VPC 对等基本知识
要建立 VPC 对等连接,请执行以下操作:
-
请求者 VPC 的拥有者向接受者 VPC 的拥有者发送创建 VPC 对等连接的请求。接受者 VPC 可以归您或其他 Amazon 账户所有,不能包含与请求者 VPC 的 CIDR 块重叠的 CIDR 块。
-
接受者 VPC 的拥有者接受 VPC 对等连接请求以激活 VPC 对等连接。
-
要使用私有 IP 地址实现 VPC 之间的流量流动,VPC 对等连接中每个 VPC 的拥有者必须向一个或多个 VPC 路由表手动添加指向其他 VPC (对等 VPC) 的 IP 地址范围的路由。
-
如果需要,请更新与您的实例关联的安全组规则以确保进出对等 VPC 的流量不受限制。如果两个 VPC 位于相同区域内,则您可以引用对等 VPC 中的安全组作为安全组规则中的入口或出口规则的源或目标。
-
通过默认 VPC 对等连接选项,如果 VPC 对等连接任一侧的 EC2 实例使用公有 DNS 主机名相互进行寻址,则主机名会解析为实例的公有 IP 地址。要更改此行为,请为您的 VPC 连接启用 DNS 主机名解析。在启用 DNS 主机名解析后,如果 VPC 对等连接任一侧的实例使用公有 DNS 主机名相互进行寻址,则主机名将解析为实例的私有 IP 地址。
有关更多信息,请参阅 使用 VPC 对等连接。
VPC 对等连接的生命周期
从发起请求时开始,VPC 对等连接会经过各个阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 对等连接仍会在 Amazon VPC 控制台和 API 或命令行输出中继续显示一段时间。
-
Initiating-request (发起请求):已发起 VPC 对等连接请求。在这一阶段中,对等连接可能失败或可能转到
pending-acceptance。 -
Failed (已失败):VPC 对等连接请求失败。在处于此状态时,无法接受、拒绝或删除该连接。请求者仍可在 2 个小时内看到失败的 VPC 对等连接。
-
Pending-acceptance:等待接受者 VPC 的拥有者接受 VPC 对等连接请求。在这一阶段中,请求者 VPC 的拥有者可以删除此请求,接受者 VPC 的拥有者可以接受或拒绝此请求。如果双方均未对此请求执行任何操作,该请求将在 7 天后过期。
-
Expired (已过期):VPC 对等连接请求已过期,任一 VPC 拥有者都无法再对该请求执行任何操作。两个 VPC 拥有者仍可以在 2 天内看到已过期的 VPC 对等连接。
-
Rejected:接受者 VPC 的拥有者拒绝了
pending-acceptanceVPC 对等连接请求。在处于此状态时,无法接受请求。请求者 VPC 的拥有者仍可以在 2 天内看到已拒绝的 VPC 对等连接,接受者 VPC 的拥有者仍可在 2 个小时内看到此对等连接。如果请求是在同一Amazon账户内创建的,则已拒绝的请求会继续显示 2 个小时。 -
Provisioning (正在预置):VPC 对等连接请求已接受,即将处于
active状态。 -
Active:VPC 对等连接处于活动状态,而且流量可以在 VPC 之间流动 (假设您的安全组和路由表允许流量流动)。在处于此状态时,任一 VPC 拥有者都可以删除 VPC 对等连接,但是无法拒绝它。
注意
如果 VPC 所在的区域中的事件阻止了流量流动,则 VPC 对等连接的状态将保持
Active。 -
Deleting(删除):适用于处于删除过程中的区域间 VPC 对等连接。任一 VPC 的拥有者已提交删除
activeVPC 对等连接的请求,或者请求者 VPC 的拥有者已提交删除pending-acceptanceVPC 对等连接请求的请求。 -
Deleted (已删除):任一 VPC 拥有者已删除了
active的 VPC 对等连接,或请求者 VPC 的拥有者已删除了pending-acceptance的 VPC 对等连接请求。在这一阶段中,无法接受或拒绝 VPC 对等连接。VPC 对等连接仍会向其删除方继续显示 2 个小时,向另一方显示 2 天。如果 VPC 对等连接是在同一Amazon账户内创建的,则已删除的请求仍将继续显示 2 个小时。
多个 VPC 对等连接
VPC 对等连接是两个 VPC 之间的一对一关系。您可以为您的每个 VPC 创建多个 VPC 对等连接,但是不支持传递的对等关系。您不会与您的 VPC 不直接对等的 VPC 形成任何对等关系。
下图举例说明一个 VPC 与两个不同的 VPC 具有对等关系。图中有两个 VPC 对等连接:VPC A 同时与 VPC B 和 VPC C 具有对等关系。VPC B 与 VPC C 不对等,并且您不能将 VPC A 用作 VPC B 和 VPC C 之间的对等中转点。如果您要在 VPC B 和 VPC C 之间支持流量路由,必须在这两者之间创建一个唯一的 VPC 对等连接。
VPC 对等限制
请考虑以下 VPC 对等连接的限制。在某些情况下,您可以使用中转网关连接代替 VPC 对等连接。有关更多信息,请参阅 Amazon VPC Transit Gateways(《Amazon VPC 中转网关》)中的 Examples(示例)。
连接
-
每个 VPC 具有的活动和待定 VPC 对等连接的数量具有配额。有关更多信息,请参阅 VPC 对等连接配额。
-
两个 VPC 之间不能同时创建多个 VPC 对等连接。
-
您为 VPC 对等连接创建的任何标签仅在您创建它们的账户或区域中应用。
-
您无法连接或查询对等 VPC 中的 Amazon DNS 服务器。
-
如果 VPC 对等连接中 VPC 的 IPv4 CIDR 块不在 RFC 1918
所指定的私有 IPv4 地址范围内,则该 VPC 的私有 DNS 主机名无法解析为私有 IP 地址。要将私有 DNS 主机名解析为私有 IP 地址,您可以为 VPC 对等连接启用 DNS 解析支持。有关更多信息,请参阅 实现对 VPC 对等连接的 DNS 解析。 -
您可以允许 VPC 对等连接两端的资源通过 IPv6 通信。您必须为每个 VPC 关联一个 IPv6 CIDR 块,允许 VPC 中的实例进行 IPv6 通信,并将针对对等 VPC 的 IPv6 流量路由到 VPC 对等连接。
-
不支持在 VPC 对等连接中进行单一地址反向传输路径转发。有关更多信息,请参阅 响应流量路由。
重叠 CIDR 块
-
您无法在具有匹配或重叠的 IPv4 或 IPv6 CIDR 块的 VPC 之间创建 VPC 对等连接。
-
如果您有多个 IPv4 CIDR 块,则只要有任何 CIDR 块重叠,您都无法创建 VPC 对等连接,即使您打算仅使用不重叠的 CIDR 块或仅使用 IPv6 CIDR 块。
传递的对等
-
VPC 对等不支持传递的对等关系。例如,如果 VPC A 和 VPC B 之间以及 VPC A 和 VPC C 之间有 VPC 对等连接,则您无法通过 VPC A 将流量从 VPC B 路由到 VPC C。要在 VPC B 和 VPC C 之间路由流量,您必须在两者之间创建 VPC 对等连接。有关更多信息,请参阅 相互对等的三个 VPC。
通过网关或私有连接进行的边缘到边缘路由
-
如果 VPC A 具有互联网网关,则 VPC B 中的资源无法使用 VPC A 中的互联网网关访问互联网。
-
如果 VPC A 具有为 VPC A 中的子网提供 Internet 访问的 NAT 设备,则 VPC B 中的资源无法使用 VPC A 中的 NAT 设备访问 Internet。
-
如果 VPC A 具有连接到公司网络的 VPN 连接,则 VPC B 中的资源无法使用 VPN 连接与公司网络通信。
-
如果 VPC A 具有连接到公司网络的 Amazon Direct Connect 连接,则 VPC B 中的资源无法使用 Amazon Direct Connect 连接与公司网络通信。
-
如果 VPC A 的网关端点提供与 Amazon S3 到 VPC A 中的私有子网的连接,则 VPC B 中的资源无法使用网关端点访问 Amazon S3。
区域间 VPC 对等连接
-
区域间跨 VPC 对等连接的最大传输单元(MTU)为 1500 字节。区域间 VPC 对等连接不支持巨型帧(MTU 最高可达 9001 字节)。但是,同一区域的 VPC 对等连接支持巨型帧。有关巨型帧的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的巨型帧(9001 MTU)。
-
您必须为 VPC 对等连接启用 DNS 解析支持才能将对等 VPC 的私有 DNS 主机名解析为私有 IP 地址,即使 VPC 的 IPv4 CIDR 位于 RFC 1918 指定的私有 IPv4 地址范围内也是如此。
-
中国的区域间对等连接只允许在中国(北京)区域(由光环新网运营)和中国(宁夏)区域(由西云数据运营)之间进行。
共享 VPC 和子网
-
只有 VPC 所有者可以使用(描述、创建、接受、拒绝、修改或删除)对等连接。参与者无法使用对等连接。有关更多信息,请参阅 Amazon VPC 用户指南中的与其他账户共享 VPC。