本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 常用 VPC 對等互連組態
本節說明您可以實作的兩種常見 VPC 對等互連組態類型:
+ **具有路由到整個 VPC 的 VPC 對等互連組態**:在此組態中,您可以在每個 VPC 的路由表中建立路由,將目的地為對等 VPC 的所有流量傳送至 VPC 對等互連。這可讓一個 VPC 中的任何資源與對等 VPC 中的任何資源通訊,簡化管理。不過,這也表示 VPC 之間的所有流量都會流經對等連線,如果流量量很高,可能會成為瓶頸。
+ **具有特定路由的 VPC 對等互連組態**:或者,您可以在每個 VPC 的路由表中建立更精細的路由,這些路由只會將流量傳送到對等 VPC 中的特定子網路或資源。這可讓您將流經對等互連的流量限制為僅必要,這可以更有效率。不過,它也需要更多維護,因為每當您在需要通訊的對等 VPC 中新增新資源時,都需要更新路由表。
最佳方法取決於 VPC 架構的大小和複雜性、VPC 之間預期的流量,以及組織對安全和資源存取的需求等因素。許多企業使用混合式方法,針對常見的流量模式提供廣泛的路由,針對更敏感或頻寬密集的使用案例提供特定路由。
**Topics**
+ [可路由至整個 VPC 的 VPC 對等互連組態](peering-configurations-full-access.md)
+ [含特定路由的 VPC 對等互連組態](peering-configurations-partial-access.md)
# 可路由至整個 VPC 的 VPC 對等互連組態
您可以設定 VPC 互連連線,讓路由表存取對等 VPC 的整個 CIDR 區塊。如需可能需要特定 VPC 互連連線組態之藍本的詳細資訊,請參閱[VPC 對等互連聯網案例](peering-scenarios.md)。如需如何建立與使用 VPC 互連連線的詳細資訊,請參閱[VPC 對等連線](working-with-vpc-peering.md)。
如需更新路由表的詳細資訊,請參閱[更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)。
**Topics**
+ [將兩個 VPC 互連在一起](#two-vpcs-full-access)
+ [一個 VPC 與兩個 VPC 互連](#one-to-two-vpcs-full-access)
+ [將三個 VPC 互連在一起](#three-vpcs-full-access)
+ [將多個 VPC 互連在一起](#many-vpcs-full-access)
## 將兩個 VPC 互連在一起
在此組態中,VPC A 與 VPC B (`pcx-11112222`) 之間有一個對等互連。VPC 在相同的 AWS 帳戶 中,且其 CIDR 區塊沒有重疊。
![\[將兩個 VPC 互連在一起\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/two-vpcs-peered.png)
有兩個需要存取彼此資源的 VPC 時,建議使用此組態。例如,您設定 VPC A 用於會計記錄並設定 VPC B 用於財務記錄,且其中每個 VPC 都可以不受限制地存取另一個 VPC 的資源。
**單一 VPC CIDR**
使用可將對等 VPC 的 CIDR 區塊的流量傳送至 VPC 對等互連的路由更新每個 VPC 的路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
**多個 IPv4 VPC CIDR**
如果 VPC A 和 VPC B 具有多個關聯的 IPv4 CIDR 區塊,您可以使用對等 VPC 的部分或所有 IPv4 CIDR 區塊的路由來更新每個 VPC 的路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
**IPv4 和 IPv6 VPC CIDR**
如果 VPC A 和 VPC B 具有關聯的 IPv6 CIDR 區塊,您可以使用對等 VPC 的 IPv4 和 IPv6 CIDR 區塊的路由來更新每個 VPC 的路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
## 一個 VPC 與兩個 VPC 互連
在此組態中,有一個中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-12121212`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-23232323`) 之間的對等互連。這三個 VPC 全都在相同的 AWS 帳戶 中,而且沒有重疊的 CIDR 區塊。
![\[一個 VPC 與兩個 VPC 互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-vpc-peered-to-two.png)
VPC B 和 VPC C 無法透過 VPC A 直接將流量傳送給彼此,因為 VPC 對等互連不支援轉移對等互連關係。您可以在 VPC B 與 VPC C 之間建立 VPC 對等互連,如 [將三個 VPC 互連在一起](#three-vpcs-full-access) 所示。如需不支援互連藍本的詳細資訊,請參閱[VPC 互連限制](vpc-peering-basics.md#vpc-peering-limitations)。
當您的資源位於其他 VPC 需要存取的中央 VPC (例如服務儲存庫) 時,建議使用此組態。其他 VPC 不需要存取彼此的資源;它們只需要存取中央 VPC 中的資源。
如下所示更新每個 VPC 的路由表,以使用每個 VPC 一個 CIDR 區塊來實作此組態。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
您可以將此組態延伸至其他 VPC。例如,VPC A 透過 VPC G 同時使用 IPv4 和 IPv6 CIDR 與 VPC B 對等互連,但其他 VPC 沒有彼此對等互連。在此圖表中,這些行代表 VPC 對等互連。
![\[一個 VPC 與兩個 VPC 互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-many-vpcs.png)
如下所示更新路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
## 將三個 VPC 互連在一起
在此組態中,有三個 VPC 位於相同的 AWS 帳戶 中,且包含沒有重疊的 CIDR 區塊。VPC 在完整網格中對等互連,如下所示:
+ VPC A 已透過 VPC 互連連線 `pcx-aaaabbbb` 與 VPC B 互連
+ VPC A 已透過 VPC 互連連線 `pcx-aaaacccc` 與 VPC C 互連
+ VPC B 已透過 VPC 互連連線 `pcx-bbbbcccc` 與 VPC C 互連
![\[將三個 VPC 互連在一起\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/three-vpcs-peered.png)
當您的 VPC 需要不受限制地彼此共享資源時,建議使用此組態。例如,作為檔案共享系統。
如下所示更新每個 VPC 的路由表,以實作此組態。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
如果 VPC A 和 VPC B 同時具有 IPv4 和 IPv6 CIDR 區塊,但 VPC C 沒有 IPv6 CIDR 區塊,請如下所示更新路由表。VPC A 和 VPC B 中的資源可以使用 IPv6 透過 VPC 對等互連通訊。但是,VPC C 無法使用 IPv6 與 VPC A 或 VPC B 通訊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
## 將多個 VPC 互連在一起
在此組態中,有七個 VPC,以完整網格組態對等互連。VPC 在相同的 AWS 帳戶 中,且其 CIDR 區塊沒有重疊。
| VPC | VPC | VPC 對等連線 |
| --- | --- | --- |
| A | B | pcx-aaaabbbb |
| A | C | pcx-aaaacccc |
| A | D | pcx-aaaadddd |
| A | E | pcx-aaaaeeee |
| A | F | pcx-aaaaffff |
| A | G | pcx-aaaagggg |
| B | C | pcx-bbbbcccc |
| B | D | pcx-bbbbdddd |
| B | E | pcx-bbbbeeee |
| B | F | pcx-bbbbffff |
| B | G | pcx-bbbbgggg |
| C | D | pcx-ccccdddd |
| C | E | pcx-cccceeee |
| C | F | pcx-ccccffff |
| C | G | pcx-ccccgggg |
| D | E | pcx-ddddeeee |
| D | F | pcx-ddddffff |
| D | G | pcx-ddddgggg |
| E | F | pcx-eeeeffff |
| E | G | pcx-eeeegggg |
| F | G | pcx-ffffgggg |
當您的多個 VPC 必須能不受限制地存取彼此的資源時,建議使用此組態。例如,檔案共享網路時。在此圖表中,這些行代表 VPC 對等互連。
![\[完整網格組態中的七個 VPC。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/full-mesh.png)
如下所示更新每個 VPC 的路由表,以實作此組態。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
如果所有 VPC 都具有關聯的 IPv6 CIDR 區塊,請如下所示更新路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-full-access.html)
# 含特定路由的 VPC 對等互連組態
您可以設定 VPC 對等互連的路由表,以限制對子網路 CIDR 區塊、特定 CIDR 區塊 (如果 VPC 有多個 CIDR 區塊) 或對等 VPC 中特定資源的存取權。在這些範例中,中央 VPC 已對等互連至具有重疊 CIDR 區塊的兩個 VPC (至少)。
如需可能需要特定 VPC 互連連線組態之藍本的範例,請參閱 [VPC 對等互連聯網案例](peering-scenarios.md)。如需如何使用 VPC 對等互連的詳細資訊,請參閱[VPC 對等連線](working-with-vpc-peering.md)。如需更新路由表的詳細資訊,請參閱[更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)。
**Topics**
+ [存取一個 VPC 中的特定子網路的兩個 VPC](#one-to-two-vpcs-simple-hub)
+ [存取一個 VPC 中的特定 CIDR 區塊的兩個 VPC](#two-vpcs-peered-specific-cidr)
+ [存取兩個 VPC 中的特定子網路的一個 VPC](#one-to-two-vpcs-specific-subnets)
+ [一個 VPC 中的執行個體存取兩個 VPC 中的特定執行個體](#one-to-two-vpcs-instances)
+ [使用最長前置詞相符項目來存取兩個 VPC 的一個 VPC](#one-to-two-vpcs-lpm)
+ [多個 VPC 組態](#multiple-configurations)
## 存取一個 VPC 中的特定子網路的兩個 VPC
在此組態中,有一個具有兩個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。每個 VPC 都只需要存取 VPC A 的其中一個子網路中的資源。
![\[兩個 VPC 互連至一個 VPC 中的兩個子網路\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/two-vpcs-to-two-subnets-one-vpc.png)
子網路 1 的路由表會使用 VPC 對等互連 `pcx-aaaabbbb`,以存取 VPC B 的整個 CIDR 區塊。VPC B 的路由表使用 `pcx-aaaabbbb` 來存取 VPC A 子網路 1 中的 CIDR 區塊。子網路 2 的路由表會使用 VPC 對等互連 `pcx-aaaacccc` 來存取 VPC C 的整個 CIDR 區塊。VPC C 表格的路由表會使用 `pcx-aaaacccc`,以存取 VPC A 的子網路 2 的 CIDR 區塊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
您可以將此組態延伸至多個 CIDR 區塊。假設 VPC A 和 VPC B 同時具有 IPv4 和 IPv6 CIDR 區塊,且子網路 1 具有關聯的 IPv6 CIDR 區塊。您可以讓 VPC B 透過 IPv6 使用 VPC 對等互連與 VPC A 中的子網路 1 通訊。若要執行此作業,請針對目標為 VPC B 之 IPv6 CIDR 區塊的 VPC A 將路由新增至路由表,並針對目標為 VPC A 中子網路 1 之 IPv6 CIDR 的 VPC B 將路由新增至路由表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
## 存取一個 VPC 中的特定 CIDR 區塊的兩個 VPC
在此組態中,有一個中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。每個對等互連的 VPC A 有一個 CIDR 區塊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
## 存取兩個 VPC 中的特定子網路的一個 VPC
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC B 與 VPC C 各有兩個子網路。VPC A 與 VPC B 之間的對等互連僅使用 VPC B 中的其中一個子網路。VPC A 與 VPC C 之間的對等互連僅使用 VPC C 中的其中一個子網路。
![\[一個 VPC 與兩個子網路互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-specific-subnets.png)
當您的中央 VPC 具有其他 VPC 需要存取的一組資源 (例如 Active Directory 服務) 時,使用此組態。中央 VPC 不需要完整存取與其互連的 VPC。
VPC A 的路由表只會使用對等互連來存取對等互連 VPC 中的特定子網路。子網路 1 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。子網路 2 的路由表會使用與 VPC A 的對等互連來存取 VPC A 中的子網路。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
### 回應流量的路由
如果您的 VPC 與具有重疊或相符 CIDR 區塊VPCs 對等互連,請確定您的路由表已設定為避免將回應流量從 VPC 傳送至不正確的 VPC。 AWS 不支援 VPC 對等連線中的單點傳送反向路徑轉送,該連線會檢查封包的來源 IP,並將回覆封包路由回來源。
例如,VPC A 已與 VPC B 和 VPC C 互連。VPC B 和 VPC C 具有相符 CIDR 區塊,而其子網路具有相符 CIDR 區塊。VPC B 中子網路 2 的路由表指向 VPC 對等互連 `pcx-aaaabbbb` 以存取 VPC A 子網路。VPC A 路由表設定為將目的地為 VPC CIDR 的流量傳送至對等互連 `pcx-aaaaccccc`。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
假設 VPC B 的子網路 2 中的執行個體使用 VPC 對等互連 `pcx-aaaabbbb` 將流量傳送至 VPC A 中的 Active Directory 伺服器。VPC A 會將回應流量傳送至 Active Directory 伺服器。不過,VPC A 路由表設定為將 VPC CIDR 範圍內的所有流量都傳送至 VPC 對等互連 `pcx-aaaacccc`。如果 VPC C 中子網路 2 的執行個體具有與 VPC B 的子網路 2 中執行個體相同的 IP 地址,則會收到來自 VPC A 的回應流量。VPC B 之子網路 2 中的執行個體不會收到其對 VPC A 所提出請求的回應。
若要避免發生這種狀況,您可以將特定路由新增至 VPC A 路由表,其中 VPC B 中子網路 2 的 CIDR 作為目的地,目標為 `pcx-aaaabbbb`。新路由更為具體,因此目的地為子網路 2 CIDR 的流量會路由至 VPC 對等互連 `pcx-aaaabbbb`
或者,在下列範例中,VPC A 的路由表具有每個 VPC 對等互連之每個子網路的路由。VPC A 可以與 VPC B 中的子網路 2 通訊以及與 VPC C 中的子網路 1 通訊。如果您需要新增另一個子網路在與 VPC B 和 VPC C 相同位址範圍內的另一個 VPC 對等互連,則此案例十分有用,您只需要新增該特定子網路的另一個路由。
| 目標 | 目標 |
| --- | --- |
| VPC A CIDR | 區域 |
| 子網路 2 CIDR | pcx-aaaabbbb |
| 子網路 1 CIDR | pcx-aaaacccc |
或者,根據您的使用案例,您可以建立 VPC B 中特定 IP 地址的路由,確保將流量遞送回正確的伺服器 (路由表使用最長字首相符來設定路由的優先順序):
| 目標 | 目標 |
| --- | --- |
| VPC A CIDR | 區域 |
| 子網路 2 中的特定 IP 地址 | pcx-aaaabbbb |
| VPC B CIDR | pcx-aaaacccc |
## 一個 VPC 中的執行個體存取兩個 VPC 中的特定執行個體
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC A 有一個子網路,每個對等互連都有一個執行個體。您可以使用此組態將對等互連流量限制為特定執行個體。
![\[一個 VPC 中互連至兩個 VPC 中執行個體的執行個體\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-instances.png)
每個 VPC 路由表都指向相關 VPC 互連連線,以存取對等 VPC 中的單一 IP 地址 (因此為特定執行個體)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
## 使用最長前置詞相符項目來存取兩個 VPC 的一個 VPC
在此組態中,有一個具有一個子網路的中央 VPC (VPC A)、VPC A 與 VPC B (`pcx-aaaabbbb`) 之間的對等互連,以及 VPC A 與 VPC C (`pcx-aaaacccc`) 之間的對等互連。VPC B 和 VPC C 具有相符 CIDR 區塊。您使用 VPC 對等互連 `pcx-aaaabbbb` 在 VPC A 與 VPC B 中特定執行個體之間路由流量。目的地為 VPC B 和 VPC C 共享的 CIDR 地址範圍的所有其他流量透過 `pcx-aaaacccc` 路由至 VPC C。
![\[使用最長前綴相符對等互連\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/one-to-two-vpcs-longest-prefix.png)
VPC 路由表使用最長字首相符來選取預定 VPC 互連連線的最具體路由。所有其他流量都會遞送至下一個相符路由,在此情況下,透過 VPC 互連連線 `pcx-aaaacccc`。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)
**重要**
如果 VPC B 中執行個體 X 以外的執行個體將流量傳送至 VPC A,則回應流量可能會路由至 VPC C,而非 VPC B。如需詳細資訊,請參閱[回應流量的路由](#peering-incorrect-response-routing)。
## 多個 VPC 組態
在本組態中,有一個中央 VPC (VPC A) 已與阻礙組態中的多個 VPC 對等互連。您在完整網格組態中也會有三個 VPC (VPC X、Y 和 Z) 對等互連在一起。
VPC D 也具有與 VPC X (`pcx-ddddxxxx`) 的 VPC 對等互連。VPC A 和 VPC X 具有重疊 CIDR 區塊。這表示 VPC A 和 VPC D 之間的對等流量僅限於 VPC D 中的特定子網路 (子網路 1)。這是為了確保如果 VPC D 收到來自 VPC A 或 VPC X 的請求,它會將回應流量傳送到正確的 VPC。 AWS 不支援 VPC 對等連線中的單點傳送反向路徑轉送,以檢查封包的來源 IP,並將回覆封包路由回來源。如需詳細資訊,請參閱[回應流量的路由](#peering-incorrect-response-routing)。
同樣地,VPC D 和 VPC Z 具有重疊 CIDR 區塊。VPC D 與 VPC X 之間的對等互連流量限制為 VPC D 中的子網路 2,而 VPC X 與 VPC Z 之間的對等互連流量限制為 VPC Z 中的子網路 1。這確保如果 VPC X 收到來自 VPC D 或 VPC Z 的對等互連流量,則會將回應流量傳送回正確 VPC。
![\[多個互連組態\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/images/multiple-configurations.png)
VPC B、C、E、F 和 G 的路由表都指向相關對等互連以存取 VPC A 的完整 CIDR 區塊,而 VPC A 路由表指向 VPC B、C、E、F 和 G 的相關對等互連以存取其完整 CIDR 區塊。針對對等互連 `pcx-aaaadddd`,VPC A 路由表只會將流量路由至 VPC D 中的子網路 1,而 VPC D 中的子網路 1 路由表指向 VPC A 的完整 CIDR 區塊。
VPC Y 路由表指向相關對等互連以存取 VPC X 和 VPC Z 的完整 CIDR 區塊,而 VPC Z 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC Z 中的子網路 1 路由表指向相關對等互連以存取 VPC Y 的完整 CIDR 區塊。VPC X 路由表指向相關對等互連以存取 VPC D 中的子網路 2 以及 VPC Z 中的子網路 1。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/peering-configurations-partial-access.html)