如何配置 VPC对等连接 (VPC Peering)

2 分钟阅读
内容级别:基础
4

本文通过详细步骤和截图来指导如何配置VPC对等连接

什么是VPC对等连接

VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IPv4 地址或 IPv6 地址在两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信,就像它们在同一网络中一样。
您可以在自己的 VPC 之间创建 VPC 对等连接,或者在自己的 VPC 与其他AWS账户中的 VPC 之间创建连接。VPC 可位于不同区域内(也称为区域间 VPC 对等连接)。

VPC 对等连接可以帮助您促进数据的传输。例如,如果您有多个AWS账户,则可以通过在这些账户中的 VPC 间建立对等连接来创建文件共享网络。您还可以使用 VPC 对等连接来允许其他 VPC 访问您某个 VPC 中的资源。

在此处输入图片描述

以下是配置步骤:

1. 请求者 VPC向接受者 VPC 发送创建 VPC 对等连接的请求

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
  2. 在左侧导航窗格中,选择 Peering Connections(对等连接)。
  3. 选择 Create Peering Connection(创建对等连接)。
  4. 配置以下信息,并在完成后选择创建对等连接
  5. 名称:为您的 VPC 对等连接命名。
  6. VPC ID(请求方):选择您账户中要用于创建 VPC 对等连接的 VPC。
  7. 对于选择要用作对等的另一个 VPC:(注意,两个VPC的CIDR不能重叠)
  • 对于“账户”:根据您的需求进行选择,接受方VPC可以是本账户或者另外账户,如果选择另外账户,请提供账户ID。
  • 对于“区域”:根据您的需求进行选择,接收方VPC可以是相同区域或者另外区域,如果是另外区域,请选择对应区域,然后提供接受方的VPC ID。
  1. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  2. 点击“创建对等连接“

以下截图显示跨账号跨区域的VPC对等连接:

在此处输入图片描述

创建完成后,请求方界面如下:

在此处输入图片描述

2. 接受方 VPC 的拥有者接受 VPC 对等连接,以此激活 VPC 对等连接:

  1. 如果是跨账户和跨区域对等连接,请先登录到接受者VPC账户,并选择正确地区。
  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
  3. 在左侧导航窗格中,选择 Peering Connections(对等连接)。
  4. 找到“待接受”的对等连接,先确认请求者账户和VPC信息符合预期。
  • 在此处输入图片描述
  1. 然后通过“操作”下拉菜单“接受请求”完成接受操作:
  • 在此处输入图片描述

接受完成后,VPC对等连接将会变成“活动”状态:

  • 在此处输入图片描述

3. 修改路由表以实现两个VPC的联通 (注意:请求方和接受方都需要修改相应路由表)

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 选中需要使用此对等连接的路由表。

  4. 依次选择 Actions(操作)、Edit routes(编辑路由)。

  5. 选择 Add route (添加路由)

  6. 对于 Destination:参考文档

  7. 根据您的使用场景,您可以指定对等 VPC 的整个 IPv4 CIDR 块、具体的范围或单个 IPv4 地址:

  • 举例来说,如果希望访问对方VPC整个网段,则输入对方VPC网段,比如172.31.0.0/16 (通常情况下使用对方整个VPC网段)
  • 如果只希望访问对方VPC中某些特定网段,则指定特定网段为Destination,比如172.31.3.0/24
  • 如果只希望访问对方VPC中某个具体IP,则指定此具体IP地址为Destination,比如172.31.3.6/32
  • 截图示例为访问对方VPC整个网段:
  • 在此处输入图片描述
  1. 对于目标,选择该 VPC 对等连接。
  2. 选择 Save changes(保存更改)
  3. 重要:
  • 如果您有其他路由表想使用此对等连接,也需要修改添加相应路由才能使用
  • 对等 VPC 的对方也必须完成以上修改路由表操作

4. 修改相关安全组和NACL确保流量不受限制

  • 如果需要,请更新与您的实例/服务关联的安全组规则和NACL 以确保进出对等 VPC 的流量不受限制。如果两个 VPC 位于相同区域内,则您可以引用对等 VPC 中的安全组作为安全组规则中的入口或出口规则的源或目标。

5.(可选)测试VPC对等连接是否联通

  • 可以通过两个VPC中的不同实例进行网络测试,比如通过Ping对方VPC中实例的私有IP,如果可以Ping通,则表明VPC对等连接建立成功。

在此处输入图片描述

问题排查:

如果根据文档配置后,出现连接问题,可从以下几点排查:

  1. 检查对等连接状态:确保对等连接处于“活动”状态。两个 VPC 都必须接受对等连接,不应处于待处理或被拒绝状态。
  2. 核实路由表:检查双方VPC 的路由表是否配置正确,即是否有路由允许通过VPC对等连接
  3. 检查相应的网络访问控制列表(NACLs)和安全组:验证 NACLs 和安全组是否允许 VPC 之间的相关流量。确保入站和出站规则配置为允许来自和前往对等 VPC 的流量。

如果经过以上排查后,您仍有问题,欢迎您通过“支持案例”与我们联系。

profile pictureAWS
支持工程师
Tim
已​发布 2 个月前818 查看次数