VPC Peering 具有特定路由的配置

https://docs.aws.amazon.com/zh_cn/vpc/latest/peering/peering-configurations-partial-access.html

您可以配置 VPC 对等连接以便访问对等 VPC 内的部分 CIDR 块、特定 CIDR 块（如果 VPC 有多个 CIDR 块）或特定实例。在这些示例中，一个中心 VPC 与具有重叠 CIDR 块的两个或更多 VPC 对等。有关可能需要特定 VPC 对等连接配置的方案示例，请参阅VPC 对等方案。有关创建和使用 VPC 对等连接的更多信息，请参阅使用 VPC 对等连接。有关更新路由表的更多信息，请参阅为 VPC 对等连接更新路由表。

配置

两个 VPC 与一个 VPC 中的两个子网对等
两个 VPC 与一个 VPC 中的特定 CIDR 块对等
一个 VPC 与两个 VPC 中的特定子网对等
一个 VPC 中的实例与两个 VPC 中的实例对等
一个 VPC 与使用最长前缀匹配的两个 VPC 具有对等关系
多 VPC 配置

两个 VPC 与一个 VPC 中的两个子网对等

您有一个中心 VPC (VPC A)，在 VPC A 与 VPC B 之间具有 VPC 对等连接 (pcx-aaaabbbb)，并且在 VPC A 与 VPC C 之间具有 VPC 对等连接 (pcx-aaaacccc)。VPC A 具有两个子网：每个 VPC 对等连接各一个。

当您的中心 VPC 在不同子网中具有单独资源集时，可能需要使用这种类型的配置。其他 VPC 可能需要访问某些资源，但不是所有资源。

子网 X 的路由表指向 VPC 对等连接 pcx-aaaabbbb 以访问 VPC B 的整个 CIDR 块。VPC B 的路由表指向 pcx-aaaabbbb 以便仅访问 VPC A 中子网 X 的 CIDR 块。同样，子网 Y 的路由表指向 VPC 对等连接 pcx-aaaacccc 以访问 VPC C 的整个 CIDR 块。VPC C 的路由表指向 pcx-aaaacccc 以便仅访问 VPC A 中子网 Y 的 CIDR 块。

路由表	目的地	目标
VPC A 中的子网 X	172.16.0.0/16	本地
VPC A 中的子网 X	10.0.0.0/16	pcx-aaaabbbb
VPC A 中的子网 Y	172.16.0.0/16	本地
VPC A 中的子网 Y	10.0.0.0/16	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
VPC B	172.16.0.0/24	pcx-aaaabbbb
VPC C	10.0.0.0/16	本地
VPC C	172.16.1.0/24	pcx-aaaacccc

同样，中心 VPC (VPC A) 可以有多个 CIDR 块，而 VPC B 和 VPC C 可以与每个 CIDR 块的子网都有 VPC 对等连接。

路由表	目的地	目标
VPC A 中的子网 X	10.2.0.0/16	本地
	10.3.0.0/16	本地
	10.0.0.0/16	pcx-aaaabbbb
VPC A 中的子网 Y	10.2.0.0/16	本地
	10.3.0.0/16	本地
	10.0.0.0/16	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
VPC B	10.2.0.0/24	pcx-aaaabbbb
VPC C	10.0.0.0/16	本地
VPC C	10.3.0.0/24	pcx-aaaacccc

有关更多信息，请参阅 Amazon VPC 用户指南 中的向 VPC 中添加 IPv4 CIDR 块。

两个 VPC 与一个用于 IPv6 的 VPC 中的两个子网对等

您的 VPC 对等配置如上所示。启用了 VPC A 和 VPC B 进行 IPv6 通信 – 两个 VPC 都具有关联的 IPv6 CIDR 块，VPC A 中的子网 X 具有关联的 IPv6 CIDR 块。

您可以使用 VPC 对等连接使 VPC B 能够通过 IPv6 与 VPC A 中的子网 X 通信。为此，请为 VPC A 的路由表添加一条目标为 VPC B 的 IPv6 CIDR 块的路由，并为 VPC B 的路由表添加一条目标为 VPC A 中子网 X 的 IPv6 CIDR 块的路由。

路由表	目的地	目标	备注
VPC A 中的子网 X	172.16.0.0/16	本地
	2001:db8:abcd:aa00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	10.0.0.0/16	pcx-aaaabbbb
	2001:db8:1234:bb00::/56	pcx-aaaabbbb	到 VPC B 的 IPv6 CIDR 块的路由。
VPC A 中的子网 Y	172.16.0.0/16	本地
	2001:db8:abcd:aa00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	10.0.0.0/16	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
	2001:db8:1234:bb00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	172.16.0.0/24	pcx-aaaabbbb
	2001:db8:abcd:aa00::/64	pcx-aaaabbbb	到 VPC A 的 IPv6 CIDR 块的路由。
VPC C	10.0.0.0/16	本地
VPC C	172.16.1.0/24	pcx-aaaacccc

两个 VPC 与一个 VPC 中的特定 CIDR 块对等

您有一个中心 VPC (VPC A)，在 VPC A 与 VPC B 之间具有 VPC 对等连接 (pcx-aaaabbbb)，并且在 VPC A 与 VPC C 之间具有 VPC 对等连接 (pcx-aaaacccc)。VPC A 具有两个 CIDR 块，每个 VPC 对等连接各一个。

路由表	目的地	目标	备注
VPC A 中的子网 X	172.16.0.0/16	本地
	2001:db8:abcd:aa00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	10.0.0.0/16	pcx-aaaabbbb
	2001:db8:1234:bb00::/56	pcx-aaaabbbb	到 VPC B 的 IPv6 CIDR 块的路由。
VPC A 中的子网 Y	172.16.0.0/16	本地
	2001:db8:abcd:aa00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	10.0.0.0/16	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
	2001:db8:1234:bb00::/56	本地	VPC 中自动添加的用于 IPv6 通信的本地路由。
	172.16.0.0/24	pcx-aaaabbbb
	2001:db8:abcd:aa00::/64	pcx-aaaabbbb	到 VPC A 的 IPv6 CIDR 块的路由。
VPC C	10.0.0.0/16	本地
VPC C	172.16.1.0/24	pcx-aaaacccc

有关更多信息，请参阅 Amazon VPC 用户指南 中的向 VPC 中添加 IPv4 CIDR 块。

一个 VPC 与两个 VPC 中的特定子网对等

您有带一个子网的中心 VPC (VPC A)，在 VPC A 与 VPC B 之间具有 VPC 对等连接 (pcx-aaaabbbb)，并且在 VPC A 与 VPC C 之间具有 VPC 对等连接 (pcx-aaaacccc)。VPC B 和 VPC C 各自具有两个子网，每个 VPC 中只有一个子网用于与 VPC A 的对等连接。

当您在中心 VPC 上具有单个资源集 (如 Active Directory 服务) 时，可能需要使用这种类型的配置。中心 VPC 无需可完全访问与之对等的 VPC。

VPC A 的路由表同时指向两个 VPC 对等连接以便仅访问 VPC B 和 VPC C 中的特定子网。VPC B 和 VPC C 中子网的路由表指向其 VPC 对等连接以访问 VPC A 的子网。

路由表	目的地	目标
VPC A	172.16.0.0/16	本地
	10.0.0.0/24	pcx-aaaabbbb
	10.0.1.0/24	pcx-aaaacccc
VPC B 中的子网 A	10.0.0.0/16	本地
VPC B 中的子网 A	172.16.0.0/24	pcx-aaaabbbb
VPC C 中的子网 B	10.0.0.0/16	本地
VPC C 中的子网 B	172.16.0.0/24	pcx-aaaacccc

响应流量路由

如果您的某个 VPC 与多个具有重叠或匹配的 CIDR 块的 VPC 对等，请确保路由表配置为不从您的 VPC 向不正确的 VPC 发送响应流量。AWS 当前不支持在 VPC 对等连接中进行单一地址反向传输路径转发，即检查数据包的源 IP 并将应答数据包路由回源。

例如，VPC A 与 VPC B 和 VPC C 具有对等关系。VPC B 和 VPC C 具有匹配 CIDR 块，并且其子网具有匹配 CIDR 块。VPC B 中子网 B 的路由表指向 VPC 对等连接 pcx-aaaabbbb 以访问 VPC A 的子网。VPC A 的路由表配置为将 10.0.0.0/16 流量发送到对等连接 pcx-aaaaccccc。

路由表	目的地	目标
VPC B 中的子网 B	10.0.0.0/16	本地
VPC B 中的子网 B	172.16.0.0/24	pcx-aaaabbbb
VPC A	172.16.0.0/24	本地
VPC A	10.0.0.0/16	pcx-aaaacccc

VPC B 的子网 B 中私有 IP 地址为 10.0.1.66/32 的实例使用 VPC 对等连接 pcx-aaaabbbb 向 Active Directory 服务器发送流量。VPC A 向 10.0.1.66/32 发送响应流量。但 VPC A 路由表配置为将 10.0.0.0/16 IP 地址范围中的所有流量都发送到 VPC 对等连接 pcx-aaaacccc。如果 VPC C 中的子网 B 具有 IP 地址为 10.0.1.66/32 的实例，则它从 VPC A 接收响应流量。VPC B 中子网 B 内的实例不接收对其到 VPC A 的请求的响应。

为了防止这种情况，您可以将某个特定路由添加到 VPC A 的路由表，其目的地为 10.0.1.0/24，目标为 pcx-aaaabbbb。10.0.1.0/24 流量的路由更明确，因此，前往 10.0.1.0/24 IP 地址范围的流量将通过 VPC 对等连接 pcx-aaaabbbb 流动

或者，在以下示例中，VPC A 的路由表针对每个 VPC 对等连接具有每个子网的路由。VPC A 可以与 VPC B 中的子网 B 以及 VPC C 中的子网 A 进行通信。如果您需要添加与位于 10.0.0.0/16 IP 地址范围内的另一子网的其他 VPC 对等连接，则此情况非常有用，您只需为该特定子网添加其他路由即可。

目的地	目标
172.16.0.0/16	本地
10.0.1.0/24	pcx-aaaabbbb
10.0.0.0/24	pcx-aaaacccc

或者，根据您的使用案例，您可以创建到 VPC B 中特定 IP 地址的路由，确保将流量路由回正确的服务器 (路由表使用最长前缀匹配来确定路由的优先级)：

目的地	目标
172.16.0.0/16	本地
10.0.1.66/32	pcx-aaaabbbb
10.0.0.0/16	pcx-aaaacccc

一个 VPC 中的实例与两个 VPC 中的实例对等

您有带一个子网的中心 VPC (VPC A)，在 VPC A 与 VPC B 之间具有 VPC 对等连接 (pcx-aaaabbbb)，并且在 VPC A 与 VPC C 之间具有 VPC 对等连接 (pcx-aaaacccc)。VPC A 的一个子网具有多个实例；其对等的每个 VPC 各一个。您可能需要使用这种类型的配置将对等流量限制到特定实例。

每个 VPC 的路由表都指向相关 VPC 对等连接，以访问对等 VPC 中的单个 IP 地址 (因而访问特定实例)。

路由表	目的地	目标
VPC A	172.16.0.0/16	本地
	10.0.0.44/32	pcx-aaaabbbb
	10.0.0.55/32	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
VPC B	172.16.0.88/32	pcx-aaaabbbb
VPC C	10.0.0.0/16	本地
VPC C	172.16.0.99/32	pcx-aaaacccc

一个 VPC 与使用最长前缀匹配的两个 VPC 具有对等关系

您有带一个子网的中心 VPC (VPC A)，在 VPC A 与 VPC B 之间具有 VPC 对等连接 (pcx-aaaabbbb)，并且在 VPC A 与 VPC C 之间具有 VPC 对等连接 (pcx-aaaacccc)。VPC B 和 VPC C 具有匹配 CIDR 块。您要使用 VPC 对等连接 pcx-aaaabbbb 在 VPC A 与 VPC B 中特定实例之间路由流量。以 10.0.0.0/16 IP 地址范围为目标的所有其他流量都通过 pcx-aaaacccc 在 VPC A 与 VPC C 之间路由。

VPC 路由表使用最长前缀匹配选择跨预期 VPC 对等连接的最具体路由。所有其他流量都通过下一个匹配路由 (在此例中，跨 VPC 对等连接 pcx-aaaacccc) 进行路由。

路由表	目的地	目标
VPC A	172.16.0.0/16	本地
	10.0.0.77/32	pcx-aaaabbbb
	10.0.0.0/16	pcx-aaaacccc
VPC B	10.0.0.0/16	本地
VPC B	172.16.0.0/16	pcx-aaaabbbb
VPC C	10.0.0.0/16	本地
VPC C	172.16.0.0/16	pcx-aaaacccc

重要

如果 VPC B 中除 10.0.0.77/32 之外的实例向 VPC A 发送流量，则响应流量可能会路由到 VPC C，而不是 VPC B。有关更多信息，请参阅响应流量路由。

多 VPC 配置

在此示例中，一个中心 VPC (VPC A) 采用轮辐型配置与多个 VPC 对等。有关此类型的配置的更多信息，请参阅一个 VPC 与多个 VPC 具有对等关系。您还具有采用完全网状配置相互对等的三个 VPC (VPC M、N 和 P)。有关此类型的配置的更多信息，请参阅相互对等的三个 VPC。

VPC C 还具有与 VPC M 之间的 VPC 对等连接 (pcx-ccccmmmm)。VPC A 和 VPC M 具有重叠 CIDR 块。这意味着 VPC A 与 VPC C 之间的对等流量限制到 VPC C 中的特定子网（子网 A）。这样是为了确保如果 VPC C 从 VPC A 或 VPC M 接收请求，则它会将响应流量发送到正确的 VPC。AWS 当前不支持在 VPC 对等连接中进行单一地址反向传输路径转发，即检查数据包的源 IP 并将应答数据包路由回该源。有关更多信息，请参阅响应流量路由。

同样，VPC C 和 VPC P 具有重叠 CIDR 块。VPC M 与 VPC C 之间的对等流量限制到 VPC C 中的子网 B，VPC M 与 VPC P 之间的对等流量限制到 VPC P 中的子网 A。这样是为了确保如果 VPC M 从 VPC C 或 VPC P 接收对等流量，则它会将响应流量发送回正确的 VPC。

VPC B、D、E、F 和 G 的路由表指向相关对等连接以访问 VPC A 的完整 CIDR 块，VPC A 的路由表指向 VPC B、D、E、F 和 G 的相关对等连接以访问其完整 CIDR 块。对于对等连接 pcx-aaaacccc，VPC A 的路由表仅将流量路由到 VPC C 中的子网 A (192.168.0.0/24)，VPC C 中子网 A 的路由表指向 VPC A 的完整 CIDR 块。

VPC N 的路由表指向相关对等连接以访问 VPC M 和 VPC P 的完整 CIDR 块，VPC P 的路由表指向相关对等连接以访问 VPC N 的完整 CIDR 块。VPC P 中子网 A 的路由表指向相关对等连接以访问 VPC M 的完整 CIDR 块。VPC M 的路由表指向相关对等连接以访问 VPC C 中的子网 B 和 VPC P 中的子网 A。

路由表	目的地	目标
VPC A	172.16.0.0/16	本地
	10.0.0.0/16	pcx-aaaabbbb
	192.168.0.0/24	pcx-aaaacccc
	10.2.0.0/16	pcx-aaaadddd
	10.3.0.0/16	pcx-aaaaeeee
	172.17.0.0/16	pcx-aaaaffff
	10.4.0.0/16	pcx-aaaagggg
VPC B	10.0.0.0/16	本地
VPC B	172.16.0.0/16	pcx-aaaabbbb
VPC C 中的子网 A	192.168.0.0/16	本地
VPC C 中的子网 A	172.16.0.0/16	pcx-aaaacccc
VPC C 中的子网 B	192.168.0.0/16	本地
VPC C 中的子网 B	172.16.0.0/16	pcx-ccccmmmm
VPC D	10.2.0.0/16	本地
VPC D	172.16.0.0/16	pcx-aaaadddd
VPC E	10.3.0.0/16	本地
VPC E	172.16.0.0/16	pcx-aaaaeeee
VPC F	172.17.0.0/16	本地
VPC F	172.16.0.0/16	pcx-aaaaaffff
VPC G	10.4.0.0/16	本地
VPC G	172.16.0.0/16	pcx-aaaagggg
VPC M	172.16.0.0/16	本地
	192.168.1.0/24	pcx-ccccmmmm
	10.0.0.0/16	pcx-mmmmnnnn
	192.168.0.0/24	pcx-mmmmpppp
VPC N	10.0.0.0/16	本地
	172.16.0.0/16	pcx-mmmmnnnn
	192.168.0.0/16	pcx-nnnnpppp
VPC P	192.168.0.0/16	本地
	10.0.0.0/16	pcx-nnnnpppp
	172.16.0.0/16	pcx-mmmmpppp

转载于:https://www.cnblogs.com/cloudrivers/p/11334460.html