Come posso consentire la comunicazione tra più VPC tramite una singola connessione VPN collegata al mio gateway di transito, ma non consentire ai VPC di accedere l'uno all'altro?

Risoluzione

Crea un gateway di transito, quindi collega Amazon VPC e una VPN sito-sito

Completa i seguenti passaggi:

1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).
2. Crea un gateway di transito.
   Nota: disattiva l'impostazione Associazione predefinita della tabella di routing quando crei il gateway di transito.
3. Collega i tuoi VPC al tuo gateway di transito.
4. Crea una connessione VPN sito-sito AWS e collegala al tuo gateway di transito.
   Nota: per propagare automaticamente le route VPN alla tabella di routing del gateway di transito, scegli Dinamico per Routing option (Opzione di routing). Questa opzione richiede il protocollo BGP (Border Gateway Protocol).

Crea una tabella di routing del gateway di transito e associala ai tuoi VPC

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Dal pannello di navigazione, scegli Gateway di transito.
3. Verifica che l'impostazione Associazione predefinita della tabella di routing per il tuo gateway di transito sia impostata su Disabilita.
   Nota: se l'opzione Associazione predefinita della tabella di routing è impostata su ** Abilita**, elimina prima le associazioni della VPN e dei VPC dalla tabella di routing del gateway di transito predefinito.
4. Scegli Tabelle di routing del gateway di transito.
5. Scegli Crea una tabella di routing del gateway di transito, quindi completa i seguenti passaggi:
   In Tag nome, inserisci Route Table A (Tabella di routing A).
   Per ID del gateway di transito, scegli l'ID del tuo gateway di transito.
6. Scegli Crea una tabella di routing del gateway di transito.
7. Seleziona la tabella di routing.
8. Scegli Associazioni, quindi seleziona Crea associazione.
9. Per Scegli il collegamento da associare, scegli gli ID del collegamento del gateway di transito per i tuoi VPC.
10. Quindi scegli Crea associazione. Ripeti i passaggi 9 e 10 finché tutti i tuoi VPC non vengono visualizzati in Associazioni.

Crea una seconda tabella di routing del gateway di transito e associala alla tua connessione VPN

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
3. Scegli Crea una tabella di routing del gateway di transito, quindi completa i seguenti passaggi:
   InTag nome, inserisci Route Table B (Tabella di routing B).
   Per ID del gateway di transito, scegli l'ID del gateway di transito.
4. Scegli Crea una tabella di routing del gateway di transito.
5. Seleziona la tabella di routing.
6. Scegli Associazioni, quindi seleziona Crea associazione.
7. Per Scegli il collegamento da associare, scegli l'ID del collegamento del gateway di transito per la tua connessione VPN.
8. Quindi scegli Crea associazione.

Propaga le route dai tuoi VPC e dalla tua VPN alle rispettive tabelle di routing

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
3. Seleziona Route Table A (Tabella di routjng A).
4. Scegli Propagazioni, quindi scegli Crea propagazione.
5. Per Scegli il collegamento da propagare, scegli la propagazione per la connessione VPN. 
   Importante: se hai creato una connessione VPN con route statica, crea una route statica per la rete on-premises verso la VPN nella Route Table A (Tabella di routing A). Per le connessioni VPN statiche basate su policy, è consentita solo una coppia di associazioni di sicurezza (SA). Consolida il CIDR on-premises e il CIDR VPC in un'unica SA. Per ulteriori informazioni, consulta Come posso risolvere i problemi di connessione tra un endpoint VPN AWS e una VPN basata su policy?
6. Scegli Crea propagazione.
7. Nelle tabelle di routing del gateway di transito, seleziona Route Table B (Tabella di routing B).
8. Scegli Propagazioni, quindi scegli Crea propagazione.
9. Per Scegli il collegamento da propagare, scegli gli ID del collegamento del gateway di transito per i tuoi VPC.
10. Scegli Crea propagazione. Ripeti i passaggi 9 e 10 finché tutti i tuoi VPC non vengono visualizzati in Propagazioni.

Configura la tabella di routing associata al tuo VPC e alla sottorete del collegamento

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Tabelle di routing.
3. Scegli la tabella di routing collegata alla sottorete dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) di origine.
4. Scegli la scheda Route, quindi scegli Modifica routing.
5. Scegli la scheda Aggiungi route, quindi completa i seguenti passaggi:
   In Destinazione, seleziona la sottorete della rete on-premises.
   Per Destinazione, scegli il tuo gateway di transito.
6. Scegli Salva route.

Se hai bisogno di un accesso restrittivo tra i tuoi VPC, crea una tabella di routing separata per ogni VPC e configura le route. L’instradamento della tabella di routing del gateway di transito si basa sull'associazione del collegamento del gateway di transito e della tabella di routing del gateway di transito. Puoi configurare route per qualsiasi collegamento del gateway di transito di destinazione in qualsiasi tabella di routing del gateway di transito. Non è necessario associare il collegamento del gateway di transito di destinazione alla specifica tabella di routing.

Informazioni correlate

Come posso risolvere i problemi di connettività on-premises-VPC utilizzando un gateway di transito?

Why can't I connect to Amazon VPC when I use a Site-to-Site VPN that terminates on a transit gateway? (Perché non riesco a connettermi ad Amazon VPC quando utilizzo una VPN sito-sito che termina su un gateway di transito?)