我如何启用从附加到我的中转网关的单个 VPN 连接实现的多个 VPC 之间的通讯而不允许 VPC 之间的访问?

上次更新时间:2020 年 4 月 15 日

我有两个 virtual private cloud (VPC):一个用于生产,另一个用于开发。本地用户需要通过单个 VPN 连接访问这两个 VPC。我必须通过 VPN 连接在 VPC 和本地网络之间建立网络连接。此外,我需要阻挡 VPC 之间的访问。我如何启用附加到我的中转网关的多个 VPC 和 VPN 连接之间的通讯,而不允许 VPC 之间的访问?

简短描述

完成以下步骤以在多个 VPC 中的资源之间建立网络连接,使:

  • 本地用户可以跨 VPN 从所有 VPC 访问资源
  • VPC 资源无法访问其他 VPC 中的资源

解决方法

创建一个中转网关,然后附加您的 VPC 和站点到站点 VPN

  1. 创建一个中转网关。 
  2. 将 VPC 附加到中转网关。
  3. 创建站点到站点 VPN 连接并将其附加到您的中转网关

备注:

  • 创建中转网关时禁用默认关联路由表设置。
  • 要自动将 VPN 路由传播到中转网关路由表,请为路由选项选择动态(需要边界网关协议)。

创建中转网关路由表并将您的 VPC 与之关联

  1. 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台
  2. 从导航窗格中选择中转网关
  3. 验证您的中转网关的默认关联路由表设置已设置为禁用
    注意:如果该设置被设为启用,则跳到第 8 步。
  4. 选择中转网关路由表
  5. 选择创建中转网关路由表,然后完成以下设置:
    对于名称标签,请输入路由表 A
    对于中转网关 ID,请为您的中转网关选择中转网关 ID
    选择创建中转网关路由表
  6. 选择路由表 A(或中转网关的默认路由表)。然后,选择关联创建关联
  7. 对于选择要关联的附件,请为您的 VPC 选择关联 ID。然后,选择创建关联。重复此步骤,直到您的所有 VPC 都显示在关联下。
  8. 从默认中转网关路由表删除 VPN 关联。

创建第二个中转网关路由表并将您的 VPN 连接关联与之关联

  1. 选择中转网关路由表
  2. 选择创建中转网关路由表,然后完成以下设置:
    对于名称标签,请输入路由表 B
    对于中转网关 ID,请为您的中转网关选择中转网关 ID
    选择创建中转网关路由表
  3. 选择路由表 B(或中转网关的默认路由表)。然后,选择关联创建关联
  4. 关联您刚创建的 VPN 连接与路由表 B。

在两个路由表上从您的 VPC 和 VPN 传播路由

  1. 选择路由表 A 传播
  2. 选择传播。对于选择要传播的附件,请为 VPN 选择传播。如果您已为所有附件启用传播,请验证在此路由表中未启用 VPN 连接关联。
    重要提示:如果您使用静态路由选项(而不是动态路由)创建了 VPN 连接,则必须为本地网络至路由表 A 上的 VPN 创建静态路由,则不是启用从 VPN 连接传播路由。
  3. 选择路由表 B 传播
  4. 选择传播。对于选择要传播的附件,请为所有 VPC 选择传播。

配置与您的 VPC 和附件子网关联的路由表

  1. 打开 Amazon VPC 控制台
  2. 从导航窗格中,选择路由表
  3. 选择要附加到附件子网的路由表。
  4. 选择路由选项卡,然后选择编辑路由
  5. 选择添加路由选项卡,然后完成以下操作:
    对于目的地,请选择本地网络的子网。
    对于目标,请选择您的中转网关。
    选择保存路由

注意:如果您的使用案例要求更加严格地限制 VPC 之间的访问,您可以为每个 VPC 创建单独的路由表,并配置路由。请记住:

  • 中转网关路由表中的路由基于中转网关关联与中转网关路由表之间的关联。
  • 您可以在任何中转网关路由表的中转网关附件中配置至任何目的地的路由。中转网关附件不需要与特定路由表关联。

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?