示例:到互联网的集中出站路由 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

示例:到互联网的集中出站路由

您可以配置中转网关,将出站互联网流量从没有互联网网关的 VPC 路由到包含 NAT 网关和互联网网关的 VPC。

Overview

下表展示了此场景配置的主要组成部分。您的应用程序位于 VPC A 和 VPC B 中,这些应用程序只需要出站互联网访问。使用 NAT 网关和互联网网关配置 VPC。将所有 VPC 连接到中转网关。配置路由,以便来自 VPC A 和 VPC B 的出站互联网流量经过 VPC C 的中转网关。VPC C 中的 NAT 网关将流量路由到互联网网关。

Resources

为此场景创建以下资源:

  • 三个 IP 地址范围不重叠的 VPC。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 VPC

  • VPC A 和 VPC B 各具有带 EC2 实例的私有子网。

  • VPC C 具有以下内容:

    • 附加到 VPC 的互联网网关。有关更多信息,请参阅 Amazon VPC 用户指南中的创建并附加互联网网关

    • 两个子网。

    • 使用其中一个子网的 NAT 网关。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 NAT 网关

  • 一个中转网关。有关更多信息,请参阅创建中转网关

  • 中转网关上有三个 VPC 挂载。每个 VPC 的 CIDR 块将传播到中转网关路由表。有关更多信息,请参阅创建 VPC 的 Transit Gateway 挂载

Routing

每个 VPC 都具有路由表,并且中转网关具有一个路由表。

VPC A 的路由表

以下是一个示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。

目的地 目标

VPC A CIDR

本地

0.0.0.0/0

transit-gateway-id

VPC B 的路由表

以下是一个示例路由表。第一个条目使该 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。

目的地 目标

VPC B CIDR

本地

0.0.0.0/0

transit-gateway-id

VPC C 的路由表

通过向互联网网关添加路由将具有 NAT 网关的子网配置为公有子网。将另一个子网保留为私有子网。

以下是公有子网的示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个和第三个条目将 VPC A 和 VPC B 的流量路由到中转网关。剩余条目将所有其他 IPv6 子网流量路由到互联网网关。

目的地 目标
VPC C CIDR 本地
VPC A CIDR transit-gateway-id
VPC B CIDR transit-gateway-id
0.0.0.0/0 internet-gateway-id

以下是私有子网的示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到 NAT 网关。

目的地 目标
VPC C CIDR 本地
0.0.0.0/0 nat-gateway-id

中转网关路由表

以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。静态路由将出站互联网流量发送到 VPC C。您可以选择通过为每个 VPC CIDR 添加黑洞路由来阻止内部 VPC 通信。

CIDR Attachment 路由类型

VPC A CIDR

VPC A 的连接

传播

VPC B CIDR

VPC B 的连接

传播

VPC C CIDR

VPC C 的连接

传播

0.0.0.0/0

VPC C 的连接

静态