Configurazioni peering VPC con instradamenti specifici
Puoi configurare le tabelle di instradamento per una connessione peering VPC per limitare l'accesso a un blocco CIDR della sottorete, un blocco CIDR specifico (se il VPC dispone di più blocchi CIDR) o una risorsa specifica all'interno del VPC in peering. In questi esempi, un VPC centrale viene connesso in peering ad almeno due VPC con blocchi CIDR che si sovrappongono.
Per esempi di scenari in cui è richiesta una configurazione della connessione peering VPC specifica, consulta Scenari di rete di connessione peering VPC. Per ulteriori informazioni sull'utilizzo delle connessioni peering VPC, consulta la pagina Connessioni in peering di VPC. Per ulteriori informazioni sull'aggiornamento delle tabelle di routing, consulta Aggiornamento delle tabelle di routing per una connessione peering VPC.
Configurazioni
Due VPC che accedono a sottoreti specifiche in un VPC
In questa configurazione, si hanno un VPC centrale con due sottoreti (VPC A), una connessione peering tra VPC A e VPC B (pcx-aaaabbbb) e una connessione peering tra VPC A e VPC C (pcx-aaaacccc). Ogni VPC richiede l'accesso alle risorse in una sola delle sottoreti di VPC A.
La tabella di instradamento per la sottorete 1 utilizza a una connessione peering VPC pcx-aaaabbbb per accedere all'intero blocco CIDR di VPC B. La tabella di instradamento di VPC B utilizza pcx-aaaabbbb per accedere al blocco CIDR della sola sottorete 1 in VPC A. La tabella di instradamento per la sottorete 2 utilizza la connessione peering VPC pcx-aaaacccc per accedere all'intero blocco CIDR di VPC C. La tabella di instradamento di VPC C utilizza pcx-aaaacccc per accedere al blocco CIDR della sola sottorete 2 in VPC A.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| Sottorete 1 (VPC A) | VPC A CIDR |
Locale |
VPC B CIDR |
pcx-aaaabbbb | |
| Sottorete 2 (VPC A) | VPC A CIDR |
Locale |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
Locale |
CIDR sottorete 1 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
Locale |
CIDR sottorete 2 |
pcx-aaaacccc |
È possibile estendere questa configurazione a più blocchi CIDR. Supponiamo che VPC A e VPC B abbiano sia blocchi CIDR IPv4 che IPv6 e che la sottorete 1 abbia un blocco CIDR IPv6. Puoi abilitare la comunicazione tra VPC B e la sottorete 1 in VPC A su IPv6 utilizzando la connessione peering VPC. Per farlo, aggiungi un instradamento alla tabella di instradamento per VPC A con una destinazione del blocco CIDR IPv6 per VPC B e un instradamento alla tabella di instradamento per VPC B con una destinazione del CIDR IPv6 della sottorete 1 in VPC A.
| Tabella di routing | Destinazione | Target | Note |
|---|---|---|---|
| Sottorete 1 in VPC A | CIDR IPv4 del VPC A |
Locale | |
CIDR IPv6 del VPC A |
Locale | Route locale che viene aggiunta automaticamente per la comunicazione IPv6 all'interno del VPC. | |
CIDR IPv4 del VPC B |
pcx-aaaabbbb | ||
CIDR IPv6 del VPC B |
pcx-aaaabbbb | Route al blocco CIDR IPv6 di VPC B. | |
| Sottorete 2 in VPC A | CIDR IPv4 del VPC A |
Locale | |
CIDR IPv6 del VPC A |
Locale | Route locale che viene aggiunta automaticamente per la comunicazione IPv6 all'interno del VPC. | |
CIDR IPv4 del VPC C |
pcx-aaaacccc | ||
| VPC B | CIDR IPv4 del VPC B |
Locale | |
CIDR IPv6 del VPC B |
Locale | Route locale che viene aggiunta automaticamente per la comunicazione IPv6 all'interno del VPC. | |
CIDR IPv4 della sottorete 1 |
pcx-aaaabbbb | ||
CIDR IPv6 della sottorete |
pcx-aaaabbbb | Route al blocco CIDR IPv6 di VPC A. | |
| VPC C | CIDR IPv4 del VPC C |
Locale | |
CIDR IPv4 della sottorete 2 |
pcx-aaaacccc |
Due VPC che accedono a blocchi CIDR specifici in un VPC
In questa configurazione, esistono un VPC centrale (VPC A), una connessione peering tra VPC A e VPC B (pcx-aaaabbbb) e una connessione peering tra VPC A e VPC C (pcx-aaaacccc). VPC A dispone di un blocco CIDR per ogni connessione peering.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| VPC A | CIDR 1 VPC A |
Locale |
CIDR 2 VPC A |
Locale | |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
Locale |
CIDR 1 VPC A |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
Locale |
CIDR 2 VPC A |
pcx-aaaacccc |
Un VPC che accede a sottoreti specifiche in due VPC
In questa configurazione, si hanno un VPC centrale con una sottorete (VPC A), una connessione peering tra VPC A e VPC B (pcx-aaaabbbb) e una connessione peering tra VPC A e VPC C (pcx-aaaacccc). VPC B e VPC C dispongono ciascuno di due sottoreti. La connessione peering tra VPC A e VPC B utilizza solo una delle sottoreti in VPC B. La connessione peering tra VPC A e VPC C utilizza solo una delle sottoreti in VPC C.
Utilizza questa configurazione quando disponi di un VPC centrale con un singolo set di risorse, ad esempio servizi Active Directory, a cui devono accedere altri VPC. Il VPC centrale non richiede l'accesso completo ai VPC cui è collegato in peering.
La tabella di instradamento per VPC A utilizza le connessioni peering per accedere solo a sottoreti specifiche nei VPC connessi in peering. La tabella di instradamento per la sottorete 1 utilizza la connessione peering con VPC A per accedere alla sottorete in VPC A. La tabella di instradamento per la sottorete 2 utilizza la connessione peering con VPC A per accedere alla sottorete in VPC A.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| VPC A | VPC A CIDR |
Locale |
CIDR sottorete |
pcx-aaaabbbb | |
CIDR sottorete |
pcx-aaaacccc | |
| Sottorete 1 (VPC B) | VPC B CIDR |
Locale |
Sottorete nel CIDR del VPC A |
pcx-aaaabbbb | |
| Sottorete 2 (VPC C) | VPC C CIDR |
Locale |
Sottorete nel CIDR del VPC A |
pcx-aaaacccc |
Routing per traffico di risposta
Se disponi di un VPC connessi in peering a molti VPC che hanno blocchi CIDR sovrapposti o corrispondenti, assicurati che le tabelle di instradamento siano configurate in modo da non inviare traffico di risposta dal VPC al VPC sbagliato. AWS non supporta la funzionalità reverse path forwarding unicast (trasmissione uno a uno) nelle connessioni peering VPC che controlla l'IP di origine di pacchetti e reinstrada i pacchetti di risposta all'origine.
Ad esempio, VPC A è collegato in peering a VPC B e VPC C. VPC B e VPC C dispongono di blocchi CIDR corrispondenti e le relative sottoreti dispongono di blocchi CIDR corrispondenti. La tabella di instradamento per la sottorete 2 in VPC B fa riferimento alla connessione peering VPC pcx-aaaabbbb per accedere alla sottorete di VPC A. La tabella di instradamento di VPC A è configurata per inviare il traffico destinato al CIDR del VPC alla connessione peering pcx-aaaaccccc.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| Sottorete 2 (VPC B) | VPC B CIDR |
Locale |
Sottorete nel CIDR del VPC A |
pcx-aaaabbbb | |
| VPC A | VPC A CIDR |
Locale |
VPC C CIDR |
pcx-aaaacccc |
Supponiamo che un'istanza nella sottorete 2 nel VPC B invii il traffico al server Active Directory nel VPC A utilizzando la connessione peering VPC pcx-aaaabbbb. VPC A invia il traffico di risposta al server Active Directory. Tuttavia, la tabella di instradamento di VPC A è configurata per inviare tutto il traffico all'interno dell'intervallo CIDR di VPC alla connessione peering VPC pcx-aaaacccc. Se la sottorete 2 nel VPC C dispone di un'istanza con lo stesso indirizzo IP dell'istanza nella sottorete 2 di VPC B, riceve il traffico di risposta da VPC A. L'istanza nella sottorete 2 in VPC B non riceve una risposta alla sua richiesta a VPC A.
Per impedire ciò, puoi aggiungere un instradamento specifico alla tabella di instradamento di VPC A con il CIDR della sottorete 2 in VPC B come destinazione e target di pcx-aaaabbbb. Il nuovo instradamento è più specifico, pertanto il traffico destinato al CIDR della sottorete 2 viene instradato alla connessione peering VPC pcx-aaaabbbb
In alternativa, nel seguente esempio, la tabella di instradamento di VPC A dispone di un instradamento per ogni sottorete per ogni connessione peering VPC. VPC A può comunicare con la sottorete 2 in VPC B e con la sottorete 1 in VPC C. Questo scenario è utile se occorre aggiungere un’altra connessione peering VPC con un’altra sottorete che si trova all’interno dello stesso intervallo di indirizzi IP di VPC B e VPC C: puoi semplicemente aggiungere un’altra route per la sottorete specifica.
| Destinazione | Target |
|---|---|
VPC A CIDR |
Locale |
CIDR sottorete 2 |
pcx-aaaabbbb |
CIDR sottorete 1 |
pcx-aaaacccc |
In alternativa, a seconda del caso d'uso, puoi creare una route a un indirizzo IP specifico in VPC B per assicurarti che il traffico sia re-instradato al server corretto (la tabella di instradamento utilizza la corrispondenza prefisso più lungo per definire le priorità delle route):
| Destinazione | Target |
|---|---|
VPC A CIDR |
Locale |
Indirizzo IP specifico nella sottorete 2 |
pcx-aaaabbbb |
VPC B CIDR |
pcx-aaaacccc |
Istanze in un VPC che accedono a istanze specifiche in due VPC
In questa configurazione, si hanno un VPC centrale con una sottorete (VPC A), una connessione peering tra VPC A e VPC B (pcx-aaaabbbb) e una connessione peering tra VPC A e VPC C (pcx-aaaacccc). VPC A ha una sottorete con un'istanza per ogni connessione peering. Puoi utilizzare questa configurazione per limitare il traffico di peering verso istanze specifiche.
Ogni tabella di instradamento VPC punta alla connessione peering VPC pertinente per accedere a un singolo indirizzo IP (e pertanto un'istanza specifica) nel VPC in peering.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| VPC A | VPC A CIDR |
Locale |
Indirizzo IP dell'istanza 3 |
pcx-aaaabbbb | |
Indirizzo IP dell'istanza 4 |
pcx-aaaacccc | |
| VPC B | VPC B CIDR |
Locale |
Indirizzo IP dell'istanza 1 |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
Locale |
Indirizzo IP dell'istanza 2 |
pcx-aaaacccc |
Un VPC che accede a due VPC utilizzando corrispondenze con il prefisso più lungo
In questa configurazione, si hanno un VPC centrale con una sottorete (VPC A), una connessione peering tra VPC A e VPC B (pcx-aaaabbbb) e una connessione peering tra VPC A e VPC C (pcx-aaaacccc). VPC B e VPC C dispongono di blocchi CIDR corrispondenti. La connessione peering VPC pcx-aaaabbbb può essere utilizzata per instradare il traffico tra VPC A e un'istanza specifica in VPC B. Tutto il traffico rimanente destinato per l'intervallo di indirizzi del CIDR condiviso tra VPC B e VPC C viene istradato a VPC C tramite pcx-aaaacccc.
Le tabelle di routing VPC utilizzano la corrispondenza prefisso più lungo per selezionare la route più specifica sulla connessione peering VPC attesa. Tutto il traffico restante viene instradato tramite la successiva route corrispondente, in questo caso, sulla connessione peering VPC pcx-aaaacccc.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| VPC A | Blocco CIDR del VPC A |
Locale |
Indirizzo IP dell'istanza X |
pcx-aaaabbbb | |
Blocco CIDR del VPC C |
pcx-aaaacccc | |
| VPC B | Blocco CIDR del VPC B |
Locale |
Blocco CIDR del VPC A |
pcx-aaaabbbb | |
| VPC C | Blocco CIDR del VPC C |
Locale |
Blocco CIDR del VPC A |
pcx-aaaacccc |
Importante
Se un'istanza diversa dall'istanza X in VPC B invia il traffico a VPC A, il traffico di risposta può essere instradato a VPC C anziché a VPC B. Per ulteriori informazioni, consulta la pagina Routing per traffico di risposta.
Configurazioni VPC multiple
In questa configurazione, un VPC centrale (VPC A) è connesso in peering con più VPC in una configurazione spoke. Sono presenti anche tre VPC (VPC X, Y e Z) collegati in peering tra loro in una configurazione mesh completa.
VPC D dispone anche di una connessione peering VPC con VPC X (pcx-ddddxxxx). VPC A e VPC X dispongono di blocchi CIDR che si sovrappongono. Ciò significa che il traffico di peering tra VPC A e VPC D è limitato a una sottorete specifica (sottorete 1) in VPC D. Questo per garantire che se VPC D riceve una richiesta da VPC A o da VPC X, invii il traffico di risposta al VPC corretto. AWS non supporta la funzionalità reverse path forwarding unicast (trasmissione uno a uno) nelle connessioni peering VPC che controlla l'IP di origine di pacchetti e reinstrada i pacchetti di risposta all'origine. Per ulteriori informazioni, consulta Routing per traffico di risposta.
Analogamente, VPC D e VPC Z dispongono di blocchi CIDR che si sovrappongono. Il traffico di peering tra VPC D e VPC X è limitato alla sottorete 2 in VPC D e il traffico di peering tra VPC X e VPC Z è limitato alla sottorete 1 in VPC Z. Ciò garantisce che se VPC X riceve traffico di peering da VPC D o VPC Z, restituisce il traffico di risposta al VPC corretto.
Le tabelle di instradamento per i VPC B, C, E, F e G puntano alle connessioni peering pertinenti per accedere al blocco CIDR completo per VPC A e la tabella di instradamento di VPC A fa riferimento alle connessioni peering pertinenti per i VPC B, D, E, F e G per accedere ai rispettivi blocchi CIDR completi. Per la connessione peering pcx-aaaadddd, la tabella di instradamento di VPC A instrada il traffico solo alla sottorete 1 in VPC D e la tabella di instradamento della sottorete 1 in VPC D fa riferimento al blocco CIDR completo di VPC A.
La tabella di instradamento di VPC Y fa riferimento alle connessioni peering pertinenti per accedere ai blocchi CIDR completi di VPC X e VPC Z e la tabella di instradamento di VPC Z fa riferimento alla connessione peering pertinente per accedere al blocco CIDR completo di VPC Y. La tabella di instradamento della sottorete 1 in VPC Z fa riferimento alla connessione peering pertinente per accedere al blocco CIDR completo di VPC Y. La tabella di instradamento di VPC X fa riferimento alla connessione peering pertinente per accedere alla sottorete 2 in VPC D e alla sottorete 1 in VPC Z.
| Tabella di routing | Destinazione | Target |
|---|---|---|
| VPC A | VPC A CIDR |
Locale |
VPC B CIDR |
pcx-aaaabbbb | |
VPC C CIDR |
pcx-aaaacccc | |
CIDR della sottorete 1 nel VPC D |
pcx-aaaadddd | |
CIDR VPC E |
pcx-aaaaeeee | |
CIDR VPC F |
pcx-aaaaffff | |
CIDR VPC G |
pcx-aaaagggg | |
| VPC B | VPC B CIDR |
Locale |
VPC A CIDR |
pcx-aaaabbbb | |
| VPC C | VPC C CIDR |
Locale |
VPC A CIDR |
pcx-aaaacccc | |
| Sottorete 1 in VPC D | CIDR VPC D |
Locale |
VPC A CIDR |
pcx-aaaadddd | |
| Sottorete 2 in VPC D | CIDR VPC D |
Locale |
CIDR VPC X |
pcx-ddddxxxx | |
| VPC E | CIDR VPC E |
Locale |
VPC A CIDR |
pcx-aaaaeeee | |
| VPC F | CIDR VPC F |
Locale |
VPC A CIDR |
pcx-aaaaaffff | |
| VPC G | CIDR VPC G |
Locale |
VPC A CIDR |
pcx-aaaagggg | |
| VPC X | CIDR VPC X |
Locale |
CIDR della sottorete 2 nel VPC D |
pcx-ddddxxxx | |
CIDR VPC Y |
pcx-xxxxyyyy | |
CIDR della sottorete 1 nel VPC Z |
pcx-xxxxzzzz | |
| VPC Y | CIDR VPC Z |
Locale |
CIDR VPC X |
pcx-xxxxyyyy | |
CIDR VPC Z |
pcx-yyyyzzzz | |
| VPC Z | CIDR VPC Z |
Locale |
CIDR VPC Z |
pcx-yyyyzzzz | |
CIDR VPC X |
pcx-xxxxzzzz |
