Amazon VPC Transit Gateways 中的 Amazon VPC 连接
与中转网关的 Amazon Virtual Private Cloud (VPC) 连接允许将流量路由到一个或多个 VPC 子网,反之亦然。将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。从可用区中指定一个子网后,流量就可以到达该可用区的每个子网中的资源。
限制
-
将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。如果子网路由表中有通往中转网关的路由,则只有当中转网关在同一可用区的子网中有挂载时,才会将流量转发到中转网关。
-
连接到中转网关的 VPC 中的资源无法访问也连接到相同中转网关的其他 VPC 的安全组。
-
对于使用 Amazon Route 53 中私有托管区域设置的连接 VPC 的自定义 DNS 名称,中转网关不支持 DNS 解析。要为挂载到中转网关的所有 VPC 配置私有托管区域的名称解析,请参阅 使用 Amazon Route 53 和 Amazon 中转网关 对混合云进行集中 DNS 管理
。 -
中转网关不支持在具有相同 CIDR 的 VPC 之间进行路由。如果您将 VPC 挂载到中转网关,且其 CIDR 与已挂载到中转网关的另一个 VPC 的 CIDR 相同,则新挂载的 VPC 的路由不会传播到中转网关路由表中。
-
您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅将 Local Zone 子网连接到中转网关。
-
您不能使用仅限 IPv6 的子网创建中转网关连接。中转网关连接子网必须同时支持 IPv4 地址。
-
在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。
VPC 挂载生命周期
从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。
下图显示了挂载在单个账户配置或打开了自动接受共享挂载选项的跨账户配置中会经历的状态。
-
待处理:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为
available
。 -
即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为
failed
。 -
失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
-
可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为
modifying
,也可以变为deleting
。 -
正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为
deleted
。 -
已删除:已删除
available
VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。 -
正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为
available
,也可以变为rolling back
。 -
正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为
available
。
下图显示了挂载在自动接受共享挂载选项已关闭的跨账户配置中会经历的状态。
-
等待接受:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为
pending
、rejecting
或deleting
。 -
正在拒绝:正在拒绝 VPC 挂载。在此阶段,挂载可以变为
rejected
。 -
已拒绝:
pending acceptance
VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。 -
待处理:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为
available
。 -
即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为
failed
。 -
失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
-
可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为
modifying
,也可以变为deleting
。 -
正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为
deleted
。 -
已删除:已删除
available
或pending acceptance
VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。 -
正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为
available
,也可以变为rolling back
。 -
正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为
available
。
引用安全组
您可以使用此功能来简化安全组管理和控制连接到同一传输网关的 VPC 之间的实例间流量。您只能在入站规则中交叉引用安全组。出站安全规则不支持安全组引用。启用或使用安全组引用不会产生额外费用。
可以为中转网关和中转网关 VPC 连接配置安全组引用支持。只有在为传输网关及其 VPC 附件都启用安全组引用时,安全组引用才会起作用。
重要
-
如果您为中转网关禁用安全组引用,则所有 VPC 连接都将禁用安全组引用。
可用区 use1-az3 中的 VPC 连接不支持引用安全组。
对于通过中转网关进行本地区域连接,仅支持以下本地区域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。
-
对于子网位于不支持的本地区域、Amazon Outpost 和 Amazon Wavelength 区域中的 VPC,我们建议在 VPC 连接级别禁用此功能,因为这可能会导致服务中断。