2 个 AWS 区域之间的 VPC 访问

Posted 2023-02-22

【中文标题】2 个 AWS 区域之间的 VPC 访问

【英文标题】：VPC Access between 2 AWS Regions

【发布时间】：2017-05-29 22:16:32

【问题描述】：

我有 2 个 Kubernetes 集群在两个不同的 AWS 区域运行。我正在寻找一些解决方案，以便在两个不同区域的两个 VPC 之间建立连接。

我听说过 AWS *** 连接，但不确定它是否适用于不同地区的 VPC？此外，如果它有效，那么我应该将客户网关放在哪里以及将虚拟私有网关放在哪里？

有没有办法做到这一点？

【问题讨论】：

本文提供了一些高级选项：aws.amazon.com/answers/networking/…

【参考方案1】：

自 2017 年 11 月 29 日起，区域间 VPC 对等互连已在 AWS 美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）和欧洲（爱尔兰）推出，其他区域的支持即将推出。

Announcement here

2018-03-23 更新

自 2018 年 2 月 20 日起，跨区域 VPC 对等互连在美国西部（加利福尼亚北部）、欧洲（伦敦）、欧洲（巴黎）、亚太地区（孟买）、亚太地区（悉尼）、亚太地区（新加坡）推出、亚太地区（东京）、加拿大（中部）和南美洲（圣保罗）区域以及 AWS 美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、AWS 欧洲（爱尔兰）、美国西部（俄勒冈）区域。

Announcement here

【参考方案2】：

很好的问题，我认为 AWS 的许多客户都想要区域对等功能。目前，此功能不是 AWS 的原生托管服务。但是，您可以自己实现它。 Rackspace 提供了一个很好的入门指南：How To Build Fault Tolerant Cross-Region AWS Virtual Private Cloud Communication

你基本上有三个选择：

软件： 使用类似 openswan 的工具在 VPC-Region A 和 VPC-Region B 之间连接一个 ipsec 隧道。此 AWS 文档对此进行了说明：Connecting Multiple VPCs with EC2 Instances (IPSec)

硬件： 在这种情况下，您自己的数据中心中的硬件路由器将维护一个到 VPC 区域 A 中的 VGW 的 ipsec 隧道和第二个到 VPC 区域 A 中的 VGW 的 ipsec 隧道VPC-Region B。VGW 是一个虚拟专用网关，基本上是连接 AWS 端的一个 *** 集中器。客户网关将是您自己数据中心中的路由器。

组合： 以上两种方法的组合，您可以在 VPC-Region A 中拥有一个运行 Sophos UTM（或类似软件）的实例，通过 ipsec 隧道连接到位于VPC-Region B。这在 AWS 文档中进行了解释：Connecting multiple VPCs with Astaro Security Gateway

AZ 内 VPC 对等：要提供有关在 AWS 中作为托管服务提供的 VPC 对等类型的更多说明，您还应该了解 AZ 内 VPC 对等。在 AWS 中，可用区是一组单独的容错基础设施（可以是物理上不同的数据中心，或具有不同公用设施连接、发电机组、路由器等的数据大厅）。 AZ 被分组为区域。如果您的用例适合区域内 VPC，您可以利用 VPC 对等互连，这是一项 AWS 托管服务。见文档：VPC Peering