如何通过同一 VPN 连接将多个 VPC 连接到本地网络?

1 分钟阅读
0

我有两个虚拟私有云(VPC):一个用于生产,一个用于开发。本地用户需要通过单个 VPN 连接访问两个 VPC。我必须通过 VPN 连接在 VPC 和本地网络之间建立网络连接。此外,我需要阻止 VPC 之间的访问。

简短描述

请完成下面的步骤,在多个 VPC 中的资源之间建立网络连接,以便:

  • 本地用户可以跨 VPN 访问所有 VPC 中的资源
  • VPC 资源无法访问其他 VPC 中的资源

解决方法

创建中转网关,然后连接您的 VPC 和 Site-to-Site VPN

  1. 创建中转网关
  2. 将您的 VPC 连接到您的中转网关。
  3. 创建 Site-to-Site VPN 连接并将其连接到您的中转网关

注意:

  • 创建中转网关时,请关闭原定设置关联路由表设置。
  • 若要自动将 VPN 路由传播到中转网关路由表,请为路由选项选择动态(需要边界网关协议)。

创建中转网关路由表并将您的 VPC 与其关联

  1. 打开 Amazon Virtual Private Cloud(Amazon VPC)控制台
  2. 在导航窗格中,选择中转网关
  3. 验证您的中转网关的原定设置关联路由表设置是否为禁用
    注意: 如果该设置设为启用,请跳至步骤 8。
  4. 选择中转网关路由表
  5. 选择创建中转网关路由表,然后完成下列操作:
    对于给标签命名,输入 VPC 路由表
    对于中转网关 ID,为您的中转网关选择中转网关 ID
    选择创建中转网关路由表
  6. 选择 VPC 路由表(或您的中转网关的默认路由表)。然后,选择关联创建关联
  7. 对于选择要关联的挂载,选择您的 VPC 的关联 ID。然后,选择创建关联。重复此步骤,直到您的所有 VPC 都显示在关联下。
  8. 从默认中转网关路由表中删除 VPN 关联。

创建第二个中转网关路由表,并将您的 VPN 连接挂载与之关联

  1. 选择中转网关路由表
  2. 选择创建中转网关路由表,然后完成下列操作:
    对于给标签命名,输入 VPN 路由表
    对于中转网关 ID,为您的中转网关选择中转网关 ID
    选择创建中转网关路由表
  3. 选择 VPN 路由表(或您的中转网关的默认路由表)。然后,选择关联创建关联
  4. 将您创建的 VPN 连接挂载与 VPN 路由表关联。

在两个路由表上传播来自您的 VPC 和 VPN 的路由

  1. 选择 VPC 路由表传播
  2. 选择传播。对于选择要传播的挂载,选择 VPN 的传播。如果您为所有挂载激活了传播,请验证是否未在路由表中激活 VPN 连接关联。
    重要事项: 如果您创建了静态路由 VPN 连接,请为 VPC 路由表上的本地网络到 VPN 挂载创建静态路由。请执行此操作,而不是从 VPN 连接激活路由传播。
  3. 选择 VPN 路由表传播
  4. 选择传播。对于选择要传播的挂载,选择所有 VPC 的传播。

配置与您的 VPC 和挂载子网关联的路由表

  1. 打开 Amazon VPC 控制台
  2. 从导航窗格中,选择路由表
  3. 选择连接到生产子网(包含 VPC 资源的子网)的路由表。
  4. 选择路由选项卡,然后选择编辑路由
  5. 选择添加路由选项卡,然后完成下列操作:
    对于目的地,指定本地网络的子网。
    对于目标,选择您的中转网关。
    选择保存路由

注意: 如果您需要在 VPC 之间进行限制性更强的访问,则可以为每个 VPC 创建单独的路由表并配置路由。请注意此方法的以下内容:

  • 如果中转网关挂载与中转网关路由表关联,则该挂载将使用该路由表做出路由决策。
  • 如果中转网关挂载已为特定的中转网关路由表激活传播,则该挂载仅向此路由表播发前缀。但是,如果挂载未与路由表关联,则该挂载不会使用路由表进行路由。
  • 单个中转网关挂载可以传播到一个或多个中转网关路由表中。
  • 单个中转网关挂载只能与单个中转网关路由表关联。
  • 单个中转网关路由表可以与一个或多个中转网关挂载关联。
  • 多个中转网关挂载可以传播到同一个中转网关路由表。
AWS 官方
AWS 官方已更新 1 年前