使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何透過連接至傳輸閘道的單一 VPN 連線啟用多個 VPC 之間的通訊,而不允許 VPC 之間的存取?

2 分的閱讀內容
0

我有兩個虛擬私有雲端 (VPC)。內部部署使用者需要透過單一 VPN 連線來存取兩個 VPC。我想要透過單一 VPN 連線,在 VPC 與內部部署網路之間建立網路連線。該如何進行?

簡短描述

如果您有兩個 VPC (如生產環境和開發環境) 且具有單一 VPN 連線,請依照下列步驟在多個 VPC 中的資源之間建立網路連線,以便實現以下操作:

  • 內部部署使用者可透過 VPN 存取所有 VPC 的資源
  • VPC 資源無法存取其他 VPC 中的資源

解決方案

建立傳輸閘道,然後連接 VPC 和站台對站台 VPN

  1. Amazon Virtual Private Cloud (Amazon VPC) 主控台中,建立傳輸閘道
    注意:建立傳輸閘道時,關閉預設關聯路由表設定。
  2. 將 VPC 連接至傳輸閘道
  3. 建立站台對站台 VPN 連線,然後將其連接至傳輸閘道
    注意:若要將 VPN 路由自動傳播至傳輸閘道路由表,請為 Routing option (路由選項) 選擇 Dynamic (動態)。此選項需要邊界閘道協定

建立傳輸閘道路由表,並將其與 VPC 建立關聯

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇 Transit gateways (傳輸閘道)。
  3. 確認傳輸閘道的 Default association route table (預設關聯路由表) 設定是否設定為 Disable (停用)。
    注意:如果 Default associate route table (預設關聯路由表) 設定為 Enable (啟用),請跳至步驟 9。
  4. 選擇 Transit gateway route tables (傳輸閘道路由表)。
  5. 選擇 Transit gateway route tables (建立傳輸閘道路由表)。
    針對 Name tag (名稱標籤),輸入 Route Table A (路由表 A)。
    針對 Transit gateway ID (傳輸閘道 ID),選擇傳輸閘道的 ID。
    然後,選擇 Create transit gateway route table (建立傳輸閘道路由表)。
  6. 選擇您在上一個步驟中建立的路由表 A,或傳輸閘道的預設路由表。
  7. 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
  8. 針對 Choose attachment to associate (選擇要關聯的附件),選擇 VPC 的關聯 ID。然後,選擇 Create association (建立關聯)。 重複此步驟,直至所有 VPC 都顯示在 Association (關聯) 下。
  9. 從預設傳輸閘道路由表中刪除 VPN 關聯。

建立第二個傳輸閘道路由表,並將其與 VPN 連線建立關聯

  1. Amazon VPC 主控台中,選擇傳輸閘道路由表
  2. 選擇 Transit gateway route tables (建立傳輸閘道路由表)。
    針對 Name tag (名稱標籤),輸入 Route Table A (路由表 B)。
    針對 Transit gateway ID (傳輸閘道 ID),選擇傳輸閘道的 ID。
    然後,選擇 Create transit gateway route table (建立傳輸閘道路由表)。
  3. 選擇您在上一個步驟中建立的 Route Table B (路由表 B)
  4. 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
  5. 與您透過 Route Table B (路由表 B) 建立的 VPN 連線建立關聯。

將路由從 VPC 和 VPN 傳播至兩個路由表

  1. Amazon VPC 主控台中,選擇傳輸閘道路由表
  2. 選擇 Route Table A (路由表 A)。
  3. 選擇 Actions (動作),然後選擇 Create propagation (建立傳播)。
  4. 針對 Choose attachment to propagate (選擇要傳播的附件),選擇所有 VPC 的傳播。如果您已啟用所有附件的傳播,請確認此路由表中未啟用 VPN 連線關聯。
    重要事項:如果您建立了靜態路由 VPN 連線,而非動態路由,必須在路由表 A 上建立內部部署網路連線至 VPN 的靜態路由。針對以政策為基礎靜態 VPN 連線,只允許一對安全關聯 (SA)。將 VPC 的內部部署 CIDR 和 CIDR 整合至單一 SA。如需詳細資訊,請參閱如何解決 AWS VPN 端點和基於政策的 VPN 之間的連線問題?
  5. 選擇 Create propagation (建立傳播)。
  6. 在傳輸閘道路由表中,選取 Route table B (路由表 B)。
  7. 選擇 Actions (動作),然後選擇 Create propagation (建立傳播)。
  8. 對於 選擇要傳輸的附件 ,選擇所有 VPC 的傳輸。然後,選擇 Create propagation (建立傳播)。

設定與 VPC 和附件子網路關聯的路由表

  1. Amazon VPC 主控台中,選擇 Route tables (路由表)。
  2. 選擇連接至附件子網路的路由表。
  3. 選擇 Routes (路由) 索引標籤,然後選擇 Edit routes (編輯路由)。
  4. 選擇 Add route (新增路由) 索引標籤。
    Destination (目的地) 中,選擇內部部署網路的子網路。
    Target (目標) 中,選擇您的傳輸閘道。
  5. 選擇 Save routes (儲存路由)。

注意:如果您的使用案例需要在 VPC 之間進行更嚴格的存取,則為每個 VPC 建立單獨的路由表並設定路由。請記住:

  • 傳輸閘道路由表中的路由,以傳輸閘道關聯與傳輸閘道路由表之間的關聯為基礎。
  • 您可以在任何傳輸閘道路由表中,設定傳輸閘道連接中任何目的地的路由。傳輸閘道連接不需要與該特定路由表關聯。
主題
網路與內容交付
標籤
AWS Transit Gateway
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 2 年前
沒有評論

相關內容