兩個 AWS 區域之間的 VPC 訪問

Question

我有 2 個 Kubernetes 集群在兩個不同的 AWS 區域中運行。 我正在尋找一些解決方案來在兩個不同區域的兩個 VPC 之間建立連接。

我聽說過 AWS VPN 連接，但不確定它是否適用於不同區域的 VPC？ 此外，如果它有效，那么我應該將客戶網關放在哪里以及將虛擬專用網關放在哪里？

有沒有辦法實現這一目標？

Answer 1

自2017年11月29日起，AWS美國東部（弗吉尼亞北部），美國東部（俄亥俄州），美國西部（俄勒岡）和歐盟（愛爾蘭）將提供區域間VPC對等服務，不久將支持其他區域。

這里的公告

更新2018-03-23

截至2018年2月20日，區域間VPC對等服務已在美國西部（北加利福尼亞），歐盟（倫敦），歐盟（巴黎），亞太地區（孟買），亞太地區（悉尼），亞太地區（新加坡），亞太地區提供（東京），加拿大（中部）和南美（聖保羅）地區，以及AWS美國東部（北弗吉尼亞州），美國東部（俄亥俄州），AWS歐盟（愛爾蘭），美國西部（俄勒岡）地區。

這里的公告

Answer 2

很好的問題，我認為許多AWS的客戶都需要區域對等功能。 目前，此功能不是AWS的本機托管服務。 但是，您可以自己實施。 Rackspace為如何入門提供了很好的指南： 如何構建容錯跨區域AWS虛擬私有雲通信

您基本上有三個選擇：

1. 軟件：使用openswan之類的方法來連接VPC區域A和VPC區域B之間的ipsec隧道。此AWS文檔中對此進行了說明： 將多個VPC與EC2實例（IPSec）連接

2. 硬件：在這種情況下，您將在自己的數據中心中使用一個硬件路由器來維護一個到VPC-區域A中的VGW的ipsec隧道和到VPC-區域B中的VGW的第二個ipsec隧道。VGW是一個虛擬專用網關，基本上是連接的AWS端的VPN集中器。 客戶網關將是您自己的數據中心中的路由器。

3. 組合：以上兩種方法的組合，您可以在VPC區域A中擁有一個運行Sophos UTM（或類似軟件）的實例，通過ipsec隧道連接到VPC區域B中的VGW。這在AWS文檔中進行了說明： 將多個VPC與Astaro Security Gateway連接

AZ內VPC對等：要提供有關在AWS中作為托管服務提供哪種類型的VPC對等的其他說明，您還應該了解AZ VPC對等。 在AWS中，可用區是一組單獨的容錯基礎架構（可以是物理上不同的數據中心，也可以是具有不同實用程序連接，發電機組，路由器等的數據大廳）。 可用區分為區域。 如果您的用例適合區域內VPC，則可以利用VPC對等功能，這是一項AWS托管服務。 請參閱文檔： VPC對等

Answer 3

默認情況下，AWS不允許您對兩個不同區域的VPC進行對等。 因此，您可以通過創建IPSEC隧道來實現。

請參閱本文以獲取有關如何設置隧道的更多信息： 將多個VPC與EC2實例（IPSec）連接