【AWS入门】AWS对等连接之实现两个VPC间私网通信
虚拟私有云(VPC)是专用于您的 AWS 账户 的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网络隔绝。您可以在 VPC 内启动 AWS 资源,例如 Amazon EC2 实例。VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IPv4 地址或 IPv6 地址在两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信,就像它们在同一网络中一样。您可以在自己的 V
1. 概念
1. 什么是 VPC 对等?
虚拟私有云(VPC)是专用于您的 AWS 账户 的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网
络隔绝。您可以在 VPC 内启动 AWS 资源,例如 Amazon EC2 实例。
VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IPv4 地址或 IPv6 地址
在两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信,就像它们在同一网络中一样。您
可以在自己的 VPC 之间创建 VPC 对等连接,或者在自己的 VPC 与其他 AWS 账户中的 VPC 之间
创建连接。VPC 可位于不同区域内(也称为区域间 VPC 对等连接)。
AWS 使用 VPC 的现有基础设施来创建 VPC 对等连接;该连接既不是网关也不是 VPN 连接,并且
不依赖某一单独的物理硬件。没有单点通信故障也没有带宽瓶颈。
VPC 对等连接可以帮助您促进数据的传输。例如,如果您有多个 AWS 账户,则可以通过在这些账户
中的 VPC 间建立对等连接来创建文件共享网络。您还可以使用 VPC 对等连接来允许其他 VPC 访
问您某个 VPC 中的资源。
当您跨不同 AWS 区域在 VPC 之间建立对等关系时,不同 AWS 区域中的 VPC 中的资源(例如
EC2 实例和 Lambda 函数)可以使用私有 IP 地址相互通信,无需使用网关、VPN 连接或网络设
备。这些流量保留在私有 IP 空间中。所有区域间流量均经过加密,没有单点故障或带宽瓶颈。流量
一直处于全球 AWS 骨干网络中,不会经过公有 Internet,这样可以减少面临的威胁,例如常见攻击
漏洞和 DDoS 攻击。区域间 VPC 对等连接提供了一种简单经济的方式,可在区域间共享资源或为实
现地理冗余性而复制数据。
2. VPC 对等基本知识
要建立 VPC 对等连接,请执行以下操作:
请求者 VPC 的拥有者向接受者 VPC 的拥有者发送创建 VPC 对等连接的请求。接受者 VPC 可以归
您或其他 AWS 账户所有,不能包含与请求者 VPC 的 CIDR 块重叠的 CIDR 块。
接受者 VPC 的拥有者接受 VPC 对等连接请求以激活 VPC 对等连接。
要使用私有 IP 地址实现 VPC 之间的流量流动,VPC 对等连接中每个 VPC 的拥有者必须向一个或
多个 VPC 路由表手动添加指向其他 VPC (对等 VPC) 的 IP 地址范围的路由。
如果需要,请更新与您的实例关联的安全组规则以确保进出对等 VPC 的流量不受限制。如果两个
VPC 位于相同区域内,则您可以引用对等 VPC 中的安全组作为安全组规则中的入口或出口规则的源
或目标。
通过默认 VPC 对等连接选项,如果 VPC 对等连接任一侧的 EC2 实例使用公有 DNS 主机名相互进
行寻址,则主机名会解析为实例的公有 IP 地址。要更改此行为,请为您的 VPC 连接启用 DNS 主
机名解析。在启用 DNS 主机名解析后,如果 VPC 对等连接任一侧的实例使用公有 DNS 主机名相
互进行寻址,则主机名将解析为实例的私有 IP 地址。
3. 多个 VPC 的对等连接
VPC 对等连接是两个 VPC 之间的一对一关系。您可以为您的每个 VPC 创建多个 VPC 对等连接,
但是不支持传递的对等关系。您不会与您的 VPC 不直接对等的 VPC 形成任何对等关系。
下图举例说明一个 VPC 与两个不同的 VPC 具有对等关系。图中有两个 VPC 对等连接:VPC A 同
时与 VPC B 和 VPC C 具有对等关系。VPC B 与 VPC C 不对等,并且您不能将 VPC A 用作 VPC B
和 VPC C 之间的对等中转点。如果您要在 VPC B 和 VPC C 之间支持流量路由,必须在这两者之间
创建一个唯一的 VPC 对等连接。
4. VPC 限制
一、互连 VPC 的 CIDR 地址段不能有重叠
二、一个 VPC 最多支持 125 个 Peering 连接
三、不支持传递性 Peering 连接
四、两个 VPC 间同时只能有一个 Peering 连接
五、通过网关或私有连接进行的边缘到边缘路由
如果 VPC A 具有互联网网关,NAT 网关,VPN 连接,DX 连接,网关终端节点,VPC B 依然无法
通过对等连接访问资源。
2. 实验
1. 创建两个不同 CIDR 块的 VPC,vpc1(10.1.0.0/16),vpc2(172.16.0.0/16)
2. 创建两个子网 vpc1_subnet,vpc2_subnet
3. 创建两个路由表 vpc1_rtb,vpc2_rtb,并分别路由表关联到 vpc1_subnet,vpc2_subnet
4. 创建两个 igw1 和 igw2 分别附加到 vpc1 和 vpc2
5. 在 vcp1_rtb 添加指向 igw1 的路由, 在 vcp2_rtb 添加指向 igw2 的路由
6. 创建两个 ec2 分别放入到 vpc1 和 vpc2
7. 尝试在 VPC1 的 ec2 中 ping VPC2 ec2 的私有地址,结果为无法 ping 通
8. 开始创建 VPC peering
9. 接受请求
10.更新 vpc1_rtb 和 vpc2_rtb 路由表
vpc1 添加指向 vpc2 的 CIDR 块,Vpc2 添加指向 vpc1 的 CIDR 块
以[vpc1 添加指向 vpc2 的 CIDR 块]为例:
11.再次尝试 ping 私有地址
华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。
更多推荐
0
0- 0
已为社区贡献1条内容
所有评论(0)