VPC對等程序、生命週期和限制 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC對等程序、生命週期和限制

若要建立VPC對等連線,請執行下列動作:

  1. 請求者的擁有者VPC會傳送請求給接受者的擁有者,VPC以建立對等連線。VPC接受者VPC可以由您或其他 AWS 帳戶擁有,且不能擁有與請求者CIDR區塊重疊的CIDR區塊。VPC

  2. 接受者的擁有者VPC接受VPC對等連線要求,以啟動對等連線。VPC

  3. 若要啟VPCs用使用私有 IP 位址之間的流量流量,對等連線VPC中每個位址的VPC擁有者必須手動新增路由至一或多個VPC路由表,該路由表指向另一個 VPC (對等端VPC) 的 IP 位址範圍。

  4. 如有必要,請更新與EC2執行個體相關聯的安全群組規則,以確保進出對等的流量VPC不受限制。如果兩者VPCs都位於相同的區域中,您可以參考對等中的安全性群組,VPC作為安全性群組中輸入或輸出規則的來源或目的地。

  5. 使用預設VPC對等連線選項時,如果對等連線兩端的EC2執行個VPC體使用公用DNS主機名稱互相連接,則主機名稱會解析為執行個體的公用 IP 位址。EC2若要變更此行為,請啟用VPC連線的DNS主機名稱解析。啟用DNS主機名稱解析後,如果對等連線任一端的EC2執行個體使用公用DNS主機名稱VPC彼此相互連接,則主機名稱會解析為EC2執行個體的私有 IP 位址。

如需詳細資訊,請參閱使用VPC對等連接

VPC對等連線生命週期

VPC對等連線會經過各個階段,從要求起始時開始。在每個階段,您可以採取動作,而在其生命週期結束時,VPC對等連線會在 Amazon VPC 主控台和/API或命令列輸出中保持可見一段時間。

VPC對等連線生命週期
  • 起始要求:已啟動對VPC等連線的要求。在此階段中,對等連線可能失敗或可能移至 pending-acceptance

  • 失敗:對VPC等連線的要求失敗。在此狀態期間,無法接受、拒絕或刪除該連線。失敗的VPC對等連線會在 2 小時內對要求者顯示。

  • VPC緩允收:對等連線請求正在等待接收者擁有者的允收。VPC在此狀態期間,請求者的擁有者VPC可以刪除要求,且接受者的擁有者VPC可以接受或拒絕要求。如果未對此請求採取任何動作,該請求會在 7 天後過期。

  • 過期:VPC對等連線要求已過期,任一VPC擁有者都無法對其採取任何動作。兩個VPC擁有者都可以看到過期的對VPC等連線 2 天。

  • 拒絕:接受者的擁VPC有者已拒絕pending-acceptanceVPC對等連線請求。在此狀態期間無法接受請求。拒絕的VPC對等連線會在請求者的擁有者看到 2 天內,且接受者的擁有者可以看見 2 小VPCVPC時。如果要求是在相同 AWS 帳戶中建立,則拒絕的要求會在 2 小時內保持可見。

  • 佈建:VPC對等連線要求已接受,且即將進入狀active態。

  • 作用中:VPC對等連線處於作用中狀態,流量可以在 VPCs (前提是您的安全性群組和路由表允許流量流動) 之間流動。處於此狀態時,任一VPC擁有者都可以刪除VPC對等連線,但無法拒絕它。

    注意

    如果VPC所在區域中的某個事件阻止流量流動,VPC對等連線的狀態仍Active會保留。

  • 刪除:套用至正在刪除的區域間VPC對等連線。的擁VPC有者已提交刪除activeVPC對等連線的請求,或者請求者的擁VPC有者已提交刪除pending-acceptanceVPC對等連線要求的請求。

  • 刪除:其中一個擁有者已刪除activeVPC對等連線,或VPC者要求者的擁有者已刪除pending-acceptanceVPC對等連線要求。VPC處於此狀態時,無VPC法接受或拒絕對等連線。刪除VPC對等連線的對等連線 2 小時後仍可看見,對方可見 2 天。如果VPC對等連線是在相同 AWS 帳戶中建立的,則刪除的要求會在 2 小時內保持可見。

多個VPC對等連接

VPC對等連接是兩VPCs個之間的一對一關係。您可以為每VPC個自己擁有的VPC連接建立多個對等連接,但不支援轉移對等關係。您沒有與您沒有直接對等VPCs的VPC任何對等關係。

下圖是一個對VPC等於兩個不同VPCs的示例。有兩種VPC對等連線:VPCA 是對等的,VPCB 與 C 和 VPC VPC C 都不是對等連線,而且不能使用 VPC A 做為 VPC B 與 C 之間對等互連的傳輸點。如果您想要啟用 VPC VPC B 和 VPC VPC C 之間的流量路由,則必須在它們之間建立唯一的VPC對等連線。

一個有VPC兩個 VPCs

VPC對等限制

請考慮下列對VPC等連線的限制。在某些情況下,您可以使用傳輸閘道附件而非VPC對等連線。如需詳細資訊,請參閱 Amazon VPC 傳輸閘道中的範例

連線
  • 每VPC個使用中和擱置的對等VPC連線數目都有配額。如需詳細資訊,請參閱VPC帳戶的對等連線配額

  • 兩個連線之間不能同時有一個以VPCs上的VPC對等連線。

  • 您為對VPC等連線建立的任何標記只會套用在您建立對等連線的帳戶或地區。

  • 您無法在對等伺服器中連線或查詢 Amazon DNS 伺服器VPC。

  • 如果對VPC等連線VPC中的IPv4CIDR區塊落在 RFC1918 所指定的私人IPv4位址範圍之外,則該對等連線的私人DNS主機名稱VPC無法解析為私有 IP 位址。若要將私人DNS主機名稱解析為私人 IP 位址,您可以啟用對VPC等連線的解DNS析度支援。如需詳細資訊,請參閱啟用對VPC等連線的DNS解析度

  • 您可以啟用VPC對等連線任一端的資源,以便透過IPv6通訊。您必須將IPv6CIDR區塊與每個區塊建立關聯VPC、啟用中的執行個體VPCs進行IPv6通訊,以及路由傳VPC送用於對等連線的VPC對等連線的IPv6流量。

  • 不VPC支援對等連線中的單點傳送反向路徑轉送。如需詳細資訊,請參閱回應流量的路由

重疊CIDR圖塊
  • 您無法在具有相符或重疊IPv4或IPv6CIDR區塊VPCs之間建立對VPC等連線。

  • 如果您有多個IPv4CIDR區塊,即使您打算只使用非重疊的CIDR區塊或僅IPv6CIDR使用區CIDR塊,也無法建立對VPC等連線。

轉移互連
  • VPC對等不支援傳遞對等關係。例如,如果 A 和 VPC B 之間存在VPC對等連線,並且在 VPC VPC A 和 VPC C 之間存在對等連線,則無法透過 VPC A 將流量從 VPC B 路由傳送到 VPC C。若要在 VPC B 和 VPC C 之間路由流量,您必須在它們之間建立VPC對等連線。如需詳細資訊,請參閱三個VPCs凝聚在一起

透過閘道或私有連線的邊緣至邊緣路由
  • 如果 VPC A 有一個互聯網網關,VPCB 中的資源不能使用 VPC A 中的互聯網網關訪問互聯網。

  • 如果 VPC A 的NAT設備提供對 VPC A 中子網絡的 Internet 訪問,則 VPC B 中的資源無法使用 VPC A 中的NAT設備訪問互聯網。

  • 如果 VPC A 與公司網路有VPN連線,VPCB 中的資源就無法使用VPN連線與公司網路通訊。

  • 如果 VPC A AWS Direct Connect 連接到公司網絡,則 VPC B 中的資源無法使用該 AWS Direct Connect 連接與公司網絡進行通信。

  • 如果 VPC A 的閘道端點提供連線到 VPC A 中私有子網路的 Amazon S3,則 VPC B 中的資源無法使用閘道端點存取 Amazon S3。

區域間VPC對等連接
  • 跨區域VPC對等連線的最大傳輸單位 (MTU) 為 1500 位元組。區域間對VPC等連線不支援巨型框架 (MTUs最多 9001 位元組)。不過,相同區域中的對VPC等連線支援這些連線。如需有關巨型框架的詳細資訊,請參閱 Amazon EC2 使用者指南中的巨型框架 (9001MTU)

  • 您必須啟用對VPC等連線的解DNS析度支援,才能解析對等至私有 IP 位址的私人DNS主機名稱,即使用的VPC屬IPv4CIDR於 19 VPC 18 所指定的私人位IPv4址範圍也一樣。RFC

共用VPCs和子網路
  • 只VPC有擁有者可以使用 (描述、建立、接受、拒絕、修改或刪除) 對等連線。參與者無法使用對等連線。如需詳細資訊,請參閱 Amazon VPC 使用者指南的VPC與其他帳戶共用。