本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
示例:到互联网的集中出站路由
您可以配置中转网关,将出站互联网流量从没有互联网网关的 VPC 路由到包含 NAT 网关和互联网网关的 VPC。
概述
下表展示了此场景配置的主要组成部分。您的应用程序位于 VPC A 和 VPC B 中,这些应用程序只需要出站互联网访问。您可以为 VPC C 配置公有 NAT 网关和互联网网关,并为 VPC 挂载配置私有子网。将所有 VPC 连接到中转网关。配置路由,以便来自 VPC A 和 VPC B 的出站互联网流量经过 VPC C 的中转网关。VPC C 中的 NAT 网关将流量路由到互联网网关。
资源
为此场景创建以下资源:
-
三个 IP 地址范围不重叠的 VPC。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 VPC。
-
VPC A 和 VPC B 各具有带 EC2 实例的私有子网。
-
VPC C 具有以下内容:
-
附加到 VPC 的互联网网关。有关更多信息,请参阅 Amazon VPC 用户指南中的创建并附加互联网网关。
-
具有 NAT 网关的公有子网。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 NAT 网关。
-
用于中转网关连接的私有子网。私有子网应与公有子网位于同一个可用区。
-
-
一个中转网关。有关更多信息,请参阅创建中转网关。
-
中转网关上有三个 VPC 挂载。每个 VPC 的 CIDR 块将传播到中转网关路由表。有关更多信息,请参阅创建 VPC 的中转网关连接挂载。对于 VPC C,您必须使用私有子网创建挂载。如果您使用公有子网创建挂载,则实例流量会路由到互联网网关,但互联网网关会丢弃流量,因为实例没有公有 IP 地址。通过将挂载放在私有子网中,流量将路由到 NAT 网关,NAT 网关使用弹性 IP 地址作为源 IP 地址将流量发送到互联网网关。
路由
每个 VPC 都具有路由表,并且中转网关具有一个路由表。
VPC A 的路由表
以下是一个示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。
| 目的地 | 目标 |
|---|---|
|
|
本地 |
|
0.0.0.0/0 |
|
VPC B 的路由表
以下是一个示例路由表。第一个条目使该 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。
| 目的地 | 目标 |
|---|---|
|
|
本地 |
|
0.0.0.0/0 |
|
VPC C 的路由表
通过向互联网网关添加路由将具有 NAT 网关的子网配置为公有子网。将另一个子网保留为私有子网。
以下是公有子网的示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个和第三个条目将 VPC A 和 VPC B 的流量路由到中转网关。剩余条目将所有其他 IPv6 子网流量路由到互联网网关。
| 目的地 | 目标 |
|---|---|
VPC C CIDR |
本地 |
VPC A CIDR |
transit-gateway-id |
VPC B CIDR |
transit-gateway-id |
| 0.0.0.0/0 | internet-gateway-id |
以下是私有子网的示例路由表。第一个条目使 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到 NAT 网关。
| 目的地 | 目标 |
|---|---|
VPC C CIDR |
本地 |
| 0.0.0.0/0 | nat-gateway-id |
中转网关路由表
以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。静态路由将出站互联网流量发送到 VPC C。您可以选择通过为每个 VPC CIDR 添加黑洞路由来阻止内部 VPC 通信。
| CIDR | Attachment | 路由类型 |
|---|---|---|
|
|
|
传播 |
|
|
|
传播 |
|
|
|
传播 |
| 0.0.0.0/0 |
|
静态 |