本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 连接到另一个账户中的 VPC
<a name="workflows-vpc-cross-account"></a>

您可以让您的 HealthOmics 工作流程运行访问由其他 AWS 账户管理的 Amazon VPC 中的资源，而无需将任一 VPC 暴露给互联网。此访问模式支持使用 AWS与其他组织共享数据。使用此访问模式，可以在 VPC 之间共享数据，安全性和性能都比通过互联网共享更高。将您的工作流程运行配置为使用 VPC 对等连接来访问这些资源。

**警告**  
如果您允许在账户或 VPC 之间进行访问，请检查您的计划是否符合管理这些账户的相应组织的安全要求。按照本文档中的说明进行操作，将影响资源的安全状况。

在本教程中，将使用 IPv4 通过对等连接将两个账户连接在一起。您配置的 HealthOmics 配置资源尚未连接到其他账户中的 VPC。您可以配置 DNS 解析以将工作流程运行连接到不提供静态 IP 的资源。要使这些说明适应其他对等互连场景，请参阅《[VPC Peering Guide](https://docs.aws.amazon.com/vpc/latest/peering/)》。

## 先决条件
<a name="vpc-cross-account-prerequisites"></a>

要授予 HealthOmics 工作流程运行访问其他账户中资源的权限，您必须具有：
+ 配置为使用您的资源进行身份验证然后从您的资源中读取 HealthOmics 的工作流程。
+ 其他账户中的资源，例如 Amazon RDS 集群或许可证服务器，可通过 Amazon VPC 获得。
+ 您的工作流程账户和资源账户的凭证。如果您无权使用您的资源账户，请联系授权用户准备好该账户。
+ 允许创建和更新 VPC（以及支持 Amazon VPC 资源）以与您的 HealthOmics 工作流程运行相关联。
+ 创建 HealthOmics 配置资源的权限。
+ 允许在您的工作流程账户中创建 VPC 对等连接。
+ 用于在资源账户中接受 VPC 对等连接的权限。
+ 用于更新资源的 VPC（以及支持的 Amazon VPC 资源）的配置的权限。
+ 启动工作 HealthOmics 流程运行的权限。

## 在您的工作流程账户中创建 Amazon VPC
<a name="vpc-cross-account-create-vpc"></a>

在您的 HealthOmics 工作流程账户中创建 Amazon VPC、子网、路由表和安全组。

**使用控制台创建 VPC、子网和其他 VPC 资源**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在控制面板上，选择**创建 VPC**。

1. 对于 **IPv4 CIDR 块**，请提供私有 CIDR 块。CIDR 块不得与资源 VPC 中的块重叠。不要选择资源的 VPC 用来为资源分配 IP 的区块，也不要选择资源的 VPC 中已在路由表中定义的区块。有关定义相应的 CIDR 块的更多信息，请参阅 [VPC CIDR 块](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。

1. 选择**自定义可用区**。

1. 至少选择一个在您所在地区 HealthOmics 运营的可用区。

1. 在 “**公有子网数量**” 中，选择**0**。

1. 对于 **VPC 终端节点**，请选择**None**（您可以稍后添加这些终端节点以优化成本）。

1. 选择**创建 VPC**。

## 创建 VPC 对等连接请求
<a name="vpc-cross-account-create-peering"></a>

创建从您的工作流程的 VPC（请求者 VPC）到您的资源的 VPC（接受者 VPC）的 VPC 对等连接请求。

**从您的工作流程的 VPC 请求 VPC 对等连接**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Peering Connections**（对等连接）。

1. 选择 **Create Peering Connection**（创建对等连接）。

1. 对于 **VPC ID（请求者）**，请选择您的工作流程的 VPC。

1. 对于 **账户 ID**，输入资源账户的 ID。

1. 对于 **VPC ID（接受者）**，请输入您的资源的 VPC ID。

1. 选择 **Create Peering Connection**（创建对等连接）。

## 准备好资源账户
<a name="vpc-cross-account-prepare-resource"></a>

要创建对等连接并准备资源的 VPC 以使用该连接，请使用具有先决条件中列出的权限的角色登录资源账户。根据账户安全保障方式，登录步骤可能会有所不同。有关如何登录 AWS 账户的更多信息，请参阅《[AWS Sign-in 用户指南》](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html)。在资源账户中，执行以下过程。

**接受 VPC 对等连接请求**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Peering Connections**（对等连接）。

1. 选择待处理的 VPC 对等连接（状态为“待接受”）。

1. 选择**操作**。

1. 从下拉列表中选择**接受请求**。

1. 当系统提示进行确认时，选择**接受请求**。

1. 选择**立即修改我的路由表**，以向 VPC 的主路由表添加路由，从而确保您可以通过对等连接收发流量。

检查路由表，了解资源的 VPC。根据资源 VPC 的设置方式，Amazon VPC 生成的路由可能无法建立连接。检查 VPC 的新路由和现有配置之间是否存在冲突。有关故障排除的更多信息，请参阅 *Amazon [VPC 对等连接指南中的](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html) VPC 对等连接疑难解答。*

**更新您的资源的 VPC 的路由表**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Route tables**（路由表）。

1. 选中与您的资源关联的子网的路由表名称旁边的复选框。

1. 选择**操作**。

1. 选择 **Edit routes (编辑路由)**。

1. 选择 **Add route**（添加路由）。

1. 在**目标**中，输入工作流程的 VPC 的 CIDR 块。

1. 对于**目标**，选择 VPC 对等连接。

1. 选择**保存更改**。

有关在更新路由表时可能遇到的注意事项的更多信息，请参阅[为 VPC 对等连接更新路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

**更新资源的安全组**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择**安全组**。

1. 为资源选择安全组。

1. 选择**操作**。

1. 从下拉列表中选择**编辑入站规则**。

1. 选择**添加规则**。

1. 在 “**类型**” 中，选择您的资源使用的协议（例如 MySQL/Aurora，HTTPS 或自定义 TCP）。

1. 在**端口范围**中，输入您的资源监听的端口。

1. 对于**来源**，输入工作流程的 VPC CIDR 块（例如 10.0.0）。 0/16)。

1. 选择**保存规则**。

1. 选择**编辑出站规则**。

1. 检查出站流量是否受到限制。默认 VPC 设置允许所有出站流量。如果出站流量受到限制，请继续执行下一步。

1. 选择**添加规则**。

1. 在 “**类型**” 中，选择**All traffic**或所需的特定协议。

1. 对于**目标**，输入工作流程的 VPC CIDR 块（例如 10.0.0）。 0/16)。

1. 选择**保存规则**。

**实现对对等连接的 DNS 解析**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Peering Connections**（对等连接）。

1. 选择对等连接。

1. 选择**操作**。

1. 选择**编辑 DNS 设置**。

1. 在**接受方 DNS 解析**下方，选择**允许请求者 VPC 将接受方 VPC 主机的 DNS 解析为私有 IP**。

1. 选择**保存更改**。

## 更新工作流程账户中的 VPC 配置
<a name="vpc-cross-account-update-workflow"></a>

登录您的工作流程账户，然后更新 VPC 配置。

**为 VPC 对等连接添加路由**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Route tables**（路由表）。

1. 选中要与您的 HealthOmics 配置关联的子网的路由表名称旁边的复选框。

1. 选择**操作**。

1. 选择 **Edit routes (编辑路由)**。

1. 选择 **Add route**（添加路由）。

1. 对于**目的地**，输入资源 VPC 的 CIDR 块。

1. 对于**目标**，选择 VPC 对等连接。

1. 选择**保存更改**。

有关在更新路由表时可能遇到的注意事项的更多信息，请参阅[为 VPC 对等连接更新路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

**要更新工作 HealthOmics 流程的安全组，请运行**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择**安全组**。

1. 选择要用于 HealthOmics 配置的安全组。

1. 选择**操作**。

1. 选择**编辑出站规则**。

1. 选择**添加规则**。

1. 在 “**类型**” 中，选择您的资源使用的协议（例如 MySQL/Aurora，HTTPS 或自定义 TCP）。

1. 在**端口范围**中，输入您的资源监听的端口。

1. 在**目标**中，输入您的资源的 VPC CIDR 块（例如 10.1.0）。 0/16)。

1. 选择**保存规则**。

1. 选择**编辑入站规则**。

1. 检查入站流量规则是否存在。如果您的资源需要启动与工作流程运行的连接，请继续执行下一步。否则，请跳至 DNS 解析步骤。

1. 选择**添加规则**。

1. 在 “**类型**” 中，选择相应的协议。

1. 对于**来源**，输入您的资源的 VPC CIDR 块（例如 10.1.0）。 0/16)。

1. 选择**保存规则**。

**实现对对等连接的 DNS 解析**

1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Peering Connections**（对等连接）。

1. 选择对等连接。

1. 选择**操作**。

1. 选择**编辑 DNS 设置**。

1. 在**请求者 DNS 解析**下方，选择**允许接受方 VPC 将请求者 VPC 主机的 DNS 解析为私有 IP**。

1. 选择**保存更改**。

## 使用跨账户 VPC 访问权限运行工作流程
<a name="vpc-cross-account-running-workflows"></a>

启动工作流程运行时，请使用工作流程账户中的 VPC 中的子网和安全组。您的工作流程运行产生的流量将通过 VPC 对等连接路由到另一个账户中的 VPC。

有关创建 HealthOmics 配置资源和通过 VPC 网络启动工作流程运行的信息，请参阅[将 HealthOmics 工作流程连接到 VPC](workflows-vpc-networking.md)。

**重要**  
我们建议在两个 VPC 上启用 VPC 流日志，以验证它们之间的流量并对连接问题进行故障排除。有关更多信息，请参阅《Amazon VPC 用户指南》**中的 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。

## 问题排查
<a name="vpc-cross-account-troubleshooting"></a>

如果您的工作流程运行无法连接到对等 VPC 中的资源：

1. **验证路由表**：确保两个 VPC 都有指向 VPC 对等连接的双向路由。

1. **检查安全组**：确认两个 VPC 中的安全组都允许所需的流量（资源 VPC 中的入站流量，工作流 VPC 中的出站流量）。

1. **验证 DNS 解析**：如果使用 DNS 名称，请确保在对等连接上启用双向 DNS 解析。

1. **检查 CIDR 块**：确认两个 VPC 之间的 CIDR 块没有重叠。

1. **查看 VPC 流日志**：在两个 VPC 中启用 VPC 流日志以诊断流量问题。

1. **验证对等连接状态**：确保两个账户的对等连接状态均为`active`对等连接状态。

有关更多故障排除指南，请参阅 *Amazon [VPC 对等连接指南](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html)中的 VPC 对等*连接疑难解答。

## 最佳实践
<a name="vpc-cross-account-best-practices"></a>

1. **使用最低权限安全组**：仅允许您的工作流程所需的特定端口和协议访问资源。

1. **记录对等关系**：保存关于哪些 VPC 是对等互连以及出于什么目的的文档。

1. **监控跨账户流量**：使用 VPC 流日志和 CloudWatch指标监控流量模式并检测异常。

1. **仔细规划 CIDR 块**：确保 CIDR 块不重叠，为将来的扩展留出空间。

1. **彻底测试**：在运行生产工作负载之前，验证与测试工作流程的连接。

1. **与资源帐户所有者协调**：与管理资源帐户的团队建立清晰的沟通渠道，以进行故障排除和维护。

1. **使用标签**：标记您的 VPC 对等连接、路由表和安全组，以确定其目的和所有权。

## 其他资源
<a name="vpc-cross-account-resources"></a>
+ [VPC 对等指南](https://docs.aws.amazon.com/vpc/latest/peering/)
+ [将 HealthOmics 工作流程连接到 VPC](workflows-vpc-networking.md)
+ [VPC 网段](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)
+ [更新 VPC 对等连接的路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)
+ [排除 VPC 对等连接故障](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html)