Direct Connect-Gateways - AWS Direct Connect
Virtual Private Gateway-ZuordnungenKontenübergreifende Virtual Private Gateway-ZuordnungenTransit-Gateway-ZuordnungenKontenübergreifende Transit Gateway-ZuordnungenErstellen eines Direct Connect-GatewaysLöschen von Direct Connect-GatewaysMigrieren von einem Virtual Private Gateway zu einem Direct Connect-Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Direct Connect-Gateways

Verwenden Sie AWS Direct Connect das Gateway, um Ihre VPCs zu verbinden. Sie ordnen ein AWS Direct Connect -Gateway einem der folgenden Gateways zu:

  • Einem Transit Gateway, wenn sich mehrere VPCs in derselben Region befinden

  • Ein Virtual Private Gateway

Sie können auch ein Virtual Private Gateway verwenden, um Ihre Local Zone zu erweitern. Diese Konfiguration ermöglicht es der VPC, die mit der Local Zone verknüpft ist, eine Verbindung zu einem Direct-Connect-Gateway herzustellen. Das Direct-Connect-Gateway verbindet sich mit einem Direct-Connect-Standort in einer Region. Das lokale Rechenzentrum verfügt über eine Direct-Connect-Verbindung mit dem Direct-Connect-Standort. Weitere Informationen finden Sie unter Zugreifen auf Local Zones mithilfe eines Direct-Connect-Gateways im Amazon-VPC-Benutzerhandbuch.

Ein Direct Connect-Gateway ist eine global verfügbare Ressource. Sie können mit einem Direct-Connect-Gateway eine Verbindung zu jeder Region weltweit herstellen. Dies schließt die Regionen AWS Chinas ein, schließt sie AWS GovCloud (US) jedoch nicht ein.

Kunden, die Direct Connect mit VPCs verwenden, die derzeit eine übergeordnete Availability Zone umgehen, können ihre Direct-Connect-Verbindungen oder virtuellen Schnittstellen nicht migrieren.

Im Folgenden werden Szenarien beschrieben, in denen Sie ein Direct-Connect-Gateway verwenden können.

Ein Direct Connect-Gateway lässt nicht zu, dass Gateway-Zuordnungen, die sich auf demselben Direct Connect-Gateway befinden, einander Datenverkehr senden (z. B. ein Virtual Private Gateway an ein anderes Virtual Private Gateway). Eine Ausnahme von dieser Regel, die im November 2021 eingeführt wurde, ist, wenn ein Supernet über zwei oder mehr VPCs angekündigt wird, deren angeschlossene Virtual Private Gateways (VGW) demselben Direct-Connect-Gateway und derselben virtuellen Schnittstelle zugeordnet sind. In diesem Fall können VPCs über den Direct-Connect-Endpunkt miteinander kommunizieren. Wenn Sie beispielsweise ein Supernet (z. B. 10.0.0.0/8 oder 0.0.0.0/0) ankündigen, das sich mit den an ein Direct-Connect-Gateway angeschlossenen VPCs (z. B. 10.0.0.0/24 und 10.0.1.0/24) überschneidet und sich auf derselben virtuellen Schnittstelle befindet, können die VPCs von Ihrem lokalen Netzwerk aus miteinander kommunizieren.

Wenn Sie die VPC-zu-VPC-Kommunikation innerhalb eines Direct-Connect-Gateways blockieren möchten, gehen Sie wie folgt vor:

  1. Richten Sie Sicherheitsgruppen auf den Instances und anderen Ressourcen in der VPC ein, um den Verkehr zwischen VPCs zu blockieren, und verwenden Sie diese auch als Teil der Standardsicherheitsgruppe in der VPC.

  2. Vermeiden Sie es, in Ihrem lokalen Netzwerk ein Supernet anzukündigen, das sich mit Ihren VPCs überschneidet. Stattdessen können Sie spezifischere Routen in Ihrem On-Premises-Netzwerk ankündigen, die sich nicht mit Ihren VPCs überschneiden.

  3. Stellen Sie für jede VPC, die Sie mit Ihrem On-Premises-Netzwerk verbinden möchten, ein einzelnes Direct-Connect-Gateway bereit, anstatt dasselbe Direct-Connect-Gateway für mehrere VPCs zu verwenden. Anstatt beispielsweise ein einziges Direct-Connect-Gateway für Ihre Entwicklungs- und Produktions-VPCs zu verwenden, verwenden Sie separate Direct-Connect-Gateways für jede dieser VPCs.

Ein Direct-Connect-Gateway verhindert nicht, dass Datenverkehr von einer Gateway-Zuordnung zurück an die Gateway-Zuordnung selbst gesendet wird, wenn es beispielsweise eine On-Premise-Supernetroute gibt, die die Präfixe der Gateway-Zuordnung enthält. Wenn Sie eine Konfiguration mit mehreren VPCs haben, die mit Transit Gateways verbunden sind, die demselben Direct-Connect-Gateway zugeordnet sind, können die VPCs kommunizieren. Um zu verhindern, dass die VPCs kommunizieren, ordnen Sie den VPC-Anhängen, für die die Blackhole-Option aktiviert ist, eine Routing-Tabelle zu.

Im Folgenden werden Szenarien beschrieben, in denen Sie ein Direct-Connect-Gateway verwenden können.

Virtual Private Gateway-Zuordnungen

In der folgenden Abbildung können Sie mit dem Direct-Connect-Gateway Ihre AWS Direct Connect -Verbindung in der Region USA Ost (Nord-Virginia) verwenden, um auf VPCs in Ihrem Konto sowohl in den Regionen USA Ost (Nord-Virginia) als auch USA West (Nordkalifornien) zuzugreifen.

Jede VPC verfügt über ein Virtual Private Gateway, das über eine Virtual-Private-Gateway-Zuordnung eine Verbindung zum Direct-Connect-Gateway herstellt. Das Direct Connect-Gateway verwendet eine private virtuelle Schnittstelle für die Verbindung zum AWS Direct Connect Standort. Es besteht eine AWS Direct Connect -Verbindung vom Standort zum Kunden-Rechenzentrum.

Ein Direct Connect-Gateway, das VPCs in zwei AWS Regionen und Ihr Rechenzentrum verbindet.

Kontenübergreifende Virtual Private Gateway-Zuordnungen

Beispiel: Szenario mit einem Direct Connect-Gateway-Eigentümer (Konto Z), dem das Direct Connect-Gateway gehört. Konto A und Konto B möchten das Direct Connect-Gateway verwenden. Konto A und Konto B senden jeweils einen Verknüpfungsvorschlag an Konto Z. Dieses akzeptiert die Verknüpfungsvorschläge und kann optional auch die Präfixe aktualisieren, die vom Virtual Private Gateway von Konto A oder Konto B erlaubt werden. Nachdem Konto Z die Vorschläge akzeptiert hat, können Konto A und Konto B den Datenverkehr aus ihrem Virtual Private Gateway zum Direct Connect-Gateway leiten. Konto Z ist auch für das Routing an die Kunden verantwortlich, da Konto Z das Gateway gehört.

Ein Direct Connect-Gateway, das drei AWS-Konten Geräte mit Ihrem Rechenzentrum verbindet.

Transit-Gateway-Zuordnungen

In der folgenden Grafik ist dargestellt, wie das Direct-Connect-Gateway es Ihnen ermöglicht, eine einzige Verbindung zu Ihrer Direct-Connect-Verbindung zu erstellen, die dann von allen Ihren VPCs genutzt werden kann.

Ein Direct Connect-Gateway, das einem Transit-Gateway mit mehreren VPC-Anhängen zugeordnet ist.

Die Lösung umfasst die folgenden Komponenten:

  • Das Transit Gateway hat drei VPC-Anhänge.

  • Ein Direct-Connect-Gateway

  • Eine Zuordnung zwischen dem Direct-Connect-Gateway und dem Transit Gateway.

  • Eine dem Direct-Connect-Gateway angefügte virtuelle Transit-Schnittstelle

Diese Konfiguration bietet die folgenden Vorteile. Sie haben folgende Möglichkeiten:

  • Verwaltung einer einzigen Verbindung für mehrere VPCs oder VPNs, die sich in der gleichen Region befinden

  • Kündigen Sie Präfixe von lokal zu AWS und von AWS zu lokal an.

Weitere Informationen zur Konfiguration von Transit Gateways finden Sie unter Arbeiten mit Transit Gateways im Handbuch zu Transit Gateways von Amazon VPC.

Kontenübergreifende Transit Gateway-Zuordnungen

Beispiel: Szenario mit einem Direct Connect-Gateway-Eigentümer (Konto Z), dem das Direct Connect-Gateway gehört. Konto A ist Eigentümer des Transit Gateways und möchte das Direct-Connect-Gateway verwenden. Konto Z akzeptiert die Zuordnungsvorschläge und kann optional aktualisieren, welche Präfixe vom Transit Gateway von Konto A zulässig sind. Nachdem Konto Z die Vorschläge akzeptiert hat, können die dem Transit Gateway zugeordneten VPCs den Datenverkehr vom Transit Gateway zum Direct-Connect-Gateway weiterleiten. Konto Z ist auch für das Routing an die Kunden verantwortlich, da Konto Z das Gateway gehört.

Ein Direct Connect-Gateway von einem, das mit einem Transit-Gateway von einem anderen AWS-Konto verknüpft ist AWS-Konto.

Erstellen eines Direct Connect-Gateways

Sie können ein Direct-Connect-Gateway in einer beliebigen unterstützten Region erstellen.

So erstellen Sie ein Direct Connect-Gateway

  1. Öffnen Sie die AWS Direct ConnectKonsole unter https://console.aws.amazon.com/directconnect/v2/home.

  2. Wählen Sie im Navigationsbereich Direct Connect Gateways aus.

  3. Wählen Sie Create Direct Connect gateway (Direct Connect-Gateway erstellen) aus.

  4. Geben Sie die folgenden Informationen ein und wählen Sie Create Direct Connect gateway (Direct Connect-Gateway erstellen).

    • Name: Geben Sie einen Namen ein, der Ihnen bei der Identifizierung des Direct Connect-Gateways hilft.

    • ASN der Amazon-Seite: Geben Sie die ASN für die Amazon-Seite der BGP-Sitzung an. Die ASN muss zwischen 64.512 und 65.534 oder 4.200.000.000 und 4.294.967.294 liegen.

    • Virtual private Gateway (Virtual Private Gateway): Um ein Virtual Private Gateway zu verknüpfen, wählen Sie es aus.

So erstellen Sie ein Direct Connect-Gateway über die Befehlszeile oder API

Löschen von Direct Connect-Gateways

Wenn Sie ein Direct Connect-Gateway nicht mehr benötigen, können Sie es löschen. Sie müssen zunächst die Zuordnung aller Virtual Private Gateways aufheben und die angefügte private virtuelle Schnittstelle löschen.

So löschen Sie ein Direct Connect-Gateway

  1. Öffnen Sie die AWS Direct ConnectKonsole unter https://console.aws.amazon.com/directconnect/v2/home.

  2. Wählen Sie im Navigationsbereich Direct Connect Gateways aus.

  3. Wählen Sie die Gateways aus und klicken Sie auf Delete (Löschen).

So löschen Sie ein Direct Connect-Gateway über die Befehlszeile oder API

Migrieren von einem Virtual Private Gateway zu einem Direct Connect-Gateway

Wenn Sie ein Virtual Private Gateway an eine virtuelle Schnittstelle angefügt haben und zu einem Direct Connect-Gateway migrieren möchten, führen Sie die folgenden Schritte aus:

So migrieren Sie zu einem Direct Connect-Gateway

  1. Erstellen Sie ein Direct Connect-Gateway. Weitere Informationen finden Sie unter Erstellen eines Direct Connect-Gateways.

  2. Erstellen Sie eine virtuelle Schnittstelle für das Direct Connect-Gateway. Weitere Informationen finden Sie unter Eine virtuelle Schnittstelle erstellen.

  3. Verknüpfen Sie jedes Virtual Private Gateway mit dem Direct Connect-Gateway. Weitere Informationen finden Sie unter Zuordnen und Aufheben der Zuordnung von Virtual Private Gateways.

  4. Löschen Sie die virtuelle Schnittstelle, die dem Virtual Private Gateway zugeordnet war. Weitere Informationen finden Sie unter Virtuelle Schnittstellen entfernen.