Was ist AWS Site-to-Site VPN? - AWS Site-to-Site VPN
KonzepteSite-to-Site VPN-FunktionenSite-to-Site VPN-EinschränkungenSite-to-Site VPN-RessourcenPreisgestaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Site-to-Site VPN?

Standardmäßig kann eine Instance, die Sie in einer Amazon VPC starten, nicht mit Ihrem eigenen (Remote-) Netzwerk kommunizieren. Sie können den Zugriff auf Ihr Remote-Netzwerk von Ihrer VPC aus ermöglichen, indem Sie eine AWS Site-to-Site VPN (Site-to-Site VPN-) Verbindung herstellen und das Routing so konfigurieren, dass der Datenverkehr über die Verbindung weitergeleitet wird.

Obwohl der Begriff VPN-Verbindung ein allgemeiner Begriff ist, bezieht sich eine VPN-Verbindung in dieser Dokumentation auf die Verbindung zwischen Ihrer VPC und Ihrem eigenen lokalen Netzwerk. Site-to-Site VPN unterstützt Internet Protocol Security (IPsec) VPN-Verbindungen.

Konzepte

Im Folgenden sind die wichtigsten Konzepte für Site-to-Site VPN aufgeführt:

  • VPN-Verbindung: Eine sichere Verbindung zwischen Ihren Geräten vor Ort und Ihrem VPCs.

  • VPN-Tunnel: Eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder von AWS gelangen können.

    Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie für eine hohe Verfügbarkeit gleichzeitig verwenden können.

  • Kunden-Gateway: Eine AWS Ressource, die AWS Informationen zu Ihrem Kunden-Gateway-Gerät bereitstellt.

  • Kunden-Gateway-Gerät: Ein physisches Gerät oder eine Softwareanwendung auf Ihrer Seite der Site-to-Site VPN-Verbindung.

  • Ziel-Gateway: Ein allgemeiner Begriff für den VPN-Endpunkt auf der Amazon-Seite der Site-to-Site VPN-Verbindung.

  • Virtuelles privates Gateway: Ein virtuelles privates Gateway ist der VPN-Endpunkt auf der Amazon-Seite Ihrer Site-to-Site VPN-Verbindung, der an eine einzelne VPC angeschlossen werden kann.

  • Transit-Gateway: Ein Transit-Hub, der zur Verbindung mehrerer VPCs und lokaler Netzwerke sowie als VPN-Endpunkt für die Amazon-Seite der Site-to-Site VPN-Verbindung verwendet werden kann.

Site-to-Site VPN-Funktionen

Die folgenden Funktionen werden bei AWS Site-to-Site VPN Verbindungen unterstützt:

  • Internet Key Exchange Version 2 (IKEv2)

  • NAT-Traversierung

  • 4-Byte-ASN im Bereich 1—2147483647 für die Konfiguration eines Virtual Private Gateway (VGW). Weitere Informationen finden Sie unter Kunden-Gateway-Optionen für Ihre AWS Site-to-Site VPN Verbindung.

  • 2-Byte-ASN für Customer Gateway (CGW) im Bereich von 1—65535. Weitere Informationen finden Sie unter Kunden-Gateway-Optionen für Ihre AWS Site-to-Site VPN Verbindung.

  • CloudWatch Metriken

  • Wiederverwendbare IP-Adressen für Ihre Kunden-Gateways

  • Zusätzliche Verschlüsselungsoptionen; einschließlich AES 256-Bit-Verschlüsselung, SHA-2-Hash-Funktionen und zusätzliche Diffie-Hellman-Gruppen

  • Konfigurierbare Tunnel-Optionen

  • Benutzerdefinierte private ASN für die Amazon-Seite einer BGP-Sitzung

  • Privates Zertifikat von einer untergeordneten Zertifizierungsstelle von AWS Private Certificate Authority

  • Support für IPv6 Datenverkehr für VPN-Verbindungen auf einem Transit-Gateway

Site-to-Site VPN-Einschränkungen

Eine Site-to-Site VPN-Verbindung hat die folgenden Einschränkungen.

  • IPv6 Datenverkehr wird für VPN-Verbindungen auf einem Virtual Private Gateway nicht unterstützt.

  • Eine AWS VPN Verbindung unterstützt Path MTU Discovery nicht.

Beachten Sie bei der Verwendung von Site-to-Site VPN außerdem die folgenden Punkte.

  • Wenn Sie eine Verbindung VPCs zu einem gemeinsamen lokalen Netzwerk herstellen, empfehlen wir, dass Sie für Ihre Netzwerke CIDR-Blöcke verwenden, die sich nicht überschneiden.

Site-to-Site VPN-Ressourcen

Sie können Ihre Site-to-Site VPN-Ressourcen über eine der folgenden Schnittstellen erstellen, darauf zugreifen und sie verwalten:

  • AWS Management Console— Stellt eine Weboberfläche bereit, über die Sie auf Ihre Site-to-Site VPN-Ressourcen zugreifen können.

  • AWS Command Line Interface (AWS CLI) — Stellt Befehle für eine Vielzahl von AWS Diensten bereit, darunter Amazon VPC, und wird unter Windows, macOS und Linux unterstützt. Weitere Informationen finden Sie unter AWS Command Line Interface.

  • AWS SDKs— Stellt sprachspezifisch bereit APIs und kümmert sich um viele Verbindungsdetails, wie z. B. die Berechnung von Signaturen, die Bearbeitung von Wiederholungsversuchen von Anfragen und die Fehlerbehandlung. Weitere Informationen finden Sie unter AWS SDKs.

  • Abfrage-API – Bietet API-Aktionen auf niedriger Ebene, die Sie mithilfe von HTTPS-Anforderungen aufrufen. Die Verwendung der Abfrage-API ist die direkteste Möglichkeit für den Zugriff auf die Amazon VPC. Allerdings müssen dann viele technische Abläufe, wie beispielsweise das Erzeugen des Hashwerts zum Signieren der Anforderung und die Fehlerbehandlung in der Anwendung durchgeführt werden. Weitere Informationen finden Sie in der Amazon EC2 API-Referenz.

Preisgestaltung

Sie werden für jede VPN-Verbindungsstunde berechnet, in der Ihre VPN-Verbindung bereitgestellt und verfügbar ist. Weitere Informationen finden Sie unter AWS Site-to-Site VPN und unter Preise für Accelerated Site-to-Site VPN Connection.

Die Datenübertragung von Amazon ins Internet wird Ihnen EC2 in Rechnung gestellt. Weitere Informationen finden Sie unter Datenübertragung auf der Seite mit den Preisen auf Amazon EC2 On-Demand-Preise.

Wenn Sie eine beschleunigte VPN-Verbindung erstellen, erstellen und verwalten wir zwei Beschleuniger in Ihrem Namen. Ihnen werden ein Stundensatz und Datenübertragungskosten für jeden Beschleuniger in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Global Accelerator Preise.