Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Direct Connect
Meskipun VPN melalui internet adalah pilihan yang bagus untuk memulai, konektivitas internet mungkin tidak dapat diandalkan untuk lalu lintas produksi. Karena tidak dapat diandalkan ini, banyak pelanggan memilih AWS Direct Connect
Cara menghubungkan pusat data lokal Anda menggunakan AWS Direct Connect
-
Opsi 1: Buat antarmuka virtual pribadi (VIF) ke VGW yang terpasang ke VPC - Anda dapat membuat 50 VIF per koneksi Direct Connect, memungkinkan Anda untuk terhubung ke maksimum 50 VPC (satu VIF menyediakan konektivitas ke satu VPC). Ada satu BGP peering per VPC. Konektivitas dalam pengaturan ini dibatasi untuk Wilayah AWS tempat lokasi Direct Connect berada. one-to-one Pemetaan VIF ke VPC (dan kurangnya akses global) menjadikan ini cara yang paling tidak disukai untuk mengakses VPC di Zona Pendaratan.
-
Opsi 2: Buat VIF pribadi ke gateway Direct Connect yang terkait dengan beberapa VGW (setiap VGW dilampirkan ke VPC) - Gateway Direct Connect adalah sumber daya yang tersedia secara global. Anda dapat membuat gateway Direct Connect di Wilayah mana pun dan mengaksesnya dari semua Wilayah lain, termasuk GovCloud (tidak termasuk China). Direct Connect Gateway dapat terhubung hingga 20 VPC (melalui VGW) secara global di akun AWS apa pun melalui satu VIF pribadi. Ini adalah pilihan yang bagus jika Zona Pendaratan terdiri dari sejumlah kecil VPC (sepuluh atau lebih sedikit VPC) dan/atau Anda memerlukan akses global. Ada satu sesi peering BGP per Direct Connect Gateway per koneksi Direct Connect. Direct Connect gateway hanya untuk arus lalu lintas utara/selatan dan tidak mengizinkan konektivitas VPC-ke-VPC. Lihat asosiasi gateway pribadi virtual dalam AWS Direct Connect dokumentasi untuk detail selengkapnya. Dengan opsi ini, konektivitas tidak terbatas pada Wilayah AWS tempat lokasi Direct Connect berada. AWS Direct Connect gateway hanya untuk aliran utara/selatan dan tidak mengizinkan konektivitas VPC-ke-VPC. Pengecualian untuk aturan ini adalah ketika supernet diiklankan di dua atau lebih VPC yang memiliki VGW terlampir yang terkait dengan AWS Direct Connect gateway yang sama dan pada antarmuka virtual yang sama. Dalam hal ini, VPC dapat berkomunikasi satu sama lain melalui titik AWS Direct Connect akhir. Lihat dokumentasi AWS Direct Connect gateway untuk detail selengkapnya.
-
Opsi 3: Buat VIF transit ke gateway Direct Connect yang terkait dengan Transit Gateway — Anda dapat mengaitkan instance Transit Gateway ke gateway Direct Connect dengan menggunakan Transit VIF. AWS Direct Connect sekarang mendukung koneksi ke Transit Gateway untuk semua kecepatan port, memberikan pilihan yang lebih hemat biaya bagi pengguna Transit Gateway ketika koneksi berkecepatan tinggi (lebih besar dari 1Gbps) tidak diperlukan. Ini memungkinkan Anda untuk menggunakan Direct Connect pada kecepatan 50, 100, 200, 300, 400, dan 500 Mbps yang terhubung ke Transit Gateway. Transit VIF memungkinkan Anda menghubungkan pusat data lokal Anda ke hingga enam instans Transit Gateway per AWS Direct Connect gateway (yang dapat terhubung ke ribuan VPC) di berbagai Wilayah AWS dan akun AWS melalui peering VIF dan BGP transit tunggal. Ini adalah pengaturan paling sederhana di antara opsi untuk menghubungkan beberapa VPC dalam skala besar, tetapi Anda harus memperhatikan kuota Transit Gateway. Satu batasan utama yang perlu diperhatikan adalah Anda hanya dapat mengiklankan 200 awalan dari Transit Gateway ke router lokal melalui VIF transit. Dengan opsi sebelumnya, Anda membayar harga Direct Connect. Untuk opsi ini, Anda juga membayar biaya lampiran Transit Gateway dan pemrosesan data. Untuk informasi selengkapnya, lihat dokumentasi Asosiasi Transit Gateway di Direct Connect.
-
Opsi 4: Buat koneksi VPN ke Transit Gateway melalui VIF publik Direct Connect — VIF publik memungkinkan Anda mengakses semua layanan publik AWS dan titik akhir menggunakan alamat IP publik. Saat Anda membuat lampiran VPN di Transit Gateway, Anda mendapatkan dua alamat IP publik untuk titik akhir VPN di sisi AWS. IP publik ini dapat dijangkau melalui VIF publik. Anda dapat membuat koneksi VPN sebanyak mungkin ke instans Transit Gateway sebanyak yang Anda inginkan melalui VIF Publik. Saat Anda membuat BGP mengintip VIF publik, AWS mengiklankan seluruh rentang IP publik AWS ke router Anda. Untuk memastikan bahwa Anda hanya mengizinkan lalu lintas tertentu (misalnya, mengizinkan lalu lintas hanya ke titik akhir penghentian VPN), Anda disarankan untuk menggunakan fasilitas lokal firewall. Opsi ini dapat digunakan untuk mengenkripsi Direct Connect Anda di lapisan jaringan.
-
Opsi 5: Buat koneksi VPN ke Transit Gateway melalui AWS Direct Connect menggunakan Private IP VPN — Private IP VPN adalah fitur yang memberi pelanggan kemampuan untuk menerapkan koneksi AWS Site-to-Site VPN melalui Direct Connect menggunakan alamat IP pribadi. Dengan fitur ini, Anda dapat mengenkripsi lalu lintas antara jaringan lokal dan AWS melalui koneksi Direct Connect tanpa memerlukan alamat IP publik, sehingga meningkatkan keamanan dan privasi jaringan secara bersamaan. Private IP VPN digunakan di atas Transit VIF, sehingga memungkinkan Anda menggunakan Transit Gateway untuk pengelolaan terpusat VPC pelanggan dan koneksi ke jaringan lokal dengan cara yang lebih aman, pribadi, dan skalabel.
-
Opsi 6: Buat terowongan GRE ke Transit Gateway melalui VIF transit — Jenis lampiran Transit Gateway Connect mendukung GRE. Dengan Transit Gateway Connect, infrastruktur SD-WAN dapat terhubung secara native ke AWS tanpa harus menyiapkan VPN IPsec antara peralatan virtual jaringan SD-WAN dan Transit Gateway. Terowongan GRE dapat dibuat melalui VIF transit, memiliki Transit Gateway Connect sebagai tipe lampiran, memberikan kinerja bandwidth yang lebih tinggi dibandingkan dengan koneksi VPN. Untuk informasi lebih lanjut, lihat Simplify SD-WAN konektivitas dengan posting blog AWS Transit Gateway Connect
.
Opsi “transit VIF ke Direct Connect gateway” mungkin tampak sebagai pilihan terbaik karena memungkinkan Anda mengkonsolidasikan semua konektivitas lokal Anda untuk diberikan Wilayah AWS pada satu titik (Transit Gateway) menggunakan satu sesi BGP per koneksi Direct Connect; namun, beberapa batasan dan pertimbangan seputar opsi ini dapat mengarahkan Anda untuk menggunakan VIF pribadi dan transit bersamaan untuk persyaratan konektivitas Zona Pendaratan Anda.
Gambar berikut mengilustrasikan pengaturan sampel di mana Transit VIF digunakan sebagai metode default untuk menghubungkan ke VPC dan VIF pribadi digunakan untuk kasus penggunaan tepi di mana sejumlah besar data harus ditransfer dari Pusat Data lokal ke VPC media. VIF pribadi digunakan untuk menghindari biaya pemrosesan data Transit Gateway. Sebagai praktik terbaik, Anda harus memiliki setidaknya dua koneksi di dua lokasi Direct Connect yang berbeda untuk redundansi maksimum
Dengan opsi “Buat terowongan GRE ke Transit Gateway melalui VIF transit”, Anda mendapatkan kemampuan untuk menghubungkan infrastruktur SD-WAN Anda secara native dengan AWS. Ini menghilangkan kebutuhan untuk mengatur VPN IPsec antara peralatan virtual jaringan SD-WAN dan Transit Gateway.
Contoh arsitektur referensi untuk konektivitas hybrid
Gunakan akun Network Services untuk membuat sumber daya Direct Connect yang memungkinkan demarkasi batas administratif jaringan. Koneksi Direct Connect, gateway Direct Connect, dan Transit Gateway semuanya dapat berada di akun Layanan Jaringan. Untuk berbagi AWS Direct Connect konektivitas dengan Zona Pendaratan Anda, cukup bagikan Transit Gateway melalui AWS RAM akun lain.
Keamanan MACSec pada koneksi Direct Connect
Pelanggan dapat menggunakan enkripsi MAC Security Standard (MacSec) (IEEE 802.1AE) dengan koneksi Direct Connect mereka untuk koneksi khusus 10 Gbps dan 100 Gbps di lokasi tertentu.
AWS Direct Connect rekomendasi ketahanan
Dengan AWS Direct Connect, pelanggan dapat mencapai konektivitas yang sangat tangguh ke VPC Amazon dan sumber daya AWS mereka dari jaringan lokal mereka. Ini adalah praktik terbaik bahwa pelanggan terhubung dari beberapa pusat data untuk menghilangkan kegagalan lokasi fisik titik tunggal. Juga disarankan bahwa, tergantung pada jenis beban kerja, pelanggan menggunakan lebih dari satu koneksi Direct Connect untuk redundansi.
AWS juga menawarkan AWS Direct Connect Resiliency Toolkit, yang menyediakan wizard koneksi dengan beberapa model redundansi kepada pelanggan; untuk membantu mereka menentukan model mana yang paling sesuai dengan persyaratan perjanjian tingkat layanan (SLA) mereka dan merancang konektivitas hybrid mereka menggunakan koneksi Direct Connect yang sesuai. Untuk informasi lebih lanjut, lihat Rekomendasi AWS Direct Connect
Ketahanan
AWS Direct Connect SiteLink
Sebelumnya, mengonfigurasi site-to-site tautan untuk jaringan lokal Anda hanya dimungkinkan dengan menggunakan pengembangan sirkuit langsung melalui serat gelap atau teknologi lain, VPN IPSEC, atau dengan menggunakan penyedia sirkuit pihak ketiga dengan teknologi seperti MPLS,, atau sirkuit T1 lama. MetroEthernet Dengan munculnya SiteLink, pelanggan sekarang dapat mengaktifkan site-to-site konektivitas langsung untuk lokasi lokal mereka yang berakhir di suatu lokasi. AWS Direct Connect Gunakan sirkuit Direct Connect Anda untuk menyediakan site-to-site konektivitas tanpa harus merutekan lalu lintas melalui VPC Anda, melewati wilayah AWS sepenuhnya.
Sekarang, Anda dapat membuat pay-as-you-go koneksi global, andal, dan antara kantor dan pusat data di jaringan global Anda dengan mengirimkan data melalui jalur tercepat antar AWS Direct Connect lokasi.
Contoh arsitektur referensi untuk AWS Direct Connect SiteLink
Saat menggunakan SiteLink, pertama-tama Anda menghubungkan jaringan lokal Anda ke AWS di lebih dari 100 AWS Direct Connect lokasi di seluruh dunia. Kemudian, Anda membuat antarmuka virtual (VIF) pada koneksi tersebut dan mengaktifkan. SiteLink Setelah semua VIF dilampirkan ke AWS Direct Connect gateway yang sama (DXGW), Anda dapat mulai mengirim data di antara mereka. Data Anda mengikuti jalur terpendek antar AWS Direct Connect lokasi ke tujuannya, menggunakan jaringan global AWS yang cepat, aman, dan andal. Anda tidak perlu memiliki sumber daya apa pun Wilayah AWS untuk digunakan SiteLink.
Dengan SiteLink, DXGW mempelajari awalan IPv4/IPv6 dari router Anda melalui VIF yang SiteLink diaktifkan, menjalankan algoritma jalur terbaik BGP, memperbarui atribut seperti dan AS_Path, NextHop dan mengiklankan kembali awalan BGP ini ke sisa VIF Anda yang diaktifkan yang terkait dengan DXGW itu. SiteLink Jika Anda menonaktifkan SiteLink pada VIF, DXGW tidak akan mengiklankan awalan lokal yang dipelajari melalui VIF ini ke VIF berkemampuan lainnya. SiteLink Awalan lokal dari VIF yang SiteLink dinonaktifkan hanya diiklankan ke asosiasi Gateway DXGW, seperti instans AWS Virtual Private Gateways (VGW) atau Transit Gateway (TGW) yang terkait dengan DXGW.
Sitelink memungkinkan contoh arus lalu lintas
SiteLink memungkinkan pelanggan untuk menggunakan jaringan global AWS untuk berfungsi sebagai koneksi primer atau sekunder/cadangan antara lokasi jarak jauh mereka, dengan bandwidth tinggi dan latensi rendah, dengan perutean dinamis untuk mengontrol lokasi mana yang dapat berkomunikasi satu sama lain dan dengan sumber daya regional AWS Anda.
Untuk informasi lebih lanjut, lihat Memperkenalkan AWS Direct Connect SiteLink
