对于 AWS re:Invent 最新发布的几项功能,我的关注热情依然未减!
今天我要向您介绍的是区域间 VPC 对等连接。早在 2014 年年初,您就已经能够在同一 AWS 区域的 Virtual Private Cloud (VPC) 之间创建对等连接 (请阅读 Amazon Virtual Cloud 的新 VPC 对等连接功能了解更多信息)。建立连接后,对等 VPC 中的 EC2 实例可以使用自己的私有 IP 地址跨对等连接相互通信,就像它们位于同一网络中一样。
在 re:Invent 大会上,我们扩展了该对等连接模型,使它能够跨 AWS 区域工作。与现有模型一样,它也在同一 AWS 账户内或跨一对账户工作。我在之前的帖子中列出的所有使用案例仍然适用;您可以将共享资源集中到一个组织范围的 VPC 中,然后将其与多个部门 VPC 建立对等连接。您也可以在财团、联合企业或合伙企业的成员之间共享资源。
借助区域间 VPC 对等连接,您还可以在构建跨区域的功能强大的应用程序时,充分利用 AWS 区域之间的高度隔离性。例如,您可以为您的计算和存储资源选择有助于遵守法规要求和其他约束的地理位置。
对等连接详细信息
目前已在美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈) 和欧洲 (爱尔兰) 这几个区域针对 IPv4 流量启用此功能。您可以连接这些区域中的任意两个 VPC,但前提是它们具有不重叠的不同 CIDR 块。这样可确保所有私有 IP 地址都是唯一的,而且 VPC 对中的所有资源不必进行任何形式的网络地址转换就能相互寻址。
通过从一个 VPC 向另一个 VPC 发送邀请即可请求连接,但另一个 VPC 必须接受邀请才能建立连接。您可以使用 AWS 管理控制台、 VPC API 、 AWS 命令行界面 (CLI) 或适用于 Windows PowerShell 的 AWS 工具设置对等连接。
在不同区域内的 VPC 之间传递的数据以加密形式流经 AWS 全球网络。这些数据使用现代算法以及由 AWS 提供的可自动管理和轮换的密钥,以 AEAD 方式进行加密。在对所有对等连接的流量进行加密时,使用的密钥均相同;这使所有客户的所有流量看上去都一样。此匿名性可以为间歇性的 VPC 间流量提供额外保护。
设置区域间对等连接
下面我将展示如何在我的两个 VPC 之间设置对等连接。我将从位于美国东部 (弗吉尼亚北部) 的 VPC 开始,请求与位于美国东部 (俄亥俄) 的 VPC 建立对等连接。我先记下俄亥俄 VPC 的 ID (vpc-acd8ccc5):
然后切换到美国东部 (弗吉尼亚北部) 区域,单击创建对等连接 (Create Peering Connection),选择与俄亥俄 VPC 建立对等连接。我输入 ID,并单击创建对等连接 (Create Peering Connection) 继续操作:
这会创建一个对等连接请求:
我切换到另一个区域,接受待处理请求:
现在我需要安排在这两个 VPC 之间路由 IPv4 流量,方法是在每个 VPC 中创建一些路由表条目。我可以编辑主路由表或与特定 VPC 子网关联的路由表。下面展示了我如何安排将流量从弗吉尼亚路由到俄亥俄:
下面展示了我如何将流量从俄亥俄路由到弗吉尼亚:
若要了解更多关于如何执行此操作的信息,请阅读为 VPC 对等连接更新路由表。
EC2 实例的私有 DNS 名称 (例如 ip-10-90-211-18.ec2.internal) 不会跨对等连接进行解析。如果您需要引用其他 VPC 中的 EC2 实例和其他 AWS 资源,请考虑使用 Amazon Route 53 创建私有托管区域:
与单个区域内的 VPC 对等连接不同的是,您不能跨区域间 VPC 对等连接引用安全组。此外,也不能在区域间发送巨型帧。
本文转载自 AWS 技术博客。
原文链接:
https://amazonaws-china.com/cn/blogs/china/new-almost-inter-region-vpc-peering/
评论