示例:隔离 VPC - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

示例:隔离 VPC

您可以将中转网关配置为多个隔离的路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。

概述

下表展示了此方案配置的主要组成部分。来自 VPC A、VPC B 和 VPC C 的数据包路由到中转网关。来自 VPC A、VPC B 和 VPC C 中的子网并将 Internet 作为目的地的数据包先通过中转网关进行路由,然后路由到站点到站点 VPN(如果目的地在该网络中)。来自一个 VPC 并将另一个 VPC 中的子网作为目的地的数据包(例如从 10.1.0.0 到 10.2.0.0)通过中转网关进行路由,将在其中阻止这些数据包,因为在中转网关路由表中没有它们的路由。

在该方案中,您创建以下实体:

在 VPN 连接启动后,将建立 BGP 会话,VPN CIDR 传播到中转网关路由表,并将 VPC CIDR 添加到客户网关 BGP 表中。

路由选择

每个 VPC 都有一个路由表,而中转网关有两个路由表:一个用于 VPC,另一个用于 VPN 连接。

VPC A、VPC B 和 VPC C 路由表

每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目。此条目使该 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。下表显示了 VPC A 路由。

目的地 目标

10.1.0.0/16

本地

0.0.0.0/0

tgw-id

中转网关路由表

此方案为 VPC 使用一个路由表,为 VPN 连接使用一个路由表。

VPC 连接与以下路由表相关联,该路由表具有 VPN 连接的传播路由。

目的地 目标 路由类型
10.99.99.0/24 VPN 连接的连接

传播

VPN 连接与以下路由表相关联,该路由表具有每个 VPC 连接的传播路由。

目的地 目标 路由类型

10.1.0.0/16

VPC A 的连接

传播

10.2.0.0/16

VPC B 的连接

传播

10.3.0.0/16

VPC C 的连接

传播

有关在中转网关路由表中传播路由的更多信息,请参阅将路由传播到中转网关路由表

客户网关 BGP 表

客户网关 BGP 表包含以下 VPC IP CIDR。

  • 10.1.0.0/16

  • 10.2.0.0/16

  • 10.3.0.0/16