Gateway Direct Connect - AWS Direct Connect
Associazioni di gateway privati virtualiAssociazioni di gateway privati virtuali tra accountAssociazioni di gateway di transitoAssociazioni di gateway di transito tra accountCreazione di un gateway Direct ConnectEliminazione di gateway Direct ConnectMigrazione da un gateway virtuale privato a un gateway Direct Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gateway Direct Connect

Usa il AWS Direct Connect gateway per connettere i tuoi VPC. È possibile associare un gateway AWS Direct Connect con uno dei seguenti gateway:

  • Un gateway di transito quando si dispone di più VPC nella stessa regione

  • Un gateway virtuale privato

Puoi anche utilizzare un gateway privato virtuale per estendere la tua zona locale. Questa configurazione consente al VPC associato alla zona locale di connettersi a un gateway Direct Connect. Il gateway Direct Connect si connette a una posizione Direct Connect in una regione. Il data center on-premise dispone di una connessione Direct Connect alla posizione Direct Connect. Per ulteriori informazioni, consulta Accedere alle zone locali usando un gateway Direct Connect nella Guida per l'utente di Amazon VPC.

Un gateway Direct Connect è una risorsa disponibile in tutto il mondo. Puoi connetterti a qualsiasi regione a livello globale utilizzando un gateway Direct Connect. Ciò include AWS GovCloud (US) ma non include le regioni della AWS Cina.

I clienti che utilizzano Direct Connect con VPC che attualmente bypassano una zona di disponibilità principale non saranno in grado di migrare le proprie connessioni Direct Connect o le interfacce virtuali.

Il gateway Direct Connect può essere utilizzato nei seguenti scenari.

Un gateway Direct Connect non consente alle associazioni gateway che si trovano nello stesso gateway Direct Connect di inviare traffico reciproco (ad esempio, da un gateway privato virtuale a un altro gateway privato virtuale). Un'eccezione a questa regola, implementata a novembre 2021, è quando una supernet viene pubblicizzata su due o più VPC, i cui gateway privati virtuali (VGW) collegati sono associati allo stesso gateway Direct Connect e sulla stessa interfaccia virtuale. In questo caso, i VPC possono comunicare tra loro tramite l'endpoint Direct Connect. Ad esempio, se pubblicizzi una supernet (ad esempio 10.0.0.0/8 o 0.0.0.0/0) che si sovrappone ai VPC collegati a un gateway Direct Connect (ad esempio 10.0.0.0/24 e 10.0.1.0/24) e sulla stessa interfaccia virtuale, dalla rete on-premise i VPC possono comunicare tra loro.

Se desideri bloccare la comunicazione da VPC a VPC all'interno di un gateway Direct Connect, procedi nel seguente modo:

  1. Configura gruppi di sicurezza sulle istanze e altre risorse nel VPC per bloccare il traffico tra i VPC, utilizzandoli anche come parte del gruppo di sicurezza predefinito nel VPC.

  2. Evita di pubblicizzare una supernet dalla tua rete on-premise che si sovrappone ai VPC. Puoi invece pubblicizzare percorsi più specifici dalla tua rete on-premise che non si sovrappongano ai tuoi VPC.

  3. Effettua il provisioning di un singolo gateway Direct Connect per ogni VPC che desideri connettere alla tua rete on-premise invece di utilizzare lo stesso gateway Direct Connect per più VPC. Ad esempio, anziché utilizzare un singolo gateway Direct Connect per i VPC di sviluppo e produzione, utilizza gateway Direct Connect separati per ciascuno di questi VPC.

Un gateway Direct Connect non impedisce di inviare del traffico da un'associazione gateway all'associazione gateway stessa (ad esempio quando disponi di una route supernet on-premise che contiene i prefissi dell'associazione gateway). Se disponi di una configurazione con più VPC collegati a gateway di transito associati allo stesso gateway Direct Connect, i VPC potrebbero comunicare. Per evitare che i VPC comunichino, associa una tabella di routing agli allegati VPC su cui è impostata l'opzione blackhole.

Il gateway Direct Connect può essere utilizzato nei seguenti scenari.

Associazioni di gateway privati virtuali

Nel diagramma seguente, il gateway Direct Connect consente di utilizzare la connessione AWS Direct Connect nella regione Stati Uniti orientali (Virginia settentrionale) per accedere ai VPC del proprio account nelle regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti occidentali (California settentrionale).

Ogni VPC dispone di un gateway privato virtuale che si connette al gateway Direct Connect utilizzando un'associazione di gateway privati virtuali. Il gateway Direct Connect utilizza un'interfaccia virtuale privata per la connessione alla AWS Direct Connect posizione. È disponibile una connessione AWS Direct Connect dalla posizione al data center del cliente.

Un gateway Direct Connect che collega i VPC in due AWS regioni e il tuo data center.

Associazioni di gateway privati virtuali tra account

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L'Account A e l'Account B vogliono utilizzare il gateway Direct Connect, quindi ciascuno di essi invia una proposta di associazione all'Account Z. Quest'ultimo accetta le proposte di associazione e ha la possibilità di aggiornare i prefissi consentiti dal gateway privato virtuale dell'Account A o dell'Account B. Una volta che l'Account Z avrà accettato le proposte, l'Account A e l'Account B potranno instradare il traffico dal loro gateway privato virtuale al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.

Un gateway Direct Connect che collega tre Account AWS persone e il tuo data center.

Associazioni di gateway di transito

Il seguente diagramma illustra il modo in cui il gateway Direct Connect consente di creare un'unica connessione alla connessione Direct Connect che può essere utilizzata da tutti i VPC.

Un gateway Direct Connect associato a un gateway di transito con più allegati VPC.

La soluzione prevede i seguenti componenti:

  • Un gateway di transito che dispone di allegati VPC.

  • Un gateway Direct Connect.

  • Un'associazione tra il gateway Direct Connect e il gateway di transito.

  • Un'interfaccia virtuale di transito collegata al gateway Direct Connect.

Questa configurazione offre i seguenti vantaggi. È possibile:

  • Gestire un'unica connessione per più VPC o VPN che si trovano nella stessa regione.

  • Pubblicizza i prefissi dall'ambiente locale a quello locale e viceversa. AWS AWS

Per ulteriori informazioni su come configurare i gateway di transito, consulta Lavorare con i gateway di transito nella Guida di gateway di transito per Amazon VPC.

Associazioni di gateway di transito tra account

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L’Account A è proprietario del gateway di transito e desidera utilizzare il gateway Direct Connect. L’Account Z accetta le proposte di associazione e può facoltativamente aggiornare i prefissi che sono consentiti dal gateway di transito dell’Account A. Una volta che l’Account Z ha accettato le proposte, i VPC collegati al possono instradare il traffico dal gateway di transito al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.

Un gateway Direct Connect Account AWS associato a un gateway di transito di un altro Account AWS.

Creazione di un gateway Direct Connect

È possibile creare un gateway Direct Connect in qualsiasi Regione supportata.

Per creare un gateway Direct Connect

  1. Apri la AWS Direct Connectconsole all'indirizzo https://console.aws.amazon.com/directconnect/v2/home.

  2. Nel riquadro di navigazione, scegliere Direct Connect Gateways (Gateway Direct Connect).

  3. Scegliere Create Direct Connect gateway (Crea gateway Direct Connect).

  4. Specificare le informazioni riportate di seguito e scegliere Create Direct Connect gateway (Crea gateway Direct Connect).

    • Name (Nome): immettere un nome per semplificare l'identificazione del gateway Direct Connect.

    • Amazon side ASN (ASN lato Amazon): specificare l'ASN per il lato Amazon della sessione BGP. L'ASN deve essere un valore incluso nell'intervallo tra 64.512 e 65.534 oppure tra 4.200.000.000 e 4.294.967.294.

    • Virtual private gateway (Gateway privato virtuale): per poterlo associare, è necessario scegliere un gateway privato virtuale.

Per creare un gateway Direct Connect utilizzando l'API o la riga di comando

Eliminazione di gateway Direct Connect

Se non è più necessario un gateway Direct Connect, è possibile eliminarlo. È necessario innanzitutto annullare l'associazione di tutti i gateway privati virtuali associati ed eliminare l'interfaccia virtuale privata collegata.

Per eliminare un gateway Direct Connect

  1. Apri la AWS Direct Connectconsole all'indirizzo https://console.aws.amazon.com/directconnect/v2/home.

  2. Nel riquadro di navigazione, scegliere Direct Connect Gateways (Gateway Direct Connect).

  3. Selezionare i gateway, quindi scegliere Delete (Elimina).

Per eliminare un gateway Direct Connect utilizzando l'API o la riga di comando

Migrazione da un gateway virtuale privato a un gateway Direct Connect

Se hai un gateway virtuale privato collegato a un'interfaccia virtuale e desideri eseguire la migrazione a un gateway Direct Connect, procedi nel seguente modo:

Per eseguire la migrazione a un gateway Direct Connect

  1. Creare un gateway Direct Connect. Per ulteriori informazioni, consulta Creazione di un gateway Direct Connect.

  2. Creare un'interfaccia virtuale per il gateway Direct Connect. Per ulteriori informazioni, consulta Creazione di un'interfaccia virtuale..

  3. Associare il gateway virtuale privato al gateway Direct Connect. Per ulteriori informazioni, consulta Associazione e annullamento dell'associazione di gateway virtuali privati.

  4. Eliminare l'interfaccia virtuale associata al gateway virtuale privato. Per ulteriori informazioni, consulta Eliminazione di interfacce virtuali.