OpenVPN 通常使用私有 IP 范围 10.8.0.0/24。如果我想创建 10.8.0.0/16 的 vpc,如何防止 DNS(或 DHCP)服务器分配 OenVPN 范围之外的地址?
到目前为止,我只能看到围绕该范围创建子网,并且只将实例放在这些子网中,而不是父 VPC 范围内。(这无论如何都是不可能的)?
答案1
Amazon VPC 的网络基础设施假设与 VPC 关联的超网中的所有地址空间都将里面与实例接口关联的 VPC。您的 VPN 位于一个实例的“另一侧”,并不位于 VPC 的“内部”。
因此,你不能如果您希望 VPN 正常工作,请配置 VPN 以使用 VPC 地址块内的任何子网,因为 VPC 路由表不会接受您需要的静态路由,以便从除托管 VPN 的实例之外的任何实例路由到 VPN 的流量。VPC 超网内所有子网的路由都是隐式的;如果显式路由与 VPC 地址空间中的子网发生冲突,则不接受显式路由,并且到 VPC 地址空间中子网的路由始终会冲突。
10.8.0.0/16 包含 10.8.0.0/24,因此这行不通。如果您的 VPC 是 10.8.0.0/16,则您的 VPN 必须是其他不重叠的地址,例如 10.10.10.0/24。然后,您需要在 VPC 路由表中添加静态路由,将该子网路由到充当 VPN 服务器的实例的实例 ID。
因此,根据 VPC 网络基础设施的设计性质,无意冲突几乎不可能发生。