AWS VPC 对等互连和路由表
[英]AWS VPC Peering and route tables
问题描述
是否需要在发送和接收 VPC/子网中启用路由表才能使流量流动?
我已经配置了 2 个已对等互连的 VPC,但希望流量仅以一个方向从 VPC A 流向 VPC B。这可能吗?
我使用了 VPC 和路由表,但必须在 VPC A 和 B 中配置路由表,以便它们可以通过 VPC 对等连接将流量路由到彼此。 双向交通是唯一的解决方案还是可能只有一个方向的交通流? 即只允许来自 VPC A 的请求但允许 VPC B 返回响应。
我最初的假设是支持单向流量,因此我在 VPC A 中配置了路由表,以便流量可以通过 VPC 对等连接路由到 VPC B。 但是,由于 VPC B 中没有相应的路由,因此 ping 响应似乎无法找到返回 VPC A 的路由。
还有这方面的文档吗? 我通读了 AWS 文档(包括路由表基础知识),但似乎找不到解决我问题的任何内容。
5 个解决方案
解决方案1
16 已采纳 2017-04-18 02:18:59
文档:
要使用私有 IPv4 地址将流量从您的实例发送到对等 VPC 中的实例,您必须将路由添加到与实例所在子网关联的路由表。
...
对等连接中其他 VPC 的所有者还必须将路由添加到其子网的路由表,以将流量引导回您的 VPC。
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-routing.html
路由表不只是告诉我网络上的实例如何启动到你的连接。 他们还告诉我的实例,当您尝试与我建立联系时如何回复您。 这同样适用于另一侧。 两个方向都需要路由,至少对于 TCP 和 ICMP。 UDP 可能在没有路由对称的情况下工作,但这仍然是错误的,因为传入的 UDP 消息可以触发 ICMP 响应,因此对称路由仍然是正确的,即使在某些情况下它不是严格强制性的。
解决方案2
4 2019-05-10 19:51:07
如果您担心一个方向的流量,只需通过您不希望接收流量的实例周围的安全组阻止那一侧。
- 但是,是的,需要将路由添加到两个 VPC 的路由表中。
干杯!
约瑟夫·P。
解决方案3
3 2018-02-09 18:09:34
Ryan Harris 的回复非常重要。 TCP/IP 是双向的——数据包必须双向流动。 因此必须配置路由表和 NACL 以允许来自两个 VPC(或子网)的路由表。
我认为在这一点上的大量混淆来自所有消费级路由器使用 NAT 并在“允许”特定端口/应用程序时自动生成互惠规则。
解决方案4
0 2017-04-17 13:22:41
您可以使用 NACL 拒绝流量从一个流出到另一个。 例如,VPC A 有一个 NACL 允许流出到 VPC B,而 VPC B 有一个 NACL 允许从 VPC A 流入。
解决方案5
0 2021-04-01 00:49:42
不,我们必须在双方设置路由表才能使 VPC 对等工作。 但是,除了 VPC 对等互连之外,我们还可以使用另一种方式让节点无法访问,就像 Joseph 所说的那样,使用安全组。
Route53私有托管区域是否将在两个账户中通过AWS VPC对等工作
[英]Will Route53 private hosted zone work over AWS VPC Peering in two account
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.