AWS Cloudformation兩個公共VPC之間的VPCPeeringConnection連接

Question

我有很大的AWS Cloudformation，並且有任務將一些資源與兩個VPC分開。兩者都應該與公共資源和相同的可用區域中。他們可以使用相同的InternetGateway。這只是額外的安全任務。

而我有點困惑。

從例子我看到，我應該用VPCPeeringConnection這樣的：

"myVPCPeeringConnection": { 
     "Type": "AWS::EC2::VPCPeeringConnection", 
     "Properties": { 
      "VpcId": {"Ref": "myVPC"}, 
      "PeerVpcId": {"Ref": "myPrivateVPC"} 
     } 
} 

但他們把資源公共和私人之間的對等，我需要在VPC的公共資源之間的同行兩項。

我應該爲他們每個創建單獨的子網，RouteTable，InternetGateway，VPCGatewayAttachment，PublicNetworkAcl，路由嗎？ 或者我可以將它們全部用於兩者？

謝謝！

Answer 1

tl; dr - 爲兩個VPC提供它們各自所需的所有資源的獨立集合。

他們可以使用相同的Internet網關。

不，他們不能。互聯網網關，NAT實例，NAT網關，VPN，直接連接和VPC服務端點不能在對等連接中共享。

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#edge-to-edge-vgw

這同樣適用於路由表真。在對等VPC中，路由表必須不同，因爲每個VPC都需要路由指向另一個VPC。

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#route-tables-vpc-peering

而且，當然，在每個VPC子網也必須不重疊，或者對等是不可能的。

但他們把公共和私人之間的對等關係，我需要在公共VPC之間同行兩個。

這是任意的術語。對於VPC，沒有任何「公共」或「私人」的區別。

無論VPC是公開還是私密的，都只是一個與您如何使用VPC相關的任意指定 - 例如，您可能在VPC中擁有一個VPC中的數據庫，並將其稱爲「私有」和Web服務器稱爲「公共」，但兩種「不同」類型的VPC之間沒有明確的技術區別。