详解命令行方式配置亚马逊AWS VPC对等连接

什么是VPC对等连接

VPC 对等连接是两个 VPC 之间的网络连接，通过此连接，您可以使用私有 IPv4 地址或 IPv6 地址在两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信，就像它们在同一网络中一样。您可以在自己的 VPC 之间创建 VPC 对等连接，或者在自己的 VPC 与其他 AWS 账户中的 VPC 之间创建连接。VPC 可位于不同区域内（也称为区域间 VPC 对等连接）。

配置VPC对等连接

1， 本次通过AWS CLI方式配置VPC对等连接，需要提前在IAM中建立ec2的用户策略，并在实例上通过aws configure配置用户的access key和Secret access key。本次测试的是同一个账户下跨region的vpc对等连接，两个region分别是孟买（ap-south-1）和新加坡（ap-southeast-1），对等连接的请求方是孟买，接受方是新加坡

2， 分别在两个region上配置好VPC，做好子网及路由表的配置，并将子网和路由表进行关联。

在孟买地区已开启的实例上执行创建VPC对等连接命令：aws ec2 create-vpc-peering-connection --vpc-id vpc-23926e4b --peer-vpc-id vpc-96a400f3 --peer-region ap-southeast-1。该命令中vpc-23926e4b为孟买地区的vpc，vpc-96a400f3为新加坡的vpc，执行完命令从输出入下入所示：

可以使用aws ec2 describe-vpc-peering-connections命令获取当前的对等连接：

3， 在新加坡地区已开启的实例上执行接受VPC对等连接命令：aws ec2 accept-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132，pcx-0ea10df72691ca132为获取到对等连接的ID，控制台输出如下：

此时在新加坡实例上执行aws ec2 describe-vpc-peering-connections命令，可以看到测试的对等连接的状态为active：

4， 分别在孟买和新加坡地区的路由表上添加对等连接路由。孟买实例执行：aws ec2 create-route --route-table-id rtb-60913608 --destination-cidr-block 172.31.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132，rtb-3608为孟买地区绑定子网的路由表，172.31.0.0/16为新加坡地区VPC子网端；新加坡同样执行：aws ec2 create-route --route-table-id rtb-5117a934 --destination-cidr-block 192.168.0.0/16 --vpc-peering-connection-id pcx-0ea10df72691ca132。控制台输出如图所示：

该显示表示创建成功，执行aws ec2 describe-route-tables来获取当前路由表的设置，如图：

5， 分别在两个地区的实例上添加自定义的安全组规则，本次测试为两台实例只允许对等连接的实例能够ping测试。孟买实例执行：aws ec2 authorize-security-group-ingress --group-id sg-a20c3dca --protocol icmp --port -1 --cidr 172.31.0.0/16；新加坡实例执行：aws ec2 authorize-security-group-ingress --group-id sg-088def4e6587262a4 --protocol icmp --port -1 --cidr 192.168.0.0/16。如下图所示，直接ping孟买实例的外网IP是失败的，但是内网IP可以。

此时对等连接建立完成。

6， 可以通过执行：aws ec2 delete-vpc-peering-connection --vpc-peering-connection-id pcx-0ea10df72691ca132来删除建立的对等连接。此时通过执行aws ec2 describe-vpc-peering-connections获取到的状态为deleted。

微信搜索“光环云社群”公众号，了解AWS最新资讯

微信搜索“光环云极客”小程序，加入我们一起推广AWS