在 AWS 上构建多 VPC 架构
发布: (2026年5月2日 GMT+8 15:37)
4 分钟阅读
原文: Dev.to
Source: Dev.to
介绍
当人们开始学习云网络时,通常会先从单个 VPC 入手。
组织会将工作负载进行分离,以实现:
- 安全性
- 可扩展性
- 团队隔离
- 环境分段(开发、预发布、生产)
随后常会出现一个问题:这些被隔离的网络如何安全地相互通信?
本实操项目正是围绕这个问题展开。
在本指南中,你将:
- 创建两个独立的 VPC
- 在每个 VPC 中设计公共子网和私有子网
- 建立 VPC 对等连接(Peering)
- 配置路由表以实现通信
完成后,你将拥有一个基本的多 VPC 架构,类似于真实生产环境中使用的方案。
涉及的核心网络概念
- 网络隔离
- CIDR 块设计
- 网络间路由
- 无互联网的私有通信
这些技能是云工程师、DevOps 工程师和解决方案架构师的基础。
架构概览
VPC-A (10.10.0.0/16) VPC-B (10.20.0.0/16)
---------------------- ----------------------
Public Subnet Public Subnet
Private Subnet Private Subnet
| |
-------- VPC Peering -------不需要 Internet Gateway 或 NAT Gateway;此方案仅用于内部通信。
步骤实现
1. 创建 VPC‑A
- 名称: VPC‑A
- CIDR 块:
10.10.0.0/16
2. 在 VPC‑A 中创建子网
| 子网类型 | CIDR 块 |
|---|---|
| 公共子网 | 10.10.1.0/24 |
| 私有子网 | 10.10.2.0/24 |
3. 创建 VPC‑B
- 名称: VPC‑B
- CIDR 块:
10.20.0.0/16
4. 在 VPC‑B 中创建子网
| 子网类型 | CIDR 块 |
|---|---|
| 公共子网 | 10.20.1.0/24 |
| 私有子网 | 10.20.2.0/24 |
5. 创建 VPC 对等连接
- 打开 VPC 仪表板 → 对等连接。
- 点击 创建对等连接。
- 将 VPC‑A 设为请求方,VPC‑B 设为接受方。
- 创建后接受该请求。
6. 配置路由表
VPC‑A 路由表
| 目标 | 下一跳 |
|---|---|
10.20.0.0/16 | VPC 对等连接 |
VPC‑B 路由表
| 目标 | 下一跳 |
|---|---|
10.10.0.0/16 | VPC 对等连接 |
如果没有这些路由,即使对等连接已建立,流量也不会转发。
7. 验证连通性
- 在每个 VPC 的私有子网中启动 EC2 实例。
- 从一台实例 ping 另一台实例的私有 IP。
若配置正确,实例之间应能够成功通信。
重要注意事项
- 无传递路由: A → B → C 不会自动生效;每个对等关系都必须显式定义。
- CIDR 块不能重叠。
- 每条路由都需手动配置,以实现所需的流量走向。
本项目教会你的内容
- 真实世界中如何对架构进行分段。
- 云网络与传统网络的区别。
- 路由如何实现隔离网络之间的通信。
- 设计安全、隔离系统的方法。
实际使用场景
- 连接开发环境和生产环境。
- 将应用层级分离(例如 Web 层与数据库层)。
- 多团队架构,每个团队拥有自己的 VPC。
- 跨 VPC 的微服务通信。