Ciclo di vita delle connessioni peering VPC Molteplici connessioni peering VPC Limitazioni relative al peering VPC

Come funzionano le connessioni peering VPC

I passaggi seguenti descrivono il processo di peering VPC:

Il proprietario del VPC richiedente invia una richiesta al proprietario del VPC accettante per creare la connessione peering VPC. Il VPC accettante può essere di proprietà tua o di un altro account AWS e non può avere un blocco CIDR che si sovrappone al blocco CIDR del VPC richiedente.
Il proprietario del VPC accettante accetta la richiesta di connessione peering VPC per attivare tale connessione.
Per abilitare il flusso di traffico tra i VPC utilizzando gli indirizzi IP privati, il proprietario di ogni VPC nella connessione peering VPC deve aggiungere manualmente una route a una o più delle relative tabelle di routing VPC che punta all'intervallo di indirizzi IP dell'altro VPC (il VPC in peering).
Se necessario, aggiorna le regole del gruppo di sicurezza associate alla tua istanza EC2 per assicurarti che il traffico da e verso il VPC in peering non sia limitato. Se entrambi i VPC sono nella stessa Regione, puoi fare riferimento a un gruppo di sicurezza del VPC in peering come origine o destinazione delle regole in ingresso o in uscita nel gruppo di sicurezza.
Con le opzioni di connessione peering VPC predefinite, se le istanze EC2 su entrambi i lati di un indirizzo di connessione peering VPC comunicano tra loro utilizzando un nome host DNS pubblico, il nome host si risolve nell'indirizzo IP pubblico dell'istanza. Per modificare questo comportamento, abilita la risoluzione del nome host DNS per la tua connessione VPC. Dopo l'abilitazione della risoluzione del nome host DNS, se le istanze EC2 su entrambi i lati della connessione peering VPC comunicano tra loro utilizzando un nome host DNS pubblico, il nome host si risolve nell'indirizzo IP privato dell'istanza EC2.

Per ulteriori informazioni, consulta Connessioni in peering di VPC.

Ciclo di vita delle connessioni peering VPC

Una connessione peering VPC è soggetta a varie fasi dal momento in cui è viene Effettuata la richiesta. È possibile che in ogni fase sia necessario eseguire alcune operazioni e che alla fine del relativo ciclo di vita, la connessione peering VPC rimanga visibile nell'API o nella riga di comando nonché nella console Amazon VPC per un determinato periodo di tempo.

Initiating-request: una richiesta di connessione peering VPC è stata avviata. In questa fase, la connessione peering può non riuscire o passare allo stato pending-acceptance.
Failed: la richiesta di connessione peering VPC non è riuscita. Quando è in questo stato, non può essere accettata, rifiutata o eliminata. La connessione peering VPC non riuscita rimane visibile al richiedente per 2 ore.
Pending-acceptance: la richiesta di connessione peering VPC è in attesa di essere accettata dal proprietario del VPC accettante. Quando la richiesta è in questo stato, il proprietario del VPC richiedente può eliminarla e il proprietario del VPC accettante può accettarla o rifiutarla. Se non viene Eseguita alcuna operazione, la richiesta scade dopo 7 giorni.
Expired: la richiesta di connessione peering VPC è scaduta e nessuna operazione può essere Eseguita dai due proprietari di VPC. La connessione peering VPC scaduta rimane visibile a entrambi i proprietari per 2 giorni.
Rejected: il proprietario del VPC accettante ha rifiutato una richiesta di connessione peering VPC pending-acceptance. Durante tale stato, la richiesta non può essere accettata. La connessione peering VPC rifiutata rimane visibile al proprietario del VPC richiedente per 2 giorni e al proprietario del VPC accettante per 2 ore. Se la richiesta è stata creata nello stesso account AWS, la richiesta rifiutata rimarrà visibile per 2 ore.
Provisioning: la richiesta di connessione peering VPC è stata accettata e a breve il suo stato sarà active.
Active: la connessione peering VPC è attiva e il traffico può circolare tra i VPC (purché i gruppi di sicurezza e le tabelle di routing lo consentano). Durante questo stato, entrambi i proprietari di VPC possono eliminare la connessione peering VPC, ma non rifiutarla.

Nota
Se un evento in una Regione in cui si trova un VPC impedisce il flusso di traffico, lo stato della connessione peering VPC rimane Active.
Deleting (Eliminazione in corso): si applica a una connessione peering VPC tra regioni che sta per essere eliminata. Il proprietario di uno dei VPC ha inviato una richiesta di eliminazione di una connessione peering VPC active oppure il proprietario del VPC richiedente ha inviato una richiesta di eliminazione di una richiesta di connessione peering VPC pending-acceptance.
Deleted: una connessione peering VPC active è stata eliminata da uno dei proprietari, oppure una richiesta di connessione peering VPC pending-acceptance è stata eliminata dal proprietario del VPC richiedente. Durante questo stato la connessione peering VPC non può essere accettata o rifiutata. La connessione peering VPC rimane visibile al proprietario che l'ha eliminata per 2 ore E all'altro proprietario per 2 giorni. Se la connessione peering VPC è stata creata nello stesso account AWS, la richiesta eliminata rimarrà visibile per 2 ore.

Molteplici connessioni peering VPC

Una connessione peering VPC è una relazione uno a uno tra due VPC. Puoi creare molteplici connessioni peering VPC per ogni tuo VPC, ma le relazioni peering transitive non sono supportate. Non disponi di alcuna relazione peering con i VPC ai quali il tuo VPC non è direttamente collegato in peering.

Il diagramma seguente è un esempio di VPC collegato in peering a due differenti VPC. Si hanno due connessioni peering VPC: VPC A è collegato in peering a VPC B e VPC C. VPC B e VPC C non sono collegati in peering e non puoi utilizzare VPC A come punto di transito per il peering tra VPC B e VPC C. Se vuoi abilitare il routing del traffico tra VPC B e VPC C, devi creare una connessione peering VPC univoca tra gli stessi.

Limitazioni relative al peering VPC

Considerare le seguenti limitazioni per le connessioni peering VPC. In alcuni casi, al posto della connessione peering VPC puoi utilizzare un collegamento del gateway di transito alla VPN. Per ulteriori informazioni, consulta Example transit gateway scenarios in Gateway di transito di Amazon VPC.

Connessioni

È presente una quota per il numero di connessioni peering VPC attive e in attesa per VPC. Per ulteriori informazioni, consulta Quote delle connessioni peering VPC per un account.
Non puoi avere più di una connessione peering VPC tra due VPC nello stesso momento.
I tag che crei per la connessione peering VPC sono applicati solo nell'account o nella regione in cui li crei.
Non puoi connetterti o eseguire query sul server Amazon DNS in un VPC peer.
Se il blocco CIDR IPv4 di un VPC in una connessione peering VPC non rientra negli intervalli di indirizzi IPv4 privati specificati da RFC 1918, i nomi host DNS privati per quel VPC non possono essere risolti in indirizzi IP privati. Per risolvere nomi host DNS privati in indirizzi IP privati, puoi abilitare il supporto per la risoluzione DNS per la connessione peering VPC. Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.
È possibile abilitare le risorse su entrambi i lati di una connessione peering VPC affinché possano comunicare tramite IPv6. Devi associare un blocco CIDR IPv6 a ogni VPC, abilitare le istanze nei VPC per la comunicazione IPv6 e instradare il traffico IPv6 per il VPC in peering alla connessione peering VPC.
La funzionalità RPF (Reverse Path Forwarding) unicast non è supportata nelle connessioni peering VPC. Per ulteriori informazioni, consulta Routing per traffico di risposta.

Blocchi CIDR sovrapposti

Non puoi creare una connessione peering VPC tra VPC che hanno blocchi CIDR IPv4 o IPv6 corrispondenti o sovrapposti.
Se hai più blocchi CIDR IPv4, non è possibile creare una connessione peering VPC se uno dei blocchi CIDR si sovrappone, anche se si intende utilizzare solo blocchi CIDR che non si sovrappongono o unicamente blocchi CIDR IPv6.

Peering transitivo

Il peering di VPC non supporta relazioni di peering transitive. Ad esempio, se sono presenti connessioni peering VPC tra VPC A e VPC B e tra VPC A e VPC C, non è possibile instradare il traffico da VPC B a VPC C tramite VPC A. Per instradare il traffico tra VPC B e VPC C, è necessario creare una connessione peering VPC tra gli stessi. Per ulteriori informazioni, consulta Tre VPC collegati in peering tra loro.

Routing edge to edge via un gateway o una connessione privata

Se il VPC A dispone di un gateway Internet, le risorse in VPC B non possono utilizzare il gateway Internet nel VPC A per accedere a Internet.
Se VPC A ha un dispositivo NAT che fornisce l'accesso Internet alle sottoreti in VPC A, le risorse in VPC B non possono utilizzare il dispositivo NAT in VPC A per accedere a Internet.
Se il VPC A dispone di una connessione VPN a una rete aziendale, le risorse in VPC B non possono utilizzare la connessione VPN per comunicare con la rete aziendale.
Se il VPC A dispone di una connessione Direct Connect a una rete aziendale, le risorse in VPC B non possono utilizzare la connessione Direct Connect per comunicare con la rete aziendale.
Se VPC A ha un endpoint gateway che fornisce connettività ad Amazon S3 a sottoreti private in VPC A, le risorse in VPC B non possono utilizzare l'endpoint gateway per accedere ad Amazon S3.

Connessioni peering VPC tra regioni

Per i jumbo frame, l’unità di trasmissione massima (MTU) tra le connessioni peering VPC all’interno della stessa regione è di 9.001 byte. L’MTU per le connessioni peering VPC interregionali è di 8.500 byte. Per ulteriori informazioni sui jumbo frame, consulta Jumbo frame (9001 MTU) nella Guida per l'utente di Amazon EC2.
Per risolvere i nomi host DNS privati del VPC in peering in indirizzi IP privati, è necessario abilitare il supporto per la risoluzione DNS per la connessione VPC in peering, anche se il CIDR IPv4 per il VPC è incluso negli intervalli di indirizzi IPv4 privati specificato da RFC 1918.

VPC e sottoreti condivise

Solo i proprietari di VPC possono utilizzare (descrivere, creare, accettare, rifiutare, modificare o eliminare) le connessioni peering. I partecipanti non possono lavorare con connessioni peering. Per ulteriori informazioni, consulta Condivisione del VPC con altri account nella Guida per l'utente di Amazon VPC.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Che cos'è il peering VPC?

Connessioni peering