Come funzionano le connessioni peering VPC - Amazon Virtual Private Cloud
Ciclo di vita delle connessioni peering VPCMolteplici connessioni peering VPCLimitazioni relative al peering VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funzionano le connessioni peering VPC

I passaggi seguenti descrivono il processo di peering VPC:

  1. Il proprietario del VPC richiedente invia una richiesta al proprietario del VPC accettante per creare la connessione peering VPC. Il VPC accettante può essere di proprietà dell'utente o di AWS un altro account e non può avere un blocco CIDR che si sovrappone al blocco CIDR del VPC richiedente.

  2. Il proprietario del VPC accettante accetta la richiesta di connessione peering VPC per attivare la connessione peering VPC.

  3. Per abilitare il flusso di traffico tra gli indirizzi IP privati che VPCs utilizzano, il proprietario di ogni VPC nella connessione peering VPC deve aggiungere manualmente una route a una o più delle proprie tabelle di routing VPC che punti all'intervallo di indirizzi IP dell'altro VPC (il VPC peer).

  4. Se necessario, aggiorna le regole del gruppo di sicurezza associate all' EC2istanza per garantire che il traffico da e verso il VPC peer non sia limitato. Se entrambi si VPCs trovano nella stessa regione, puoi fare riferimento a un gruppo di sicurezza dal VPC peer come origine o destinazione per le regole in entrata o in uscita nel tuo gruppo di sicurezza.

  5. Con le opzioni di connessione peering VPC predefinite, se le EC2 istanze su entrambi i lati di una connessione peering VPC si indirizzano tra loro utilizzando un nome host DNS pubblico, il nome host si risolve nell'indirizzo IP pubblico dell'istanza. EC2 Per modificare questo comportamento, abilita la risoluzione del nome host DNS per la tua connessione VPC. Dopo aver abilitato la risoluzione del nome host DNS, se EC2 le istanze su entrambi i lati della connessione peering VPC si indirizzano tra loro utilizzando un nome host DNS pubblico, il nome host si risolve nell'indirizzo IP privato dell'istanza. EC2

Per ulteriori informazioni, consulta Connessioni in peering di VPC.

Ciclo di vita delle connessioni peering VPC

Una connessione peering VPC è soggetta a varie fasi dal momento in cui è viene Effettuata la richiesta. È possibile che in ogni fase sia necessario eseguire alcune operazioni e che alla fine del relativo ciclo di vita, la connessione peering VPC rimanga visibile nell'API o nella riga di comando nonché nella console Amazon VPC per un determinato periodo di tempo.

Ciclo di vita delle connessioni peering VPC

  • Initiating-request: una richiesta di connessione peering VPC è stata avviata. In questa fase, la connessione peering può non riuscire o passare allo stato pending-acceptance.

  • Failed: la richiesta di connessione peering VPC non è riuscita. Quando è in questo stato, non può essere accettata, rifiutata o eliminata. La connessione peering VPC non riuscita rimane visibile al richiedente per 2 ore.

  • Pending-acceptance: la richiesta di connessione peering VPC è in attesa di essere accettata dal proprietario del VPC accettante. Quando la richiesta è in questo stato, il proprietario del VPC richiedente può eliminarla e il proprietario del VPC accettante può accettarla o rifiutarla. Se non viene Eseguita alcuna operazione, la richiesta scade dopo 7 giorni.

  • Expired: la richiesta di connessione peering VPC è scaduta e nessuna operazione può essere Eseguita dai due proprietari di VPC. La connessione peering VPC scaduta rimane visibile a entrambi i proprietari per 2 giorni.

  • Rejected: il proprietario del VPC accettante ha rifiutato una richiesta di connessione peering VPC pending-acceptance. Durante tale stato, la richiesta non può essere accettata. La connessione peering VPC rifiutata rimane visibile al proprietario del VPC richiedente per 2 giorni e al proprietario del VPC accettante per 2 ore. Se la richiesta è stata creata all'interno dello stesso AWS account, la richiesta rifiutata rimane visibile per 2 ore.

  • Provisioning: la richiesta di connessione peering VPC è stata accettata e a breve il suo stato sarà active.

  • Attiva: la connessione peering VPC è attiva e il traffico può fluire tra le due VPCs (a condizione che i gruppi di sicurezza e le tabelle di routing consentano il flusso del traffico). Durante questo stato, entrambi i proprietari di VPC possono eliminare la connessione peering VPC, ma non rifiutarla.

    Nota

    Se un evento in una Regione in cui si trova un VPC impedisce il flusso di traffico, lo stato della connessione peering VPC rimane Active.

  • Deleting (Eliminazione in corso): si applica a una connessione peering VPC tra regioni che sta per essere eliminata. Il proprietario di uno dei VPC ha inviato una richiesta di eliminazione di una connessione peering VPC active oppure il proprietario del VPC richiedente ha inviato una richiesta di eliminazione di una richiesta di connessione peering VPC pending-acceptance.

  • Deleted: una connessione peering VPC active è stata eliminata da uno dei proprietari, oppure una richiesta di connessione peering VPC pending-acceptance è stata eliminata dal proprietario del VPC richiedente. Durante questo stato la connessione peering VPC non può essere accettata o rifiutata. La connessione peering VPC rimane visibile al proprietario che l'ha eliminata per 2 ore E all'altro proprietario per 2 giorni. Se la connessione peering VPC è stata creata all'interno dello stesso AWS account, la richiesta eliminata rimane visibile per 2 ore.

Molteplici connessioni peering VPC

Una connessione peering VPC è una relazione uno a uno tra due. VPCs Puoi creare molteplici connessioni peering VPC per ogni tuo VPC, ma le relazioni peering transitive non sono supportate. Non hai alcuna relazione di peering con VPCs cui il tuo VPC non sia collegato direttamente.

Il diagramma seguente è un esempio di un VPC peerizzato su due diversi. VPCs Si hanno due connessioni peering VPC: VPC A è collegato in peering a VPC B e VPC C. VPC B e VPC C non sono collegati in peering e non puoi utilizzare VPC A come punto di transito per il peering tra VPC B e VPC C. Se vuoi abilitare il routing del traffico tra VPC B e VPC C, devi creare una connessione peering VPC univoca tra gli stessi.

Un VPC peer-to-peer con due VPCs

Limitazioni relative al peering VPC

Considerare le seguenti limitazioni per le connessioni peering VPC. In alcuni casi, al posto della connessione peering VPC puoi utilizzare un collegamento del gateway di transito alla VPN. Per ulteriori informazioni, consulta Esempi di scenari di gateway di transito in Amazon VPC Transit Gateway.

Connessioni

  • È presente una quota per il numero di connessioni peering VPC attive e in attesa per VPC. Per ulteriori informazioni, consulta Quote delle connessioni peering VPC per un account.

  • Non è possibile avere più di una connessione peering VPC tra due VPCs contemporaneamente.

  • I tag che crei per la connessione peering VPC sono applicati solo nell'account o nella regione in cui li crei.

  • Non puoi connetterti o eseguire query sul server Amazon DNS in un VPC peer.

  • Se il blocco IPv4 CIDR di un VPC in una connessione peering VPC non rientra negli intervalli di indirizzi IPv4 privati specificati da RFC 1918, i nomi host DNS privati per quel VPC non possono essere risolti in indirizzi IP privati. Per risolvere nomi host DNS privati in indirizzi IP privati, puoi abilitare il supporto per la risoluzione DNS per la connessione peering VPC. Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.

  • È possibile abilitare la comunicazione delle risorse su entrambi i lati di una connessione peering VPC. IPv6 È necessario associare un blocco IPv6 CIDR a ciascun VPC, abilitare le istanze nella sezione IPv6 per la comunicazione e IPv6 instradare VPCs il traffico destinato al VPC peer alla connessione peering VPC.

  • La funzionalità RPF (Reverse Path Forwarding) unicast non è supportata nelle connessioni peering VPC. Per ulteriori informazioni, consulta Routing per traffico di risposta.

Blocchi CIDR sovrapposti

  • Non è possibile creare una connessione peering VPC tra blocchi VPCs CIDR o corrispondenti o sovrapposti IPv4 . IPv6

  • Se disponi di più blocchi IPv4 CIDR, non puoi creare una connessione peering VPC se uno dei blocchi CIDR si sovrappone, anche se intendi utilizzare solo i blocchi CIDR non sovrapposti o solo i blocchi CIDR. IPv6

Peering transitivo

  • Il peering di VPC non supporta relazioni di peering transitive. Ad esempio, se sono presenti connessioni peering VPC tra VPC A e VPC B e tra VPC A e VPC C, non è possibile instradare il traffico da VPC B a VPC C tramite VPC A. Per instradare il traffico tra VPC B e VPC C, è necessario creare una connessione peering VPC tra gli stessi. Per ulteriori informazioni, consulta Tre si sono collegati insieme VPCs .

Routing edge to edge via un gateway o una connessione privata

  • Se il VPC A dispone di un gateway Internet, le risorse in VPC B non possono utilizzare il gateway Internet nel VPC A per accedere a Internet.

  • Se VPC A ha un dispositivo NAT che fornisce l'accesso Internet alle sottoreti in VPC A, le risorse in VPC B non possono utilizzare il dispositivo NAT in VPC A per accedere a Internet.

  • Se il VPC A dispone di una connessione VPN a una rete aziendale, le risorse in VPC B non possono utilizzare la connessione VPN per comunicare con la rete aziendale.

  • Se il VPC A dispone di una AWS Direct Connect connessione a una rete aziendale, le risorse in VPC B non possono utilizzare la AWS Direct Connect connessione per comunicare con la rete aziendale.

  • Se VPC A ha un endpoint gateway che fornisce connettività ad Amazon S3 a sottoreti private in VPC A, le risorse in VPC B non possono utilizzare l'endpoint gateway per accedere ad Amazon S3.

Connessioni peering VPC tra regioni

  • L'unità massima di trasmissione (MTU) in una connessione peering VPC tra regioni è 1500 byte. I frame jumbo (MTUs fino a 9001 byte) non sono supportati per le connessioni peering VPC interregionali. Sono tuttavia supportati per le connessioni peering VPC nella stessa regione. Per ulteriori informazioni sui jumbo frame, consulta Jumbo frame (9001 MTU) nella Amazon User Guide. EC2

  • È necessario abilitare il supporto per la risoluzione DNS per la connessione peering VPC per risolvere i nomi host DNS privati del VPC peerizzato in indirizzi IP privati, anche se il CIDR per IPv4 il VPC rientra negli intervalli di indirizzi privati specificati da RFC 1918. IPv4

Condivisi e sottoreti VPCs

  • Solo i proprietari di VPC possono utilizzare (descrivere, creare, accettare, rifiutare, modificare o eliminare) le connessioni peering. I partecipanti non possono lavorare con connessioni peering. Per ulteriori informazioni, consulta Condivisione del VPC con altri account nella Guida per l'utente di Amazon VPC.