AWS 区域 通过使用与VPCs他人进行对等互动 AWS Transit Gateway - AWS Prescriptive Guidance
摘要先决条件和限制架构工具操作说明故障排除相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 区域 通过使用与VPCs他人进行对等互动 AWS Transit Gateway

由 Durga Prasad Cheepuri () 和 Armin Gradascevic () AWS 创作 AWS

摘要

虚拟私有云 (VPC) 是专用于您的虚拟网络 AWS 账户。它在逻辑上与中的其他虚拟网络隔离 AWS Cloud。您可以将诸如亚马逊弹性计算云 (AmazonEC2) 实例之类的 AWS 资源启动到您的VPCs。当你在两者之间创建对等连接时VPCs,它们中的资源VPCs可以像在同一个网络中一样相互通信。

在两者之间创建对等连接的主要方法有两VPCs种: AWS Cloud

  • VPC对等 — 这种类型的连接是在亚马逊虚拟私有云(亚马逊VPC)中创建的。它VPCs无需任何额外资源或附件即可直接连接。如果您需要连接两个以上VPCs,则每个之间的对等连接将VPCs建立网状网络。这种对等互连方法适用于连接少量的。VPCs

  • Transit Gateway 对等连接附件 — 这是一种 AWS Transit Gateway 连接,也通过 Amazon VPC 进行管理。Transit Gateway 使用一种 hub-and-spoke模型来连接多个VPCs本地网络。这种方法支持之间的传递路由VPCs,即使它们不是直接对等的。如果您需要连接大量VPCs或其他网络,则这种对等方法非常适合,因为它需要较少的网络维护。与VPC对等互连不同,传输网关可以与虚拟专用网络 (VPN) 无缝集成,对于混合网络,它们可以与 AWS Direct Connect之集成。

此模式提供了在相同 AWS 账户 但不同的 AWS 区域两个VPCs之间手动创建公交网关对等连接的说明。您可以重复使用此模式来创建 hub-and-spoke网络模型,以连接单个账户 AWS 账户 或多个账户内的混合网络。此解决方案在每个区域创建一个中转网关,然后配置传输网关和路由表以支持同一账户中的目标VPCs之间的区域间通信。要自动设置区域间对等互连,请参阅使用自动设置区域间对等互连。 AWS Transit Gateway

先决条件和限制

先决条件

限制

  • VPCs不得有重叠的CIDR方块。

架构

下图显示了如何使用传输网关对等连接进行不同 AWS 区域连接VPC。此连接支持中的资源之间的通信VPCs,例如 Amazon EC2 实例之间的通信。

在不同区域的两个中转网关之间创建对等连接。

工具

操作说明

任务描述所需技能

在每个区域创建中转网关。

  1. 在区域 1 中,创建传输网关。有关说明,请参阅创建中转网关

  2. 重复上一步在区域 2 中创建中转网关。

  3. 记下新的公交网关IDs。你稍后需要这些值。

将军 AWS

为每人创建一个附件VPC。

  1. 在区域 1 中,创建传输网关的VPC附件。选择中的所有子网。VPC有关说明,请参阅将您的VPCs连接到您的公交网关

  2. 重复上一步为区域 2 中的公交网关创建VPC附件。选择中的所有子网。VPC

将军 AWS

创建对等连接附件。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 1。

  3. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  4. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

  5. 对于公交网关 ID,请选择您在区域 1 中创建的传输网关。

  6. 对于 Attachment type (挂载类型),选择 Peering Connection (对等连接)

  7. 在 “帐户” 中,选择 “我的帐户”。

  8. 对于区域,选择区域 2。

  9. 对于公交网关(接受方),请输入区域 2 中转网关的 ID。

  10. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

将军 AWS

接受对等互连附件请求。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 2。

  3. 在导航窗格中,选择 Transit Gateway Attachments(中转网关连接)。

  4. 选择等待接受的公交网关对等连接。

  5. 选择操作,然后选择接受公交网关附件

将军 AWS
任务描述所需技能

在区域 1 中配置VPC路由表。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 1。

  3. 在导航窗格中,选择 Route tables(路由表)。

  4. 选择该区域VPC中使用的路由表。

  5. 选择操作,然后选择编辑路线

  6. 选择 Add route(添加路由)。

  7. 对于目的地,VPC在区域 2 中输入CIDR方块。

  8. 对于 Target,选择 T ransit Gatew ay,然后在区域 1 中输入公交网关的 ID。

  9. 选择 Save changes(保存更改)

将军 AWS

在区域 2 中配置VPC路由表。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 2。

  3. 在导航窗格中,选择 Route tables(路由表)。

  4. 选择该区域VPC中使用的路由表。

  5. 选择操作,然后选择编辑路线

  6. 选择 Add route(添加路由)。

  7. 在 “目的地” 中,输入区域 1 VPC 中的CIDR方块。

  8. 对于 Target,选择 T ransit Gatew ay,然后在区域 2 中输入中转网关的 ID。

  9. 选择 Save changes(保存更改)

将军 AWS

将区域 1 中的传输网关连接到区域 2 VPC 中的。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 1。

  3. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  4. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

  5. 对于公交网关 ID,请选择您在区域 1 中创建的传输网关。

  6. 对于 “附件类型”,选择VPC

  7. 对于 VPCID,请输入区域 2 VPC 中的的 ID。

  8. 对于子网 IDs,为每个可用区选择一个子网,供传输网关用于路由流量。

  9. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

将军 AWS

将区域 2 中的传输网关连接到区域 1 VPC 中的。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 2。

  3. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  4. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

  5. 对于公交网关 ID,请选择您在区域 2 中创建的传输网关。

  6. 对于 “附件类型”,选择VPC

  7. 对于 VPCID,请输入区域 1 VPC 中的的 ID。

  8. 对于子网 IDs,为每个可用区选择一个子网,供传输网关用于路由流量。

  9. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

将军 AWS

在区域 1 中配置中转网关路由表。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 1。

  3. 在导航窗格中,选择 Transi t Gateway 路由表

  4. 选择区域 1 中转网关使用的路由表。

  5. 选择操作,然后选择创建静态路由

  6. 创建静态路由页面上,输入区域 2 VPC 中对应的区CIDR块。

  7. 对于附件,请选择在区域 2 VPC 中为创建的附件。

  8. 选择 Create static route(创建静态路由)。

  9. 重复前面的步骤以创建另一条路径。提供以下值:

    • 输入区域 1 VPC 中的区CIDR块。

    • 选择在区域 1 VPC 中为创建的附件。

将军 AWS

在区域 2 中配置中转网关路由表。

  1. 打开亚马逊VPC控制台

  2. 在区域选择器中,选择区域 2。

  3. 在导航窗格中,选择 Transi t Gateway 路由表

  4. 选择区域 2 中转网关使用的路由表。

  5. 选择操作,然后选择创建静态路由

  6. 创建静态路由页面上,输入区域 1 VPC 中对应的区CIDR块。

  7. 对于附件,请选择在区域 1 VPC 中为创建的附件。

  8. 选择 Create static route(创建静态路由)。

  9. 重复前面的步骤以创建另一条路径。提供以下值:

    • 在区域 2 VPC 中输入CIDR方块。

    • 选择在区域 2 VPC 中为创建的附件。

将军 AWS
任务描述所需技能

创建 EC2 实例。

  1. 在区域 1 VPC 中,创建一个EC2实例。有关说明,请参阅启动实例。在任何具有入站安全组规则的子网中创建实例,该规则接受来自区域 2 VPC 中CIDR区块的ICMP流量。

  2. 重复上一步在区域 2 VPC 中创建EC2实例。在任何具有入站安全组规则的子网中创建实例,该规则接受来自区域 1 VPC 中CIDR区块的ICMP流量。

将军 AWS

测试对等连接。

  1. 使用会话管理器(一种 AWS Systems Manager功能)连接到其中一个实EC2例。有关说明,请参阅使用会话管理器连接

  2. 输入以下命令启动对另一个EC2实例的 ping 命令,其中<targetname>是另一个EC2实例的主机名或 IP 地址。

    $ ping [options] <targetname>

  3. 确认 ping 已成功。这可以验证两者之间是否已VPCs在不同区域建立了对等连接。

将军 AWS

故障排除

事务解决方案

在EC2实例之间执行 Ping 操作不会返回回复。

  1. 验证连接到实例的安全组是否允许来自相应CIDR区块的ICMPv4入站 ping。有关更多信息,请参阅使用安全组控制 AWS 资源流量

  2. 验证VPC路由表中是否有通往其他CIDR区块的路由。该路径应指向作为下一跳的公交网关。有关更多信息,请参阅使用路由表

  3. 验证公交网关路由表中是否有通往另一个CIDR区块的路由。路径应指向下一跳的对等互连附件。有关更多信息,请参阅中转网关路由表

相关资源