

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 含特定路由的 VPC 對等互連組態
<a name="peering-configurations-partial-access"></a>

您可以設定 VPC 對等互連的路由表，以限制對子網路 CIDR 區塊、特定 CIDR 區塊 (如果 VPC 有多個 CIDR 區塊) 或對等 VPC 中特定資源的存取權。在這些範例中，中央 VPC 已對等互連至具有重疊 CIDR 區塊的兩個 VPC (至少)。

如需可能需要特定 VPC 互連連線組態之藍本的範例，請參閱 [VPC 對等互連聯網案例](peering-scenarios.md)。如需如何使用 VPC 對等互連的詳細資訊，請參閱[VPC 對等連線](working-with-vpc-peering.md)。如需更新路由表的詳細資訊，請參閱[更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)。

**Topics**
+ [存取一個 VPC 中的特定子網路的兩個 VPC](#one-to-two-vpcs-simple-hub)
+ [存取一個 VPC 中的特定 CIDR 區塊的兩個 VPC](#two-vpcs-peered-specific-cidr)
+ [存取兩個 VPC 中的特定子網路的一個 VPC](#one-to-two-vpcs-specific-subnets)
+ [一個 VPC 中的執行個體存取兩個 VPC 中的特定執行個體](#one-to-two-vpcs-instances)
+ [使用最長前置詞相符項目來存取兩個 VPC 的一個 VPC](#one-to-two-vpcs-lpm)
+ [多個 VPC 組態](#multiple-configurations)

## 存取一個 VPC 中的特定子網路的兩個 VPC
<a name="one-to-two-vpcs-simple-hub"></a>

在此組態中，有一個具有兩個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連，以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。每個 VPC 都只需要存取 VPC A 的其中一個子網路中的資源。

![\[兩個 VPC 互連至一個 VPC 中的兩個子網路\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/two-vpcs-to-two-subnets-one-vpc.png)


子網路 1 的路由表會使用 VPC 對等互連 `pcx-aaaabbbb`，以存取 VPC B 的整個 CIDR 區塊。VPC B 的路由表使用 `pcx-aaaabbbb` 來存取 VPC A 子網路 1 中的 CIDR 區塊。子網路 2 的路由表會使用 VPC 對等互連 `pcx-aaaacccc` 來存取 VPC C 的整個 CIDR 區塊。VPC C 表格的路由表會使用 `pcx-aaaacccc`，以存取 VPC A 的子網路 2 的 CIDR 區塊。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

您可以將此組態延伸至多個 CIDR 區塊。假設 VPC A 和 VPC B 同時具有 IPv4 和 IPv6 CIDR 區塊，且子網路 1 具有關聯的 IPv6 CIDR 區塊。您可以讓 VPC B 透過 IPv6 使用 VPC 對等互連與 VPC A 中的子網路 1 通訊。若要執行此作業，請針對目標為 VPC B 之 IPv6 CIDR 區塊的 VPC A 將路由新增至路由表，並針對目標為 VPC A 中子網路 1 之 IPv6 CIDR 的 VPC B 將路由新增至路由表。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

## 存取一個 VPC 中的特定 CIDR 區塊的兩個 VPC
<a name="two-vpcs-peered-specific-cidr"></a>

在此組態中，有一個中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連，以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。每個對等互連的 VPC A 有一個 CIDR 區塊。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

## 存取兩個 VPC 中的特定子網路的一個 VPC
<a name="one-to-two-vpcs-specific-subnets"></a>

在此組態中，有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連，以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC B 與 VPC C 各有兩個子網路。VPC A 與 VPC B 之間的對等互連僅使用 VPC B 中的其中一個子網路。VPC A 與 VPC C 之間的對等互連僅使用 VPC C 中的其中一個子網路。

![\[一個 VPC 與兩個子網路互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-specific-subnets.png)


當您的中央 VPC 具有其他 VPC 需要存取的一組資源 (例如 Active Directory 服務) 時，使用此組態。中央 VPC 不需要完整存取與其互連的 VPC。

VPC A 的路由表只會使用對等互連來存取對等互連 VPC 中的特定子網路。子網路 1 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。子網路 2 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

### 回應流量的路由
<a name="peering-incorrect-response-routing"></a>

如果您的 VPC 與具有重疊或相符 CIDR 區塊VPCs 對等互連，請確定您的路由表已設定為避免將回應流量從 VPC 傳送至不正確的 VPC。 AWS 不支援 VPC 對等連線中的單點傳送反向路徑轉送，該連線會檢查封包的來源 IP，並將回覆封包路由回來源。

例如，VPC A 已與 VPC B 和 VPC C 互連。VPC B 和 VPC C 具有相符 CIDR 區塊，而其子網路具有相符 CIDR 區塊。VPC B 中子網路 2 的路由表指向 VPC 對等互連 `pcx-aaaabbbb` 以存取 VPC A 子網路。VPC A 路由表設定為將目的地為 VPC CIDR 的流量傳送至對等互連 `pcx-aaaaccccc`。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

假設 VPC B 的子網路 2 中的執行個體使用 VPC 對等互連 `pcx-aaaabbbb` 將流量傳送至 VPC A 中的 Active Directory 伺服器。VPC A 會將回應流量傳送至 Active Directory 伺服器。不過，VPC A 路由表設定為將 VPC CIDR 範圍內的所有流量都傳送至 VPC 對等互連 `pcx-aaaacccc`。如果 VPC C 中子網路 2 的執行個體具有與 VPC B 的子網路 2 中執行個體相同的 IP 地址，則會收到來自 VPC A 的回應流量。VPC B 之子網路 2 中的執行個體不會收到其對 VPC A 所提出請求的回應。

若要避免發生這種狀況，您可以將特定路由新增至 VPC A 路由表，其中 VPC B 中子網路 2 的 CIDR 作為目的地，目標為 `pcx-aaaabbbb`。新路由更為具體，因此目的地為子網路 2 CIDR 的流量會路由至 VPC 對等互連 `pcx-aaaabbbb` 

或者，在下列範例中，VPC A 的路由表具有每個 VPC 對等互連之每個子網路的路由。VPC A 可以與 VPC B 中的子網路 2 通訊以及與 VPC C 中的子網路 1 通訊。如果您需要新增另一個子網路在與 VPC B 和 VPC C 相同位址範圍內的另一個 VPC 對等互連，則此案例十分有用，您只需要新增該特定子網路的另一個路由。


| 目標 | 目標 | 
| --- | --- | 
| VPC A CIDR | 區域 | 
| 子網路 2 CIDR | pcx-aaaabbbb | 
| 子網路 1 CIDR | pcx-aaaacccc | 

或者，根據您的使用案例，您可以建立 VPC B 中特定 IP 地址的路由，確保將流量遞送回正確的伺服器 (路由表使用最長字首相符來設定路由的優先順序)：


| 目標 | 目標 | 
| --- | --- | 
| VPC A CIDR | 區域 | 
| 子網路 2 中的特定 IP 地址 | pcx-aaaabbbb | 
| VPC B CIDR | pcx-aaaacccc | 

## 一個 VPC 中的執行個體存取兩個 VPC 中的特定執行個體
<a name="one-to-two-vpcs-instances"></a>

在此組態中，有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連，以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC A 有一個子網路，每個對等互連都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。

![\[一個 VPC 中互連至兩個 VPC 中執行個體的執行個體\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-instances.png)


每個 VPC 路由表都指向相關 VPC 互連連線，以存取對等 VPC 中的單一 IP 地址 (因此為特定執行個體)。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

## 使用最長前置詞相符項目來存取兩個 VPC 的一個 VPC
<a name="one-to-two-vpcs-lpm"></a>

在此組態中，有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連，以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC B 和 VPC C 具有相符 CIDR 區塊。您使用 VPC 對等互連 `pcx-aaaabbbb` 在 VPC A 與 VPC B 中特定執行個體之間路由流量。目的地為 VPC B 和 VPC C 共享的 CIDR 地址範圍的所有其他流量透過 `pcx-aaaacccc` 路由至 VPC C。

![\[使用最長前綴相符對等互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-longest-prefix.png)


VPC 路由表使用最長字首相符來選取預定 VPC 互連連線的最具體路由。所有其他流量都會遞送至下一個相符路由，在此情況下，透過 VPC 互連連線 `pcx-aaaacccc`。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)

**重要**  
如果 VPC B 中執行個體 X 以外的執行個體將流量傳送至 VPC A，則回應流量可能會路由至 VPC C，而非 VPC B。如需詳細資訊，請參閱[回應流量的路由](#peering-incorrect-response-routing)。

## 多個 VPC 組態
<a name="multiple-configurations"></a>

在本組態中，有一個中央 VPC (VPC A) 已與阻礙組態中的多個 VPC 對等互連。您在完整網格組態中也會有三個 VPC (VPC X、Y 和 Z) 對等互連在一起。

VPC D 也具有與 VPC X (`pcx-ddddxxxx`) 的 VPC 對等互連。VPC A 和 VPC X 具有重疊 CIDR 區塊。這表示 VPC A 和 VPC D 之間的對等流量僅限於 VPC D 中的特定子網路 （子網路 1)。這是為了確保如果 VPC D 收到來自 VPC A 或 VPC X 的請求，它會將回應流量傳送到正確的 VPC。 AWS 不支援 VPC 對等連線中的單點傳送反向路徑轉送，以檢查封包的來源 IP，並將回覆封包路由回來源。如需詳細資訊，請參閱[回應流量的路由](#peering-incorrect-response-routing)。

同樣地，VPC D 和 VPC Z 具有重疊 CIDR 區塊。VPC D 與 VPC X 之間的對等互連流量限制為 VPC D 中的子網路 2，而 VPC X 與 VPC Z 之間的對等互連流量限制為 VPC Z 中的子網路 1。這確保如果 VPC X 收到來自 VPC D 或 VPC Z 的對等互連流量，則會將回應流量傳送回正確 VPC。

![\[多個互連組態\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/multiple-configurations.png)


VPC B、C、E、F 和 G 的路由表都指向相關對等互連以存取 VPC A 的完整 CIDR 區塊，而 VPC A 路由表指向 VPC B、C、E、F 和 G 的相關對等互連以存取其完整 CIDR 區塊。針對對等互連 `pcx-aaaadddd`，VPC A 路由表只會將流量路由至 VPC D 中的子網路 1，而 VPC D 中的子網路 1 路由表指向 VPC A 的完整 CIDR 區塊。

VPC Y 路由表指向相關對等互連以存取 VPC X 和 VPC Z 的完整 CIDR 區塊，而 VPC Z 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC Z 中的子網路 1 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC X 路由表指向相關對等互連以存取 VPC D 中的子網路 2 以及 VPC Z 中的子網路 1。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)