Amazon VPC Transit Gateways 中的 Amazon VPC 连接 - Amazon VPC
VPC 挂载生命周期设备模式引用安全组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon VPC Transit Gateways 中的 Amazon VPC 连接

通过与传输网关的 Amazon Virtual Private Cloud (VPC) 连接,您可以将流量路由进出一个或多个 VPC 子网。将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。从可用区中指定一个子网后,流量就可以到达该可用区的每个子网中的资源。

限制

  • 将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。如果子网路由表中有通往中转网关的路由,则只有当中转网关在同一可用区的子网中有挂载时,才会将流量转发到中转网关。

  • 对于使用 Amazon Route 53 中的私有托管区域 VPCs设置的自定义 DNS 名称,传输网关不支持 DNS 解析。要为所有 VPCs 连接到传输网关的私有托管区域配置名称解析,请参阅使用 Amazon Route 53 和 Tr Amazon ansit Gateway 对混合云进行集中化 DNS 管理

  • 如果某个范围内的某个 CIDR VPCs 与连接的 VPC 中的 CIDR 重叠 CIDRs,则传输网关不支持在两者之间进行路由。如果您将 VPC 连接到传输网关,并且其 CIDR 与已连接到中转网关的另一个 VPC 的 CIDR 相同或重叠,则新连接的 VPC 的路由不会传播到中转网关路由表。

  • 您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅将 Local Zone 子网连接到中转网关

  • 您无法使用 IPv6仅限子网创建传输网关附件。传输网关连接子网还必须支持 IPv4 地址。

  • 在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。

VPC 挂载生命周期

从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。

下图显示了挂载在单个账户配置或打开了自动接受共享挂载选项的跨账户配置中会经历的状态。

VPC 挂载生命周期

  • 待处理:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 available VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

下图显示了挂载在自动接受共享挂载选项已关闭的跨账户配置中会经历的状态。

已关闭 Auto accept shared attachments(自动接受共享挂载)功能的跨账户 VPC 挂载生命周期

  • 等待接受:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为 pendingrejectingdeleting

  • 正在拒绝:正在拒绝 VPC 挂载。在此阶段,挂载可以变为 rejected

  • 已拒绝pending acceptance VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 待处理:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 availablepending acceptance VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

设备模式

如果您计划在 VPC 中配置有状态网络设备,则可以在创建连接时为设备所在的 VPC 连接启用设备模式支持。这可确保 T Amazon ransit Gateway 在源和目标之间的流量流的生命周期内为该 VPC 连接使用相同的可用区。它还允许传输网关向 VPC 中的任何可用区发送流量,前提是该区域中存在子网关联。虽然设备模式仅支持 VPC 附件,但网络流可以来自任何其他传输网关连接类型,包括 VPC、VPN 和 Connect 附件。设备模式也适用于来源和目的地不同的网络流 Amazon Web Services 区域。如果您最初没有启用设备模式,但后来编辑连接配置以启用该模式,则可能会在不同的可用区域之间重新平衡网络流。您可以使用控制台、命令行或 API 启用或禁用设备模式。

T Amazon ransit Gateway 中的设备模式在确定通过设备模式 VPC 的路径时,会考虑源和目标可用区,从而优化流量路由。这种方法提高了效率并减少了延迟。以下是示例场景。

场景 1:通过设备 VPC 进行可用区内流量路由

当流量从 us-east-1a 中的源可用区流向 us-east-1a 中的目标可用区,同时在 us-east-1a 和 us-east-1b 中均有设备模式附件时,T Amazon ransit Gateway 会在设备 VPC 内从 us-east-1a 中选择一个网络接口。此可用区将在源和目标之间的流量流的整个持续时间内进行维护。

场景 2:通过设备 VPC 进行可用区间流量路由

对于从 us-east-1a 中的源可用区流向 us-east-1b 中的目标可用区,且在 us-east-1a 和 us-east-1b 中均有设备模式 VPC 附件的流量,T Amazon ransit Gateway 使用流哈希算法在设备 VPC 中选择 us-east-1a 或 us-east-1b。所选可用区在流程的生命周期内始终如一地使用。

场景 3:通过没有可用区域数据的设备 VPC 路由流量

当流量从 us-east-1a 中的源可用区发往没有可用区信息的目的地(例如互联网流量),且在 us-east-1a 和 us-east-1b 中均有设备模式 VPC 附件时,T Amazon ransit Gateway 会在设备 VPC 内从 us-east-1a 中选择一个网络接口。

场景 4:通过与源或目标不同的可用区路由流量

当流量从 us-east-1a 中的源可用区 us-east-1b 流向目标可用区 us-east-1b 时,该可用区与源或目标位于不同的可用区(例如,设备模式为 us-east-1c 和 us-east-1d),Tr Amazon ansit Gateway 使用流哈希算法在设备 VPCs VPC 中选择 us-east-1c 或 us-east-1d。所选可用区在流程的生命周期内始终如一地使用。

注意

只有 VPC 附件支持设备模式。

引用安全组

您可以使用此功能来简化安全组管理和控制连接到同一传输网关的 instance-to-instance流量。 VPCs 您只能在入站规则中交叉引用安全组。出站安全规则不支持安全组引用。启用或使用安全组引用不会产生额外费用。

可以为中转网关和中转网关 VPC 附件配置安全组引用支持,并且只有在为传输网关及其 VPC 附件都启用安全组引用支持后才有效。

限制

将安全组引用与 VPC 附件一起使用时,存在以下限制。

  • 不支持跨公交网关对等连接引用安全组。两者都 VPCs 必须连接到同一个传输网关。

  • 可用区 use1-az3 中的 VPC 连接不支持引用安全组。

  • PrivateLink 端点不支持引用安全组。我们建议使用基于 IP CIDR 的安全规则作为替代方案。

  • 只要为 VPC 中的 EFS 接口配置了 “允许所有出口” 安全组规则,安全组引用就适用于弹性文件系统 (EFS)。

  • 对于通过中转网关进行本地区域连接,仅支持以下本地区域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。

  • 对于 VPCs 位于不支持的本地区域、Outposts 和 Wavelength Zones 中的子网,我们建议在 VPC 连接级别禁用此功能 Amazon ,因为这 Amazon 可能会导致服务中断。

  • 如果您有检查 VPC,则通过传输网关引用的安全组不适用于跨网关 Load Balancer 或 Amazon Net Amazon work Firewall。

任务