是否需要在发送和接收的VPC /子网中启用路由表才能使流量流动?AWS VPC对等和路由表
我已经配置了2个VPC,但我希望流量只能从VPC A向VPC B单向流动。这可能吗?
我玩过VPC和路由表,但必须在VPC A和B中配置路由表,以便它们可以通过VPC对等连接将流量路由到彼此。双向交通是唯一的解决方案,还是只有一个方向的交通才有可能?即只允许来自VPC A的请求,但允许VPC B返回响应。
我最初的设想是支持单向流量,因此我在VPC A中配置了路由表,以便可以通过VPC对等连接将流量路由到VPC B.但是由于VPC B中没有相应的路由,似乎ping响应无法找到返回VPC A的路由。
也有关于此的文档?我阅读了AWS文档(包括路由表基础知识),但似乎找不到解决我问题的任何内容。
文档:
从您的实例将流量发送到一个实例在使用专用IPv4地址的对等VPC中,您必须添加一条路由到与实例所在子网相关联的路由表。
...
其他VPC中的对等连接的所有者还必须添加到自己的子网的路由表中的路由直接交通回到您的VPC。
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-routing.html
路由表不直接告诉我网络如何启动连接到您的实例。他们还告诉我的情况如何回复当你尝试建立一个连接给我。另一方面也是如此。至少对于TCP和ICMP,两个方向都需要路由。 UDP可能没有路由对称性,但这仍然是错误的,因为传入的UDP消息可能会触发ICMP响应,所以即使在某些情况下它不是严格强制的,对称路由仍然是正确的。
您可以使用NACL来拒绝流量从一个到另一个流出。例如,VPC A具有NACL允许流出来VPC B和VPC B已在NaCl允许流入从VPC A.
Yeap将使用安全组或NACL或两者都可能,因为我们正在构建一个非常安全的系统。但现在我试图确认对等VPC +路由表的行为。 – n00b
Ryan Harris的回复非常重要。 TCP/IP是双向的 - 数据包必须在两个方向上流动。因此必须将RouteTable和NACL配置为允许来自两个VPC(或子网)的路由表和NACL。
我认为在所有消费级路由器使用NAT时会产生很大的混乱,并且在“允许”特定端口/应用程序时会自动生成相互规则。
好问题!在我看来,如果你没有双向流量,那么建立TCP会话将不起作用。我认为SYn/Ack进程会失败,但也许UDP通信会起作用。这只是我的猜想,不是一个权威的答案。我很好奇看到别人怎么看这个。 –