Amazon Virtual Private Cloud
VPC 对等指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

VPC 对等基本知识

要建立 VPC 对等连接,请执行以下操作:

  1. 请求者 VPC 的所有者向接受者 VPC 的所有者发送创建 VPC 对等连接的请求。接受者 VPC 可以归您或其他 AWS 账户所有,不能包含与请求者 VPC 的 CIDR 块重叠的 CIDR 块。

  2. 接受者 VPC 的所有者接受 VPC 对等连接请求以激活 VPC 对等连接。

  3. 要使用私有 IP 地址实现流量在 VPC 之间的流动,VPC 对等连接中每个 VPC 的所有者必须向其一个或多个 VPC 路由表添加指向其他 VPC (对等 VPC) 的 IP 地址范围的路由。

  4. 如果需要,请更新与您的实例关联的安全组规则以确保进出对等 VPC 的流量不受限制。您可以引用对等 VPC 中的安全组作为安全组规则中入口或出口规则的源或目标。

  5. 如果需要,请修改您的 VPC 连接以启用 DNS 主机名解析。默认情况下,如果 VPC 对等连接任一侧的实例使用公有 DNS 主机名相互进行寻址,则主机名会解析为实例的公有 IP 地址。

有关创建和使用 VPC 对等连接的更多信息,请参阅使用 VPC 对等连接

VPC 对等连接的生命周期

从发起请求时开始,VPC 对等连接会经过各个阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 对等连接仍会在 Amazon VPC 控制台和 API 或命令行输出中继续显示一段时间。

 VPC 对等连接的生命周期
  • Initiating-request (发起请求):已发起 VPC 对等连接请求。在这一阶段中,对等连接可能失败或可能转到 pending-acceptance

  • Failed (已失败):VPC 对等连接请求失败。在这一阶段中,无法选择接受或拒绝。请求者仍可在 2 个小时内看到失败的 VPC 对等连接。

  • Pending-acceptance:等待接受者 VPC 的所有者接受 VPC 对等连接请求。在这一阶段中,请求者 VPC 的所有者可以删除此请求,接受者 VPC 的所有者可以接受或拒绝此请求。如果双方均未对此请求执行任何操作,该请求将在 7 天后过期。

  • Expired (已过期):VPC 对等连接请求已过期,任一 VPC 所有者都无法再对该请求执行任何操作。两个 VPC 所有者仍可以在 2 天内看到已过期的 VPC 对等连接。

  • Rejected:接受者 VPC 的所有者拒绝了 pending-acceptance VPC 对等连接请求。在这一阶段中,无法接受请求。请求者 VPC 的所有者仍可以在 2 天内看到已拒绝的 VPC 对等连接,接受者 VPC 的所有者仍可在 2 个小时内看到此对等连接。如果请求是在同一 AWS 账户内创建的,则已拒绝的请求会继续显示 2 个小时。

  • Provisioning (正在预置):VPC 对等连接请求已接受,即将处于 active 状态。

  • Active (活动):VPC 对等连接处于活动状态。在这一阶段中,任一 VPC 所有者都可以删除 VPC 对等连接,但是无法拒绝它。

  • Deleted (已删除):任一 VPC 拥有者已删除了 active 的 VPC 对等连接,或请求者 VPC 的拥有者已删除了 pending-acceptance 的 VPC 对等连接请求。在这一阶段中,无法接受或拒绝 VPC 对等连接。VPC 对等连接仍会向其删除方继续显示 2 个小时,向另一方显示 2 天。如果 VPC 对等连接是在同一 AWS 账户内创建的,则已删除的请求仍将继续显示 2 个小时。

多个 VPC 对等连接

VPC 对等连接是两个 VPC 之间的一对一关系。您可以为您所拥有的每个 VPC 创建多个 VPC 对等连接,但是不支持传递的对等关系:您与不与您的 VPC 直接对等的 VPC 没有任何对等关系。

下图举例说明一个 VPC 与两个不同的 VPC 具有对等关系。图中有两个 VPC 对等连接:VPC A 同时与 VPC B 和 VPC C 具有对等关系。VPC B 与 VPC C 不对等,并且您不能将 VPC A 用作 VPC B 和 VPC C 之间的对等中转点。如果您要在 VPC B 和 VPC C 之间支持流量路由,必须在这两者之间创建一个唯一的 VPC 对等连接。

 一个 VPC 与两个 VPC 具有对等关系

VPC 对等连接的定价

在 VPC 对等连接内传输数据的费用与在可用区之间传输数据的费用相同。有关更多信息,请参阅 Amazon EC2 定价

VPC 对等限制

要创建与其他 VPC 之间的 VPC 对等连接,您需要了解以下限制和规则:

  • 您无法在具有匹配或重叠的 IPv4 或 IPv6 CIDR 块的 VPC 之间创建 VPC 对等连接。Amazon 将始终为您的 VPC 分配唯一的 IPv6 CIDR 块。如果您的 IPv6 CIDR 块唯一但 IPv4 块不唯一,则无法创建对等连接。

  • 您无法在位于不同区域中的 VPC 之间创建 VPC 对等连接。

  • 您只能为每个 VPC 创建数量有限的活动和待定 VPC 对等连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的 Amazon VPC 限制

  • VPC 对等不支持传递的对等关系;在 VPC 对等连接中,您的 VPC 无权访问对等 VPC 可能与之对等的任何其他 VPC。其中包括完全在您自己的 AWS 账户内建立的 VPC 对等连接。有关不支持的对等关系的更多信息,请参阅无效的 VPC 对等连接配置。有关支持的对等关系的示例,请参阅VPC 对等方案

  • 您不能在相同两个 VPC 之间同时建立多个 VPC 对等连接。

  • 置放组可以跨越对等的 VPC;但是,您不会在对等 VPC 中的实例之间获得完全等分的带宽。有关置放组的更多信息,请参阅Amazon EC2 用户指南(适用于 Linux 实例)中的置放组

  • 不支持在 VPC 对等连接中进行单一地址反向传输路径转发。有关更多信息,请参阅 响应流量路由

  • 您可以让 VPC 对等连接两端的资源通过 IPv6 相互通信;不过,IPv6 通信不是自动的。您必须为每个 VPC 关联一个 IPv6 CIDR 块,允许 VPC 中的实例进行 IPv6 通信,并在您的路由表中添加路由以将针对对等 VPC 的 IPv6 流量路由到 VPC 对等连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 和子网