示例:隔离 VPC
您可以将中转网关配置为多个隔离的路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。
概览
下表展示了此场景配置的主要组成部分。来自 VPC A、VPC B 和 VPC C 的数据包路由到中转网关。来自 VPC A、VPC B 和 VPC C 中的子网并将 Internet 作为目的地的数据包先通过中转网关进行路由,然后路由到站点到站点 VPN(如果目的地在该网络中)。来自一个 VPC 并将另一个 VPC 中的子网作为目的地的数据包(例如从 10.1.0.0 到 10.2.0.0)通过中转网关进行路由,将在其中阻止这些数据包,因为在中转网关路由表中没有它们的路由。
资源
为此场景创建以下资源:
-
三个 VPC。有关创建 VPC 的信息,请参阅 Amazon VPC 用户指南中的创建 VPC。
-
中转网关。有关更多信息,请参阅创建中转网关。
-
中转网关上用于三个 VPC 的三个挂载。有关更多信息,请参阅创建 VPC 的中转网关连接挂载。
-
中转网关上的站点到 Site-to-Site VPN 挂载。有关更多信息,请参阅 创建 VPN 的中转网关挂载。确保您查看了 Amazon Site-to-Site VPN 用户指南中的客户网关设备的要求。
在 VPN 连接启动后,将建立 BGP 会话,VPN CIDR 传播到中转网关路由表,并将 VPC CIDR 添加到客户网关 BGP 表中。
路由
每个 VPC 都有一个路由表,而中转网关有两个路由表:一个用于 VPC,另一个用于 VPN 连接。
VPC A、VPC B 和 VPC C 路由表
每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目。此条目使该 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。下表显示了 VPC A 路由。
| 目的地 | 目标 |
|---|---|
|
10.1.0.0/16 |
本地 |
| 0.0.0.0/0 |
tgw-id |
中转网关路由表
此方案为 VPC 使用一个路由表,为 VPN 连接使用一个路由表。
VPC 连接与以下路由表相关联,该路由表具有 VPN 连接的传播路由。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
| 10.99.99.0/24 | VPN 连接的连接 |
传播 |
VPN 连接与以下路由表相关联,该路由表具有每个 VPC 连接的传播路由。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
|
10.1.0.0/16 |
|
传播 |
|
10.2.0.0/16 |
|
传播 |
|
10.3.0.0/16 |
|
传播 |
有关在中转网关路由表中传播路由的更多信息,请参阅将路由传播到中转网关路由表。
客户网关 BGP 表
客户网关 BGP 表包含以下 VPC IP CIDR。
-
10.1.0.0/16
-
10.2.0.0/16
-
10.3.0.0/16