AWS Cloudformation两个公共VPC之间的VPCPeeringConnection连接

Question

我有很大的AWS Cloudformation，并且有任务将一些资源与两个VPC分开。两者都应该与公共资源和相同的可用区域中。他们可以使用相同的InternetGateway。这只是额外的安全任务。

而我有点困惑。

从例子我看到，我应该用VPCPeeringConnection这样的：

"myVPCPeeringConnection": { 
     "Type": "AWS::EC2::VPCPeeringConnection", 
     "Properties": { 
      "VpcId": {"Ref": "myVPC"}, 
      "PeerVpcId": {"Ref": "myPrivateVPC"} 
     } 
} 

但他们把资源公共和私人之间的对等，我需要在VPC的公共资源之间的同行两项。

我应该为他们每个创建单独的子网，RouteTable，InternetGateway，VPCGatewayAttachment，PublicNetworkAcl，路由吗？ 或者我可以将它们全部用于两者？

谢谢！

Answer 1

tl; dr - 为两个VPC提供它们各自所需的所有资源的独立集合。

他们可以使用相同的Internet网关。

不，他们不能。互联网网关，NAT实例，NAT网关，VPN，直接连接和VPC服务端点不能在对等连接中共享。

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#edge-to-edge-vgw

这同样适用于路由表真。在对等VPC中，路由表必须不同，因为每个VPC都需要路由指向另一个VPC。

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#route-tables-vpc-peering

而且，当然，在每个VPC子网也必须不重叠，或者对等是不可能的。

但他们把公共和私人之间的对等关系，我需要在公共VPC之间同行两个。

这是任意的术语。对于VPC，没有任何“公共”或“私人”的区别。

无论VPC是公开还是私密的，都只是一个与您如何使用VPC相关的任意指定 - 例如，您可能在VPC中拥有一个VPC中的数据库，并将其称为“私有”和Web服务器称为“公共”，但两种“不同”类型的VPC之间没有明确的技术区别。