Configurations d'appairage de VPC avec des routes spécifiques
Vous pouvez configurer des tables de routage pour une connexion d'appairage de VPC afin de restreindre l'accès à un bloc d'adresse CIDR de sous-réseau, à un bloc d'adresse CIDR spécifique (si le VPC comporte plusieurs blocs d'adresse CIDR) ou à une ressource spécifique dans le VPC appairé. Dans ces exemples, un VPC central est appairé à au moins deux VPC qui ont des blocs d'adresse CIDR se chevauchant.
Pour des exemples de scénarios dans lesquels vous pouvez avoir besoin d'une configuration de connexion d'appairage de VPC spécifique, consultez Scénarios de mise en réseau de connexions d’appairage de VPC. Pour en savoir plus sur l'utilisation de connexions d'appairage de VPC, consultez Connexions d’appairage de VPC. Pour en savoir plus sur la mise à jour de vos tables de routage, consultez la page Mise à jour de vos tables de routage pour une connexion d'appairage de VPC.
Configurations
Deux VPC qui ont accès à des sous-réseaux spécifiques dans un VPC
Deux VPC qui ont accès à des blocs d'adresse CIDR spécifiques dans un seul VPC
Un seul VPC qui a accès à des sous-réseaux spécifiques dans deux VPC
Instances dans un seul VPC qui ont accès à des instances spécifiques dans deux VPC
Un VPC qui a accès à deux VPC à l'aide des correspondances de préfixe les plus longues
Deux VPC qui ont accès à des sous-réseaux spécifiques dans un VPC
Dans cette configuration, il existe un VPC central avec deux sous-réseaux (VPC A), une connexion d'appairage entre le VPC A et le VPC B (pcx-aaaabbbb) et une connexion d'appairage entre le VPC A et le VPC C (pcx-aaaacccc). Chaque VPC a besoin d'accéder aux ressources d'un seul des sous-réseaux du VPC A.
La table de routage pour le sous-réseau 1 utilise la connexion d'appairage de VPC pcx-aaaabbbb pour accéder à l'ensemble du bloc d'adresse CIDR du VPC B. La table de routage du VPC B utilise pcx-aaaabbbb pour accéder au bloc d'adresse CIDR du sous-réseau 1 du VPC A. La table de routage pour le sous-réseau 2 utilise la connexion d'appairage de VPC pcx-aaaacccc pour accéder à l'ensemble du bloc d'adresse CIDR du VPC C. La table de routage du VPC C utilise pcx-aaaacccc pour accéder au bloc d'adresse CIDR du sous-réseau 2 du VPC A.
| Table de routage | Destination | Cible |
|---|---|---|
| Sous-réseau 1 (VPC A) | CIDR VPC A |
Local |
CIDR VPC B |
pcx-aaaabbbb | |
| Sous-réseau 2 (VPC A) | CIDR VPC A |
Local |
CIDR VPC C |
pcx-aaaacccc | |
| VPC B | CIDR VPC B |
Local |
CIDR du sous-réseau 1 |
pcx-aaaabbbb | |
| VPC C | CIDR VPC C |
Local |
CIDR du sous-réseau 2 |
pcx-aaaacccc |
Vous pouvez appliquer cette configuration à plusieurs blocs CIDR. Supposons que le VPC A et le VPC B comportent des blocs CIDR IPv4 et IPv6, et que le sous-réseau 1 ait un bloc CIDR IPv6 associé. Vous pouvez activer VPC B pour communiquer avec le sous-réseau 1 du VPC A via IPv6 à l'aide de la connexion d'appairage de VPC. Pour ce faire, ajoutez une route vers la table de routage pour le VPC A avec une destination du bloc d'adresse CIDR IPv6 pour le VPC B, et une route vers la table de routage pour le VPC B avec une destination du CIDR IPv6 du sous-réseau 1 dans le VPC A.
| Table de routage | Destination | Target | Remarques |
|---|---|---|---|
| Sous-réseau 1 du VPC A | CIDR IPv4 VPC A |
Local | |
CIDR IPv6 VPC A |
Local | Route locale qui est ajoutée automatiquement pour toute communication IPv6 dans le VPC. | |
CIDR IPv4 VPC B |
pcx-aaaabbbb | ||
CIDR IPv6 VPC B |
pcx-aaaabbbb | Route vers le bloc d'adresse CIDR IPv6 du VPC B. | |
| Sous-réseau 2 du VPC A | CIDR IPv4 VPC A |
Local | |
CIDR IPv6 VPC A |
Local | Route locale qui est ajoutée automatiquement pour toute communication IPv6 dans le VPC. | |
CIDR IPv4 VPC C |
pcx-aaaacccc | ||
| VPC B | CIDR IPv4 VPC B |
Local | |
CIDR IPv6 VPC B |
Local | Route locale qui est ajoutée automatiquement pour toute communication IPv6 dans le VPC. | |
CIDR IPv4 du sous-réseau 1 |
pcx-aaaabbbb | ||
CIDR IPv6 du sous-réseau |
pcx-aaaabbbb | Route vers le bloc d'adresse CIDR IPv6 du VPC A. | |
| VPC C | CIDR IPv4 VPC C |
Local | |
CIDR IPv4 du sous-réseau 2 |
pcx-aaaacccc |
Deux VPC qui ont accès à des blocs d'adresse CIDR spécifiques dans un seul VPC
Dans cette configuration, il existe un VPC central (VPC A), une connexion d'appairage entre le VPC A et le VPC B (pcx-aaaabbbb) et une connexion d'appairage entre le VPC A et le VPC C (pcx-aaaacccc). Le VPC A a un bloc d'adresse CIDR pour chaque connexion d'appairage.
| Table de routage | Destination | Cible |
|---|---|---|
| VPC A | CIDR 1 VPC A |
Local |
CIDR 2 VPC A |
Local | |
CIDR VPC B |
pcx-aaaabbbb | |
CIDR VPC C |
pcx-aaaacccc | |
| VPC B | CIDR VPC B |
Local |
CIDR 1 VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR VPC C |
Local |
CIDR 2 VPC A |
pcx-aaaacccc |
Un seul VPC qui a accès à des sous-réseaux spécifiques dans deux VPC
Dans cette configuration, il existe un VPC central (VPC A) avec un sous-réseau, une connexion d'appairage entre le VPC A et le VPC B (pcx-aaaabbbb) et une connexion d'appairage entre le VPC A et le VPC C (pcx-aaaacccc). Le VPC B et le VPC C ont chacun deux sous-réseaux. La connexion d'appairage entre le VPC A et le VPC B utilise uniquement l'un des sous-réseaux du VPC B. La connexion d'appairage entre le VPC A et le VPC C utilise uniquement l'un des sous-réseaux du VPC C.
Utilisez cette configuration quand vous avez un VPC central avec un seul jeu ressources, comme les services Active Directory, auquel les autres VPC ont besoin d'accéder. Le VPC central n'a pas besoin d'un accès total aux VPC auxquels il est appairé.
La table de routage du VPC A utilise les connexions d'appairage pour accéder uniquement à des sous-réseaux spécifiques dans les VPC appairés. La table de routage du sous-réseau 1 utilise la connexion d'appairage avec le VPC A pour accéder au sous-réseau du VPC A. La table de routage du sous-réseau 2 utilise la connexion d'appairage avec le VPC A pour accéder au sous-réseau du VPC A.
| Table de routage | Destination | Cible |
|---|---|---|
| VPC A | CIDR VPC A |
Local |
CIDR du sous-réseau |
pcx-aaaabbbb | |
CIDR du sous-réseau 2 |
pcx-aaaacccc | |
| Sous-réseau 1 (VPC B) | CIDR VPC B |
Local |
Sous-réseau dans le CIDR du VPC A |
pcx-aaaabbbb | |
| Sous-réseau 2 (VPC C) | CIDR VPC C |
Local |
Sous-réseau dans le CIDR du VPC A |
pcx-aaaacccc |
Routage pour le trafic de la réponse
Si vous avez un VPC appairé à plusieurs VPC qui ont des blocs d'adresse CIDR se chevauchant ou identiques, assurez-vous que vos tables de routage sont configurées pour éviter d'envoyer le trafic de réponse sortant de votre VPC vers le mauvais VPC. AWS ne prend pas en charge de recherche par chemin inverse Unicast dans les connexions d'appairage de VPC qui vérifie l'adresse IP source des paquets et qui renvoie les paquets de réponse vers la source.
Par exemple, le VPC A est appairé au VPC B et au VPC C. Les VPC B et VPC C ont des blocs d'adresse CIDR identiques, tout comme leurs sous-réseaux. La table de routage pour le sous-réseau 2 dans le VPC B pointe vers la connexion d'appairage de VPC pcx-aaaabbbb pour accéder au sous-réseau du VPC A. La table de routage du VPC A est configurée pour envoyer le trafic destiné au CIDR VPC vers la connexion d'appairage pcx-aaaaccccc.
| Table de routage | Destination | Cible |
|---|---|---|
| Sous-réseau 2 (VPC B) | CIDR VPC B |
Local |
Sous-réseau dans le CIDR du VPC A |
pcx-aaaabbbb | |
| VPC A | CIDR VPC A |
Local |
CIDR VPC C |
pcx-aaaacccc |
Supposons qu'une instance du sous-réseau 2 du VPC B envoie du trafic au serveur Active Directory du VPC A en utilisant la connexion d'appairage de VPC pcx-aaaabbbb. Le VPC A envoie le trafic de réponse au serveur Active Directory. Toutefois, la table de routage du VPC A est configurée pour envoyer tout le trafic de la plage CIDR VPC à la connexion d'appairage de VPC pcx-aaaacccc. Si le sous-réseau 2 du VPC C possède une instance avec la même adresse IP que l'instance du sous-réseau 2 du VPC B, elle reçoit le trafic de réponse du VPC A. L'instance du sous-réseau 2 du VPC B ne reçoit pas de réponse à sa demande au VPC A.
Pour éviter ce problème, vous pouvez ajouter une route spécifique à la table de routage de VPC A avec le CIDR du sous-réseau 2 de VPC B comme destination et comme cible pcx-aaaabbbb. La nouvelle route est plus spécifique. Par conséquent, le trafic destiné au CIDR du sous-réseau 2 est acheminé vers la connexion d'appairage de VPC pcx-aaaabbbb
Sinon, dans l'exemple suivant, la table de routage du VPC A comporte une route pour chaque sous-réseau pour chaque connexion d'appairage de VPC. Le VPC A peut communiquer avec le sous-réseau 2 dans le VPC B et le sous-réseau 1 dans le VPC C. Ce scénario est utile si vous devez ajouter une autre connexion d’appairage de VPC avec un autre sous-réseau faisant partie de la même plage d’adresses que les VPC B et C ; vous pouvez simplement ajouter une autre route pour ce sous-réseau spécifique.
| Destination | Target |
|---|---|
CIDR VPC A |
Local |
CIDR du sous-réseau 2 |
pcx-aaaabbbb |
CIDR du sous-réseau 1 |
pcx-aaaacccc |
Sinon, en fonction de votre cas d'utilisation, vous pouvez créer une route vers une adresse IP spécifique du VPC B afin de garantir que le trafic sera acheminé vers le serveur approprié (la table de routage utilise la correspondance de préfixe le plus long pour hiérarchiser les routes) :
| Destination | Target |
|---|---|
CIDR VPC A |
Local |
Adresse IP spécifique dans le sous-réseau 2 |
pcx-aaaabbbb |
CIDR VPC B |
pcx-aaaacccc |
Instances dans un seul VPC qui ont accès à des instances spécifiques dans deux VPC
Dans cette configuration, il existe un VPC central (VPC A) avec un sous-réseau, une connexion d'appairage entre le VPC A et le VPC B (pcx-aaaabbbb) et une connexion d'appairage entre le VPC A et le VPC C (pcx-aaaacccc). Le VPC A possède un sous-réseau avec une instance pour chaque connexion d'appairage. Vous pouvez utiliser cette configuration pour limiter le trafic d'appairage à des instances spécifiques.
Chaque table de routage de VPC pointe vers la connexion d'appairage de VPC appropriée pour accéder à une seule adresse IP (et donc à une instance spécifique) dans le VPC pair.
| Table de routage | Destination | Cible |
|---|---|---|
| VPC A | CIDR VPC A |
Local |
Adresse IP de l'instance 3 |
pcx-aaaabbbb | |
Adresse IP de l'instance 4 |
pcx-aaaacccc | |
| VPC B | CIDR VPC B |
Local |
Adresse IP de l'instance 1 |
pcx-aaaabbbb | |
| VPC C | CIDR VPC C |
Local |
Adresse IP de l'instance 2 |
pcx-aaaacccc |
Un VPC qui a accès à deux VPC à l'aide des correspondances de préfixe les plus longues
Dans cette configuration, il existe un VPC central (VPC A) avec un sous-réseau, une connexion d'appairage entre le VPC A et le VPC B (pcx-aaaabbbb) et une connexion d'appairage entre le VPC A et le VPC C (pcx-aaaacccc). Le VPC B et le VPC C ont des blocs d'adresse CIDR identiques. Vous utilisez une connexion d'appairage de VPC pcx-aaaabbbb pour acheminer le trafic entre le VPC A et une instance spécifique du VPC B. Le reste du trafic destiné à la plage d'adresses CIDR partagée entre le VPC A et le VPC C est acheminé vers le VPC C via pcx-aaaacccc.
Les tables de routage de VPC utilisent la correspondance de préfixe le plus long pour sélectionner la route la plus spécifique sur la connexion d'appairage de VPC désignée. Le reste du trafic est acheminé via la prochaine route adéquate ; dans ce cas, sur la connexion d'appairage de VPC pcx-aaaacccc.
| Table de routage | Destination | Cible |
|---|---|---|
| VPC A | Bloc CIDR VPC A |
Local |
Adresse IP de l'instance X |
pcx-aaaabbbb | |
Bloc CIDR VPC C |
pcx-aaaacccc | |
| VPC B | Bloc CIDR VPC B |
Local |
Bloc CIDR VPC A |
pcx-aaaabbbb | |
| VPC C | Bloc CIDR VPC C |
Local |
Bloc CIDR VPC A |
pcx-aaaacccc |
Important
Si une instance autre que l'instance X du VPC B envoie du trafic vers le VPC A, le trafic de réponse peut être acheminé vers le VPC C au lieu du VPC B. Pour plus d'informations, consultez Routage pour le trafic de la réponse.
Configurations de plusieurs VPC
Dans cette configuration, un VPC central (VPC A) est appairé à plusieurs VPC dans une configuration en étoile. Vous avez également trois VPC (VPC X, Y et Z) appairés dans une configuration de maillage complet.
Le VPC D possède également une connexion d'appairage de VPC avec le VPC X (pcx-ddddxxxx). Le VPC A et le VPC X ont des blocs d'adresse CIDR se chevauchant. Cela signifie que le trafic d’appairage entre le VPC A et le VPC D est limité à un sous-réseau spécifique (sous-réseau 1) du VPC D. Il s’agit d’assurer que le VPC C envoie le trafic de réponse au bon VPC s’il reçoit une demande du VPC A ou du VPC X. AWS ne prend pas en charge de recherche par chemin inverse Unicast dans les connexions d’appairage de VPC qui vérifie l’adresse IP source des paquets et qui renvoie les paquets de réponse vers la source. Pour de plus amples informations, consultez Routage pour le trafic de la réponse.
De même, le VPC D et le VPC Z ont des blocs d'adresse CIDR se chevauchant. Le trafic d'appairage entre le VPC D et le VPC X est limité au sous-réseau 2 dans le VPC D, et le trafic d'appairage entre le VPC X et le VPC Z est limité au sous-réseau 1 dans le VPC Z. Il s'agit d'assurer que le VPC X renvoie le trafic de réponse au bon VPC s'il reçoit du trafic d'appairage du VPC D ou du VPC Z.
Les tables de routage pour les VPC B, C, E, F et G pointent vers les connexions d'appairage appropriées pour accéder à l'ensemble du bloc d'adresse CIDR pour le VPC A, et la table de routage du VPC A pointe vers les connexions d'appairage appropriées des VPC B, C, E, F et G pour accéder à l'ensemble de leurs blocs d'adresse CIDR. Pour la connexion d'appairage pcx-aaaadddd, la table de routage du VPC A achemine uniquement le trafic vers le sous-réseau 1 du VPC D, et la table de routage du sous-réseau 1 du VPC D pointe vers l'ensemble du bloc d'adresse CIDR du VPC A.
La table de routage du VPC Y pointe vers les connexions d'appairage appropriées pour accéder à l'ensemble des blocs d'adresse CIDR du VPC X et du VPC Z, et la table de routage du VPC Z pointe vers la connexion d'appairage appropriée pour accéder à l'ensemble du bloc d'adresse CIDR du VPC Y. La table de routage du sous-réseau 1 dans le VPC Z pointe vers la connexion d'appairage appropriée pour accéder à l'ensemble du bloc d'adresse CIDR du VPC Y. La table de routage du VPC X pointe vers la connexion d'appairage appropriée pour accéder au sous-réseau 2 dans le VPC D et au sous-réseau 1 dans le VPC Z.
| Table de routage | Destination | Cible |
|---|---|---|
| VPC A | CIDR VPC A |
Local |
CIDR VPC B |
pcx-aaaabbbb | |
CIDR VPC C |
pcx-aaaacccc | |
CIDR sous-réseau 1 dans le VPC D |
pcx-aaaadddd | |
CIDR VPC E |
pcx-aaaaeeee | |
CIDR VPC F |
pcx-aaaaffff | |
CIDR VPC G |
pcx-aaaagggg | |
| VPC B | CIDR VPC B |
Local |
CIDR VPC A |
pcx-aaaabbbb | |
| VPC C | CIDR VPC C |
Local |
CIDR VPC A |
pcx-aaaacccc | |
| Sous-réseau 1 du VPC D | CIDR VPC D |
Local |
CIDR VPC A |
pcx-aaaadddd | |
| Sous-réseau 2 du VPC D | CIDR VPC D |
Local |
CIDR VPC X |
pcx-ddddxxxx | |
| VPC E | CIDR VPC E |
Local |
CIDR VPC A |
pcx-aaaaeeee | |
| VPC F | CIDR VPC F |
Local |
CIDR VPC A |
pcx-aaaaaffff | |
| VPC G | CIDR VPC G |
Local |
CIDR VPC A |
pcx-aaaagggg | |
| VPC X | CIDR VPC X |
Local |
CIDR sous-réseau 2 dans le VPC D |
pcx-ddddxxxx | |
CIDR VPC Y |
pcx-xxxxyyyy | |
CIDR sous-réseau 1 dans le VPC Z |
pcx-xxxxzzzz | |
| VPC Y | CIDR VPC Y |
Local |
CIDR VPC X |
pcx-xxxxyyyy | |
CIDR VPC Z |
pcx-yyyyzzzz | |
| VPC Z | CIDR VPC Z |
Local |
CIDR VPC Y |
pcx-yyyyzzzz | |
CIDR VPC X |
pcx-xxxxzzzz |
