Wie kann ich regionsübergreifende VPC-Endpunkte für AWS-Services konfigurieren?

Zuletzt aktualisiert: 31.3.2022

Sie können Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2), VPC und Amazon Relational Database Service (Amazon RDS) in verschiedenen AWS-Regionen bereitstellen. Diese Bereitstellung unterstützt die Hochverfügbarkeit der Ressourcen und bietet Benutzern einen schnelleren Datenzugriff. Sie können auch VPC-Endpunkte bereitstellen, um über einen privaten Link auf öffentliche AWS-Ressourcen wie Amazon S3 und Amazon DynamoDB zuzugreifen. Sie können jedoch nur von derselben Region aus auf diese VPC-Endpunkte zugreifen. Wenn Sie beispielsweise einen S3-VPC-Endpunkt in der Region us-west-2 bereitstellen, können Sie von diesem VPC-Endpunkt aus auf S3-Buckets in us-west-2 zugreifen. Der Verkehr zu Buckets in anderen Regionen wird über das Internet übertragen.

Gehen Sie wie folgt vor, um VPC-Peering zwischen VPCs zu erstellen, um auf Endpunkte in einer anderen Region zuzugreifen:

Hinweis: Für diese Beispielauflösung werden die folgenden Variablen verwendet:

• VPC1 (10.100.10.0/24) befindet sich in der Region us-east-1.
• VPC1 hat einen S3-Endpunkt.
• VPC2 (172.16.20.0/24) befindet sich in der Region us-east-2.
• Benutzer aus der Region us-east-2 möchten über den S3-Endpunkt in us-east-1 auf den S3-Bucket in us-east-1 zugreifen.

1.    Öffnen Sie die Amazon-VPC-Konsole. Stellen Sie sicher, dass Sie sich in der Region us-east-1 befinden.

2.    Wählen Sie VPC-Peering-Verbindungen aus.

3.    Wählen Sie Peering-Verbindung herstellen aus.

4.    Geben Sie einen Namen für die Peering-Verbindung ein.

5.    Geben Sie für Lokale VPC zum Peeren auswählen die VPC-ID ein (in diesem Beispiel ist dies die VPC-ID für VPC1).

5.    Wählen Sie unter Andere VPC für Peering-Funktion auswählen für Konto, wenn es sich um eine Remote-VPC handelt, die zu demselben Konto gehört, die Option Mein Konto aus. Wenn dies keine Remote-VPC ist, die zu demselben Konto gehört, wählen Sie Anderes Konto aus und geben Sie dann die Konto-ID ein.

7.    Wählen Sie unter Andere VPC für Peering-Funktion auswählen für Region die Option Andere Region aus und geben Sie dann die gewünschte Remote-VPC-ID ein. (Dies ist die VPC-ID für VPC2, in diesem Beispiel)

8.    Wählen Sie Peering-Verbindung herstellen aus. Der Status der Peering-Verbindung ändert sich in Annahme ausstehend.

9.    Ändern Sie die Region auf us-east-2.

10.    Wählen Sie in der Amazon-VPC-Konsole VPC-Peering-Verbindungen aus.

11.    Wählen Sie Aktionen, Anfrage annehmen aus.

1.    Fügen Sie in der Subnetz-Routing-Tabelle eine Route für den Endpunkt us-east-1 für 172.16.20.0/24 (VPC2) hinzu.

2.    Fügen Sie eine Route im Routing-Tabellen-Ziel des Benutzers in us-east-2 für 10.100.10.0/24 (VPC1) als Peering-Verbindung (pcx-xxxxxxxxxxxx) hinzu.

Zugriff auf den S3-Bucket mithilfe des VPC-Endpunkt-FQDN von der Remote-VPC aus

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

• Die Routing-Tabellen des lokalen und Remote-VPC-Subnetzes sollten Routen haben, die als Peer-Verbindungen aufeinander abzielen.
• Die VPC-Endpunkt-Berechtigungsrichtlinie muss die Remote-VPC-ID erlauben.
• Auf VPC-Endpunkte angewendete Sicherheitsgruppen müssen die Remote-VPC-Subnetze erlauben.