VPCprocessus de peering, cycle de vie et limites - Amazon Virtual Private Cloud
VPCcycle de vie d'une connexion peeringConnexions d'VPCappairage multiplesVPClimites de peering

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

VPCprocessus de peering, cycle de vie et limites

Pour établir une connexion VPC d'appairage, procédez comme suit :

  1. Le propriétaire du demandeur VPC envoie une demande au propriétaire de l'accepteur pour créer la connexion VPC d'VPCappairage. L'accepteur VPC peut appartenir à vous ou à un autre AWS compte, et ne peut pas avoir de CIDR bloc qui chevauche le CIDR bloc du demandeurVPC.

  2. Le propriétaire de l'accepteur VPC accepte la demande de connexion VPC d'appairage pour activer la connexion d'VPCappairage.

  3. Pour permettre le flux de trafic entre les adresses IP privées VPCs utilisatrices, le propriétaire de chacune VPC des connexions d'VPCappairage doit ajouter manuellement une route vers une ou plusieurs de ses tables de VPC routage pointant vers la plage d'adresses IP de l'autre VPC (l'homologueVPC).

  4. Si nécessaire, mettez à jour les règles du groupe de sécurité associées à votre EC2 instance afin de garantir que le trafic à destination et en provenance de l'homologue n'VPCest pas restreint. Si les deux VPCs se trouvent dans la même région, vous pouvez faire référence à un groupe de sécurité provenant de l'homologue VPC en tant que source ou destination pour les règles entrantes ou sortantes de votre groupe de sécurité.

  5. Avec les options de connexion VPC d'appairage par défaut, si les EC2 instances situées de part et d'autre d'une VPC connexion d'appairage s'adressent mutuellement en utilisant un nom d'DNShôte public, le nom d'hôte est converti en adresse IP publique de l'instance. EC2 Pour modifier ce comportement, activez la résolution de DNS nom d'hôte pour votre VPC connexion. Après avoir activé la résolution DNS du nom d'hôte, si EC2 les instances situées de part et d'autre de VPC la connexion d'appairage s'adressent mutuellement en utilisant un nom d'DNShôte public, le nom d'hôte est résolu en adresse IP privée de l'instance. EC2

Pour de plus amples informations, veuillez consulter Travaillez avec des connexions VPC de peering.

VPCcycle de vie d'une connexion peering

Une connexion VPC d'appairage passe par différentes étapes à partir du moment où la demande est initiée. À chaque étape, vous pouvez prendre des mesures et, à la fin de son cycle de vie, la connexion d'VPCappairage reste visible dans la VPC console Amazon et/ou sur la sortie de la ligne de commande pendant un certain temps. API

VPCcycle de vie d'une connexion peering

  • Demande d'initialisation : une demande de connexion d'VPCappairage a été lancée. À ce stade, la connexion d'appairage peut échouer ou passer à l'état pending-acceptance.

  • Échec : la demande de connexion d'VPCappairage a échoué. À ce stade, elle ne peut pas être acceptée, refusée ou supprimée. L'échec de VPC la connexion d'appairage reste visible pour le demandeur pendant 2 heures.

  • En attente d'acceptation : la demande de connexion VPC d'appairage est en attente d'acceptation par le propriétaire de l'accepteur. VPC Dans cet état, le propriétaire du demandeur VPC peut supprimer la demande, et le propriétaire de l'accepteur VPC peut accepter ou rejeter la demande. Si aucune mesure n'est prise concernant la demande, elle expire au bout de 7 jours.

  • Expiré : la VPC demande de connexion d'appairage a expiré et aucune action ne peut être entreprise par l'un ou l'autre des VPC propriétaires. La connexion VPC d'appairage expirée reste visible pour les deux VPC propriétaires pendant 2 jours.

  • Rejeté : le propriétaire de l'accepteur VPC a rejeté une demande de connexion d'pending-acceptanceVPCappairage. À ce stade, la demande ne peut pas être acceptée. La connexion VPC d'appairage rejetée reste visible pour le propriétaire du demandeur VPC pendant 2 jours, et visible pour le propriétaire de l'accepteur VPC pendant 2 heures. Si la demande a été créée dans le même AWS compte, la demande rejetée reste visible pendant 2 heures.

  • Provisionnement : La VPC demande de connexion d'appairage a été acceptée et sera bientôt conforme. active

  • Active : la connexion VPC d'appairage est active et le trafic peut circuler entre les VPCs (à condition que vos groupes de sécurité et tables de routage autorisent la circulation du trafic). Dans cet état, l'un ou l'autre des VPC propriétaires peut supprimer la connexion d'VPCappairage, mais ne peut pas la rejeter.

    Note

    Si un événement dans une région dans laquelle VPC réside a empêche le flux de trafic, l'état de la connexion d'VPCappairage est conservéActive.

  • Suppression : s'applique à une connexion VPC d'appairage interrégionale en cours de suppression. Le propriétaire de l'un ou l'autre VPC a soumis une demande de suppression d'activeVPCune connexion d'appairage, ou le propriétaire du demandeur VPC a soumis une demande de suppression d'une connexion d'pending-acceptanceVPCappairage.

  • Supprimé : une active VPC connexion d'appairage a été supprimée par l'un des VPC propriétaires, ou une demande pending-acceptance VPC de connexion d'appairage a été supprimée par le propriétaire du demandeur. VPC Dans cet état, la connexion d'VPCappairage ne peut être ni acceptée ni rejetée. La VPC connexion d'appairage reste visible pour la partie qui l'a supprimée pendant 2 heures, et visible pour l'autre partie pendant 2 jours. Si la connexion VPC d'appairage a été créée au sein du même AWS compte, la demande supprimée reste visible pendant 2 heures.

Connexions d'VPCappairage multiples

Une connexion VPC de peering est une relation un à un entre deuxVPCs. Vous pouvez créer plusieurs connexions d'VPCappairage pour chacune de celles VPC que vous possédez, mais les relations d'appairage transitives ne sont pas prises en charge. Vous n'avez aucune relation de pair avec VPCs laquelle vous VPC n'êtes pas directement apparenté.

Le schéma suivant est un exemple d'une paire VPC comparée à deux différentesVPCs. Il existe deux connexions VPC d'appairage : VPC A est appairée à la fois avec VPC B et VPC C. VPC B et VPC C ne sont pas appairées, et vous ne pouvez pas utiliser VPC A comme point de transit pour l'appairage entre VPC B et VPC C. Si vous souhaitez activer le routage du trafic entre VPC B et VPC C, vous devez créer une connexion d'appairage unique entre ellesVPC.

Un VPC pair avec deux VPCs

VPClimites de peering

Tenez compte des limites suivantes pour les connexions VPC d'appairage. Dans certains cas, vous pouvez utiliser une pièce jointe à une passerelle de transit au lieu d'une connexion d'VPCappairage. Pour plus d'informations, consultez la section Exemples dans Amazon VPC Transit Gateways.

Connexions

  • Il existe un quota sur le nombre de connexions de VPC peering actives et en attente par. VPC Pour de plus amples informations, veuillez consulter VPCquotas de connexions de peering pour un compte.

  • Vous ne pouvez pas avoir plus d'une VPC connexion d'appairage entre deux connexions VPCs en même temps.

  • Les tags que vous créez pour votre connexion de VPC peering ne sont appliqués que dans le compte ou la région dans lesquels vous les avez créés.

  • Vous ne pouvez pas vous connecter ou interroger le DNS serveur Amazon sur un serveur homologueVPC.

  • Si le IPv4 CIDR blocage d'une connexion d'VPCappairage se situe VPC en dehors des plages d'IPv4adresses privées spécifiées par RFC1918, les DNS noms d'hôtes privés correspondants VPC ne peuvent pas être transformés en adresses IP privées. Pour convertir des DNS noms d'hôtes privés en adresses IP privées, vous pouvez activer le support de DNS résolution pour la connexion d'VPCappairage. Pour de plus amples informations, veuillez consulter Activer DNS la résolution pour une connexion VPC de peering.

  • Vous pouvez activer les ressources situées de part et d'autre d'une VPC connexion d'appairage pour communiquer. IPv6 Vous devez associer un IPv6 CIDR bloc à chacune d'ellesVPC, activer les instances dans la VPCs IPv6 communication et acheminer le IPv6 trafic destiné au pair VPC vers la connexion d'VPCappairage.

  • Le transfert de chemin inversé par monodiffusion dans les connexions d'VPCappairage n'est pas pris en charge. Pour de plus amples informations, veuillez consulter Routage pour le trafic de la réponse.

Blocs superposés CIDR

  • Vous ne pouvez pas créer de connexion d'VPCappairage entre ceux VPCs qui présentent des blocs, des correspondances ou des chevauchementsIPv4. IPv6 CIDR

  • Si vous avez plusieurs IPv4 CIDR blocs, vous ne pouvez pas créer de connexion d'VPCappairage si l'un des CIDR blocs se chevauche, même si vous avez l'intention d'utiliser uniquement les blocs qui ne se chevauchent pas ou uniquement CIDR des blocs. IPv6 CIDR

Appairage transitif

  • VPCle peering ne prend pas en charge les relations de peering transitives. Par exemple, s'il existe des connexions VPC d'appairage entre VPC A et VPC B, et entre VPC A et VPC C, vous ne pouvez pas acheminer le trafic de VPC B vers VPC C via VPC A. Pour acheminer le trafic entre VPC B et VPC C, vous devez créer une connexion d'VPCappairage entre eux. Pour de plus amples informations, veuillez consulter Trois ont VPCs regardé ensemble.

Routage d'un bout à l'autre via une passerelle ou une connexion privée

  • Si A possède VPC une passerelle Internet, les ressources de VPC B ne peuvent pas utiliser la passerelle Internet de VPC A pour accéder à Internet.

  • Si A possède VPC un NAT appareil qui fournit un accès Internet aux sous-réseaux de VPC A, les ressources de VPC B ne peuvent pas utiliser le NAT périphérique de VPC A pour accéder à Internet.

  • Si VPC A est connecté à un VPN réseau d'entreprise, les ressources de VPC B ne peuvent pas utiliser cette VPN connexion pour communiquer avec le réseau d'entreprise.

  • Si VPC A est connecté AWS Direct Connect à un réseau d'entreprise, les ressources de VPC B ne peuvent pas utiliser cette AWS Direct Connect connexion pour communiquer avec le réseau d'entreprise.

  • Si A possède VPC un point de terminaison de passerelle qui fournit une connectivité à Amazon S3 à des sous-réseaux privés en VPC A, les ressources en VPC B ne peuvent pas utiliser le point de terminaison de passerelle pour accéder à Amazon S3.

Connexions de VPC peering interrégionales

  • L'unité de transmission maximale (MTU) sur la connexion d'VPCappairage via les régions est de 1 500 octets. Les trames jumbo (MTUsjusqu'à 9001 octets) ne sont pas prises en charge pour les connexions d'appairage interrégionalesVPC. Ils sont toutefois pris en charge pour les connexions de VPC peering dans la même région. Pour plus d'informations sur les cadres Jumbo, consultez la section Cadres Jumbo (9001MTU) dans le Guide de EC2l'utilisateur Amazon.

  • Vous devez activer la prise en charge de la DNS résolution pour VPC la connexion d'appairage afin de convertir les DNS noms d'hôte privés des adresses IP VPC appairées en adresses IP privées, même si le IPv4 CIDR nom VPC se situe dans les plages d'IPv4adresses privées spécifiées par 1918. RFC

Partagé VPCs et sous-réseaux

  • Seuls VPC les propriétaires peuvent utiliser (décrire, créer, accepter, rejeter, modifier ou supprimer) des connexions d'appairage. Les participants ne peuvent pas utiliser les connexions d'appairage. Pour plus d'informations, consultez la section Partagez votre compte VPC avec d'autres comptes dans le guide de VPC l'utilisateur Amazon.