使用 AWS re:Post 即表示您同意 使用條款
AWS re:Postre:Post

我如何為 AWS 服務設定跨區域 VPC 界面端點?

2 分的閱讀內容
0

我想要設定跨區域 Amazon Virtual Private Cloud (Amazon VPC) 端點,以使用私有連結存取 AWS 資源。

簡短描述

您可以在不同的 AWS 區域部署諸如 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon VPC 和 Amazon Relational Database Service (Amazon RDS) 等資源。此部署有助於提高資源的高可用性,並提供給使用者更快的資料存取。您也可以部署 VPC 閘道端點,透過私有連結存取 AWS 公有資源,例如 Amazon Simple Storage Service (Amazon S3)。但是,您只能從同一區域存取這些 VPC 閘道端點。

以下是範例場景。您可以在 us-west-2 區域部署 Amazon S3 閘道端點。然後,您可以透過此閘道端點存取 us-west-2 中的 S3 儲存貯體。其他區域中儲存貯體的流量會透過 VPC 的網際網路閘道傳輸。如果您的來源 AWS 資源位於具有 NAT 閘道的私有子網路中,則流量會經過 NAT 閘道。由於此流量流經其中,NAT 閘道所產生的費用高於 VPC 端點。由於使用閘道 VPC 端點無需支付任何處理費用或小時費用,因此 Amazon S3 閘道端點預設的價格具有成本效益。

**備註:**下列範例使用 Amazon S3 界面端點處理跨區域流量,因為閘道端點不支援跨區域存取。對任何 VPC 界面端點使用相同的設定。

解決方案

使用以下步驟在 VPC 之間建立 VPC 對等互連,以存取不同區域中的端點。

**備註:**對於此範例解決方案,使用以下變數:

  • VPC1 (10.100.10.0/24) 位於 us-east-1 區域。
  • VPC1 具有 Amazon S3 界面端點。
  • VPC2 (172.16.20.0/24) 位於 us-east-2 區域。
  • 來自 us-east-2 區域的使用者想要存取 us-east-1 中的 S3 儲存貯體。他們想要使用 us-east-1 中的 Amazon S3 界面端點。

在 VPC1 和 VPC2 之間設定 VPC 對等互連

1.    開啟 Amazon VPC console (Amazon VPC 主控台)。確保您位於 us-east-1 區域。

2.    選擇 VPC peering connections (VPC 對等互連)。

3.    選擇 Create peering connection (建立對等互連)。

4.    輸入對等連線的 Name (名稱)。

5.    針對 Select a local VPC to peer with (選擇要對等互連的本機 VPC),輸入 VPC ID (在本範例中,這是 VPC1 的 VPC ID)。

6.    在 Select another VPC to peer with (選取另一個要對等互連的 VPC) 中,對於 Account (帳戶),根據下列項目選取相關選項:

如果這是屬於相同 AWS 帳戶的遠端 VPC,則選擇 My account (我的帳戶)。

如果這不是屬於同一帳戶的遠端 VPC,請選擇 Another account (另一個帳户),然後輸入 Account ID (帳戶 ID)。

7.    在 Select another VPC to peer with (選取另一個要對等互連的 VPC) 中,對於 Region (區域),選取 Another Region (另一個區域)。然後,輸入所需的遠端 VPC ID (在此範例中為 VPC2 的 VPC ID)。

8.    選擇 Create peering connection (建立對等互連)。對等連線狀態變更為 pending acceptance (等待接受)。

9.    將 Region (區域) 變更為 us-east-2

10.   開啟 Amazon VPC 主控台,然後選擇 VPC peering connections (VPC 對等互連)。

11.   選擇 Actions (動作)、Accept request (接受請求)。

更新子網路路由表和路由表目標

1.    在子網路路由表中為 172.16.20.0/24 (VPC2) 的 us-east-1 端點新增路由。

2.    在使用者的路由表目標中新增一條路由作為對等連線 (pcx-xxxxxxxxxxxxxx),使用者的路由表目標位置為 us-east-2 的 10.100.10.0/24 (VPC1)。

存取 S3 儲存貯體

使用遠端 VPC 端點 FQDN 存取 S3 儲存貯體:

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

疑難排解

  • 確保本機和遠端 VPC 子網路的路由表具有彼此作為對等互連的路由。
  • VPC 端點許可政策必須允許遠端 VPC ID。
  • 套用於 VPC 端點的安全群組必須允許遠端 VPC 子網路。
主題
網路與內容交付
標籤
Amazon VPC
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 8 個月前
沒有評論

相關內容