Skip to the content.
AWS VPC
- 1.VPC公有子网与私有子网:公有子网和私有子网的区别就在于公有子网关联了Internet Gateway,公有子网内的EC2实例都可以获取一个公共IP用于和互联网通信;而私有子网内的实例没有公共IP,私有子网内的EC2实例需要通过一个NAT网关或者自己搭建的提供NAT服务的其他实例来访问互联网;公网上的其他主机无法访问私有子网内的实例
- 默认情况下,一个region下,AWS最多允许创建5个VPC
- 每个VPC下最多允许创建200个子网
- 没有VPC下的路由表数量:200个
- 每个路由表下的路由:50个
- 每个VPC下的安全组:500个
- 每个安全组的入站或出站规则:50个
- 每个region下,最多可拥有5个弹性IP(Elastic IP)
- 每个region下,Internet网关,NAT网关,仅出口的Internet网关和虚拟专用网关最多5个
- VPC对等连接最多50个
- 其他限制请参考Amazon VPC 限制
- 2.VPC对等连接(VPC Peering Connection):用于连接两个不同的VPC,连接后,两个VPC内的实例通信就如同在同一个内网之间通信一样;VPC对等连接有如下限制:
- VPC对等连接必须在同一个region,不能跨region建立对等连接
- 两个VPC的CIDR块不能重叠,也就是不能有交集。例如:VPC A的CIDR块10.0.0.0/16,VPC
- B的CIDR块10.0.0.0/16,两个CIDR块完全一致,不能创建对等连接
- B的CIDR块10.0.0.0/24,B的CIDR块是A的子集,不能创建对等连接
- B的CIDR块10.1.0.0/16,两个CIDR块没有任何交集,可以创建
- 两个VPC可以不同的AWS账号下,只要是在同一个region就可以创建对等连接,创建时,提供另一个AWS账户的ID(12位数字)
- 不能再两个VPC之间创建多个对等连接
- VPC 对等连接不支持传递,例如:A<=>B, B<=>C,则A内实例不能通过内网和C内的实例通信 (<=>表示对等连接)
- 创建对等连接后,被连接方需要接受才能正式创建成功,如果是自己的账户的内两个VPC,可以方便的切换到VPC的控制台,选择被连接的VPC,点击”操作->接受”即可,如果是不同账户,则需要登录另一个账户完成接受操作。不要接受来自你不了解的AWS账户的VPC对等连接请求
- 建立VPC对等连接后,你需要更新你的路由表设置才能完成通信,添加路由时,可以指定目标地址为整个VPC CIDR块,也可以指定某个子集,或者某个单独的IP,例如VPC CIDR块为10.0.0.0/16, 添加路由时,可以指定为10.0.1.0/24,或者某个单独的IP:10.0.1.15/32这样可以限制对等VPC能通信的IP范围
- 建立了对等连接的VPC,可以在安全组的规则设置中相互引用对方的安全组ID来控制入站/出站规则,对于不同帐号间的引用,需要加上帐号ID,例如:
123456789012/sg-1a2b3c4d
- 3.路由表:分为主路由表和自定义路由表,区别仅仅在于:对于没有显示关联路由表的子网,将默认关联到主路由表。