如何為 AWS 服務設定跨區域 VPC 端點?

上次更新日期:2022 年 3 月 31 日

我想要設定跨區域 Amazon Virtual Private Cloud (Amazon VPC) 端點,以便我可以使用私有連結存取 AWS 資源,如 Amazon Simple Storage Cloud (Amazon S3) 儲存貯體。要怎麼做?

簡短描述

您可以在不同的 AWS 區域部署諸如 Amazon Elastic Compute Cloud (Amazon EC2)、VPC 和 Amazon Relational Database Service (Amazon RDS) 等資源。此部署有助於提高資源的高可用性,並提供給使用者更快的資料存取。您還可以部署 VPC 端點,透過私有連結存取 AWS 公有資源,如 Amazon S3 和 Amazon DynamoDB。但是,您只能從同一區域存取這些 VPC 端點。例如,如果您在 us-west-2 區域部署了 S3 VPC 端點,則可以從該 VPC 端點存取 us-west-2 中的 S3 儲存貯體。到其他區域的儲存貯體的流量將透過網際網路傳輸。

解決方案

使用以下步驟在 VPC 之間建立 VPC 對等互連,以存取不同區域中的端點:

注意:對於此範例解決方案,使用以下變數:

  • VPC1 (10.100.10.0/24) 位於 us-east-1 區域。
  • VPC1 具有 S3 端點。
  • VPC2 (172.16.20.0/24) 位於 us-east-2 區域。
  • 來自 us-east-2 區域的使用者希望使用 us-east-1 區域中的 S3 端點存取 us-east-1 中的 S3 儲存貯體。

在 VPC1 和 VPC2 之間設定 VPC 對等互連

1.    開啟 Amazon VPC console (Amazon VPC 主控台)。確保您位於 us-east-1 區域。

2.    選取 VPC peering connections (VPC 對等連線)。

3.    選取 Create peering connection (建立對等連線)。

4.    輸入對等連線的 Name (名稱)。

5.    針對 Select a local VPC to peer with (選擇要對等互連的本機 VPC),輸入 VPC ID (在本範例中,這是 VPC1 的 VPC ID)。

5.    在 Select another VPC to peer with (選擇另一個要對等互連的 VPC) 中,針對 Account (帳户),如果這是屬於同一帳戶的遠端 VPC,請選擇 My account (我的帳户)。如果這不是屬於同一帳戶的遠端 VPC,請選擇 Another account (另一個帳户),然後輸入 Account ID (帳戶 ID)。

7.    在 Select another VPC to peer with (選擇另一個要對等互連的 VPC) 中,針對 Region (區域),選擇 Another Region (另一個區域),然後輸入所需的遠端 VPC ID。(在本範例中,這是 VPC2 的 VPC ID)

8.    選取 Create peering connection (建立對等連線)。對等連線狀態變更為 pending acceptance (等待接受)。

9.    將 Region (區域) 變更為 us-east-2

10.    在 Amazon VPC console (Amazon VPC 主控台) 中,選取 VPC peering connections (VPC 對等連線)。

11.    選取 Actions (動作)、Accept request (接受請求)。

更新子網路路由表和路由表目標

1.    在子網路路由表中為 172.16.20.0/24 (VPC2) 的 us-east-1 端點新增路由。

2.    在使用者的路由表目標中新增一條路由作為對等連線 (pcx-xxxxxxxxxxxxxx),使用者的路由表目標位置為 us-east-2 的 10.100.10.0/24 (VPC1)。

存取 S3 儲存貯體

使用遠端 VPC 端點 FQDN 存取 S3 儲存貯體:

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

疑難排解

  • 本機和遠端 VPC 子網路的路由表應具有彼此作為對等連線的路由。
  • VPC 端點權限政策必須允許遠端 VPC ID。
  • 套用於 VPC 端點的安全群組必須允許遠端 VPC 子網路。

此文章是否有幫助?


您是否需要帳單或技術支援?