示例:具有共享服务的隔离 VPC
您可以将中转网关配置为多个使用共享服务的隔离路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。连接可以将数据包路由到共享服务,或从共享服务中接收数据包。如果您具有需要隔离的组,但这些组使用共享服务(例如生产系统),则可以使用该方案。
Overview
下表展示了此场景配置的主要组成部分。来自 VPC A、VPC B 和 VPC C 中的子网并将 Internet 作为目的地的数据包先通过中转网关进行路由,然后路由到站点到站点 VPN。来自 VPC A、VPC B 或 VPC C 并将 VPC A、VPC B 或 VPC C 中的子网作为目的地的数据包(例如从 10.1.0.0 到 10.2.0.0)通过中转网关进行路由,并在其中被阻止,因为在中转网关路由表中没有它们的路由。来自 VPC A、VPC B 和 VPC C 并将 VPC D 作为目的地的数据包通过中转网关进行路由,然后路由到 VPC D。
Resources
为此场景创建以下资源:
-
四个 VPC。有关创建 VPC 的信息,请参阅 Amazon VPC 用户指南中的创建 VPC。
-
中转网关。有关更多信息,请参阅创建中转网关。
-
中转网关上用于四个 VPC 的四个挂载。有关更多信息,请参阅 创建 VPC 的 Transit Gateway 挂载。
-
中转网关上的站点到站点 VPN 挂载。有关更多信息,请参阅 创建 VPN 的中转网关挂载。
确保您查看了 Amazon Site-to-Site VPN 用户指南中的客户网关设备的要求。
在 VPN 连接启动后,将建立 BGP 会话,VPN CIDR 传播到中转网关路由表,并将 VPC CIDR 添加到客户网关 BGP 表中。
Routing
每个 VPC 都有一个路由表,中转网关有两个路由表:一个用于 VPC,另一个用于 VPN 连接和共享服务 VPC。
VPC A、VPC B、VPC C 和 VPC D 路由表
每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目;此条目允许此 VPC 中的实例相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。下表显示了 VPC A 路由。
| 目的地 | 目标 |
|---|---|
|
10.1.0.0/16 |
本地 |
| 0.0.0.0/0 |
tgw-id |
中转网关路由表
此方案为 VPC 使用一个路由表,为 VPN 连接使用一个路由表。
VPC A、B 和 C 连接与以下路由表相关联,该路由表具有 VPN 连接的传播路由以及 VPC D 的连接的传播路由。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
| 10.99.99.0/24 |
|
传播 |
| 10.4.0.0/16 |
|
传播 |
VPN 连接和共享服务 VPC (VPC D) 连接与以下路由表相关联,该路由表具有指向各个 VPC 连接的条目。这样可以通过 VPN 连接和共享服务 VPC 与 VPC 进行通信。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
|
10.1.0.0/16 |
|
传播 |
|
10.2.0.0/16 |
|
传播 |
|
10.3.0.0/16 |
|
传播 |
| 10.4.0.0/16 |
|
传播 |
有关在中转网关路由表中传播路由的更多信息,请参阅将路由传播到中转网关路由表。
客户网关 BGP 表
客户网关 BGP 表包含以下 VPC IP CIDR。
-
10.1.0.0/16
-
10.2.0.0/16
-
10.3.0.0/16
-
10.4.0.0/16