關注公衆号:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cns
Hello大家好,歡迎來到《AWS解決方案架構師認證 Professional(SAP)中文視訊教育訓練課程》,今天的課時的内容為 VPC對等連接配接。
我們開始今天的課程内容。
VPC對等連接配接是用來連接配接兩個VPC的,兩個VPC建立對等連接配接後,在VPC之間可以使用私有IP位址通信,兩個 VPC 中的執行個體之間的通信就像它們在同一網絡中一樣。
VPC對等連接配接關鍵知識點一
通過對等連接配接的流量一直處于 AWS 内部網絡,不會經過 Internet。
如我們有兩個VPC,VPC A 和 VPC B,假如這兩個VPC的網絡CIDR 塊沒有重疊,就可以為這兩個VPC建立VPC對等連接配接,然後在更新對應的路由表後,位于VPC A中的執行個體 就可以通過私有IP位址 通過VPC對等連接配接 通路VPC B中的執行個體,反之亦然。
是以我們要知道,建立對等連接配接的兩個VPC不能有重疊的 CIDR 塊。
VPC對等連接配接是兩個VPC之間的一對一關系,對等連接配接是不支援傳遞的。什麼是不支援傳遞呢,我舉個例子,比如VPC A 還需要與另外一個VPC,如VPC C通信,我們就可以将VPC A 和 VPC C 在建立一個VPC對等連接配接。但在VPC B中的執行個體 是 無法通過VPC A與VPC C中的執行個體進行通信的,這是行不通的,因為VPC對等連接配接是不支援傳遞的,在這種場景下,如果要使VPC B 通路 VPC C ,就需要在 VPC B 和 C之間在建立一個VPC對等連接配接。
可以在自己賬戶下的VPC之間建立VPC對等連接配接,也可以在自己賬戶的VPC與其他AWS賬戶中的VPC之間建立對等連接配接。
建立VPC對等連接配接後,還有一項重要的工作是需要手動更新相關的VPC子網的路由表,路由表中要有指向其他要通信的VPC的路由條目,這樣在不同VPC下的執行個體才能夠互相間進行通信。
好,我們繼續
VPC對等連接配接關鍵知識點二
VPC對等連接配接 支援跨AWS區域和跨AWS賬戶,不同的AWS區域的VPC之間可以建立VPC對等連接配接;您的AWS賬号下的VPC也可以與其他AWS賬戶下的VPC建立對等連接配接。
建立VPC對等連接配接之後,如果需要,請更新與執行個體關聯的安全組規則以確定進出對等 VPC 的通信不受限制。
在添加安全組規則時,您可以引用另一端的對等 VPC 中的安全組,作為安全組規則中的入向或出向規則的源或目标,即使對等連接配接另一端的VPC是其他AWS賬戶下也是同樣可以的。這使得我們在通過安全組來限制對等連接配接通路時能夠更加的友善和靈活。
但是要注意,引用對等VPC的安全組,隻限于在同一AWS區域下的兩個VPC建立對等連接配接的情況。
最長字首比對
最長字首比對是路由表的知識點。因為路由表中的每個表項都指定了一個網絡,是以一個目的位址可能與多個表項比對。最明确的一個表項——即子網路遮罩最長的一個——就叫做最長字首比對。之是以這樣稱呼它,是因為這個表項也是路由表中,與目的位址的高位比對得最多的表項。流量會選擇路由表中與流量最比對的、最明确的(最長字首比對)路由條目,對流量進行路由。
我們來看一個具體的案例,這裡一共三個VPC,VPC A 、 VPC B 、 VPC C。
VPC A 分别于VPC B和VPC C之間做了VPC對等連接配接,通過圖中的資訊可以看到,VPC B 和 VPC C 具有相同的 CIDR 塊,且子網配置的CIDR也是相同的,在這種配置下,VPC B和C之間,是無法建立VPC對等連接配接的,因為他們的CIDR塊相同。但VPC A和B ,以及VPC A 和 VPC C之間的CIDR塊都不重疊,是以能夠分别建立VPC A 到 B ,VPC A到 C這兩個對等連接配接,這是沒有問題的。
假設我們的情況是這樣的,在VPC A中的子網A的EC2執行個體,需要通路VPC B的一台IP為10.0.0.77/32的這個具體IP的執行個體。對于這台特定IP位址的執行個體的通路,走左邊這條對等連接配接路由到VPC B ;然後所有以 10.0.0.0/16 IP 位址範圍為目标的其他流量都通過這個VPC對等連接配接去通路 VPC C。
在這種情況下我們就需要配置路由表,将VPC A對這個具體單台執行個體的通路路由到VPC B,所有其他流量路由到VPC C 。我們來看一下具體的路由表條目。
VPC A的路由表,目的地172.16.0.0/16,這是VPC A本地的位址段,目标為本地。
目的地為10.0.0.77/32,目的地為一個具體的執行個體的IP位址,通路這個IP的流量,目标為VPC B。
然後,所有以 10.0.0.0/16 IP 位址範圍為目标的其他流量都去通路 VPC C。
當有通路10.0.0.77這台執行個體的流量時,路由表中10.0.0.77/32這條就是一個最明确的、有最長字首的路由條目,流量會選擇此條目将流量路由到VPC B,然後其他的通路10.0.0.0/16流量在通過下一條路由條目路由至VPC C。
好,另外兩個VPC的路由條目,除了到本地流量,還分别有一個VPC對等連接配接的路由條目,沒什麼特别要說明的。
好,以上就是最長字首比對,也就是通常說的優先比對最具體、最明确的路由條目,對應我們這個案例就是10.0.0.77/32這個路由條目。
不受支援的VPC對等配置
好,接下來的内容,我們一起來看下在VPC對等連接配接的配置中,有哪些配置是無效的,是不受支援的。
首先,重疊CIDR塊。
如果兩個VPC使用相同的CIDR塊,那麼他們之間将無法建立VPC對等連接配接。
即使VPC 有多個 IPv4 CIDR 塊,但隻要有任何 CIDR 塊重疊,都無法建立 VPC 對等連接配接
這個限制也适用于具有非重疊 IPv6 CIDR 塊的 VPC。即使您打算隻将 VPC 對等連接配接用于 IPv6 通信,如果 VPC 具有比對或重疊的 IPv4 CIDR 塊,您也無法建立 VPC 對等連接配接。
其次,對等連接配接是不支援傳遞的,這個我們前面也講過。
如果VPC A 和 B ,VPC A和C 分别建立了VPC對等連接配接, VPC B 是無法通過 VPC A 通路 VPC C的, VPC B如果需要與 VPC C通訊則必須在他們之間建立VPC對等連接配接。
最後,不支援邊界到邊界的路由。這是什麼意思呢?
我舉幾個例子,如圖,VPC A 和 VPC B建立了對等連接配接,VPC A 通過VPN或者DX專線連接配接到了企業的網絡,企業的網絡流量可以通路VPC A,VPC A可以通過對等連接配接通路VPC B ,但是來自企業的網絡流量是無法通過與VPC A連接配接的VPN或者DX專線 通路 VPC B的,原因是不支援邊界到邊界的路由。
同樣我們在看一個案例,VPC A 和 VPC B建立了對等連接配接,VPC A中有一個網際網路網關,VPC B是無法通過與VPC A的對等連接配接,使用VPC A中的網際網路網關通路internet的。
可能考試中會有類似的題目,比如組織中設定一個中心的VPC,然後在中心的VPC中配置一個NAT網關和網際網路網關,然後在建立多個分支VPC,并與這個中心的VPC分别建立VPC對等連接配接,然後其他的分支VPC中的執行個體,能否通過與中心VPC的對等連接配接,通過中心VPC的NAT網關以及網際網路網關通路internet呢,這個方式是否可行?這是一個無效的配置,因為VPC對等連接配接不支援邊界到邊界的路由。
是以綜上,大家一定要記住,在VPC對等關系中的任一VPC 具有的VPN連接配接、DX連接配接、網際網路網關、NAT網關、網關終端節點,是無法擴充到另一向對等連接配接中,因為VPC對等連接配接是不支援邊界到邊界的路由的。
例如,如果 VPC A 和 VPC B 建立了對等連接配接,并且 VPC A 具有以上這些任一連接配接或資源, VPC B 中的執行個體是無法使用該對等連接配接 來通路VPC A中的這些資源的。
好的,以上就是我們今天的VPC對等連接配接的内容,希望能夠給大家帶來幫助。
希望此系列教程能為您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助,如您有任何疑問
關注公衆号:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cns