Wie kann ich regionsübergreifende VPC-Endpunkte für AWS-Services konfigurieren?
Zuletzt aktualisiert: 31.3.2022
Ich möchte regionsübergreifende Amazon Virtual Private Cloud (Amazon VPC)-Endpunkte so konfigurieren, dass ich über einen privaten Link auf eine AWS-Ressource wie Amazon Simple Storage Cloud (Amazon S3)-Buckets zugreifen kann. Wie gehe ich dazu vor?
Kurzbeschreibung
Sie können Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2), VPC und Amazon Relational Database Service (Amazon RDS) in verschiedenen AWS-Regionen bereitstellen. Diese Bereitstellung unterstützt die Hochverfügbarkeit der Ressourcen und bietet Benutzern einen schnelleren Datenzugriff. Sie können auch VPC-Endpunkte bereitstellen, um über einen privaten Link auf öffentliche AWS-Ressourcen wie Amazon S3 und Amazon DynamoDB zuzugreifen. Sie können jedoch nur von derselben Region aus auf diese VPC-Endpunkte zugreifen. Wenn Sie beispielsweise einen S3-VPC-Endpunkt in der Region us-west-2 bereitstellen, können Sie von diesem VPC-Endpunkt aus auf S3-Buckets in us-west-2 zugreifen. Der Verkehr zu Buckets in anderen Regionen wird über das Internet übertragen.
Auflösung
Gehen Sie wie folgt vor, um VPC-Peering zwischen VPCs zu erstellen, um auf Endpunkte in einer anderen Region zuzugreifen:
Hinweis: Für diese Beispielauflösung werden die folgenden Variablen verwendet:
- VPC1 (10.100.10.0/24) befindet sich in der Region us-east-1.
- VPC1 hat einen S3-Endpunkt.
- VPC2 (172.16.20.0/24) befindet sich in der Region us-east-2.
- Benutzer aus der Region us-east-2 möchten über den S3-Endpunkt in us-east-1 auf den S3-Bucket in us-east-1 zugreifen.
Konfigurieren des VPC-Peering zwischen VPC1 und VPC2
1. Öffnen Sie die Amazon-VPC-Konsole. Stellen Sie sicher, dass Sie sich in der Region us-east-1 befinden.
2. Wählen Sie VPC-Peering-Verbindungen aus.
3. Wählen Sie Peering-Verbindung herstellen aus.
4. Geben Sie einen Namen für die Peering-Verbindung ein.
5. Geben Sie für Lokale VPC zum Peeren auswählen die VPC-ID ein (in diesem Beispiel ist dies die VPC-ID für VPC1).
5. Wählen Sie unter Andere VPC für Peering-Funktion auswählen für Konto, wenn es sich um eine Remote-VPC handelt, die zu demselben Konto gehört, die Option Mein Konto aus. Wenn dies keine Remote-VPC ist, die zu demselben Konto gehört, wählen Sie Anderes Konto aus und geben Sie dann die Konto-ID ein.
7. Wählen Sie unter Andere VPC für Peering-Funktion auswählen für Region die Option Andere Region aus und geben Sie dann die gewünschte Remote-VPC-ID ein. (Dies ist die VPC-ID für VPC2, in diesem Beispiel)
8. Wählen Sie Peering-Verbindung herstellen aus. Der Status der Peering-Verbindung ändert sich in Annahme ausstehend.
9. Ändern Sie die Region auf us-east-2.
10. Wählen Sie in der Amazon-VPC-Konsole VPC-Peering-Verbindungen aus.
11. Wählen Sie Aktionen, Anfrage annehmen aus.
Aktualisieren der Subnetz-Routing-Tabelle und des Routing-Tabellen-Ziels
1. Fügen Sie in der Subnetz-Routing-Tabelle eine Route für den Endpunkt us-east-1 für 172.16.20.0/24 (VPC2) hinzu.
2. Fügen Sie eine Route im Routing-Tabellen-Ziel des Benutzers in us-east-2 für 10.100.10.0/24 (VPC1) als Peering-Verbindung (pcx-xxxxxxxxxxxx) hinzu.
Zugriff auf den S3-Bucket
Zugriff auf den S3-Bucket mithilfe des VPC-Endpunkt-FQDN von der Remote-VPC aus
aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/
Fehlerbehebung
- Die Routing-Tabellen des lokalen und Remote-VPC-Subnetzes sollten Routen haben, die als Peer-Verbindungen aufeinander abzielen.
- Die VPC-Endpunkt-Berechtigungsrichtlinie muss die Remote-VPC-ID erlauben.
- Auf VPC-Endpunkte angewendete Sicherheitsgruppen müssen die Remote-VPC-Subnetze erlauben.
War dieser Artikel hilfreich?
Benötigen Sie Hilfe zur Fakturierung oder technischen Support?