使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何讓多個 VPC 透過連接到我的傳輸閘道的單一 VPN 連線進行通訊,但又不允許這些 VPC 互相存取?

3 分的閱讀內容
0

我的內部部署使用者需要透過單一 VPN 連線存取兩個虛擬私有雲端 (VPC)。我想要透過單一 VPN 連線在 VPC 和內部部署網路之間建立網路連線。但是,我不希望 VPC 可以互相存取。

解決方法

建立傳輸閘道,然後連接您的 VPC 和 Site-to-Site VPN

請完成下列步驟:

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台
  2. 建立傳輸閘道
    注意: 建立傳輸閘道時,請關閉預設路由表關聯設定。
  3. 將 VPC 連接至傳輸閘道
  4. 建立 AWS Site-to-Site VPN 連線,然後將其連接到傳輸閘道
    注意: 若要將 VPN 路由自動傳播至傳輸閘道路由表,請在 Routing option (路由選項) 中選擇 Dynamic (動態)。此選項需要邊界閘道協定 (BGP)。

建立傳輸閘道路由表,並將其與您的 VPC 相關聯

請完成下列步驟:

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇 Transit gateways (傳輸閘道)。
  3. 確認傳輸閘道的預設路由表關聯是否設定為 Disable (停用)。
    注意: 如果 Default route table association (預設路由表關聯) 設為 Enable (啟用),請先從預設傳輸閘道路由表中刪除 VPN 和 VPC 關聯
  4. 選擇 Transit gateway route tables (傳輸閘道路由表)。
  5. 選擇 Create transit gateway route table (建立傳輸閘道路由表),然後完成下列步驟:
    Name tag (名稱標籤) 中,輸入 Route Table A (路由表 A)。
    Transit gateway ID (傳輸閘道 ID) 中,選擇您的傳輸閘道 ID。
  6. 選擇 Create transit gateway route table (建立傳輸閘道路由表)。
  7. 選取路由表。
  8. 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
  9. Choose attachment to associate (選擇要關聯的連接中) 中,選擇 VPC 的傳輸閘道連接 ID。
  10. 選擇 Create association (建立關聯)。重複步驟 9 和步驟 10,直到所有 VPC 都出現在 Associations (關聯) 下。

建立第二個傳輸閘道路由表,並將其與您的 VPN 連線相關聯

請完成下列步驟:

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇Transit gateway route tables (傳輸閘道路由表)。
  3. 選擇 Create transit gateway route table (建立傳輸閘道路由表),然後完成下列步驟:
    Name tag (名稱標籤) 中,輸入 Route Table B (路由表 B)。
    Transit gateway (傳輸閘道) ID 中,選擇您的傳輸閘道 ID。
  4. 選擇 Create transit gateway route table (建立傳輸閘道路由表)。
  5. 選取路由表。
  6. 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
  7. Choose attachment to associate (選擇要關聯的連接中) 中,選擇 VPN 連線的傳輸閘道連接 ID。
  8. 選擇 Create association (建立關聯)。

將路由從 VPC 和 VPN 傳播到各自的路由表

請完成下列步驟:

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇Transit gateway route tables (傳輸閘道路由表)。
  3. 選取 Route Table A (路由表 A)。
  4. 選擇 Propagations (傳播),然後選擇 Create propagation (建立傳播)。
  5. Choose attachment to propagate (選擇要傳播的連接) 中,選擇 VPN 連線的傳播。 
    重要: 如果您建立了靜態路由 VPN 連線,請在路由表 A 上為內部部署網路建立指向 VPN 的靜態路由。對於政策型基礎的靜態 VPN 連線,只允許一對安全關聯 (SA)。將內部部署 CIDR 和 VPC CIDR 合併到單一 SA。如需詳細資訊,請參閱如何對 AWS VPN 端點與原則型 VPN 之間的連線問題進行疑難排解?
  6. 選擇 Create propagation (建立傳播)。
  7. 在傳輸閘道路由表中,選取 Route table (路由表 B)。
  8. 選擇 Propagations (傳播),然後選擇 Create propagation (建立傳播)。
  9. Choose attachment to propagate (選擇要傳播的連接中) 中,選擇 VPC 的傳輸閘道連接 ID。
  10. 選擇 Create propagation (建立傳播)。重複步驟 9 和步驟 10,直到所有 VPC 都出現在 Propagations (傳播) 下。

設定與 VPC 和連接子網路相關聯的路由表

請完成下列步驟:

  1. Amazon VPC 主控台 中。
  2. 在導覽窗格中,選擇 Route tables (路由表)。
  3. 選擇連接到來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體子網路的路由表。
  4. 選擇 Routes (路由) 索引標籤,然後選擇 Edit routes (編輯路由)。
  5. 選擇 Add route (新增路由) 索引標籤,然後完成下列步驟:
    Destination (目的地) 中,選擇內部部署網路的子網路。
    Target (目標) 中,選擇您的傳輸閘道。
  6. 選擇 Save routes (儲存路由)。

如果您必須在 VPC 之間限制存取權,請為每個 VPC 建立單獨的路由表,並設定路由。傳輸閘道路由表的路由是以傳輸閘道連接和傳輸閘道路由表的關聯為基礎。您可以在任何傳輸閘道路由表中設定指向任何目的地傳輸閘道連接的路由。您不需要將目的地傳輸閘道連接與特定路由表相關聯。

相關資訊

如何對透過 Transit Gateway 從內部部署到 VPC 連線的問題進行疑難排解?

為什麼當我使用終止於傳輸閘道的 Site-to-Site VPN 時,無法連線到 Amazon VPC?

主題
網路與內容交付
標籤
AWS Transit Gateway
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 3 個月前
沒有評論

相關內容