如何通过连接至我的中转网关的单个 VPN 连接允许多个 VPC 之间的通信,而不允许在 VPC 之间访问?

上次更新日期:2022 年 7 月 7 日

我有两个虚拟私有云(VPC)。本地用户需要通过单个 VPN 连接访问这两个 VPC。我想通过单个 VPN 连接在 VPC 和本地网络之间建立网络连接。我该如何操作?

简短描述

如果您有两个具有单个 VPN 连接的 VPC,例如生产和开发环境,请按照以下步骤在多个 VPC 中的资源之间建立网络连接,以便:

  • 本地用户可以跨 VPN 从所有 VPC 访问资源
  • VPC 资源无法访问其他 VPC 中的资源

解决方法

创建一个中转网关,然后附加您的 VPC 和站点到站点 VPN

  1. Amazon Virtual Private Cloud (Amazon VPC) 控制台中,创建一个中转网关
    注意:创建中转网关时关闭 Default association(默认关联)路由表设置。
  2. 将 VPC 附加到中转网关
  3. 创建站点到站点 VPN 连接并将其附加到您的中转网关
    注意:要自动将 VPN 路由传播到中转网关路由表,请为 Routing option(路由选项)选择 Dynamic(动态)。此选项需要使用边界网关协议。

创建中转网关路由表并将其与您的 VPC 关联

  1. 打开 Amazon VPC 控制台
  2. 从导航窗格选择 Transit gateways(中转网关)。
  3. 验证您的中转网关的 Default association route table(默认关联路由表)设置已设置为 Disable(禁用)。
    注意:如果 Default associate route table(默认关联路由表)设置为 Enable(启用),请跳到步骤 9。
  4. 选择 Transit gateway route tables(中转网关路由表)。
  5. 选择 Create transit gateway route table(创建中转网关路由表)。
    对于 Name tag(名称标签),输入 Route Table A(路由表 A)。
    对于 Transit gateway ID(中转网关 ID),请为您的中转网关选择 ID。
    然后,选择 Create transit gateway route table(创建中转网关路由表)。
  6. 选择您在上一步中创建的路由表 A,或中转网关的默认路由表。
  7. 选择 Associations,(关联),然后选择 Create association(创建关联)。
  8. 对于 Choose attachment to associate(选择要关联的附件),请为您的 VPC 选择关联 ID。然后,选择 Create association(创建关联)。 重复此步骤,直到您的所有 VPC 都显示在 Association(关联)下。
  9. 从默认中转网关路由表删除 VPN 关联。

创建第二个中转网关路由表并将其与您的 VPN 连接关联

  1. Amazon VPC 控制台中选择 Transit gateway route tables(中转网关路由表)。
  2. 选择 Create transit gateway route table(创建中转网关路由表)。
    对于 Name tag(名称标签),请输入 Route Table B(路由表 B)。
    对于 Transit gateway ID(中转网关 ID),请为您的中转网关选择 ID。
    然后,选择 Create transit gateway route table(创建中转网关路由表)。
  3. 选择在上一步中创建的路由表 B
  4. 选择 Associations(关联),然后选择 Create association(创建关联)。
  5. 关联您创建的 VPN 连接与路由表 B。

将路由从您的 VPC 和 VPN 传播到两个路由表

  1. Amazon VPC 控制台中选择 Transit gateway route tables(中转网关路由表)。
  2. 选择 Route Table A(路由表 A)。
  3. 选择 Actions(操作),然后选择 Create propagation(创建传播)。
  4. 对于 Choose attachment to propagate(选择要传播的附件),请为 VPN 选择传播。如果您已为所有附件启用传播,请验证在此路由表中未启用 VPN 连接关联。
    重要提示:如果您创建了静态路由 VPN 连接,而不是动态路由,则必须为本地网络至路由表 A 上的 VPN 创建静态路由。对于基于策略的静态 VPN 连接,只允许一对安全关联 (SA)。将本地 CIDR 和 VPC 的 CIDR 整合到单个 SA 中。有关更多信息,请参阅如何解决 AWS VPN 端点与基于策略的 VPN 之间的连接问题?
  5. 选择 Create propagation(创建传播)。
  6. 从中转网关路由表中,选择路由表 B。
  7. 选择 Actions(操作),然后选择 Create propagation(创建传播)。
  8. 对于 Choose attachment to propagate(选择要传播的附件),请为所有 VPC 选择传播。然后,选择 Create propagation(创建传播)。

配置与您的 VPC 和附件子网关联的路由表

  1. Amazon VPC 控制台中选择 Route tables(路由表)。
  2. 选择要附加到附件子网的路由表。
  3. 选择 Routes(路由)选项卡,然后选择 Edit routes(编辑路由)。
  4. 选择 Add route(添加路由)选项卡。
    对于 Destination(目的地),请选择本地网络的子网。
    对于 Target(目标),请选择您的中转网关。
  5. 选择 Save routes(保存路由)。

注意:如果您的使用案例要求更加严格地限制 VPC 之间的访问,请为每个 VPC 创建单独的路由表,并配置路由。请记住:

  • 中转网关路由表中的路由基于中转网关关联与中转网关路由表之间的关联。
  • 您可以在任何中转网关路由表的中转网关附件中配置至任何目的地的路由。中转网关连接不需要与特定路由表关联。

这篇文章对您有帮助吗?

提交反馈

您是否需要账单或技术支持?

联系 AWS Support