本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# VPC 對等連線
VPC 對等互連可讓您在相同或不同的 AWS 區域中連接兩個 VPC。這可讓一個 VPC 中的執行個體可以與另一個 VPC 中的執行個體進行通信,就像它們都是同一個網路的一部分一樣。
VPC 對等會使用私有 IPv4 地址或 IPv6 地址,並在兩個 VPC 之間建立直接網路路由。在連線的 VPC 之間傳送的流量不會周遊網際網路、VPN 連線或 AWS Direct Connect 連線。這使得 VPC 對等互連成為跨 VPC 邊界共用資源 (例如資料庫或 Web 伺服器) 的安全方式。
若要建立 VPC 對等互連,您需要從一個 VPC 建立對等互連請求,並且另一個 VPC 的擁有者需接受該請求。建立連線後,您可以更新路由表,在兩個 VPC 之間路由流量。這可讓一個 VPC 中的執行個體能夠存取另一個 VPC 中的資源。
VPC 對等是建置多 VPC 架構並在 AWS 中跨組織邊界共用資源的重要工具。它提供了一種簡單且低延遲的方式來連接 VPC,而無需配置 VPN 或其他聯網服務的複雜性。
使用下列程序建立和使用 VPC 對等互連。
**Topics**
+ [建立 VPC 互連連線](create-vpc-peering-connection.md)
+ [接受或拒絕 VPC 對等互連](accept-vpc-peering-connection.md)
+ [更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)
+ [更新您的安全群組以參考對等安全群組](vpc-peering-security-groups.md)
+ [啟用 VPC 對等互連連線的 DNS 解析](vpc-peering-dns.md)
+ [刪除 VPC 對等互連連線](delete-vpc-peering-connection.md)
+ [對 VPC 對等互連問題進行疑難排解](troubleshoot-vpc-peering-connections.md)
# 建立 VPC 互連連線
若要建立 VPC 對等互連連線,請先建立要與其他 VPC 建立對等的請求。若要啟用請求,接受者 VPC 擁有者必須接受該請求。支援下列對等互連:
+ 相同帳戶和區域的 VPC 之間
+ 相同帳戶和不同區域的 VPC 之間
+ 不同帳戶和相同區域的 VPC 之間
+ 不同帳戶和區域的 VPC 之間
對於區域間 VPC 對等互連,請求必須在申請者 VPC 的區域提出,並且必須在接受者 VPC 的區域接受。如需更多詳細資訊,請參閱 [接受或拒絕 VPC 對等互連](accept-vpc-peering-connection.md)。
**Topics**
+ [必要條件](#vpc-peering-connection-prerequisites)
+ [透過主控台建立對等互連](#create-vpc-peering-connection-console)
+ [透過命令列建立對等互連](#create-vpc-peering-connection-command-line)
## 必要條件
+ 檢閱 VPC 對等互連的[限制](vpc-peering-basics.md#vpc-peering-limitations)。
+ 請確保 VPC 沒有重疊的 IPv4 CIDR 區塊。如果重疊,則 VPC 對等互連的狀態將立即成為 `failed`。即使 VPC 具有唯一 IPv6 CIDR 區塊,此限制依然適用。
## 透過主控台建立對等互連
依照下列程序建立 VPC 對等互連。
**透過主控台建立對等互連**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Peering connections** (對等互連)。
1. 關閉 **Create peering connection** (建立對等互連)。
1. (選用) 在**名稱**欄位中,指定 VPC 對等互連的名稱。此動作會使用 Name 索引鍵以及您指定的值建立標籤。
1. 在 **VPC ID (申請者)** 欄位中,從目前帳戶選取 VPC。
1. 在**選擇要與之建立對等連線的其他 VPC** 下,執行下列動作:
1. 在**帳戶**欄位中,若要與其他帳戶中的 VPC 建立對等互連,請選擇**另一個帳戶**,然後輸入帳戶 ID。否則,請保留**我的帳戶**。
1. 在**區域**欄位中,若要與其他區域中的 VPC 建立對等互連,請選擇**另一個區域**,然後選擇區域。否則,請保留**本區域**。
1. 在 **VPC ID (接受者)** 欄位中,從指定的帳戶與區域選取 VPC。
1. (選用) 若要新增標籤,請選擇 **Add new tag** (新增標籤),然後輸入標籤鍵和標籤值。
1. 關閉 **Create peering connection** (建立對等互連)。
1. 接受者帳戶的擁有者必須接受對等互連。如需更多詳細資訊,請參閱 [接受或拒絕 VPC 對等互連](accept-vpc-peering-connection.md)。
1. 更新兩個 VPC 的路由表,以啟用它們之間的通訊。如需更多詳細資訊,請參閱 [更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)。
## 透過命令列建立對等互連
您可以使用下列命令建立 VPC 對等互連:
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# 接受或拒絕 VPC 對等互連
處於 `pending-acceptance` 狀態的 VPC 對等互連連線,必須在接受者 VPC 之擁有者接受後才能啟用。如需 `Deleted` 對等互連狀態的詳細資訊,請參閱 [VPC 對等互連生命週期](vpc-peering-basics.md#vpc-peering-lifecycle)。您無法接受您向其他 AWS 帳戶提出的 VPC 對等互連請求。若要在同一個 AWS 帳戶中建立 VPC 對等互連,可以自行建立和接受請求。
您可以拒絕收到的任何 VPC 對等互連連線 (處於 `pending-acceptance` 狀態) 請求。您應僅接受來自您知悉且信任之 AWS 帳戶 的 VPC 對等互連;您可以拒絕任何不必要的請求。如需 `Rejected` 對等互連狀態的詳細資訊,請參閱 [VPC 對等互連生命週期](vpc-peering-basics.md#vpc-peering-lifecycle)。
**重要**
請勿接受來自不明 AWS 帳戶的 VPC 對等互連。惡意使用者可能對您傳送 VPC 對等互連連線請求,藉故取得未經授權的 VPC 網路存取。這種手法稱為對等釣魚。您可以安全地拒絕不必要的 VPC 對等互連請求,藉此避開風險,免於讓申請者存取您的 AWS 帳戶或 VPC 的任何資訊。如需更多詳細資訊,請參閱 [接受或拒絕 VPC 對等互連](#accept-vpc-peering-connection)。您也可以忽略請求使其過期;根據預設,請求會在 7 天後過期。
**透過主控台接受或拒絕對等互連**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 使用區域選擇器來選擇接受者 VPC 的所在區域。
1. 在導覽窗格中,選擇 **Peering connections** (對等互連)。
1. 若要拒絕對等互連,選取 VPC 對等互連,然後選擇 **動作** > **拒絕請求**。出現確認提示時,請選擇**拒絕請求**。
1. 若要接受對等互連,選取待處理 VPC 對等互連 (狀態為 `pending-acceptance`),然後選擇 **動作** > **接受請求**。如需對等互連生命週期狀態的詳細資訊,請參閱[VPC 對等互連生命週期](vpc-peering-basics.md#vpc-peering-lifecycle)。
如果沒有待處理的 VPC 對等互連,請確認您是否已選取接受者 VPC 的區域。
1. 出現確認提示時,請選擇**接受請求**。
1. 選擇**立即修改我的路由表**,將路由新增至 VPC 路由表,以便透過對等互連傳送和接收流量。如需更多詳細資訊,請參閱 [更新 VPC 對等互連連線的路由表](vpc-peering-routing.md)。
**透過命令列接受對等互連**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
**透過命令列拒絕對等互連**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# 更新 VPC 對等互連連線的路由表
若要在對等 VPC 中的執行個體之間啟用私有 IPv4 通訊,您必須將路由新增至與這兩個執行個體的子網關聯的路由表。此路由目的地為對等 VPC 和目標為 VPC 對等互連 ID 的 CIDR 區塊 (或部分 CIDR 區塊)。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[設定路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。
下面是一個路由表範例,該路由表允許在兩個對等 VPC (VPC A 和 VPC B) 中的執行個體之間進行通訊。每個路由表都有一個本機路由,以及一個用於將對等 VPC 的流量傳送至 VPC 對等互連的路由。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/peering/vpc-peering-routing.html)
同樣,如果 VPC 對等互連中的 VPC 具有相關聯 IPv6 CIDR 區塊,則您可以將路由新增至路由表,透過 IPv6 來啟用與對等 VPC 的通訊。
如需 VPC 對等互連連線支援之路由表組態的詳細資訊,請參閱 [常用 VPC 對等互連組態](peering-configurations.md)。
**考量事項**
+ 如果您的 VPC 與多個具有重疊或相符 IPv4 CIDR 區塊的 VPC 互連,請確保路由表已妥善設定,避免從您的 VPC 向不正確的 VPC 傳送回應流量。AWS 目前不支援 VPC 對等互連連線中的單播反向路徑轉送,這會檢查封包的來源 IP,並將回覆封包路由回來源。如需更多詳細資訊,請參閱 [回應流量的路由](peering-configurations-partial-access.md#peering-incorrect-response-routing)。
+ 您的帳戶的每個路由表可新增的項目數具有[配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。如果 VPC 中的 VPC 對等連線數目超過單一路由表的路由表項目配額,請考慮使用多個子網 (每個都與自訂路由表相關聯)。
+ 您可以為處於 `pending-acceptance` 狀態的 VPC 對等互連連線新增路由。但是,此路由的狀態將會是 `blackhole`,直到 VPC 對等互連為 `active` 狀態後才會生效。
**新增 VPC 對等互連連線的 IPv4 路由**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Route tables** (路由表)。
1. 選取與您執行個體所在之子網相關聯的路由表旁邊的核取方塊。
如果您未明確將路由表與該子網建立關聯,則 VPC 的主路由表將隱含地與該子網建立關聯。
1. 選擇 **Actions** (動作)、**Edit routes** (編輯路由)。
1. 選擇 **Add route (新增路由)**。
1. 針對 **Destination (目標)**,請輸入必須將 VPC 對等互連連線網路流量導向至的 IPv4 地址範圍。您可以指定對等 VPC 的整個 IPv4 CIDR 區塊、具體範圍或個別 IPv4 地址,例如要與之通訊的執行個體 IP 地址。例如,如果對等 VPC 的 CIDR 區塊為 `10.0.0.0/16`,則您可以指定部分 `10.0.0.0/24`,或特定的 IP 地址 `10.0.0.7/32`。
1. 在**目標**,選取 VPC 對等互連。
1. 選擇**儲存變更**。
對等 VPC 的擁有者也必須完成這些步驟來新增路由,以透過 VPC 對等連線將流量導回您的 VPC。
如果您在不同 AWS 區域中具有使用 IPv6 地址的資源,可以建立跨區域對等連線。然後,您可以新增 IPv6 路由,以便在資源之間進行通訊。
**新增 VPC 對等互連連線的 IPv6 路由**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Route tables** (路由表)。
1. 選取與您執行個體所在之子網相關聯的路由表旁邊的核取方塊。
**注意**
如果您沒有與該子網相關聯的路由表,請選取 VPC 主路由表做為子網的路由表,子網即會預設使用此路由表。
1. 選擇 **Actions** (動作)、**Edit routes** (編輯路由)。
1. 選擇 **Add route (新增路由)**。
1. 針對 **Destination (目標)**,輸入對等 VPC 的 IPv6 地址範圍。您可以指定對等 VPC 的整個 IPv6 CIDR 區塊、特定範圍或個別 IPv6 地址。例如,如果對等 VPC 的 CIDR 區塊為 `2001:db8:1234:1a00::/56`,則您可以指定部分 `2001:db8:1234:1a00::/64`,或特定的 IP 地址 `2001:db8:1234:1a00::123/128`。
1. 在**目標**,選取 VPC 對等互連。
1. 選擇**儲存變更**。
如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。
**透過命令列新增或取代路由**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) 與 [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html) (AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) 與 [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html) (AWS Tools for Windows PowerShell)
# 更新您的安全群組以參考對等安全群組
您可以更新您 VPC 安全群組的傳入和傳出規則,以參考互連 VPC 中的安全群組。執行此作業,可允許流量傳入和傳出與互連 VPC 中參考之安全群組相關聯的執行個體。
**注意**
對等 VPC 中的安全群組不會顯示在主控台中供您選取。
**要求**
+ 若要參考對等 VPC 中的安全群組,VPC 對等互連連線必須處於 `active` 狀態。
+ 對等 VPC 可以是您帳戶中的 VPC,或是其他 AWS 帳戶中的 VPC。若要參考位於不同 AWS 帳戶但相同區域的安全群組,請將帳戶號碼與安全群組 ID 一起提供。例如 `123456789012/sg-1a2b3c4d`。
+ 您無法參考位於不同區域的對等 VPC 安全群組。請改用對等 VPC 的 CIDR 區塊。
+ 如果您將路由設定為透過中間設備來轉遞不同子網中兩個執行個體之間的流量,則您必須確保兩個執行個體的安全群組均允許流量在執行個體之間流動。每個執行個體的安全群組都必須參考另一個執行個體的私有 IP 地址,或是包含其他執行個體之子網的 CIDR 範圍作為來源。如果您參考另一個執行個體的安全群組作為來源,這不會允許流量在執行個體之間流動。
**使用主控台更新您的安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**安全群組**。
1. 選取安全群組,然後執行下列其中一項操作:
+ 若要修改傳入規則,請選擇 **操作**、**編輯傳入規則**。
+ 若要修改傳出規則,請選擇 **操作**、**編輯傳出規則**。
1. 若要新增規則,請選擇**新增規則**,然後指定類型、通訊協定和連接埠範圍。針對 **來源** (傳入規則) 或 **目標** (傳出規則),請執行下列其中一項操作:
+ 對於相同帳戶和區域中的對等 VPC,輸入安全群組 ID。
+ 對於不同帳戶但相同區域中的對等 VPC,輸入帳戶 ID 和安全群組 ID,並以斜線分隔 (例如 `123456789012/sg-1a2b3c4d`)。
+ 對於不同區域中的對等 VPC,輸入對等 VPC 的 CIDR 區塊。
1. 若要編輯現有規則,請變更其值 (例如來源或描述)。
1. 若要刪除規則,請選擇規則旁邊的**刪除**。
1. 選擇**儲存規則**。
**使用命令列更新傳入規則**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) 與 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) 與 [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
例如,若要更新安全群組 `sg-aaaa1111` 以允許透過 HTTP 從互連 VPC 中的 `sg-bbbb2222` 傳入存取,請使用下列命令:如果對等 VPC 位於相同區域,但帳戶不同,請新增 `--group-owner` *aws-account-id*。
```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```
**使用命令列更新傳出規則**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) 與 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) 與 [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)
在您更新安全群組規則後,請使用 [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html) 命令來檢視安全群組規則中的參考安全群組。
## 識別您的參考安全群組
若要確定對等 VPC 的安全群組規則中是否參考您的安全群組,請為帳戶中的一或多個安全群組使用下列任一命令。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
在下列範例中,回應指出安全群組 `sg-bbbb2222` 正由 VPC `vpc-aaaaaaaa` 中的安全群組參考:
```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```
```
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}
```
如果刪除 VPC 對等互連連線,或是對等 VPC 擁有者刪除所參考的安全群組,將導致安全群組的規則過時。
## 檢視和刪除過時安全群組規則
過時安全群組規則是參考同一 VPC 或對等 VPC 中遭刪除之安全群組的規則,或是參考已刪除 VPC 對等互連連線的對等 VPC 中安全群組的規則。過時的安全群組規則不會自動從您的安全群組移除,您必須手動將其移除。如果因為刪除了 VPC 對等互連連線而使安全群組規則過時,而您隨後使用相同 VPC 建立新的 VPC 對等互連連線,則規則將不再標記為過時。
您可以使用 Amazon VPC 主控台來檢視和刪除 VPC 的安全群組規則。
**檢視和刪除過時安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security groups** (安全群組)。
1. 選擇 **Actions (動作)**、**Manage stale rules (管理過時規則)**。
1. 針對 **VPC**,選擇具有過時規則的 VPC。
1. 選擇 **Edit** (編輯)。
1. 選擇要刪除之規則右側的 **Delete** (刪除) 按鈕。選擇 **Preview changes (預覽變更)** 及 **Save rules (儲存規則)**。
**透過命令列描述過時安全群組規則**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
在下列範例中,VPC A `(vpc-aaaaaaaa`) 和 VPC B 已互連,並且已刪除 VPC 對等互連連線。您在 VPC A 中的安全群組 `sg-aaaa1111` 參考 VPC B 中的 `sg-bbbb2222`。當您為 VPC 執行 `describe-stale-security-groups` 命令時,回應會指出安全群組 `sg-aaaa1111` 具有參考 `sg-bbbb2222` 的過時 SSH 規則。
```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```
```
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}
```
在您識別過時安全群組規則後,您可以使用 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 或 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 命令,來將其刪除。
# 啟用 VPC 對等互連連線的 DNS 解析
VPC 對等互連的 DNS 設定會決定如何針對周遊 VPC 對等互連的請求解析公有 DNS 主機名稱。如果 VPC 對等互連一端的 EC2 執行個體使用執行個體的公有 IPv4 DNS 主機名稱,將請求傳送至另一端的 EC2 執行個體,DNS 主機名稱會按以下方式解析。
**DNS 解析已停用 (預設)**
公有 IPv4 DNS 主機名稱解析至執行個體的公有 IPv4 位址。
**DNS 解析已啟用**
公有 IPv4 DNS 主機名稱解析至執行個體的私有 IPv4 位址。
**要求**
+ 兩端的 VPC 都必須啟用 DNS 主機名稱和 DNS 解析。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support)。
+ 對等互連必須處於 `active` 狀態。建立對等互連時,無法啟用 DNS 解析。
+ 申請者 VPC 的擁有者必須修改申請者 VPC 對等互連選項,接受者 VPC 的擁有者必須修改接受者 VPC 對等互連選項。如果 VPC 位於相同帳戶中,可以同時為申請者 VPC 和接受者 VPC 啟用 DNS 解析。相同區域內和跨區域 VPC 對等互連皆是如此。
**透過主控台啟用對等互連的 DNS 解析**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Peering connections** (對等互連)。
1. 選取 VPC 對等互連。
1. 選擇**動作**、**編輯 DNS 設定**。
1. 若要為來自申請者 VPC 的請求啟用 DNS 解析,請依次選取**申請者 DNS 解析**、**允許接受者 VPC 解析申請者 VPC 的 DNS**。
1. 若要為來自接受者 VPC 的請求啟用 DNS 解析,請依次選取**接受者 DNS 解析**、**允許申請者 VPC 解析接受者 VPC 的 DNS**。
1. 選擇**儲存變更**。
**透過命令列啟用 DNS 解析**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)
**透過命令列描述 VPC 對等互連選項**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnections](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# 刪除 VPC 對等互連連線
對等互連連線中的任一 VPC 擁有者可以隨時刪除 VPC 對等互連連線。您也可以刪除您所請求的、且仍處於 `pending-acceptance` 狀態的 VPC 對等互連連線。
當 VPC 對等連線處於 `rejected` 狀態時,您無法刪除 VPC 對等互連。我們會自動為您刪除連線。
在 Amazon VPC 主控台中刪除做為作用中 VPC 對等互連連線一部分的 VPC,也會連帶刪除該 VPC 對等互連連線。如果您請求與其他帳戶中的 VPC 建立 VPC 對等互連連線,而您在另一方接受此請求之前刪除了您的 VPC,則該 VPC 對等互連連線也會連帶刪除。如果您的 VPC 收到其他帳戶 VPC 提出的 `pending-acceptance` 請求,則您無法刪除該 VPC。您必須先拒絕該 VPC 對等互連連線請求。
當您刪除對等連線時,狀態會先設為 `Deleting`,然後設為 `Deleted`。刪除連線後,就無法接受、拒絕或編輯連線。如需對等互連可持續顯示多久時間的詳細資訊,請參閱[VPC 對等互連生命週期](vpc-peering-basics.md#vpc-peering-lifecycle)。
**若要刪除 VPC 對等互連連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Peering connections** (對等互連)。
1. 選取 VPC 對等互連。
1. 選擇 **Actions** (動作) 和 **Delete peering connection** (刪除對等互連)。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**透過命令列刪除 VPC 對等互連**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# 對 VPC 對等互連問題進行疑難排解
如果從對等 VPC 中的資源連線至 VPC 中的資源時遇到問題,請執行以下操作:
+ 對於每個 VPC 中的每個資源,驗證其子網的路由表是否包含可將目的地為對等 VPC 的流量傳送至 VPC 對等互連的路由。這可確保網路流量可在兩個 VPC 之間正常流動。如需更多詳細資訊,請參閱 [更新路由表](vpc-peering-routing.md)。
+ 對於涉及的任何 EC2 執行個體,請驗證這些執行個體的安全群組是否允許來自對等 VPC 的傳入和傳出流量。安全群組規則控制哪些流量可以存取您的 EC2 執行個體。如需更多詳細資訊,請參閱 [參考對等安全群組](vpc-peering-security-groups.md)。
+ 檢查包含資源的子網路的網路 ACL 是否允許來自對等 VPC 的必要流量。網路 ACL 是額外的安全層,會在子網路層級篩選流量。
如果您仍然遇到問題,您可以使用 Reachability Analyzer。Reachability Analyzer 可協助您識別導致兩個 VPC 之間連線問題的具體元件 – 無論是路由表、安全群組還是網路 ACL。如需詳細資訊,請參閱 [Reachability Analyzer Guide](https://docs.aws.amazon.com/vpc/latest/reachability/) (《Reachability Analyzer 指南》)。
徹底驗證 VPC 網路組態是疑難排解並解決您可能遇到的任何 VPC 對等互連問題的關鍵。