OpenVPN通常使用私有IP地址范围10.8.0.0/24。 如果我想创build一个10.8.0.0/16的vpc,我怎样才能防止DNS(或者它是DHCP)服务器分配地址从OenVPN的范围?
到目前为止,我只能看到围绕该范围创build子网,并只将实例放在这些子网中,而不是在父VPC范围内。 (反正这可能不可能)?
Amazon VPC的networking基础架构假设与VPC关联的超级networking中的所有地址空间都位于VPC 内部 ,并与实例接口相关联。 您的VPN位于一个实例的“另一侧”,不在VPC的“内部”。
因此,如果您希望VPN工作, 则无法将您的VPNconfiguration为使用VPC地址块内的任何子网,因为VPC路由表不会接受您需要的静态路由,以便实现stream量绑定使得VPN可以从除主持VPN之外的任何其他实例进行路由。 VPC超网中所有子网的路由只是隐含的; 如果冲突,显式路由不被接受,并且到VPC地址空间中的子网的路由总是冲突的。
10.8.0.0/16包含10.8.0.0/24,这样就不能工作。 如果你的VPC是10.8.0.0/16,你的VPN将需要是其他的东西,不重叠,如10.10.10.0/24。 然后,在VPC路由表中添加一条静态路由,将该子网路由到用作VPN服务器的实例的实例ID。
因此,由于VPCnetworking基础设施的devise性质,无意之间的冲突几乎是不可能的。