Hello大家好，欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》，今天的课时的内容为 VPC对等连接。

我们开始今天的课程内容。

VPC对等连接是用来连接两个VPC的，两个VPC建立对等连接后，在VPC之间可以使用私有IP地址通信，两个 VPC 中的实例之间的通信就像它们在同一网络中一样。

VPC对等连接关键知识点一

通过对等连接的流量一直处于 AWS 内部网络，不会经过 Internet。

如我们有两个VPC，VPC A 和 VPC B，假如这两个VPC的网络CIDR 块没有重叠，就可以为这两个VPC创建VPC对等连接，然后在更新对应的路由表后，位于VPC A中的实例 就可以通过私有IP地址 通过VPC对等连接 访问VPC B中的实例，反之亦然。

所以我们要知道，创建对等连接的两个VPC不能有重叠的 CIDR 块。

VPC对等连接是两个VPC之间的一对一关系，对等连接是不支持传递的。什么是不支持传递呢，我举个例子，比如VPC A 还需要与另外一个VPC，如VPC C通信，我们就可以将VPC A 和 VPC C 在建立一个VPC对等连接。但在VPC B中的实例 是 无法通过VPC A与VPC C中的实例进行通信的，这是行不通的，因为VPC对等连接是不支持传递的，在这种场景下，如果要使VPC B 访问 VPC C ，就需要在 VPC B 和 C之间在建立一个VPC对等连接。

可以在自己账户下的VPC之间创建VPC对等连接，也可以在自己账户的VPC与其他AWS账户中的VPC之间创建对等连接。

创建VPC对等连接后，还有一项重要的工作是需要手动更新相关的VPC子网的路由表，路由表中要有指向其他要通信的VPC的路由条目，这样在不同VPC下的实例才能够相互间进行通信。

好，我们继续

VPC对等连接关键知识点二

VPC对等连接 支持跨AWS区域和跨AWS账户，不同的AWS区域的VPC之间可以创建VPC对等连接；您的AWS账号下的VPC也可以与其他AWS账户下的VPC创建对等连接。

创建VPC对等连接之后，如果需要，请更新与实例关联的安全组规则以确保进出对等 VPC 的通信不受限制。

在添加安全组规则时，您可以引用另一端的对等 VPC 中的安全组，作为安全组规则中的入向或出向规则的源或目标，即使对等连接另一端的VPC是其他AWS账户下也是同样可以的。这使得我们在通过安全组来限制对等连接访问时能够更加的方便和灵活。

但是要注意，引用对等VPC的安全组，只限于在同一AWS区域下的两个VPC创建对等连接的情况。

最长前缀匹配

最长前缀匹配是路由表的知识点。因为路由表中的每个表项都指定了一个网络，所以一个目的地址可能与多个表项匹配。最明确的一个表项——即子网掩码最长的一个——就叫做最长前缀匹配。之所以这样称呼它，是因为这个表项也是路由表中，与目的地址的高位匹配得最多的表项。流量会选择路由表中与流量最匹配的、最明确的（最长前缀匹配）路由条目，对流量进行路由。

我们来看一个具体的案例，这里一共三个VPC，VPC A 、 VPC B 、 VPC C。

VPC A 分别于VPC B和VPC C之间做了VPC对等连接，通过图中的信息可以看到，VPC B 和 VPC C 具有相同的 CIDR 块，且子网配置的CIDR也是相同的，在这种配置下，VPC B和C之间，是无法创建VPC对等连接的，因为他们的CIDR块相同。但VPC A和B ，以及VPC A 和 VPC C之间的CIDR块都不重叠，所以能够分别创建VPC A 到 B ,VPC A到 C这两个对等连接，这是没有问题的。

假设我们的情况是这样的，在VPC A中的子网A的EC2实例，需要访问VPC B的一台IP为10.0.0.77/32的这个具体IP的实例。对于这台特定IP地址的实例的访问，走左边这条对等连接路由到VPC B ；然后所有以 10.0.0.0/16 IP 地址范围为目标的其他流量都通过这个VPC对等连接去访问 VPC C。

在这种情况下我们就需要配置路由表，将VPC A对这个具体单台实例的访问路由到VPC B，所有其他流量路由到VPC C 。我们来看一下具体的路由表条目。

VPC A的路由表，目的地172.16.0.0/16，这是VPC A本地的地址段，目标为本地。

目的地为10.0.0.77/32，目的地为一个具体的实例的IP地址，访问这个IP的流量，目标为VPC B。

然后，所有以 10.0.0.0/16 IP 地址范围为目标的其他流量都去访问 VPC C。

当有访问10.0.0.77这台实例的流量时，路由表中10.0.0.77/32这条就是一个最明确的、有最长前缀的路由条目，流量会选择此条目将流量路由到VPC B，然后其他的访问10.0.0.0/16流量在通过下一条路由条目路由至VPC C。

好，另外两个VPC的路由条目，除了到本地流量，还分别有一个VPC对等连接的路由条目，没什么特别要说明的。

好，以上就是最长前缀匹配，也就是通常说的优先匹配最具体、最明确的路由条目，对应我们这个案例就是10.0.0.77/32这个路由条目。

不受支持的VPC对等配置

好，接下来的内容，我们一起来看下在VPC对等连接的配置中，有哪些配置是无效的，是不受支持的。

首先，重叠CIDR块。

如果两个VPC使用相同的CIDR块，那么他们之间将无法创建VPC对等连接。

即使VPC 有多个 IPv4 CIDR 块，但只要有任何 CIDR 块重叠，都无法创建 VPC 对等连接

这个限制也适用于具有非重叠 IPv6 CIDR 块的 VPC。即使您打算只将 VPC 对等连接用于 IPv6 通信，如果 VPC 具有匹配或重叠的 IPv4 CIDR 块，您也无法创建 VPC 对等连接。

其次，对等连接是不支持传递的，这个我们前面也讲过。

如果VPC A 和 B ,VPC A和C 分别创建了VPC对等连接， VPC B 是无法通过 VPC A 访问 VPC C的， VPC B如果需要与 VPC C通讯则必须在他们之间创建VPC对等连接。

最后，不支持边界到边界的路由。这是什么意思呢？

我举几个例子，如图，VPC A 和 VPC B建立了对等连接，VPC A 通过VPN或者DX专线连接到了企业的网络，企业的网络流量可以访问VPC A，VPC A可以通过对等连接访问VPC B ，但是来自企业的网络流量是无法通过与VPC A连接的VPN或者DX专线 访问 VPC B的，原因是不支持边界到边界的路由。

同样我们在看一个案例，VPC A 和 VPC B建立了对等连接，VPC A中有一个互联网网关，VPC B是无法通过与VPC A的对等连接，使用VPC A中的互联网网关访问internet的。

可能考试中会有类似的题目，比如组织中设置一个中心的VPC，然后在中心的VPC中配置一个NAT网关和互联网网关，然后在创建多个分支VPC，并与这个中心的VPC分别创建VPC对等连接，然后其他的分支VPC中的实例，能否通过与中心VPC的对等连接，通过中心VPC的NAT网关以及互联网网关访问internet呢，这个方式是否可行？这是一个无效的配置，因为VPC对等连接不支持边界到边界的路由。

所以综上，大家一定要记住，在VPC对等关系中的任一VPC 具有的VPN连接、DX连接、互联网网关、NAT网关、网关终端节点，是无法扩展到另一向对等连接中，因为VPC对等连接是不支持边界到边界的路由的。

例如，如果 VPC A 和 VPC B 建立了对等连接，并且 VPC A 具有以上这些任一连接或资源， VPC B 中的实例是无法使用该对等连接 来访问VPC A中的这些资源的。

好的，以上就是我们今天的VPC对等连接的内容，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

如果您想获取本课程全部课时，请扫PPT的二维码加入。AWS爱好者的网址是http://www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

相关标签：