Amazon Transit Gateway 中的 Amazon VPC 连接 - Amazon VPC
VPC 连接的路由表要求VPC 挂载生命周期设备模式引用安全组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Transit Gateway 中的 Amazon VPC 连接

与中转网关的 Amazon Virtual Private Cloud (VPC) 连接允许将流量路由到一个或多个 VPC 子网,反之亦然。将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。指定的子网作为中转网关流量的入口和出口点。只有当中转网关连接子网的路由表中配置了指向目标子网的适当路由时,流量才能到达同一可用区内其他子网中的资源。

限制

  • 将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。

    注意

    在已配置中转网关连接的可用区内,流量仅会从与该连接关联的特定子网转发至中转网关。如果子网路由表中存在指向中转网关的路由,则仅当满足以下条件时流量才会转发至中转网关:该中转网关在同一可用区内存在子网关联,且关联子网的路由表包含指向 VPC 内目标位置的正确路由。

  • 对于使用 Amazon Route 53 中私有托管区域设置的连接 VPC 的自定义 DNS 名称,中转网关不支持 DNS 解析。要为挂载到中转网关的所有 VPC 配置私有托管区域的名称解析,请参阅 使用 Amazon Route 53 和 Amazon 中转网关 对混合云进行集中 DNS 管理

  • 中转网关不支持在具有相同 CIDR 的 VPC 之间进行路由,也不支持在范围内的某个 CIDR 与已连接 VPC 中的 CIDR 发生重叠时进行路由。如果将 VPC 连接至中转网关时,其 CIDR 与已连接至该网关的其他 VPC 的 CIDR 相同或存在重叠,则新连接的 VPC 的路由不会传播至中转网关的路由表。

  • 您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅将 Local Zone 子网连接到中转网关

  • 您不能使用仅限 IPv6 的子网创建中转网关连接。中转网关连接子网必须同时支持 IPv4 地址。

  • 在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。

VPC 连接的路由表要求

中转网关的 VPC 连接需要特定的路由表配置才能正常工作:

  • 连接子网路由表:与中转网关关联的子网必须为 VPC 内所有需要通过中转网关可达的目标位置配置路由表条目。这包括指向其他子网、互联网网关、NAT 网关和 VPC 端点的路由。

  • 目标子网路由表:包含需要通过中转网关通信的资源的子网,必须拥有指向该中转网关的回程路由,以便返回外部目标位置的流量能够顺利返回。

  • 本地 VPC 流量:中转网关连接不会自动启用同一 VPC 内子网之间的通信。标准 VPC 路由规则适用,且本地路由 (VPC CIDR) 必须存在于路由表中才能实现 VPC 内部通信。

注意

在同一可用区内未连接子网中配置路由不会启用流量传输。仅与中转网关连接关联的特定子网可作为中转网关流量的入口/出口点。

VPC 挂载生命周期

从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。

下图显示了挂载在单个账户配置或打开了自动接受共享挂载选项的跨账户配置中会经历的状态。

VPC 挂载生命周期

  • 待处理:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 available VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

下图显示了挂载在自动接受共享挂载选项已关闭的跨账户配置中会经历的状态。

已关闭 Auto accept shared attachments(自动接受共享挂载)功能的跨账户 VPC 挂载生命周期

  • 等待接受:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为 pendingrejectingdeleting

  • 正在拒绝:正在拒绝 VPC 挂载。在此阶段,挂载可以变为 rejected

  • 已拒绝pending acceptance VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 待处理:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为 available

  • 即将失败:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 failed

  • 失败:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 可用:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 modifying,也可以变为 deleting

  • 正在删除:正在删除 VPC 挂载。在此阶段,挂载可以变为 deleted

  • 已删除:已删除 availablepending acceptance VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。

  • 正在修改:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 available,也可以变为 rolling back

  • 正在回滚:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 available

设备模式

如果您计划在 VPC 中配置有状态的网络设备,则可以为在创建连接时该设备所在的 VPC 连接启用设备模式支持。这可以确保在源和目标之间传输流量的生命周期内,Amazon Transit Gateway 为该 VPC 连接使用相同的可用区。它还允许中转网关将流量发送到 VPC 中的任何可用区,只要该区中存在子网关联。虽然设备模式仅支持 VPC 连接,但网络流量可来自任何其他中转网关连接类型,包括 VPC、VPN 和 Connect 连接。设备模式同样适用于源地址和目标地址跨不同 Amazon Web Services 区域 的网络流量。若您未在初始阶段启用设备模式,但后续编辑连接配置时启用了该模式,网络流量可能会在不同可用区之间重新平衡。您可通过控制台、命令行或 API 来启用或禁用设备模式。

Amazon Transit Gateway 中的设备模式通过在确定设备模式 VPC 的路径时考虑源和目标可用区,从而优化流量路由。这种方法有助于提高效率并降低延迟。具体行为因配置和流量模式而异。下面是一些示例场景。

场景 1:通过设备 VPC 进行可用区内流量路由

当流量从源可用区 us-east-1a 流向目标可用区 us-east-1a 时,若 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接,Transit Gateway 将从设备 VPC 内的 us-east-1a 选择一个网络接口。该可用区将在源与目标之间的整个流量流过程中保持不变。

场景 2:通过设备 VPC 进行跨可用区流量路由

对于从源可用区 us-east-1a 流向目标可用区 us-east-1b 的流量,当 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接时,Transit Gateway 会使用流量哈希算法,在设备 VPC 中选择 us-east-1a 或 us-east-1b。所选可用区将在流量生命周期内保持一致。

场景 3:通过无可用区数据的设备 VPC 进行流量路由

当流量从源可用区 us-east-1a 发往无可用区信息的目标位置(例如,面向 Internet 的流量),且设备模式 VPC 在 us-east-1a 和 us-east-1b 均有连接时,Transit Gateway 会从设备 VPC 内的 us-east-1a 选择一个网络接口。

场景 4:通过与源或目标不同的可用区中的设备 VPC 进行流量路由

当流量从源可用区 us-east-1a 流向目标可用区 us-east-1b 时,若设备模式的 VPC 连接位于不同可用区(例如,us-east-1c 和 us-east-1d),Transit Gateway 将使用流量哈希算法,在设备 VPC 中选择 us-east-1c 或 us-east-1d。所选可用区将在流量生命周期内保持一致。

注意

设备模式仅适用于 VPC 连接。确保与设备 VPC 连接关联的路由表已启用路由传播。

引用安全组

您可以使用此功能来简化安全组管理和控制连接到同一传输网关的 VPC 之间的实例间流量。您只能在入站规则中交叉引用安全组。出站安全规则不支持安全组引用。启用或使用安全组引用不会产生额外费用。

安全组引用支持可同时配置于中转网关和中转网关 VPC 连接,且仅当中转网关及其所有 VPC 连接均已启用该功能时方可生效。

限制

在将安全组引用与 VPC 连接结合使用时,适用以下限制。

  • 跨中转网关对等连接不支持安全组引用。两个 VPC 必须连接到同一个中转网关。

  • 可用区 use1-az3 中的 VPC 连接不支持引用安全组。

  • 安全组引用不适用于 PrivateLink 端点。我们建议将基于IP CIDR 的安全规则作为替代方案。

  • 只要在 VPC 中为 EFS 接口配置了允许所有出站流量的安全组规则,安全组引用机制对 Elastic File System (EFS) 同样有效。

  • 对于通过中转网关进行本地区域连接,仅支持以下本地区域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。

  • 对于子网位于不支持的本地区域、Amazon Outpost 和 Amazon Wavelength 区域中的 VPC,我们建议在 VPC 连接级别禁用此功能,因为这可能会导致服务中断。

  • 若您使用检查 VPC,则通过中转网关的安全组引用机制无法在 Amazon Gateway Load Balancer 或 Amazon Network Firewall 之间生效。

任务