互连您的 VPC
下表显示当您将要互连 VPC 时的关键注意事项。
| 具有 VPC 对等连接的安全 VPC | 具有 AWS 中转网关的安全 VP | 具有 VPN 互连的安全 VPC | |||
|---|---|---|---|---|---|
| 优点 | 劣势 | 优点 | 劣势 | 优点 | 劣势 |
|
|
|
|
|
|
| 客户端(发送 SYN) | AWS Transit Gateway | VPC 对等连接 | VPC 之间的 VPN | 解决方案概述和可能的顾虑 |
|---|---|---|---|---|
| 在单一 VPC 中用公有或私有子网服务的互联网或 Direct Connect。 | 不适用 | 不适用 | 不适用 |
流量穿过互联网网关或虚拟网关,无需要跨过 VPC 边界以外。VPC 充当设计的末端网络。流量从本地进入 AWS 云 (Direct Connect,VPN)。 |
| 互联网或 Direct Connect 在客户端位于其他 VPC(例如,另一个 VPC 中的池成员)的 VPC 中,没有 SNAT。 | 是 | 否 | 是 |
AWS 中转网关或 VPN 允许流量绕过只有 VPC 已分配的 CIDR 才能通过的 VPC 对等互连过滤程序。 VPN 解决方案将受限制。没有等价多路径路由 (ECMP)(只有单一路由)且没有带宽(每条隧道大约 1.2 GB-秒,通常只有一条隧道)。 |
| 用 SNAT 互联或 Direct Connect 到 VPC 中的服务,客户位于其他 VPC 中(例如,另一个 VPC 中的池成员)。 | 是(但非必需) | 是 | 是(但非必需) |
由于 VPC 之间的互连看得见来自 VPC 已分配的 CIDR 中的流量,因此任何流量都将起作用。 VPN 解决方案将受限制。没有 ECMP(只有单一路由)且没有带宽(每条隧道大约 1.2 GB-秒,通常只有一条隧道)。 |
| 在 VPC 内部,以便在同一 VPC 中提供服务。 | 不适用 | 不适用 | 不适用 | 所有流量均限于单一 VPC。但其并非必要项目。 |
| 从一个 VPC 内部到一个服务 VPC。服务位于目标 VPC CIDR 中。 | 是(但非必需) | 是 | 是(但非必需) | 由于 VPC 之间的互连看得见来自 VPC 已分配的 CIDR 中的流量,因此任何流量都将起作用。 |
| 从一个 VPC 内部到一个服务 VPC。服务不在 VPC CIDR 范围内。 | 是 | 否 | 是 |
由于 VPC 之间的互连看得见来自 VPC 已分配的 CIDR 中的流量,因此任何流量都将起作用。 VPN 解决方案将受限制。没有 ECMP(只有单一路由)且没有带宽(每条隧道大约 1.2 GB-秒,通常只有一条隧道)。 |
| 在单个 VPC 内部连接到互联网服务。 | 不适用 | 不适用 | 不适用 | 流量来自 vPC 分配的 CIDR,如果弹性 IP、NAT 或路由表结构是内联的,则流量就会流动。 |
| 在 VPC 内部到互联网服务,通过安全或检查 VPC 路由出去。 | 是 | 否 | 是 |
由于 VPC 之间的互连看得见来自 VPC 已分配的 CIDR 范围之外的流量,因此不能使用 VPC 对等互连。 VPN 解决方案将受限制。没有 ECMP(只有单一路由)且没有带宽(每条隧道大约 1.2 GB-秒,通常只有一条隧道)。 |
