Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
VPCAmazon-Anhänge in Amazon VPC Transit Gateways
Eine Amazon Virtual Private Cloud (VPC) -Anlage an ein Transit-Gateway ermöglicht es Ihnen, den Verkehr zu und von einem oder mehreren VPC Subnetzen weiterzuleiten. Wenn Sie eine Verbindung VPC zu einem Transit-Gateway herstellen, müssen Sie aus jeder Availability Zone ein Subnetz angeben, das vom Transit-Gateway für die Weiterleitung des Datenverkehrs verwendet werden soll. Die Angabe eines Subnetzes aus einer Availability Zone ermöglicht es, Datenverkehr an Ressourcen in jedem Subnetz in dieser Availability Zone zu leiten.
Einschränkungen
-
Wenn Sie eine Verbindung VPC zu einem Transit-Gateway herstellen, können Ressourcen in Availability Zones, in denen keine Transit-Gateway-Verbindung besteht, das Transit-Gateway nicht erreichen. Wenn in einer Subnetz-Routing-Tabelle eine Route zum Transit Gateway vorhanden ist, wird Datenverkehr nur dann zum Transit Gateway weitergeleitet, wenn das Transit Gateway eine Anhang in einem Subnetz in dieser Availability Zone besitzt.
-
Ein Transit-Gateway unterstützt keine DNS Auflösung für benutzerdefinierte DNS Namen angehängter VPCs Einrichtungen, die private gehostete Zonen in Amazon Route 53 verwenden. Informationen zur Konfiguration der Namensauflösung für privat gehostete Zonen für alle, die an ein Transit-Gateway VPCs angeschlossen sind, finden Sie unter Zentralisierte DNS Verwaltung der Hybrid-Cloud mit Amazon Route 53 und AWS Transit Gateway
. -
Ein Transit-Gateway unterstützt kein Routing zwischen und VPCs identischCIDRs. Wenn Sie ein Transit-Gateway VPC an ein Transit-Gateway anhängen und es mit dem CIDR eines anderen identisch CIDR istVPC, das bereits an das Transit-Gateway angeschlossen ist, werden die Routen für das neu hinzugefügte Transit-Gateway VPC nicht in die Routentabelle des Transit-Gateways übertragen.
-
Sie können keinen Anhang für ein VPC Subnetz erstellen, das sich in einer lokalen Zone befindet. Jedoch können Sie Ihr Netzwerk so konfigurieren, dass Subnetze in der Local Zone eine Verbindung mit einem Transit-Gateway über die übergeordnete Availability Zone herstellen. Weitere Informationen finden Sie unter Verbinden von Subnetzen der Local Zone mit einem Transit Gateway.
-
Sie können keinen IPv6 Transit-Gateway-Anhang erstellen, indem Sie Subnetze verwenden, die nur aus Subnetzen bestehen. Subnetze für Transit-Gateway-Anhänge müssen auch Adressen unterstützen. IPv4
-
Ein Transit-Gateway muss mindestens einen VPC Anhang haben, bevor dieses Transit-Gateway einer Routing-Tabelle hinzugefügt werden kann.
VPCLebenszyklus von Anhängen
Ein VPC Anhang durchläuft verschiedene Phasen, beginnend mit der Initiierung der Anfrage. In jeder Phase gibt es möglicherweise Aktionen, die Sie ergreifen können, und am Ende des Lebenszyklus bleibt der VPC Anhang für einen bestimmten Zeitraum in der Ausgabe Amazon Virtual Private Cloud Console und in API der Befehlszeile sichtbar.
Das folgende Diagramm zeigt die Phasen, die eine Anhang in einer einzelnen Kontokonfiguration oder eine kontoübergreifende Konfiguration durchlaufen kann, bei der Auto accept shared attachments (Gemeinsame Anhänge automatisch akzeptieren) werden aktiviert ist.
-
Ausstehend: Eine Anfrage für einen VPC Anhang wurde initiiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
verschoben werden. -
Fehlgeschlagen: Eine Anfrage für einen VPC Anhang schlägt fehl. In diesem Stadium wird der VPC Anhang an gesendet
failed
. -
Fehlgeschlagen: Die Anforderung des VPC Anhangs ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
-
Verfügbar: Der VPC Anhang ist verfügbar, und der Verkehr kann zwischen dem VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach
modifying
bzw.deleting
verschoben werden. -
Löschen: Ein VPC Anhang, der gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach
deleted
verschoben werden. -
Gelöscht: Ein
available
VPC Anhang wurde gelöscht. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar. -
Ändern: Es wurde eine Anfrage zur Änderung der Eigenschaften des VPC Anhangs gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
bzw.rolling back
verschoben werden. -
Rollback: Die Anfrage zur Änderung des VPC Anhangs kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
verschoben werden.
Das folgende Diagramm zeigt die Phasen, die eine Anfügung in einer kontoübergreifenden Konfiguration durchlaufen kann, bei der Auto accept shared attachments (Gemeinsame Anfügungen automatisch akzeptieren) deaktiviert ist.
-
Annahme steht noch aus: Die VPC Anhangsanforderung wartet auf ihre Annahme. In dieser Phase kann die Anfügung nach
pending
,rejecting
oderdeleting
verschoben werden. -
Ablehnen: Ein VPC Anhang, der gerade abgelehnt wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach
rejected
verschoben werden. -
Abgelehnt: Ein
pending acceptance
VPC Anhang wurde abgelehnt. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar. -
Ausstehend: Der VPC Anhang wurde akzeptiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
verschoben werden. -
Fehlgeschlagen: Eine Anfrage für einen VPC Anhang schlägt fehl. In diesem Stadium wird der VPC Anhang an gesendet
failed
. -
Fehlgeschlagen: Die Anforderung des VPC Anhangs ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
-
Verfügbar: Der VPC Anhang ist verfügbar, und der Verkehr kann zwischen dem VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach
modifying
bzw.deleting
verschoben werden. -
Löschen: Ein VPC Anhang, der gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach
deleted
verschoben werden. -
Gelöscht: Ein
available
pending acceptance
VPC Oder-Anhang wurde gelöscht. In diesem Zustand kann der VPC Anhang nicht geändert werden. Der VPC Anhang bleibt 2 Stunden sichtbar und ist danach nicht mehr sichtbar. -
Ändern: Es wurde eine Anfrage zur Änderung der Eigenschaften des VPC Anhangs gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
bzw.rolling back
verschoben werden. -
Rollback: Die Anfrage zur Änderung des VPC Anhangs kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach
available
verschoben werden.
Referenzierung von Sicherheitsgruppen
Sie können diese Funktion verwenden, um die Verwaltung von Sicherheitsgruppen und die Kontrolle des instance-to-instance Datenverkehrs zu vereinfachenVPCs, der an dasselbe Transit-Gateway angeschlossen ist. Sie können nur in Regeln für eingehenden Datenverkehr Querverweise auf Sicherheitsgruppen erstellen. Sicherheitsregeln für ausgehende Nachrichten unterstützen keine Verweise auf Sicherheitsgruppen. Mit der Aktivierung oder Verwendung der Sicherheitsgruppenreferenzierung sind keine zusätzlichen Kosten verbunden.
Die Unterstützung von Verweisen auf Sicherheitsgruppen kann sowohl für Transit-Gateways als auch für VPC Transit-Gateway-Anlagen konfiguriert werden und funktioniert nur, wenn sie sowohl für ein Transit-Gateway als auch für dessen Anlagen aktiviert wurde. VPC
Einschränkungen
Die folgenden Einschränkungen gelten, wenn die Sicherheitsgruppenreferenzierung mit einem Anhang verwendet wird. VPC
Die Referenzierung von Sicherheitsgruppen wird für VPC Anlagen in der Availability Zone use1-az3 nicht unterstützt.
Die Referenzierung von Sicherheitsgruppen wird für Endgeräte nicht unterstützt. PrivateLink Wir empfehlen die Verwendung von CIDR IP-basierten Sicherheitsregeln als Alternative.
Die Referenzierung von Sicherheitsgruppen funktioniert für Elastic File System (EFS), solange für die EFS Schnittstellen in der eine Sicherheitsgruppenregel „Alle ausgehenden Daten zulassen“ konfiguriert ist. VPC
Für Local Zone-Konnektivität über ein Transit-Gateway werden nur die folgenden Local Zones unterstützt: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a und us-west-2-phx-2a.
-
Wir empfehlen, diese Funktion auf VPC Anhangsebene für VPCs Subnetze in nicht unterstützten Local Zones, AWS Outposts und AWS Wavelength Zones zu deaktivieren, da dies zu Dienstunterbrechungen führen kann.
-
Wenn Sie eine Inspektion durchführenVPC, funktioniert die Referenzierung von Sicherheitsgruppen über das Transit-Gateway nicht über den AWS Gateway Load Balancer oder eine AWS Network Firewall hinweg.
Aufgaben
- Erstellen Sie einen Anhang VPC
- Ändern Sie einen Anhang VPC
- Ändern Sie VPC Anhangs-Tags
- Einen Anhang anzeigen VPC
- Löschen Sie einen Anhang VPC
- Aktualisieren Sie die Regeln für eingehende Sicherheitsgruppen
- Identifizieren Sie referenzierte Sicherheitsgruppen
- Entfernen Sie veraltete Sicherheitsgruppenregeln
- Probleme mit Anhängen beheben VPC