AWS Cloudformation VPCPeeringConnection между двумя публичными VPC

Question

У меня есть большая облачная информация AWS и есть задача выделить некоторые ресурсы с двумя VPC. Оба должны быть с государственными ресурсами и в тех же зонах доступности. Они могут использовать тот же InternetGateway. Это просто дополнительная задача безопасности.

И я немного смущен.

Из примеров я вижу, что я должен использовать VPCPeeringConnection так:

"myVPCPeeringConnection": { 
     "Type": "AWS::EC2::VPCPeeringConnection", 
     "Properties": { 
      "VpcId": {"Ref": "myVPC"}, 
      "PeerVpcId": {"Ref": "myPrivateVPC"} 
     } 
} 

Но они ставят вглядываясь между ресурсами, государственными и частными, и мне нужно, чтобы всмотреться два между государственными ресурсами в VPC-х.

Должен ли я создать для каждой из них отдельные подсети, RouteTable, InternetGateway, VPCGatewayAttachment, PublicNetworkAcl, Route тоже? Или я могу использовать их все для обоих?

Спасибо!

Answer 1

tl; dr - Предоставить двум VPC свои собственные независимые наборы всех ресурсов, которые необходимы каждому из них.

Они могут использовать один и тот же Интернет-шлюз.

Нет, они не могут. Интернет-шлюзы, NAT-экземпляры, NAT-шлюзы, VPN-серверы, Direct Connect и конечные точки службы VPC не могут использоваться совместно с пиринговыми соединениями.

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#edge-to-edge-vgw

То же самое верно и для таблиц маршрутизации. При просмотре VPC таблицы маршрутов обязательно должны быть разными, поскольку каждому VPC нужны маршруты, чтобы указывать на другой.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#route-tables-vpc-peering

И, конечно же, подсеть в каждом VPC также не должны пересекаться или пиринг невозможно.

Но они закладывают между публичными и частными, и мне нужно заглянуть два между публичными VPC.

Это произвольная терминология. На самом деле не существует такого различия, как «публичный» или «частный» в отношении VPC.

Независимо от того, является ли VPC consideree общедоступным или приватным, это просто произвольное обозначение, связанное с тем, как вы используете VPC - вы можете, например, иметь базы данных в VPC, которые вы называете «частными» и веб-серверами в VPC, вы называть «общественностью», но нет четкого технического различия между двумя «разными» типами VPC.