如何为 AWS 服务配置跨区域 VPC 终端节点?

上次更新日期:2022 年 3 月 31 日

我想配置跨区域 Amazon Virtual Private Cloud (Amazon VPC) 终端节点,以便可以使用私有链接访问 AWS 资源,例如 Amazon Simple Storage Cloud (Amazon S3) 存储桶。应如何操作?

简短描述

您可以在不同的 AWS 区域中部署 Amazon Elastic Compute Cloud (Amazon EC2)、VPC 和 Amazon Relational Database Service (Amazon RDS) 等资源。此部署有助于实现资源的高可用性,并为用户提供更快的数据访问。您还可以部署 VPC 终端节点以通过私有链接访问 AWS 公有资源,例如 Amazon S3 和 Amazon DynamoDB。但是,您只能从同一区域访问这些 VPC 终端节点。例如,如果您在 us-west-2 区域中部署 S3 VPC 终端节点,则可以从该 VPC 终端节点访问 us-west-2 中的 S3 存储桶。流向其他区域中存储桶的流量将通过互联网传输。

解决方法

使用以下步骤在 VPC 之间创建 VPC 对等连接,以访问不同区域中的终端节点:

注意:对于本示例的解决方法,将使用以下变量:

  • VPC1 (10.100.10.0/24) 位于 us-east-1 区域。
  • VPC1 有一个 S3 终端节点。
  • VPC2 (172.16.20.0/24) 位于 us-east-2 区域。
  • 来自 us-east-2 区域的用户希望使用 us-east-1 区域中的 S3 终端节点访问 us-east-1 中的 S3 存储桶。

在 VPC1 和 VPC2 之间配置 VPC 对等连接

1.    打开 Amazon VPC 控制台。请确保您位于 us-east-1 区域。

2.    选择 VPC peering connections(VPC 对等连接)。

3.    选择 Create peering connection(创建对等连接)。

4.    输入对等连接的 Name(名称)。

5.    对于 Select a local VPC to peer with(选择要与之对等连接的本地 VPC),输入 VPC ID(本例中为 VPC1 的 VPC ID)。

5.    在 Select another VPC to peer with(选择要与之对等连接的另一个 VPC)中,对于 Account(账户),如果这是属于同一账户的远程 VPC,请选择 My account(我的账户)。如果这并非属于同一账户的远程 VPC,请选择 Another account(另一个账户),然后输入 Account ID(账户 ID)。

7.    在 Select another VPC to peer with(选择要与之对等连接的另一个 VPC)中,对于 Region(区域),选择 Another Region(另一个区域),然后输入所需的远程 VPC ID。(在本例中,这是 VPC2 的 VPC ID)

8.    选择 Create peering connection(创建对等连接)。对等连接状态将更改为 pending acceptance(待接受)。

9.    将 Region(区域)更改为 us-east-2

10.    在 Amazon VPC 控制台中,选择 VPC peering connections(VPC 对等连接)。

11.    依次选择 Actions(操作)、Accept request(接受请求)。

更新子网路由表和路由表目标

1.    在子网路由表中为 172.16.20.0/24 (VPC2) 的 us-east-1 终端节点添加路由。

2.    在 us-east-2 的用户路由表中为作为对等连接 (pcx-xxxxxxxxxxxxxx) 的 10.100.10.0/24 (VPC1) 添加路由。

访问 S3 存储桶

使用远程 VPC 的 VPC 终端节点 FQDN 访问 S3 存储桶:

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

故障排除

  • 本地和远程 VPC 子网的路由表应具有将彼此作为对等连接目标的路由。
  • VPC 终端节点权限策略必须允许远程 VPC ID。
  • 应用于 VPC 终端节点的安全组必须允许远程 VPC 子网。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?