示例:具有共享服务的隔离 VPC
您可以将中转网关配置为多个使用共享服务的隔离路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。连接可以将数据包路由到共享服务,或从共享服务中接收数据包。如果您具有需要隔离的组,但这些组使用共享服务(例如生产系统),则可以使用该方案。
概览
下表展示了此场景配置的主要组成部分。如果数据包来自 VPC A、VPC B 和 VPC C 中的子网并以互联网为目的地,则将首先通过中转网关进行路由,然后路由到 Site-to-Site VPN 的客户网关。如果数据包来自 VPC A、VPC B 或 VPC C 中的子网并以 VPC A、VPC B 或 VPC C 中的某个子网为目的地,则将通过中转网关进行路由,但由于中转网关路由表中没有这些子网的路由,因此将被阻止。来自 VPC A、VPC B 和 VPC C 并将 VPC D 作为目的地的数据包通过中转网关进行路由,然后路由到 VPC D。
资源
为此场景创建以下资源:
-
四个 VPC。有关创建 VPC 的信息,请参阅 Amazon VPC 用户指南中的创建 VPC。
-
中转网关。有关更多信息,请参阅创建中转网关。
-
中转网关上有四个连接,每个 VPC 一个。有关更多信息,请参阅创建 VPC 的中转网关连接挂载。
-
中转网关上的站点到 Site-to-Site VPN 挂载。有关更多信息,请参阅 创建 VPN 的中转网关挂载。
确保您查看了 Amazon Site-to-Site VPN 用户指南中的客户网关设备的要求。
在 VPN 连接启动后,将建立 BGP 会话,VPN CIDR 传播到中转网关路由表,并将 VPC CIDR 添加到客户网关 BGP 表中。
-
每个隔离的 VPC 都与隔离路由表关联,并会传播到共享路由表。
-
每个共享的服务 VPC 都与共享路由表关联,并会传播到两个路由表。
路由
每个 VPC 都有一个路由表,中转网关有两个路由表:一个用于 VPC,另一个用于 VPN 连接和共享服务 VPC。
VPC A、VPC B、VPC C 和 VPC D 路由表
每个 VPC 都具有一个包含两个条目的路由表。第一个条目是 VPC 中本地路由的默认条目;这项条目允许该 VPC 中的实例在彼此之间进行通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。
| 目的地 | 目标 |
|---|---|
VPC CIDR |
本地 |
| 0.0.0.0/0 | 中转网关 ID |
中转网关路由表
此方案为 VPC 使用一个路由表,为 VPN 连接使用一个路由表。
VPC A、B 和 C 连接与以下路由表相关联,该路由表具有 VPN 连接的传播路由以及 VPC D 的连接的传播路由。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
客户网关 IP 地址 |
VPN 连接的连接 |
传播 |
VPC D CIDR |
VPC D 的连接 |
传播 |
VPN 连接和共享服务 VPC(VPC D)连接与以下路由表相关联,该路由表具有指向各个 VPC 连接的条目。这样可以通过 VPN 连接和共享服务 VPC 与 VPC 进行通信。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
VPC A CIDR |
VPC A 的连接 |
传播 |
VPC B CIDR |
VPC B 的连接 |
传播 |
VPC C CIDR |
VPC C 的连接 |
传播 |
有关更多信息,请参阅将路由传播到中转网关路由表。
客户网关 BGP 表
客户网关 BGP 表包含所有这四个 VPC 的 CIDR。