塊的路由。 | |
| VPC C | 10.0.0.0/16 | 本地 | |
| 172.16.1.0/24 | pcx-aaaacccc |
兩個 VPC 與一個 VPC 中的特定 CIDR 塊對等
您有一個中心 VPC (VPC A),在 VPC A 與 VPC B 之間具有 VPC 對等連接 (pcx-aaaabbbb),並且在 VPC A 與 VPC C 之間具有 VPC 對等連接 (pcx-aaaacccc)。VPC A 具有兩個 CIDR 塊,每個 VPC 對等連接各一個。
| 路由表 | 目的地 | 目標 | 備注 |
|---|---|---|---|
| VPC A 中的子網 X | 172.16.0.0/16 | 本地 | |
| 2001:db8:abcd:aa00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 10.0.0.0/16 | pcx-aaaabbbb | ||
| 2001:db8:1234:bb00::/56 | pcx-aaaabbbb | 到 VPC B 的 IPv6 CIDR 塊的路由。 | |
| VPC A 中的子網 Y | 172.16.0.0/16 | 本地 | |
| 2001:db8:abcd:aa00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 10.0.0.0/16 | pcx-aaaacccc | ||
| VPC B | 10.0.0.0/16 | 本地 | |
| 2001:db8:1234:bb00::/56 | 本地 | VPC 中自動添加的用於 IPv6 通信的本地路由。 | |
| 172.16.0.0/24 | pcx-aaaabbbb | ||
| 2001:db8:abcd:aa00::/64 | pcx-aaaabbbb | 到 VPC A 的 IPv6 CIDR 塊的路由。 | |
| VPC C | 10.0.0.0/16 | 本地 | |
| 172.16.1.0/24 | pcx-aaaacccc |
有關更多信息,請參閱 Amazon VPC 用戶指南 中的向 VPC 中添加 IPv4 CIDR 塊。
一個 VPC 與兩個 VPC 中的特定子網對等
您有帶一個子網的中心 VPC (VPC A),在 VPC A 與 VPC B 之間具有 VPC 對等連接 (pcx-aaaabbbb),並且在 VPC A 與 VPC C 之間具有 VPC 對等連接 (pcx-aaaacccc)。VPC B 和 VPC C 各自具有兩個子網,每個 VPC 中只有一個子網用於與 VPC A 的對等連接。
當您在中心 VPC 上具有單個資源集 (如 Active Directory 服務) 時,可能需要使用這種類型的配置。中心 VPC 無需可完全訪問與之對等的 VPC。
VPC A 的路由表同時指向兩個 VPC 對等連接以便僅訪問 VPC B 和 VPC C 中的特定子網。VPC B 和 VPC C 中子網的路由表指向其 VPC 對等連接以訪問 VPC A 的子網。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | 172.16.0.0/16 | 本地 |
| 10.0.0.0/24 | pcx-aaaabbbb | |
| 10.0.1.0/24 | pcx-aaaacccc | |
| VPC B 中的子網 A | 10.0.0.0/16 | 本地 |
| 172.16.0.0/24 | pcx-aaaabbbb | |
| VPC C 中的子網 B | 10.0.0.0/16 | 本地 |
| 172.16.0.0/24 | pcx-aaaacccc |
響應流量路由
如果您的某個 VPC 與多個具有重疊或匹配的 CIDR 塊的 VPC 對等,請確保路由表配置為不從您的 VPC 向不正確的 VPC 發送響應流量。AWS 當前不支持在 VPC 對等連接中進行單一地址反向傳輸路徑轉發,即檢查數據包的源 IP 並將應答數據包路由回源。
例如,VPC A 與 VPC B 和 VPC C 具有對等關系。VPC B 和 VPC C 具有匹配 CIDR 塊,並且其子網具有匹配 CIDR 塊。VPC B 中子網 B 的路由表指向 VPC 對等連接 pcx-aaaabbbb 以訪問 VPC A 的子網。VPC A 的路由表配置為將 10.0.0.0/16 流量發送到對等連接 pcx-aaaaccccc。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC B 中的子網 B | 10.0.0.0/16 | 本地 |
| 172.16.0.0/24 | pcx-aaaabbbb | |
| VPC A | 172.16.0.0/24 | 本地 |
| 10.0.0.0/16 | pcx-aaaacccc |
VPC B 的子網 B 中私有 IP 地址為 10.0.1.66/32 的實例使用 VPC 對等連接 pcx-aaaabbbb 向 Active Directory 服務器發送流量。VPC A 向 10.0.1.66/32 發送響應流量。但 VPC A 路由表配置為將 10.0.0.0/16 IP 地址范圍中的所有流量都發送到 VPC 對等連接 pcx-aaaacccc。如果 VPC C 中的子網 B 具有 IP 地址為 10.0.1.66/32 的實例,則它從 VPC A 接收響應流量。VPC B 中子網 B 內的實例不接收對其到 VPC A 的請求的響應。
為了防止這種情況,您可以將某個特定路由添加到 VPC A 的路由表,其目的地為 10.0.1.0/24,目標為 pcx-aaaabbbb。10.0.1.0/24 流量的路由更明確,因此,前往 10.0.1.0/24 IP 地址范圍的流量將通過 VPC 對等連接 pcx-aaaabbbb 流動
或者,在以下示例中,VPC A 的路由表針對每個 VPC 對等連接具有每個子網的路由。VPC A 可以與 VPC B 中的子網 B 以及 VPC C 中的子網 A 進行通信。如果您需要添加與位於 10.0.0.0/16 IP 地址范圍內的另一子網的其他 VPC 對等連接,則此情況非常有用,您只需為該特定子網添加其他路由即可。
| 目的地 | 目標 |
|---|---|
| 172.16.0.0/16 | 本地 |
| 10.0.1.0/24 | pcx-aaaabbbb |
| 10.0.0.0/24 | pcx-aaaacccc |
或者,根據您的使用案例,您可以創建到 VPC B 中特定 IP 地址的路由,確保將流量路由回正確的服務器 (路由表使用最長前綴匹配來確定路由的優先級):
| 目的地 | 目標 |
|---|---|
| 172.16.0.0/16 | 本地 |
| 10.0.1.66/32 | pcx-aaaabbbb |
| 10.0.0.0/16 | pcx-aaaacccc |
一個 VPC 中的實例與兩個 VPC 中的實例對等
您有帶一個子網的中心 VPC (VPC A),在 VPC A 與 VPC B 之間具有 VPC 對等連接 (pcx-aaaabbbb),並且在 VPC A 與 VPC C 之間具有 VPC 對等連接 (pcx-aaaacccc)。VPC A 的一個子網具有多個實例;其對等的每個 VPC 各一個。您可能需要使用這種類型的配置將對等流量限制到特定實例。
每個 VPC 的路由表都指向相關 VPC 對等連接,以訪問對等 VPC 中的單個 IP 地址 (因而訪問特定實例)。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | 172.16.0.0/16 | 本地 |
| 10.0.0.44/32 | pcx-aaaabbbb | |
| 10.0.0.55/32 | pcx-aaaacccc | |
| VPC B | 10.0.0.0/16 | 本地 |
| 172.16.0.88/32 | pcx-aaaabbbb | |
| VPC C | 10.0.0.0/16 | 本地 |
| 172.16.0.99/32 | pcx-aaaacccc |
一個 VPC 與使用最長前綴匹配的兩個 VPC 具有對等關系
您有帶一個子網的中心 VPC (VPC A),在 VPC A 與 VPC B 之間具有 VPC 對等連接 (pcx-aaaabbbb),並且在 VPC A 與 VPC C 之間具有 VPC 對等連接 (pcx-aaaacccc)。VPC B 和 VPC C 具有匹配 CIDR 塊。您要使用 VPC 對等連接 pcx-aaaabbbb 在 VPC A 與 VPC B 中特定實例之間路由流量。以 10.0.0.0/16 IP 地址范圍為目標的所有其他流量都通過 pcx-aaaacccc 在 VPC A 與 VPC C 之間路由。
VPC 路由表使用最長前綴匹配選擇跨預期 VPC 對等連接的最具體路由。所有其他流量都通過下一個匹配路由 (在此例中,跨 VPC 對等連接 pcx-aaaacccc) 進行路由。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | 172.16.0.0/16 | 本地 |
| 10.0.0.77/32 | pcx-aaaabbbb | |
| 10.0.0.0/16 | pcx-aaaacccc | |
| VPC B | 10.0.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaabbbb | |
| VPC C | 10.0.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaacccc |
重要
如果 VPC B 中除 10.0.0.77/32 之外的實例向 VPC A 發送流量,則響應流量可能會路由到 VPC C,而不是 VPC B。有關更多信息,請參閱響應流量路由。
多 VPC 配置
在此示例中,一個中心 VPC (VPC A) 采用輪輻型配置與多個 VPC 對等。有關此類型的配置的更多信息,請參閱一個 VPC 與多個 VPC 具有對等關系。您還具有采用完全網狀配置相互對等的三個 VPC (VPC M、N 和 P)。有關此類型的配置的更多信息,請參閱相互對等的三個 VPC。
VPC C 還具有與 VPC M 之間的 VPC 對等連接 (pcx-ccccmmmm)。VPC A 和 VPC M 具有重疊 CIDR 塊。這意味着 VPC A 與 VPC C 之間的對等流量限制到 VPC C 中的特定子網(子網 A)。這樣是為了確保如果 VPC C 從 VPC A 或 VPC M 接收請求,則它會將響應流量發送到正確的 VPC。AWS 當前不支持在 VPC 對等連接中進行單一地址反向傳輸路徑轉發,即檢查數據包的源 IP 並將應答數據包路由回該源。有關更多信息,請參閱 響應流量路由。
同樣,VPC C 和 VPC P 具有重疊 CIDR 塊。VPC M 與 VPC C 之間的對等流量限制到 VPC C 中的子網 B,VPC M 與 VPC P 之間的對等流量限制到 VPC P 中的子網 A。這樣是為了確保如果 VPC M 從 VPC C 或 VPC P 接收對等流量,則它會將響應流量發送回正確的 VPC。
VPC B、D、E、F 和 G 的路由表指向相關對等連接以訪問 VPC A 的完整 CIDR 塊,VPC A 的路由表指向 VPC B、D、E、F 和 G 的相關對等連接以訪問其完整 CIDR 塊。對於對等連接 pcx-aaaacccc,VPC A 的路由表僅將流量路由到 VPC C 中的子網 A (192.168.0.0/24),VPC C 中子網 A 的路由表指向 VPC A 的完整 CIDR 塊。
VPC N 的路由表指向相關對等連接以訪問 VPC M 和 VPC P 的完整 CIDR 塊,VPC P 的路由表指向相關對等連接以訪問 VPC N 的完整 CIDR 塊。VPC P 中子網 A 的路由表指向相關對等連接以訪問 VPC M 的完整 CIDR 塊。VPC M 的路由表指向相關對等連接以訪問 VPC C 中的子網 B 和 VPC P 中的子網 A。
| 路由表 | 目的地 | 目標 |
|---|---|---|
| VPC A | 172.16.0.0/16 | 本地 |
| 10.0.0.0/16 | pcx-aaaabbbb | |
| 192.168.0.0/24 | pcx-aaaacccc | |
| 10.2.0.0/16 | pcx-aaaadddd | |
| 10.3.0.0/16 | pcx-aaaaeeee | |
| 172.17.0.0/16 | pcx-aaaaffff | |
| 10.4.0.0/16 | pcx-aaaagggg | |
| VPC B | 10.0.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaabbbb | |
| VPC C 中的子網 A | 192.168.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaacccc | |
| VPC C 中的子網 B | 192.168.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-ccccmmmm | |
| VPC D | 10.2.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaadddd | |
| VPC E | 10.3.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaaeeee | |
| VPC F | 172.17.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaaaffff | |
| VPC G | 10.4.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-aaaagggg | |
| VPC M | 172.16.0.0/16 | 本地 |
| 192.168.1.0/24 | pcx-ccccmmmm | |
| 10.0.0.0/16 | pcx-mmmmnnnn | |
| 192.168.0.0/24 | pcx-mmmmpppp | |
| VPC N | 10.0.0.0/16 | 本地 |
| 172.16.0.0/16 | pcx-mmmmnnnn | |
| 192.168.0.0/16 | pcx-nnnnpppp | |
| VPC P | 192.168.0.0/16 | 本地 |
| 10.0.0.0/16 | pcx-nnnnpppp | |
| 172.16.0.0/16 | pcx-mmmmpppp |