本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 1:设置网络环境
开始本教程中的步骤之前,必须先执行以下操作:
-
在同一个区域中创建两个新的 Amazon Web Services 账户 用于测试目的。当您创建时 Amazon Web Services 账户,它会自动在每个账户中创建一个专用的虚拟私有云 (VPC)。记下每个账户中的 VPC ID。您稍后会需要此信息。
-
使用此步骤中的过程在每个账户中的两个 VPC 之间创建 VPC 对等连接。
注意
虽然有很多方法可以连接目录拥有者和目录使用者账户 VPC,但本教程只使用 VPC 对等方法。有关其他 VPC 连接选项,请参阅网络连接。
在目录拥有者和目录使用者账户之间配置 VPC 对等连接
您将创建的 VPC 对等连接位于目录使用者和目录拥有者 VPC 之间。请按照以下步骤配置 VPC 对等连接,以与目录使用者账户建立连接。通过此连接,您可以使用私有 IP 地址在两个 VPC 之间路由流量。
在目录拥有者和目录使用者账户之间创建 VPC 对等连接
-
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。确保以目录拥有者账户中具有管理员凭证的用户身份登录。 -
在导航窗格中,选择 Peering Connections。然后选择 Create Peering Connection (创建对等连接)。
-
配置以下信息:
-
Peering connection name tag (对等连接名称标签):提供一个名称,用于在目录使用者账户中清楚地标识与 VPC 的此连接。
-
VPC (Requester) (VPC (申请方)):选择目录拥有者账户的 VPC ID。
-
在 Select another VPC to peer with (选择要用作对等的另一个 VPC),确保选中 My account (我的账户) 和 This region (此区域)。
-
VPC (Accepter) (VPC (接受方)):选择目录使用者账户的 VPC ID。
-
-
选择 Create Peering Connection (创建对等连接)。在确认对话框中,选择 OK。
由于两个 VPC 位于同一个区域,因此发送 VPC 对等请求的目录拥有者账户的管理员也可以代表目录使用者账户接受对等请求。
代表目录使用者账户接受对等请求
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Peering Connections。
-
选择挂起的 VPC 对等连接。(其状态为“Pending Acceptance (待接受)”。) 依次选择 Actions (操作)、Accept Request (接受请求)。
-
在确认对话框中,选择 Yes, Accept。在下一个确认对话框中,选择 Modify my route tables now (立即修改我的路由表) 直接转到路由表页面。
现在您的 VPC 对等连接已处于活动状态,您必须向目录拥有者账户中的 VPC 的路由表添加条目。这样做可以将流量定向到目录使用者账户中的 VPC。
向目录拥有者账户中的 VPC 路由表添加条目
-
在 Amazon VPC 控制台的路由表部分,选择目录所有者 VPC 的路由表。
-
在路由选项卡中选择编辑路由,然后选择添加路由。
-
在 Destination (目标) 列中,输入目录使用者 VPC 的 CIDR 块。
-
在 Target (目标) 列中,输入您之前在目录拥有者账户中创建的对等连接的 VPC 对等连接 ID(例如
pcx-123456789abcde000)。 -
选择 保存更改。
向目录使用者账户中的 VPC 路由表添加条目
-
在 Amazon VPC 控制台的路由表部分,选择目录使用者 VPC 的路由表。
-
在路由选项卡中选择编辑路由,然后选择添加路由。
-
在 Destination (目标) 列中,输入目录拥有者 VPC 的 CIDR 块。
-
在 Target (目标) 列中,键入您之前在目录使用者账户中创建的对等连接的 VPC 对等连接 ID(例如
pcx-123456789abcde001)。 -
选择 保存更改。
确保通过将 Active Directory 协议和端口添加到出站规则表,来配置目录使用者 VPC 的安全组以启用出站流量。有关更多信息,请参阅 VPC 的安全组和 Amazon Managed Microsoft AD 先决条件。
下一步