AWS Direct Connect  - Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur
MACSec-Sicherheit bei Direct Connect-VerbindungenAWS Direct Connect Empfehlungen zur ResilienzAWS Direct Connect SiteLink

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Direct Connect 

VPN über das Internet ist zwar eine hervorragende Option für den Einstieg, aber die Internetverbindung ist für den Produktionsverkehr möglicherweise nicht zuverlässig. Aufgrund dieser Unzuverlässigkeit entscheiden sich viele Kunden dafür AWS Direct Connect. AWS Direct Connect ist ein Netzwerkservice, der eine Alternative zur Nutzung des Internets für die Verbindung zu AWS bietet. Dabei werden Daten AWS Direct Connect, die zuvor über das Internet transportiert worden wären, über eine private Netzwerkverbindung zwischen Ihren Einrichtungen und AWS übertragen. In vielen Fällen können private Netzwerkverbindungen die Kosten senken, die Bandbreite erhöhen und ein einheitlicheres Netzwerkerlebnis bieten als internetbasierte Verbindungen. Es gibt mehrere Möglichkeiten, eine Verbindung AWS Direct Connect zu VPCs herzustellen:

Ein Diagramm, das zeigt, wie Sie Ihre lokalen Rechenzentren mithilfe von verbinden können AWS Direct Connect

Möglichkeiten zur Verbindung Ihrer lokalen Rechenzentren mit AWS Direct Connect

  • Option 1: Erstellen Sie eine private virtuelle Schnittstelle (VIF) zu einem an eine VPC angeschlossenen VGW — Sie können 50 VIFs pro Direct Connect-Verbindung erstellen, sodass Sie eine Verbindung zu maximal 50 VPCs herstellen können (eine VIF bietet Konnektivität zu einer VPC). Es gibt ein BGP-Peering pro VPC. Die Konnektivität in diesem Setup ist auf die AWS-Region beschränkt, in der sich der Direct Connect-Standort befindet. Aufgrund der one-to-one Zuordnung von VIF zu VPC (und des fehlenden globalen Zugriffs) ist dies die am wenigsten bevorzugte Methode für den Zugriff auf VPCs in der Landing Zone.

  • Option 2: Erstellen Sie eine private VIF für ein Direct Connect-Gateway, das mehreren VGWs zugeordnet ist (jedes VGW ist mit einer VPC verbunden) — Ein Direct Connect-Gateway ist eine weltweit verfügbare Ressource. Sie können das Direct Connect-Gateway in jeder Region erstellen und von allen anderen Regionen aus darauf zugreifen, einschließlich GovCloud (außer China). Ein Direct Connect Gateway kann über eine einzige private VIF eine Verbindung zu bis zu 20 VPCs (über VGWs) weltweit in jedem AWS-Konto herstellen. Dies ist eine hervorragende Option, wenn eine Landing Zone aus einer kleinen Anzahl von VPCs (zehn oder weniger VPCs) besteht und/oder Sie globalen Zugriff benötigen. Es gibt eine BGP-Peering-Sitzung pro Direct Connect Gateway pro Direct Connect-Verbindung. Das Direct Connect-Gateway ist nur für den Nord-Süd-Verkehr vorgesehen und ermöglicht keine VPC-zu-VPC-Konnektivität. Weitere Informationen finden Sie in der Dokumentation unter Virtual Private Gateway-Verknüpfungen. AWS Direct Connect Mit dieser Option ist die Konnektivität nicht auf die AWS-Region beschränkt, in der sich der Direct Connect-Standort befindet. AWS Direct Connect Das Gateway ist nur für den Nord-Süd-Verkehr vorgesehen und ermöglicht keine VPC-zu-VPC-Konnektivität. Eine Ausnahme von dieser Regel ist, wenn für ein Supernet über zwei oder mehr VPCs geworben wird, deren angeschlossene VGWs demselben Gateway und derselben virtuellen Schnittstelle zugeordnet sind. AWS Direct Connect In diesem Fall können VPCs über den Endpunkt miteinander kommunizieren. AWS Direct Connect Weitere Informationen finden Sie in der Dokumentation zu den AWS Direct Connect Gateways.

  • Option 3: Erstellen Sie eine Transit-VIF zu einem Direct Connect-Gateway, das mit Transit Gateway verknüpft ist — Sie können eine Transit Gateway Gateway-Instanz einem Direct Connect-Gateway zuordnen, indem Sie eine Transit-VIF verwenden. AWS Direct Connect unterstützt jetzt Verbindungen zu Transit Gateway für alle Portgeschwindigkeiten und bietet so eine kostengünstigere Wahl für Transit Gateway Gateway-Benutzer, wenn Hochgeschwindigkeitsverbindungen (mehr als 1 Gbit/s) nicht erforderlich sind. Auf diese Weise können Sie Direct Connect mit Geschwindigkeiten von 50, 100, 200, 300, 400 und 500 Mbit/s verwenden, um eine Verbindung zum Transit Gateway herzustellen. Transit VIF ermöglicht es Ihnen, Ihr lokales Rechenzentrum mit bis zu sechs Transit Gateway Gateway-Instances pro AWS Direct Connect Gateway (die sich mit Tausenden von VPCs verbinden können) in verschiedenen AWS-Regionen und AWS-Konten über ein einziges Transit-VIF- und BGP-Peering zu verbinden. Dies ist die einfachste Konfiguration unter den Optionen für die Verbindung mehrerer VPCs im großen Maßstab, aber Sie sollten die Transit Gateway Gateway-Kontingente beachten. Eine wichtige Einschränkung, die es zu beachten gilt, besteht darin, dass Sie nur 200 Präfixe von einem Transit Gateway an einen lokalen Router über die Transit-VIF ankündigen können. Bei den vorherigen Optionen zahlen Sie für die Direct Connect-Preise. Für diese Option zahlen Sie auch die Gebühren für den Transit Gateway Gateway-Anschluss und die Datenverarbeitung. Weitere Informationen finden Sie in der Dokumentation Transit Gateway Associations on Direct Connect.

  • Option 4: Stellen Sie eine VPN-Verbindung zu Transit Gateway über die öffentliche Direct Connect-VIF her — Eine öffentliche VIF ermöglicht Ihnen den Zugriff auf alle öffentlichen Dienste und Endpunkte von AWS über die öffentlichen IP-Adressen. Wenn Sie einen VPN-Anhang auf einem Transit Gateway erstellen, erhalten Sie auf AWS-Seite zwei öffentliche IP-Adressen für VPN-Endpunkte. Diese öffentlichen IPs sind über die öffentliche VIF erreichbar. Sie können über Public VIF beliebig viele VPN-Verbindungen zu beliebig vielen Transit Gateway Gateway-Instanzen herstellen. Wenn Sie ein BGP-Peering über die öffentliche VIF erstellen, gibt AWS Ihrem Router den gesamten öffentlichen AWS-IP-Bereich bekannt. Um sicherzustellen, dass Sie nur bestimmten Datenverkehr zulassen (z. B. nur Datenverkehr zu den VPN-Terminierungsendpunkten zulassen), wird empfohlen, eine Firewall vor Ort zu verwenden. Diese Option kann verwendet werden, um Ihren Direct Connect auf Netzwerkebene zu verschlüsseln.

  • Option 5: Stellen Sie AWS Direct Connect mithilfe von Private IP VPN eine VPN-Verbindung zu Transit Gateway her — Private IP VPN ist eine Funktion, die Kunden die Möglichkeit bietet, AWS-Site-to-Site-VPN-Verbindungen über Direct Connect mithilfe von privaten IP-Adressen bereitzustellen. Mit dieser Funktion können Sie den Datenverkehr zwischen Ihren lokalen Netzwerken und AWS über Direct Connect-Verbindungen verschlüsseln, ohne dass öffentliche IP-Adressen erforderlich sind, wodurch gleichzeitig die Sicherheit und der Netzwerkdatenschutz verbessert werden. Private IP VPN wird zusätzlich zu Transit VIFs bereitgestellt, sodass Sie Transit Gateway für die zentrale Verwaltung der Kunden-VPCs und Verbindungen zu den lokalen Netzwerken auf sicherere, privatere und skalierbarere Weise verwenden können.

  • Option 6: GRE-Tunnel zum Transit Gateway über eine Transit-VIF erstellen — Der Transit Gateway Connect-Anhangstyp unterstützt GRE. Mit Transit Gateway Connect kann die SD-WAN-Infrastruktur nativ mit AWS verbunden werden, ohne dass IPSec-VPNs zwischen virtuellen SD-WAN-Netzwerkgeräten und Transit Gateway eingerichtet werden müssen. Die GRE-Tunnel können über eine Transit-VIF eingerichtet werden, wobei Transit Gateway Connect als Verbindungstyp verwendet wird, was im Vergleich zu einer VPN-Verbindung eine höhere Bandbreitenleistung bietet. Weitere Informationen finden Sie im Blogbeitrag Simplify SD-WAN connectivity with AWS Transit Gateway Connect.

Die Option „Transit-VIF zum Direct Connect-Gateway“ scheint die beste Option zu sein, da Sie damit Ihre gesamte lokale Konnektivität für einen bestimmten AWS-Region Punkt (Transit Gateway) mithilfe einer einzigen BGP-Sitzung pro Direct Connect-Verbindung konsolidieren können. Einige der Einschränkungen und Überlegungen im Zusammenhang mit dieser Option können jedoch dazu führen, dass Sie sowohl private als auch Transit-VIFs zusammen für Ihre Landing Zone-Konnektivitätsanforderungen verwenden.

Die folgende Abbildung zeigt eine Beispielkonfiguration, bei der Transit-VIF als Standardmethode für die Verbindung zu VPCs verwendet wird und eine private VIF für einen Edge-Anwendungsfall verwendet wird, bei dem außergewöhnlich große Datenmengen von einem lokalen Rechenzentrum zur Medien-VPC übertragen werden müssen. Private VIF wird verwendet, um Datenverarbeitungsgebühren für Transit Gateway zu vermeiden. Als bewährte Methode sollten Sie für maximale Redundanz mindestens zwei Verbindungen an zwei verschiedenen Direct Connect-Standorten haben — insgesamt also vier Verbindungen. Sie erstellen eine VIF pro Verbindung für insgesamt vier private VIFs und vier Transit-VIFs. Sie können auch ein VPN als Backup-Konnektivität für Verbindungen erstellen. AWS Direct Connect

Mit der Option „GRE-Tunnel zum Transit Gateway über eine Transit-VIF erstellen“ erhalten Sie die Möglichkeit, Ihre SD-WAN-Infrastruktur nativ mit AWS zu verbinden. Dadurch entfällt die Notwendigkeit, IPSec-VPNs zwischen virtuellen SD-WAN-Netzwerkgeräten und Transit Gateway einzurichten.

Ein Diagramm, das ein Beispiel für eine Referenzarchitektur für Hybridkonnektivität darstellt

Beispiel für eine Referenzarchitektur für Hybridkonnektivität

Verwenden Sie das Network Services-Konto, um Direct Connect-Ressourcen zu erstellen, die die Abgrenzung der Netzwerkadministrationsgrenzen ermöglichen. Die Direct Connect-Verbindungen, Direct Connect-Gateways und Transit-Gateways können sich alle in einem Network Services-Konto befinden. Um die AWS Direct Connect Konnektivität mit Ihrer Landing Zone zu teilen, teilen Sie das Transit Gateway einfach AWS RAM mit anderen Konten.

MACSec-Sicherheit bei Direct Connect-Verbindungen

Kunden können die MAC Security Standard (MACsec) -Verschlüsselung (IEEE 802.1AE) mit ihren Direct Connect-Verbindungen für dedizierte Verbindungen mit 10 Gbit/s und 100 Gbit/s an ausgewählten Standorten verwenden. Mit dieser Funktion können Kunden ihre Daten auf Layer-2-Ebene sichern, und Direct Connect bietet point-to-point Verschlüsselung. Um die Direct Connect MACSec-Funktion zu aktivieren, stellen Sie sicher, dass die MACsec-Voraussetzungen erfüllt sind. Da MACSec Verbindungen auf einer hop-by-hop Basis schützt, muss Ihr Gerät eine direkte Layer-2-Nachbarschaft zu unserem Direct Connect-Gerät haben. Ihr Last-Mile-Anbieter kann Ihnen dabei helfen, zu überprüfen, ob Ihre Verbindung mit MACSec funktioniert. Weitere Informationen finden Sie unter Hinzufügen von MACSec-Sicherheit zu AWS Direct Connect Connect-Verbindungen.

AWS Direct Connect Empfehlungen zur Resilienz

Mit AWS Direct Connect können Kunden von ihren lokalen Netzwerken aus eine äußerst stabile Konnektivität zu ihren Amazon VPCs und AWS-Ressourcen erreichen. Es hat sich bewährt, dass Kunden von mehreren Rechenzentren aus Verbindungen herstellen, um Ausfälle einzelner physischer Standorte zu vermeiden. Es wird außerdem empfohlen, dass Kunden je nach Art der Workloads aus Redundanzgründen mehr als eine Direct Connect-Verbindung verwenden.

AWS bietet auch das AWS Direct Connect Resiliency Toolkit an, das Kunden einen Verbindungsassistenten mit mehreren Redundanzmodellen zur Verfügung stellt, der ihnen hilft, herauszufinden, welches Modell für ihre Service Level Agreements (SLA) am besten geeignet ist, und ihre Hybridkonnektivität mithilfe von Direct Connect-Verbindungen entsprechend zu gestalten. Weitere Informationen finden Sie unter Resiliency Recommendations.AWS Direct Connect

Bisher war die Konfiguration von site-to-site Links für Ihre lokalen Netzwerke nur mithilfe von direktem Verbindungsaufbau über Dark Fiber oder andere Technologien, IPSEC-VPNs, oder durch den Einsatz von Drittanbietern mit Technologien wie MPLS oder älteren T1-Verbindungen möglich. MetroEthernet Mit dem Aufkommen von können Kunden nun direkte site-to-site Konnektivität für ihren lokalen Standort aktivieren SiteLink, die an einem Standort endet. AWS Direct Connect Verwenden Sie Ihren Direct Connect-Circuit, um site-to-site Konnektivität bereitzustellen, ohne den Datenverkehr über Ihre VPCs leiten zu müssen, wodurch die AWS-Region vollständig umgangen wird.

Jetzt können Sie globale, zuverlässige pay-as-you-go Verbindungen zwischen den Niederlassungen und Rechenzentren in Ihrem globalen Netzwerk herstellen, indem Sie Daten über den schnellsten Weg zwischen AWS Direct Connect Standorten senden.

Ein Diagramm AWS Direct Connect SiteLink

Beispiel für eine Referenzarchitektur für AWS Direct Connect SiteLink

Bei der Nutzung SiteLink verbinden Sie zunächst Ihre lokalen Netzwerke mit AWS an einem der über 100 AWS Direct Connect Standorte weltweit. Anschließend erstellen Sie virtuelle Schnittstellen (VIFs) für diese Verbindungen und aktivieren sie. SiteLink Sobald alle VIFs an dasselbe AWS Direct Connect Gateway (DXGW) angeschlossen sind, können Sie mit dem Senden von Daten zwischen ihnen beginnen. Ihre Daten folgen dem kürzesten Weg zwischen den AWS Direct Connect Standorten zum Ziel und nutzen dabei das schnelle, sichere und zuverlässige globale AWS-Netzwerk. Sie benötigen keinerlei Ressourcen, um sie nutzen AWS-Region zu können SiteLink.

Damit SiteLink lernt das DXGW IPv4/IPv6-Präfixe von Ihren Routern über SiteLink aktivierte VIFs, führt den BGP-Best-Path-Algorithmus aus, aktualisiert Attribute wie NextHop und as_Path und gibt diese BGP-Präfixe erneut an die übrigen -fähigen VIFs weiter, die mit diesem DXGW verknüpft sind. SiteLink Wenn Sie sie SiteLink auf einer VIF deaktivieren, gibt das DXGW die erlernten lokalen Präfixe über diese VIF nicht an die anderen SiteLink -aktivierten VIFs weiter. Die lokalen Präfixe einer SiteLink deaktivierten VIF werden nur den DXGW Gateway-Zuordnungen wie AWS Virtual Private Gateways (VGWS) oder Transit Gateway (TGW) -Instances angekündigt, die dem DXGW zugeordnet sind.

Ein Diagramm mit Beispielen für den Sitelink-Verkehrsfluss

Beispiel für Sitelink ermöglicht Verkehrsflüsse

SiteLink ermöglicht es Kunden, das globale AWS-Netzwerk als primäre oder sekundäre/Backup-Verbindung zwischen ihren Remote-Standorten zu nutzen, mit hoher Bandbreite und geringer Latenz, mit dynamischem Routing zur Steuerung, welche Standorte miteinander und mit Ihren regionalen AWS-Ressourcen kommunizieren können.

Weitere Informationen finden Sie unter Einführung. AWS Direct Connect SiteLink