Usa il AWS Direct Connect Resiliency Toolkit AWS Direct Connect per configurare una resilienza elevata - AWS Direct Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa il AWS Direct Connect Resiliency Toolkit AWS Direct Connect per configurare una resilienza elevata

In questo esempio, il AWS Direct Connect Resiliency Toolkit viene utilizzato per configurare un modello ad alta resilienza

Passaggio 1: iscriviti a AWS

Per utilizzarlo AWS Direct Connect, hai bisogno di un AWS account se non ne hai già uno.

Registrati per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS
  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS
  1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

  2. Attiva l'autenticazione a più fattori (MFA) per il tuo utente root.

    Per istruzioni, consulta Abilitare un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Crea un utente con accesso amministrativo
  1. Abilita IAM Identity Center.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

  2. In IAM Identity Center, concedi l'accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con i valori predefiniti IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore
  • Per accedere con l'utente dell'IAMIdentity Center, utilizza l'accesso URL che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso tramite un utente di IAM Identity Center, consulta Accesso al portale di AWS accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti
  1. In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Fase 2: configurazione del modello di resilienza

Per configurare un modello ad elevata resilienza
  1. Apri la AWS Direct Connectconsole su v2/home. https://console.aws.amazon.com/directconnect/

  2. Nel riquadro di navigazione, scegli Connessioni, quindi Crea connessione.

  3. In Connection ordering type (Tipo di ordinamento connessione), scegliere Connection wizard (Procedura guidata di connessione).

  4. In Resiliency level (Livello di resilienza), scegliere High Resiliency (Resilienza elevata), quindi Next (Avanti).

  5. Nel riquadro Configure connections (Configura connessioni), in Connection settings (Impostazioni connessione), procedere come segue:

    1. Per bandwidth (Larghezza di banda), scegliere la larghezza di banda della connessione.

      Questa larghezza di banda si applica a tutte le connessioni create.

    2. Per il primo fornitore di servizi di localizzazione, seleziona la posizione appropriata AWS Direct Connect .

    3. Se applicabile, per First Sub Location (Sede secondaria principale), scegliere il piano più vicino a te o al provider di rete. Questa opzione è disponibile solo se la sede dispone di sale meet-me (MMRs) su più piani dell'edificio.

    4. Se hai selezionato Other (Altro) per First location service provider (Provider di servizi sede principale), per Name of other provider (Nome di altro provider), immetti il nome del partner utilizzato.

    5. Per Provider di servizi di seconda localizzazione, seleziona la sede appropriata AWS Direct Connect .

    6. Se applicabile, per Second Sub location (Seconda sede secondaria), scegliere il piano più vicino a te o al provider di rete. Questa opzione è disponibile solo se la sede dispone di sale meet-me (MMRs) su più piani dell'edificio.

    7. Se si seleziona Other (Altro) per Second location service provider (Provider di servizi di seconda sede), per Name of other provider (Nome di altro provider), immettere il nome del partner utilizzato.

    8. (Facoltativo) Aggiunta o rimozione di un tag.

      [Aggiungere un tag] Scegliere Add tag (Aggiungi tag) e procedere come segue:

      • In Chiave, immetti il nome della chiave.

      • In Valore, immetti il valore della chiave.

      [Rimuovere un tag] Accanto al tag, scegliere Remove tag (Rimuovi tag).

  6. Scegli Next (Successivo).

  7. Esaminare le connessioni, quindi scegliere Continue (Continua).

    Se LOAs sei pronto, puoi scegliere Scarica LOA, quindi fare clic su Continua.

    Possono essere necessarie fino a 72 ore AWS per esaminare la richiesta e fornire una porta per la connessione. Durante questo intervallo di tempo, potresti ricevere un'e-mail con una richiesta di ulteriori informazioni sul caso d'uso o sulla sede specificata. L'e-mail viene inviata all'indirizzo e-mail che hai utilizzato al momento della registrazione AWS. Devi rispondere entro 7 giorni o la connessione verrà eliminata.

Fase 3: creazione delle interfacce virtuali

Puoi creare un'interfaccia virtuale privata per connetterti al tuoVPC. In alternativa, puoi creare un'interfaccia virtuale pubblica per connetterti a AWS servizi pubblici che non si trovano in unVPC. Quando crei un'interfaccia virtuale privata per unVPC, hai bisogno di un'interfaccia virtuale privata per ogni interfaccia virtuale a VPC cui ti connetti. Ad esempio, hai bisogno di tre interfacce virtuali private per connetterti a treVPCs.

Prima di iniziare, assicurati di disporre delle informazioni riportate di seguito:

Risorsa Informazioni obbligatorie
Connessione Il gruppo di AWS Direct Connect connessione o aggregazione dei collegamenti (LAG) per il quale si sta creando l'interfaccia virtuale.
Nome dell'interfaccia virtuale Un nome per l'interfaccia virtuale.
Proprietario dell'interfaccia virtuale Se stai creando l'interfaccia virtuale per un altro account, hai bisogno dell' AWS ID dell'altro account.
(Solo interfaccia virtuale privata) Connessione Per connetterti a un VPC account nella stessa AWS regione, hai bisogno del gateway privato virtuale per la tuaVPC. Il ASN lato Amazon della BGP sessione viene ereditato dal gateway privato virtuale. Quando crei un gateway privato virtuale, puoi specificare il tuo gateway privatoASN. Altrimenti, Amazon fornisce un'impostazione predefinitaASN. Per ulteriori informazioni, consulta Create a Virtual Private Gateway nella Amazon VPC User Guide. Per la connessione a un VPC gateway Direct Connect, è necessario il gateway Direct Connect. Per ulteriori informazioni, consulta Gateway Direct Connect.
VLAN Un tag di rete locale virtuale (VLAN) univoco che non è già in uso sulla tua connessione. Il valore deve essere compreso tra 1 e 4094 e deve essere conforme allo standard Ethernet 802.1Q. Questo tag è necessario per tutto il traffico che attraversa la connessione AWS Direct Connect .

Se disponi di una connessione ospitata, il tuo AWS Direct Connect partner fornisce questo valore. Non è possibile modificare il valore dopo aver creato l'interfaccia virtuale.

Indirizzi IP peer Un'interfaccia virtuale può supportare una sessione di BGP peering per IPv4 o una sessione di ciascuna (dual-stack). IPv6 Non utilizzare Elastic IPs (EIPs) o Bring your own IP address (BYOIP) dal pool Amazon per creare un'interfaccia virtuale pubblica. Non è possibile creare più BGP sessioni per la stessa famiglia di indirizzi IP sulla stessa interfaccia virtuale. Gli intervalli di indirizzi IP vengono assegnati a ciascuna estremità dell'interfaccia virtuale per la sessione di BGP peering.
  • IPv4:

    • (Solo interfaccia virtuale pubblica) È necessario specificare IPv4 gli indirizzi pubblici univoci di cui si è proprietari. Il valore può essere uno dei seguenti:

      • Di proprietà del cliente IPv4 CIDR

        Può trattarsi di qualsiasi tipo pubblico IPs (di proprietà del cliente o fornito da AWS), ma è necessario utilizzare la stessa subnet mask sia per l'IP peer che per l'IP peer del router. AWS Ad esempio, se si assegna un /31 intervallo, ad esempio, è possibile utilizzarlo per l'IP peer e 203.0.113.0 per l'IP peer. 203.0.113.0/31 203.0.113.1 AWS Oppure, se allocate un /24 intervallo, ad esempio, potreste utilizzarlo 198.51.100.10 per il vostro IP peer e 198.51.100.20 per l'IP peer. 198.51.100.0/24 AWS

      • Un intervallo IP di proprietà del AWS Direct Connect partner oISP, insieme a un'autorizzazione LOA CFA

      • Un AWS CIDR /31 fornito. Contatta l'AWS assistenza per richiederne una IPv4 CIDR pubblicazione pubblica (e indicare un caso d'uso nella richiesta)

        Nota

        Non possiamo garantire che saremo in grado di soddisfare tutte le richieste relative AWS agli IPv4 indirizzi pubblici forniti.

    • (Solo interfaccia virtuale privata) Amazon può generare IPv4 indirizzi privati per te. Se ne specifichi uno personalizzato, assicurati di specificare privato solo CIDRs per l'interfaccia del router e l'interfaccia AWS Direct Connect. Ad esempio, non specificare altri indirizzi IP dalla rete locale. Analogamente a un'interfaccia virtuale pubblica, è necessario utilizzare la stessa subnet mask sia per l'IP peer che per l'IP peer del AWS router. Ad esempio, se si assegna un /30 intervallo, ad esempio192.168.0.0/30, è possibile utilizzarlo per l'IP peer e 192.168.0.1 192.168.0.2 per l'IP peer. AWS

  • IPv6: Amazon ti assegna automaticamente un IPv6 CIDR /125. Non puoi specificare i tuoi indirizzi IPv6 peer.

Famiglia di indirizzi Se la sessione di BGP peering sarà IPv4 terminata o. IPv6
BGPinformazioni
  • Un numero di sistema autonomo (BGP) pubblico o privato di Border Gateway Protocol (ASN) per il vostro lato della BGP sessione. Se utilizzi un sito pubblicoASN, devi possederlo. Se stai usando un privatoASN, puoi impostare un ASN valore personalizzato. Per un formato a 16 bitASN, il valore deve essere compreso tra 64512 e 65534. Per un formato a 32 bitASN, il valore deve essere compreso tra 1 e 2147483647. La prependenza del sistema autonomo (AS) non funziona se si utilizza un'interfaccia virtuale privata ASN per un'interfaccia virtuale pubblica.

  • AWS abilita per impostazione MD5 predefinita. Tale opzione non è modificabile.

  • Una chiave MD5 BGP di autenticazione. Puoi fornire il tuo oppure lasciare che Amazon ne generi uno per te.

(Solo interfaccia virtuale pubblica) Prefissi che desideri pubblicizzare

IPv4Percorsi pubblici o IPv6 percorsi su cui fare pubblicità. BGP Devi pubblicizzare almeno un prefisso utilizzandoBGP, fino a un massimo di 1.000 prefissi.

  • IPv4: IPv4 CIDR Può sovrapporsi a un altro IPv4 CIDR annuncio pubblico utilizzando AWS Direct Connect quando una delle seguenti condizioni è vera:

    • CIDRsProvengono da diverse AWS regioni. Assicurati di applicare i tag BGP della community sui prefissi pubblici.

    • Si usa AS_ PATH quando si dispone di un pubblico ASN in una configurazione attiva/passiva.

    Per ulteriori informazioni, consulta Politiche e comunità di routing. BGP

  • Tramite un'interfaccia virtuale pubblica Direct Connect, è possibile specificare qualsiasi lunghezza di prefisso da /1 a /32 per IPv4 e da /1 a /64 per. IPv6

  • È possibile aggiungere prefissi aggiuntivi a un pubblico VIF esistente e pubblicizzarli contattando l'assistenza.AWS Nel tuo caso di assistenza, fornisci un elenco di CIDR prefissi aggiuntivi che desideri aggiungere al pubblico e pubblicizzare. VIF

(Solo interfaccia virtuale privata) Frame jumbo L'unità di trasmissione massima (MTU) di pacchetti superata. AWS Direct Connect Il valore predefinito è 1500. L'impostazione MTU di un'interfaccia virtuale su 9001 (jumbo frame) può causare un aggiornamento della connessione fisica sottostante se non è stata aggiornata per supportare i jumbo frame. L'aggiornamento della connessione interrompe la connettività di rete per tutte le interfacce virtuali associate alla connessione per un massimo di 30 secondi. I jumbo frame si applicano solo ai percorsi propagati da. AWS Direct Connect Se aggiungi route statiche a una tabella di route che punta al tuo gateway privato virtuale, il traffico instradato attraverso le route statiche viene inviato utilizzando 1500. MTU Per verificare se una connessione o un'interfaccia virtuale supporta i frame jumbo, selezionala nella AWS Direct Connect console e trova la funzionalità Jumbo Frame compatibile nella pagina di configurazione generale dell'interfaccia virtuale.
(Solo interfaccia virtuale Transit) Frame jumbo L'unità di trasmissione massima (MTU) di pacchetti superata. AWS Direct Connect Il valore predefinito è 1500. L'impostazione MTU di un'interfaccia virtuale su 8500 (jumbo frame) può causare un aggiornamento della connessione fisica sottostante se non è stata aggiornata per supportare i jumbo frame. L'aggiornamento della connessione interrompe la connettività di rete per tutte le interfacce virtuali associate alla connessione per un massimo di 30 secondi. I frame jumbo sono supportati fino a 8500 MTU per Direct Connect. Le route statiche e le rotte propagate configurate nella Transit Gateway Route Table supporteranno i Jumbo Frame, anche dalle EC2 istanze con voci VPC statiche della tabella di routing al Transit Gateway Attachment. Per verificare se una connessione o un'interfaccia virtuale supporta i jumbo frame, selezionala nella AWS Direct Connect console e trova la funzionalità Jumbo Frame compatibile nella pagina di configurazione generale dell'interfaccia virtuale.

Se i tuoi prefissi pubblici o ASNs appartengono a un operatore di rete ISP o a un operatore di rete, ti AWS richiede informazioni aggiuntive. Può trattarsi di un documento su carta intestata ufficiale dell'azienda o di un'e-mail proveniente dal nome di dominio dell'azienda per verificare che il prefisso di rete/ ASN possa essere utilizzato dall'utente.

Quando crei un'interfaccia virtuale pubblica, possono essere necessarie fino a 72 ore per esaminare e AWS approvare la richiesta.

Fornire un'interfaccia virtuale pubblica a servizi diversi dai servizi VPC
  1. Apri la AWS Direct Connectconsole su https://console.aws.amazon.com/directconnect/v2/home.

  2. Nel riquadro di navigazione, scegli Virtual Interfaces (Interfacce virtuali).

  3. Scegliere Create virtual interface (Crea interfaccia virtuale).

  4. In Virtual interface type (Tipo di interfaccia virtuale), per Type (Tipo) scegliere Public (Pubblico).

  5. In Public virtual interface settings (Impostazioni interfaccia virtuale pubblica), procedere come segue:

    1. In Nome interfaccia virtuale, immetti il nome dell'interfaccia virtuale.

    2. In Connection (Connessione), scegliere la connessione Direct Connect che si intende utilizzare per questa interfaccia.

    3. Per VLAN, inserisci il numero ID della tua rete locale virtuale ()VLAN.

    4. Per BGPASN, inserisci il Border Gateway Protocol (BGP) Autonomous System Number (ASN) del tuo gateway.

      I valori validi sono 1-2147483647.

  6. In Additional settings (Impostazioni aggiuntive), procedere come segue:

    1. Per configurare un IPv4 BGP o un IPv6 peer, procedi come segue:

      [IPv4] Per configurare un IPv4 BGP peer, scegli IPv4ed esegui una delle seguenti operazioni:

      • Per specificare personalmente questi indirizzi IP, in Your router peer ip, inserisci l'IPv4CIDRindirizzo di destinazione a cui Amazon deve inviare il traffico.

      • Per l'IP peer del router Amazon, inserisci l'IPv4CIDRindirizzo a cui inviare AWS il traffico.

      [IPv6] Per configurare un IPv6 BGP peer, scegli. IPv6 IPv6Gli indirizzi peer vengono assegnati automaticamente dal pool di indirizzi di Amazon. IPv6 Non è possibile specificare IPv6 indirizzi personalizzati.

    2. Per fornire la tua BGP chiave, inserisci la tua BGP MD5 chiave.

      Se non inserisci un valore, generiamo una BGP chiave.

    3. Per pubblicizzare i prefissi su Amazon, per i prefissi che desideri pubblicizzare, inserisci gli indirizzi di IPv4 CIDR destinazione (separati da virgole) a cui indirizzare il traffico attraverso l'interfaccia virtuale.

    4. (Facoltativo) Aggiunta o rimozione di un tag.

      [Aggiungere un tag] Scegliere Add tag (Aggiungi tag) e procedere come segue:

      • In Chiave, immetti il nome della chiave.

      • In Valore, immetti il valore della chiave.

      [Rimuovere un tag] Accanto al tag, scegliere Remove tag (Rimuovi tag).

  7. Scegliere Create virtual interface (Crea interfaccia virtuale).

Per fornire un'interfaccia virtuale privata a un VPC
  1. Apri la AWS Direct Connectconsole su https://console.aws.amazon.com/directconnect/v2/home.

  2. Nel riquadro di navigazione, scegli Virtual Interfaces (Interfacce virtuali).

  3. Scegliere Create virtual interface (Crea interfaccia virtuale).

  4. In Tipo di interfaccia virtuale, per Tipo scegli Pubblico.

  5. In Impostazioni dell'interfaccia virtuale pubblica, procedi come segue:

    1. In Nome interfaccia virtuale, immetti il nome dell'interfaccia virtuale.

    2. In Connection (Connessione), scegliere la connessione Direct Connect che si intende utilizzare per questa interfaccia.

    3. Per il Tipo di gateway, scegli Gateway privato virtuale oGateway Direct Connect.

    4. Per Proprietario dell'interfaccia virtuale, scegli Altro AWS account, quindi inserisci l' AWS account.

    5. Per Gateway virtuale privato, scegli il gateway virtuale privato da usare per l'interfaccia.

    6. Per VLAN, inserisci il numero ID della tua rete locale virtuale (VLAN).

    7. Per BGPASN, inserisci il numero di sistema autonomo del protocollo Border Gateway del tuo router peer locale per la nuova interfaccia virtuale.

      I valori validi sono compresi tra 1 e 2147483647.

  6. In Impostazioni aggiuntive, procedi come segue:

    1. Per configurare un IPv4 BGP o un IPv6 peer, procedi come segue:

      [IPv4] Per configurare un IPv4 BGP peer, scegli IPv4ed esegui una delle seguenti operazioni:

      • Per specificare personalmente questi indirizzi IP, in Your router peer ip, inserisci l'IPv4CIDRindirizzo di destinazione a cui Amazon deve inviare il traffico.

      • Per Amazon router peer ip, inserisci l'IPv4CIDRindirizzo a cui inviare AWS il traffico.

        Importante

        Se consenti l' AWS assegnazione automatica IPv4 degli indirizzi, CIDR verrà assegnato un /29 da IPv4 169.254.0.0/16 Link-Local in base a 3927 per la connettività. RFC point-to-point AWS non consiglia questa opzione se si intende utilizzare l'indirizzo IP peer del router del cliente come origine e/o destinazione del traffico. VPC Dovreste invece utilizzare RFC 1918 o un altro indirizzo e specificare voi stessi l'indirizzo.

      [IPv6] Per configurare un IPv6 BGP peer, scegliete. IPv6 IPv6Gli indirizzi peer vengono assegnati automaticamente dal pool di indirizzi di Amazon. IPv6 Non è possibile specificare IPv6 indirizzi personalizzati.

    2. Per modificare l'unità di trasmissione massima (MTU) da 1500 (impostazione predefinita) a 9001 (frame jumbo), selezionate Jumbo MTU (MTUdimensione 9001).

    3. (Facoltativo) In Abilita SiteLink, scegli Abilitato per abilitare la connettività diretta tra i punti di presenza Direct Connect.

    4. (Facoltativo) Aggiunta o rimozione di un tag.

      [Aggiungere un tag] Scegliere Add tag (Aggiungi tag) e procedere come segue:

      • In Chiave, immetti il nome della chiave.

      • In Valore, immetti il valore della chiave.

      [Rimuovere un tag] Accanto al tag, scegliere Remove tag (Rimuovi tag).

  7. Scegliere Create virtual interface (Crea interfaccia virtuale).

Passaggio 4: Verificare la configurazione di resilienza dell'interfaccia virtuale

Dopo aver stabilito le interfacce virtuali verso il AWS Cloud o AmazonVPC, esegui un test di failover dell'interfaccia virtuale per verificare che la configurazione soddisfi i requisiti di resilienza. Per ulteriori informazioni, consulta AWS Direct Connect Test di failover.

Passaggio 5: Verificare la connettività delle interfacce virtuali

Dopo aver stabilito le interfacce virtuali verso il AWS Cloud o verso AmazonVPC, puoi verificare la tua AWS Direct Connect connessione utilizzando le seguenti procedure.

Per verificare la connessione dell'interfaccia virtuale al Cloud AWS
  • Esegui traceroute e verifica che l' AWS Direct Connect identificatore sia presente nella traccia di rete.

Per verificare la connessione dell'interfaccia virtuale ad Amazon VPC
  1. Utilizzando un dispositivo pingableAMI, ad esempio Amazon LinuxAMI, avvia un'EC2istanza nel VPC gateway privato virtuale collegato al tuo gateway privato virtuale. Amazon Linux AMIs è disponibile nella scheda Quick Start quando utilizzi la procedura guidata di avvio dell'istanza nella EC2 console Amazon. Per ulteriori informazioni, consulta Launch an Instance nella Amazon EC2 User Guide. Assicurati che il gruppo di sicurezza associato all'istanza includa una regola che consenta il ICMP traffico in entrata (per la richiesta di ping).

  2. Dopo l'esecuzione dell'istanza, ottieni il suo IPv4 indirizzo privato (ad esempio, 10.0.0.4). La EC2 console Amazon visualizza l'indirizzo come parte dei dettagli dell'istanza.

  3. Esegui il ping IPv4 dell'indirizzo privato e ottieni una risposta.