VPC 對等程序、生命週期和限制 - Amazon Virtual Private Cloud
VPC 對等互連生命週期多個 VPC 對等互連VPC 互連限制

VPC 對等程序、生命週期和限制

若要建立 VPC 對等互連,請執行下列作業:

  1. 申請者 VPC 擁有者會向接受者 VPC 擁有者傳送建立 VPC 對等互連的請求。接受者 VPC 可由您或其他 AWS 帳戶所擁有,無法包含與申請者 VPC CIDR 區塊重疊的 CIDR 區塊。

  2. 申請者 VPC 擁有者可接受 VPC 對等互連的請求來啟用 VPC 對等互連。

  3. 若要使用私有 IP 地址來使 VPC 之間的流量流動,則 VPC 對等互連中每個 VPC 的擁有者,都必須為一或多個 VPC 路由表手動新增指向其他 VPC (對等 VPC) IP 地址範圍的路由。

  4. 如需要,請更新與您 EC2 執行個體相關聯的安全群組規則,以確保進出對等 VPC 的流量不受限制。如果兩個 VPC 都位於相同區域內,則您可以參考對等 VPC 中的安全群組,做為安全群組中撥入或撥出規則的來源或目標。

  5. 透過預設的 VPC 對等互連連線選項,如果 VPC 對等互連連線任一方的 EC2 執行個體使用公有 DNS 主機名稱互相定址,則主機名稱會解析為 EC2 執行個體的公有 IP 位址。若要變更這種行為,請為您的 VPC 連線啟用 DNS 主機名稱解析。在啟用 DNS 主機名稱解析後,如果位於 VPC 對等連接各端的 EC2 執行個體使用公有 DNS 主機名稱對應彼此,主機名稱會解析至 EC2 執行個體的私有 IP 位址。

如需詳細資訊,請參閱使用 VPC 對等互連連線

VPC 對等互連生命週期

自初始化請求開始,VPC 對等互連會經歷各個階段。您在每個階段中都可以採取動作;在生命週期結束後的一段時間內,VPC 對等互連仍會在 Amazon VPC 主控台和 API 或命令列輸出中持續可見。

VPC 對等互連生命週期

  • Initiating-request (起始請求):已初始化 VPC 對等互連的請求。在此階段中,對等連線可能失敗或可能移至 pending-acceptance

  • Failed (已失敗):VPC 對等互連請求已失敗。在此狀態期間,無法接受、拒絕或刪除該連線。申請者可持續兩小時一直看到失敗的 VPC 對等互連。

  • Pending-acceptance (待接受):等待接受者 VPC 擁有者接受 VPC 對等互連請求。在此狀態期間,申請者 VPC 擁有者可以刪除此請求;接受者 VPC 擁有者可以接受或拒絕此請求。如果未對此請求採取任何動作,該請求會在 7 天後過期。

  • Expired (已過期):VPC 對等互連請求已過期,任一方的 VPC 擁有者都無法再對該請求採取任何動作。兩方 VPC 擁有者在 2 天內仍可看見已過期的 VPC 對等互連。

  • Rejected (已拒絕):接受者 VPC 擁有者已拒絕 pending-acceptance VPC 對等互連請求。在此狀態期間無法接受請求。申請者 VPC 擁有者仍可在 2 天內看到已拒絕的 VPC 對等互連;接受者 VPC 擁有者仍可在 2 小時內看到此對等互連。如果請求是在同一個 AWS 帳戶內建立,則已拒絕的請求會持續可見 2 個小時。

  • Provisioning (佈建中):VPC 對等互連請求已接受,並即將轉為 active 狀態。

  • Active (作用中):VPC 對等互連為作用中,而且流量可以在 VPC 之間流動 (假設您的安全群組和路由表允許流量流動)。在此狀態期間,任一方的 VPC 擁有者都可以刪除 VPC 對等連線,但無法拒絕該連線。

    注意

    如果 VPC 所在區域中的事件防止流量流動,則 VPC 對等互連將保持處於 Active 狀態。

  • Deleting (刪除中):套用於在刪除程序的跨區域 VPC 對等互連。任一方 VPC 擁有者已提交刪除 active VPC 對等互連的請求,或申請者 VPC 擁有者已提交刪除 pending-acceptance VPC 對等互連請求的請求。

  • Deleted (已刪除):任一方 VPC 擁有者已刪除了 active VPC 對等互連,或是申請者 VPC 擁有者已刪除了 pending-acceptance VPC 對等互連請求。在此狀態期間,將無法接受或拒絕該 VPC 對等連線。刪除方在 2 個小時內會持續可見該 VPC 對等互連,而另一方會持續可見 2 天。如果 VPC 對等互連連線是在同一個 AWS 帳戶內建立,則已刪除的請求會持續可見 2 個小時。

多個 VPC 對等互連

VPC 對等互連是兩個 VPC 之間的一對一關係。您可以為您擁有的每個 VPC 建立多個 VPC 對等互連,但是不支援轉移互連關係。未與您 VPC 直接對等的 VPC,和您並沒有任何互連關係。

下圖示範與兩個不同 VPC 對等的 VPC。圖中有兩個 VPC 對等互連:VPC A 同時與 VPC B 和 VPC C 對等。VPC B 與 VPC C 不對等,並且您不能將 VPC A 做為 VPC B 和 VPC C 之間的互連傳輸點。如果您要使 VPC B 和 VPC C 之間具有流量的路由,則必須在這兩者之間建立一個唯一 VPC 對等互連。

一個 VPC 與兩個 VPC 互連

VPC 互連限制

請考慮下列 VPC 對等互連的限制。在某些情況下,您可以使用傳輸閘道連接來取代 VPC 對等互連。如需詳細資訊,請參閱 Amazon VPC 傳輸閘道中的範例

連線

  • 每個 VPC 的作用中和待定 VPC 對等互連的數量存在配額。如需詳細資訊,請參閱帳戶的 VPC 對等互連配額

  • 您不能在兩個 VPC 之間同時建立多個 VPC 對等互連。

  • 您為 VPC 對等互連建立的任何標籤,僅會套用於您建立連線時的帳戶或區域中。

  • 您無法連線或查詢對等 VPC 中的 Amazon DNS 伺服器。

  • 如果 VPC 對等互連中 VPC 的 IPv4 CIDR 區塊,不在 RFC 1918 指定的私有 IPv4 地址範圍內,則該 VPC 的私有 DNS 主機名稱將無法解析為私有 IP 地址。若要將私有 DNS 主機名稱解析為私有 IP 地址,您可以為 VPC 對等互連啟用 DNS 解析支援。如需詳細資訊,請參閱啟用 VPC 對等互連連線的 DNS 解析

  • 您可以讓 VPC 對等互連任一端的資源透過 IPv6 通訊。您必須將 IPv6 CIDR 區塊與每個 VPC 關聯,讓 VPC 中的執行個體進行 IPv6 通訊;並將針對對等 VPC 的 IPv6 流量路由至 VPC 對等互連。

  • 不支援 VPC 對等互連中的單播反向路徑轉送。如需詳細資訊,請參閱回應流量的路由

重疊的 CIDR 區塊

  • 您無法在具有相符或重疊 IPv4 或 IPv6 CIDR 區塊的 VPC 之間建立 VPC 對等互連。

  • 如果您具有多個 IPv4 CIDR 區塊,且有任何 CIDR 區塊重疊,則無法建立 VPC 對等互連,即使您只是想使用非重疊的 CIDR 區塊或是僅使用 IPv6 CIDR 區塊也是如此。

轉移互連

  • VPC 互連不支援轉移互連關係。例如,如果 VPC A 與 VPC B 之間存在 VPC 對等互連,並且 VPC A 與 VPC C 之間也存在 VPC 對等互連,您無法透過 VPC A 將流量從 VPC B 路由至 VPC C。若要在 VPC B 與 VPC C 之間路由流量,您必須在它們之間建立 VPC 對等互連。如需詳細資訊,請參閱將三個 VPC 互連在一起

透過閘道或私有連線的邊緣至邊緣路由

  • 如果 VPC A 具有網際網路閘道,則 VPC B 中的資源將無法使用 VPC A 中的網際網路閘道存取網際網路。

  • 如果 VPC A 具有可從網際網路存取 VPC A 中子網路的 NAT 裝置,則 VPC B 中的資源無法使用 VPC A 中的 NAT 裝置存取網際網路。

  • 如果 VPC A 具有與公司網路的 VPN 連線,則 VPC B 中的資源無法使用 VPN 連線與公司網路通訊。

  • 如果 VPC A 具有與公司網路的 AWS Direct Connect 連線,則 VPC B 中的資源無法使用 AWS Direct Connect 連線與公司網路通訊。

  • 如果 VPC A 具有閘道端點,可讓 VPC A 中的私有子網路連接至 Amazon S3,則 VPC B 中的資源將無法使用該閘道端點存取 Amazon S3。

區域間 VPC 對等互連

  • 跨區域的 VPC 對等互連的最大傳輸單位 (MTU) 為 1,500 位元組。區域間 VPC 對等互連不支援巨型訊框 (MTU 高達 9,001 位元組)。不過,相同區域中的 VPC 對等互連支援巨型訊框。如需巨型訊框的詳細資訊,請參閱《Amazon EC2 使用者指南》中的巨型訊框 (9001 MTU)

  • 您必須啟用 VPC 對等連接的 DNS 解析支援,以將對等 VPC 的私有 DNS 主機名稱解析至私有 IP 地址,即使 VPC 的 IPv4 CIDR 落入 RFC 1918 指定的 IPv4 地址範圍。

共用 VPC 和子網路

  • 只有 VPC 擁有者可以使用 (描述、建立、接受、拒絕、修改或刪除) 對等連線。參與者無法使用對等連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共享 VPC