Amazon Virtual Private Cloud
VPC 对等连接
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

VPC 对等基本知识

要建立 VPC 对等连接,请执行以下操作:

  1. 请求者 VPC 的所有者向接受者 VPC 的所有者发送创建 VPC 对等连接的请求。接受者 VPC 可以归您或其他 AWS 账户所有,不能包含与请求者 VPC 的 CIDR 块重叠的 CIDR 块。

  2. 接受者 VPC 的所有者接受 VPC 对等连接请求以激活 VPC 对等连接。

  3. 要使用私有 IP 地址实现 VPC 之间的流量流动,VPC 对等连接中每个 VPC 的所有者必须向一个或多个 VPC 路由表手动添加指向其他 VPC (对等 VPC) 的 IP 地址范围的路由。

  4. 如果需要,请更新与您的实例关联的安全组规则以确保进出对等 VPC 的流量不受限制。如果两个 VPC 位于相同区域内,则您可以引用对等 VPC 中的安全组作为安全组规则中的入口或出口规则的源或目标。

  5. 如果两个 VPC 位于相同区域内,则您可以将您的 VPC 连接修改为启用 DNS 主机名解析。默认情况下,如果 VPC 对等连接任一侧的实例使用公有 DNS 主机名相互进行寻址,则主机名会解析为实例的公有 IP 地址。

有关更多信息,请参阅 使用 VPC 对等连接

VPC 对等连接的生命周期

从发起请求时开始,VPC 对等连接会经过各个阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 对等连接仍会在 Amazon VPC 控制台和 API 或命令行输出中继续显示一段时间。

 VPC 对等连接的生命周期
  • Initiating-request (发起请求):已发起 VPC 对等连接请求。在这一阶段中,对等连接可能失败或可能转到 pending-acceptance

  • Failed (已失败):VPC 对等连接请求失败。在处于此状态时,无法接受、拒绝或删除该连接。请求者仍可在 2 个小时内看到失败的 VPC 对等连接。

  • Pending-acceptance:等待接受者 VPC 的所有者接受 VPC 对等连接请求。在这一阶段中,请求者 VPC 的所有者可以删除此请求,接受者 VPC 的所有者可以接受或拒绝此请求。如果双方均未对此请求执行任何操作,该请求将在 7 天后过期。

  • Expired (已过期):VPC 对等连接请求已过期,任一 VPC 所有者都无法再对该请求执行任何操作。两个 VPC 所有者仍可以在 2 天内看到已过期的 VPC 对等连接。

  • Rejected:接受者 VPC 的所有者拒绝了 pending-acceptance VPC 对等连接请求。在这一阶段中,无法接受请求。请求者 VPC 的所有者仍可以在 2 天内看到已拒绝的 VPC 对等连接,接受者 VPC 的所有者仍可在 2 个小时内看到此对等连接。如果请求是在同一 AWS 账户内创建的,则已拒绝的请求会继续显示 2 个小时。

  • Provisioning (正在预置):VPC 对等连接请求已接受,即将处于 active 状态。

  • Active:VPC 对等连接处于活动状态,而且流量可以在 VPC 之间流动 (假设您的安全组和路由表允许流量流动)。在这一阶段中,任一 VPC 所有者都可以删除 VPC 对等连接,但是无法拒绝它。

    注意

    如果 VPC 所在的区域中的事件阻止了流量流动,则 VPC 对等连接的状态将保持 Active

  • Deleting:适用于处于删除过程中的区域间 VPC 对等连接。任一 VPC 的所有者已提交删除 active VPC 对等连接的请求,或者请求者 VPC 的所有者已提交删除 pending-acceptance VPC 对等连接请求的请求。

  • Deleted (已删除):任一 VPC 拥有者已删除了 active 的 VPC 对等连接,或请求者 VPC 的拥有者已删除了 pending-acceptance 的 VPC 对等连接请求。在这一阶段中,无法接受或拒绝 VPC 对等连接。VPC 对等连接仍会向其删除方继续显示 2 个小时,向另一方显示 2 天。如果 VPC 对等连接是在同一 AWS 账户内创建的,则已删除的请求仍将继续显示 2 个小时。

多个 VPC 对等连接

VPC 对等连接是两个 VPC 之间的一对一关系。您可以为您所拥有的每个 VPC 创建多个 VPC 对等连接,但是不支持传递的对等关系。您与不与您的 VPC 直接对等的 VPC 没有任何对等关系。

下图举例说明一个 VPC 与两个不同的 VPC 具有对等关系。图中有两个 VPC 对等连接:VPC A 同时与 VPC B 和 VPC C 具有对等关系。VPC B 与 VPC C 不对等,并且您不能将 VPC A 用作 VPC B 和 VPC C 之间的对等中转点。如果您要在 VPC B 和 VPC C 之间支持流量路由,必须在这两者之间创建一个唯一的 VPC 对等连接。

 一个 VPC 与两个 VPC 具有对等关系

VPC 对等连接的定价

如果 VPC 对等连接中的 VPC 位于相同区域内,则 VPC 对等连接内传输数据的费用与跨可用区传输数据的费用相同。如果 VPC 位于不同区域,则收取区域间数据传输费用。

有关更多信息,请参阅 Amazon EC2 定价

VPC 对等限制

要创建与其他 VPC 之间的 VPC 对等连接,请了解以下限制和规则:

  • 您无法在具有匹配或重叠的 IPv4 或 IPv6 CIDR 块的 VPC 之间创建 VPC 对等连接。Amazon 将始终为您的 VPC 分配唯一的 IPv6 CIDR 块。如果您的 IPv6 CIDR 块唯一但 IPv4 块不唯一,则无法创建对等连接。

  • 您只能为每个 VPC 创建数量有限的活动和待定 VPC 对等连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的 Amazon VPC 限制

  • VPC 对等不支持传递的对等关系。在 VPC 对等连接中,您的 VPC 无权访问对等 VPC 可能与之对等的任何其他 VPC。其中包括完全在您自己的 AWS 账户内建立的 VPC 对等连接。有关不支持的对等关系的更多信息,请参阅不受支持的 VPC 对等配置。有关支持的对等关系的示例,请参阅VPC 对等方案

  • 您不能在相同两个 VPC 之间同时建立多个 VPC 对等连接。

  • 不支持在 VPC 对等连接中进行单一地址反向传输路径转发。有关更多信息,请参阅 响应流量路由

  • 如果 VPC 位于相同区域内,则您可以让 VPC 对等连接两端的资源通过 IPv6 相互通信。IPv6 通信不是自动的。您必须为每个 VPC 关联一个 IPv6 CIDR 块,允许 VPC 中的实例进行 IPv6 通信,并在您的路由表中添加路由以将针对对等 VPC 的 IPv6 流量路由到 VPC 对等连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 和子网

  • 您为您的 VPC 对等连接创建的任何标签仅在您创建它们的账户或区域中应用。

  • 如果 VPC 对等连接中 VPC 的 IPv4 CIDR 块不在 RFC 1918 所指定的私有 IPv4 地址范围内,则该 VPC 的私有 DNS 主机名无法解析为私有 IP 地址。要将私有 DNS 主机名解析为私有 IP 地址,您可以为 VPC 对等连接启用 DNS 解析支持。有关更多信息,请参阅 实现对 VPC 对等连接的 DNS 解析支持

区域间 VPC 对等连接具有其他限制:

  • 无法创建引用对等 VPC 安全组的安全组规则。

  • 无法启用对通过 ClassicLink 链接到 VPC 的 EC2-Classic 实例的支持以与对等 VPC 通信。

  • 无法启用 DNS 解析支持 (VPC 无法将公有 IPv4 DNS 主机名解析为从对等 VPC 中的实例查询的私有 IPv4 地址)。

  • 不支持通过 IPv6 的通信。

  • 跨 VPC 对等连接的最大传输单元 (MTU) 为 1500 字节 (不支持极大帧)。