本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
範例:集中式對外路由至網際網路
您可以設定傳輸閘道,將傳出網際網路流量從沒有網際網路閘道的 VPC 路由至包含 NAT 閘道和網際網路閘道的 VPC。
概要
下圖顯示此案例組態的重要元件。您在 VPC A 和 VPC B 中有多個應用程式只需要傳出網際網路的存取權。您可以使用公有 NAT 閘道和網際網路閘道以及用於 VPC 連接的私有子網路來設定 VPC C。將所有 VPC 與傳輸閘道連線。設定路由,使從 VPC A 和 VPC B 傳出的網際網路流量可以穿越傳輸閘道,抵達 VPC C。VPC C 中的 NAT 閘道會將流量路由至網際網路閘道。
![具有三個 VPC 連接的傳輸閘道。](images/tgw-centralized-nat-igw.png)
資源
您可以為此案例建立下列資源:
-
IP 地址範圍不重疊的三個 VPC。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立 VPC。
-
VPC A 和 VPC B 各自的私有子網路都具有 EC2 執行個體。
-
VPC C 具備以下項目:
-
連接至 VPC 的網際網路閘道。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立和連接網際網路閘道。
-
具有 NAT 閘道的公有子網路。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立 NAT 閘道。
-
用於傳輸閘道連接的私有子網路。私有子網路應與公有子網路位於相同的可用區域中。
-
-
一個傳輸閘道。如需更多詳細資訊,請參閱 建立傳輸閘道。
-
傳輸閘道上的三個 VPC 附件。每個 VPC 的 CIDR 區塊會傳播至傳輸閘道路由表。如需更多詳細資訊,請參閱 建立與 VPC 的傳輸閘道連接。對於 VPC C,您必須使用私有子網路建立連接。如果您使用公有子網路建立連接,則執行個體流量會路由至網際網路閘道,但網際網路閘道會中斷流量,因為執行個體沒有公有 IP 地址。若在私有子網路中建立連接,流量會路由至 NAT 閘道,而 NAT 閘道會使用其彈性 IP 地址做為來源 IP 地址,將流量傳送至網際網路閘道。
路由
每個 VPC 都有路由表,其中會有一份傳輸閘道專用的路由表。
VPC A 的路由表
以下是範例路由表。第一個項目可讓 VPC 中的執行個體彼此通訊。第二個項目會將所有其他 IPv4 子網路流量路由傳送至傳輸閘道。
目的地 | 目標 |
---|---|
|
區域 |
0.0.0.0/0 |
|
VPC B 的路由表
以下是範例路由表。第一個項目可讓此 VPC 中的執行個體彼此通訊。第二個項目會將所有其他 IPv4 子網路流量路由傳送至傳輸閘道。
目的地 | 目標 |
---|---|
|
區域 |
0.0.0.0/0 |
|
VPC C 的路由表
為網際網路閘道新增路由,藉此將 NAT 閘道的子網路設為公有子網路。其他子網路保留為私有子網路。
以下是公有子網路的範例路由表。第一個項目可讓 VPC 中的執行個體彼此通訊。第二個和第三個項目會將 VPC A 和 VPC B 的流量路由至傳輸閘道。最後一個項目會將其他所有 IPv4 子網路流量路由至網際網路閘道。
目的地 | 目標 |
---|---|
VPC C CIDR |
區域 |
VPC A CIDR |
transit-gateway-id |
VPC B CIDR |
transit-gateway-id |
0.0.0.0/0 | internet-gateway-id |
以下是私有子網路的範例路由表。第一個項目可讓 VPC 中的執行個體彼此通訊。第二個項目會將其他所有 IPv4 子網路流量路由至 NAT 閘道。
目的地 | 目標 |
---|---|
VPC C CIDR |
區域 |
0.0.0.0/0 | nat-gateway-id |
傳輸閘道路由表
以下是傳輸閘道路由表的範例。每個 VPC 的 CIDR 區塊會傳播至傳輸閘道路由表。靜態路由會將傳出的網際網路流量傳送到 VPC C。您可以為每個 VPC CIDR 新增黑名單路由,選擇性地禁止 VPC 之間通訊。
CIDR | 連接 | 路由類型 |
---|---|---|
|
|
傳播 |
|
|
傳播 |
|
|
傳播 |
0.0.0.0/0 |
|
靜態 |