使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post

如何允许通过连接到我的中转网关的单个 VPN 连接在多个 VPC 之间进行通信,但不允许 VPC 相互访问?

2 分钟阅读
0

我的本地用户需要通过单个 VPN 连接访问两个虚拟私有云 (VPC)。我想通过单个 VPN 连接在 VPC 和本地网络之间建立网络连接。但是,我不希望 VPC 可以互相访问。

解决方法

创建中转网关,然后连接您的 VPC 和 Site-to-Site VPN

完成以下步骤:

  1. 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台
  2. 创建中转网关
    注意:创建中转网关时,请关闭默认路由表关联设置。
  3. 将您的 VPC 连接到您的中转网关
  4. 创建 AWS Site-to-Site VPN 连接并将其连接到您的中转网关
    **注意:**要自动将 VPN 路由传播到中转网关路由表,请为 Routing(路由)选项选择 Dynamic(动态)。此选项需要边界网关协议 (BGP)。

创建中转网关路由表并其与您的 VPC 进行关联

完成以下步骤:

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Transit gateways(中转网关)。
  3. 验证您的中转网关的 Default route table association(默认路由表关联)设置是否为 Disable(禁用)。
    **注意:**如果 Default route table association(默认路由表关联)设置为 Enable(启用),请首先从默认中转网关路由表中删除 VPN 和 VPC 关联
  4. 选择 Transit gateway route tables(中转网关路由表)。
  5. 选择 Create transit gateway route table(创建中转网关路由表),然后完成以下步骤:
    对于 Name tag(名称标签),输入 Route Table A(路由表 A)。
    对于 Transit gateway ID(中转网关 ID),选择您的中转网关的 ID。
  6. 选择 Create transit gateway route table(创建中转网关路由表)。
  7. 选择路由表。
  8. 选择 Associations(关联),然后选择 Create association(创建关联)。
  9. 对于 Choose attachment to associate(选择要关联的连接),请选择您的 VPC 的中转网关连接 ID。
  10. 选择 Create association(创建关联)。重复第 9 步和第 10 步,直到所有 VPC 都显示在 Associations(关联)下方。

创建第二个中转网关路由表,并将其与您的 VPN 连接进行关联

完成以下步骤:

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Transit gateway route tables(中转网关路由表)。
  3. 选择 Create transit gateway route table(创建中转网关路由表),然后完成以下步骤:
    对于 Name tag(名称标签),输入 Route Table B(路由表 B)。
    对于 Transit gateway(中转网关)ID,选择您的中转网关的 ID。
  4. 选择 Create transit gateway route table(创建中转网关路由表)。
  5. 选择路由表。
  6. 选择 Associations(关联),然后选择 Create association(创建关联)。
  7. 对于 Choose attachment to associate(选择要关联的连接),选择您的 VPN 连接的中转网关连接 ID。
  8. 选择 Create association(创建关联)。

将来自您的 VPC 和 VPN 的路由传播到相应的路由表

完成以下步骤:

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Transit gateway route tables(中转网关路由表)。
  3. 选择 Route Table A(路由表 A)。
  4. 选择 Propagations(传播),然后选择 Create propagation(创建传播)。
  5. 对于选择要传播的连接,选择 VPN 连接的传播。
    **重要事项:**如果您创建了静态路由 VPN 连接,请在路由表 A 上为本地网络创建指向 VPN 的静态路由。对于基于策略的静态 VPN 连接,仅允许一对安全关联 (SA)。将本地 CIDR 和 VPC CIDR 整合到单个 SA 中。有关详细信息,请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?
  6. 选择 Create propagation(创建传播)。
  7. 在中转网关路由表中,选择 Route table B(路由表 B)。
  8. 选择 Propagations(传播),然后选择 Create propagation(创建传播)。
  9. 对于 Choose attachment to propagate(选择要传播的连接),请选择您的 VPC 的中转网关连接 ID。
  10. 选择 Create propagation(创建传播)。重复步骤 9 和 10,直到所有 VPC 都显示在 Propagations(传播)下。

配置与您的 VPC 和连接子网关联的路由表

完成以下步骤:

  1. Amazon VPC 控制台中。
  2. 在导航窗格中,选择 Route tables(路由表)。
  3. 选择连接到源 Amazon Elastic Compute Cloud (Amazon EC2) 实例子网的路由表。
  4. 选择 Routes(路由)选项卡,然后选择 Edit routes(编辑路由)。
  5. 选择 Add route(添加路由)选项卡,然后完成以下步骤:
    对于 Destination(目标),选择本地网络的子网。
    对于 Target(目标),选择您的中转网关。
  6. 选择 Save routes(保存路由)。

如果您必须在 VPC 之间进行限制性的访问,请为每个 VPC 创建单独的路由表并配置路由。中转网关路由表路由基于中转网关连接和中转网关路由表的关联。您可以在任何中转网关路由表中配置指向任何目标中转网关连接的路由。您无需将目标中转网关连接关联到特定的路由表。

相关信息

如何通过 Transit Gateway 对从本地到 VPC 的连接进行问题排查?

使用在中转网关上终止的 Site-to-Site VPN 时,为什么无法连接到 Amazon VPC?

主题
网络和内容交付
标签
AWS Transit Gateway
语言
中文 (简体)
AWS 官方
AWS 官方已更新 2 个月前
没有评论

相关内容