VPC 的中转网关挂载 - Amazon VPC
VPC 挂载生命周期创建 VPC 的中转网关连接挂载修改您的 VPC 挂载修改您的 VPC 挂载标签查看 VPC 挂载删除 VPC 挂载VPC 挂载问题排查
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC 的中转网关挂载

将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。从可用区中指定一个子网后,流量就可以到达该可用区的每个子网中的资源。

限制

  • 将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。如果子网路由表中有通往中转网关的路由,则只有当中转网关在同一可用区的子网中有挂载时,才会将流量转发到中转网关。

  • 连接到中转网关的 VPC 中的资源无法访问也连接到相同中转网关的其他 VPC 的安全组。

  • 对于使用 Amazon Route 53 中私有托管区域设置的连接 VPC 的自定义 DNS 名称,中转网关不支持 DNS 解析。要为连接到传输网关的所有 VPC 配置私有托管区域的名称解析,请参阅使用 Amazon Route 53 和 Tr Amazon ansit Gateway 对混合云进行集中化 DNS 管理

  • 中转网关不支持在具有相同 CIDR 的 VPC 之间进行路由。如果您将 VPC 挂载到中转网关,且其 CIDR 与已挂载到中转网关的另一个 VPC 的 CIDR 相同,则新挂载的 VPC 的路由不会传播到中转网关路由表中。

  • 您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅将 Local Zone 子网连接到中转网关

  • 您不能使用仅限 IPv6 的子网创建中转网关连接。中转网关连接子网必须同时支持 IPv4 地址。

  • 在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。

VPC 挂载生命周期

从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。

下图显示了挂载在单个账户配置或打开了自动接受共享挂载选项的跨账户配置中会经历的状态。

VPC 挂载生命周期

  • 待处理:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 available VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

下图显示了挂载在自动接受共享挂载选项已关闭的跨账户配置中会经历的状态。

已关闭 Auto accept shared attachments(自动接受共享挂载)功能的跨账户 VPC 挂载生命周期

  • 等待接受:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为 pendingrejectingdeleting

  • 正在拒绝:正在拒绝 VPC 挂载。在此阶段,挂载可以变为 rejected

  • 已拒绝pending acceptance VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 待处理:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 availablepending acceptance VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

创建 VPC 的中转网关连接挂载

使用控制台创建 VPC 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)

  3. 选择 Create Transit Gateway Attachment(创建中转网关挂载)。

  4. 对于 Name tag(名称标签),可选择是否输入中转网关挂载的名称。

  5. 对于 Transit Gateway ID(中转网关 ID),选择要用于挂载的中转网关。您可以选择自己拥有的中转网关或与您共享的中转网关。

  6. 对于 Attachment type(挂载类型),选择 VPC

  7. 选择是否启用 DNS 支持IPv6 支持设备模式支持

    如果选择设备模式,则源和目标之间的流量将在该流的生命周期内使用相同的 VPC 连接可用区。

  8. 对于 VPC ID,选择要附加到中转网关的 VPC。

    此 VPC 必须至少有一个子网与其关联。

  9. 对于 Subnet IDs(子网 ID),为中转网关要用于路由流量的每个可用区域选择一个子网。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。

  10. 选择 Create Transit Gateway Attachment(创建中转网关挂载)。

使用创建 VPC 附件 Amazon CLI

使用 create-transit-gateway-vpc-attachment 命令。

修改您的 VPC 挂载

使用控制台修改 VPC 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)

  3. 选择 VPC 挂载,然后依次选择 Actions(操作) 和 Modify Transit Gateway attachment(修改中转网关挂载)。

  4. 要启用 DNS 支持,请选择 DNS support(DNS 支持)

  5. 要将子网添加到挂载,请在子网旁边选中该框。

    当挂载处于正在修改状态时,添加或修改 VPC 挂载子网可能会影响数据流量。

  6. 选择 Modify Transit Gateway attachment(修改中转网关挂载)。

要修改您的 VPC 附件,请使用 Amazon CLI

使用 modify-transit-gateway-vpc-attachment 命令。

修改您的 VPC 挂载标签

使用控制台修改 VPC 挂载标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)

  3. 选择 VPC 挂载,然后选择 Actions(操作)、Manage tags(管理标签)。

  4. [添加标签]选择添加新标签,然后执行以下操作:

    • 对于 Key(键),输入键名称。

    • 对于 Value(值),输入键值。

  5. [删除标签]在标签旁,选择 Remove(删除)

  6. 选择 Save (保存)

    仅可使用控制台修改 VPC 挂载标签。

查看 VPC 挂载

使用控制台查看 VPC 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)

  3. Resource type(资源类型)栏,寻找 VPC。这些是 VPC 挂载。

  4. 选择挂载以查看其详细信息。

要查看您的 VPC 附件,请使用 Amazon CLI

使用 describe-transit-gateway-vpc-attactions 命令。

删除 VPC 挂载

使用控制台删除 VPC 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)

  3. 选择 VPC 挂载。

  4. 选择 Actions(操作)、Delete Transit Gateway attachment(删除中转网关挂载)。

  5. 当系统提示时,输入 delete,然后选择 Delete(删除)。

使用删除 VPC 附件 Amazon CLI

使用 delete-transit-gateway-vpc-attachment 命令。

VPC 挂载创建问题排查

以下主题可帮助您排查在创建 VPC 挂载时可能遇到的问题。

问题

VPC 挂载失败。

原因

原因可能是以下之一:

  1. 正在创建 VPC 挂载的用户没有创建服务相关角色的适当权限。

  2. 由于 IAM 请求太多而存在限制问题,例如,您正在使用 Amazon CloudFormation 创建权限和角色。

  3. 该账户具有服务相关角色,并且服务相关角色已被修改。

  4. 中转网关未处于 available 状态。

解决方案

根据原因,可以尝试以下操作:

  1. 验证用户是否具有创建服务相关角色的适当权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。在用户获得权限后创建 VPC 挂载。

  2. 通过控制台或 API 手动创建 VPC 挂载。有关更多信息,请参阅 创建 VPC 的中转网关连接挂载

  3. 验证服务相关角色是否具有适当权限。有关更多信息,请参阅 中转网关服务相关角色

  4. 验证中转网关是否处于 available 状态。有关更多信息,请参阅 查看中转网关