Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Outposts connettività verso AWS le regioni
AWS Outposts supporta la connettività Wide Area Network (WAN) tramite la connessione service link.
Indice
Connettività tramite collegamenti al servizio
Il link al servizio è una connessione necessaria tra gli Outposts e la AWS regione prescelta (o regione d'origine) e consente la gestione degli Outposts e lo scambio di traffico da e verso la regione. AWS Il collegamento al servizio sfrutta un set di VPN connessioni crittografate per comunicare con la regione d'origine.
Per configurare la connettività del service link, è necessario o AWS necessario configurare la connettività a livello fisico, virtuale LAN (VLAN) e di rete di Service Link con i dispositivi della rete locale durante il provisioning di Outpost. Per ulteriori informazioni, consulta Connettività di rete locale per i rack e Site requirements for Outposts rack.
Per la connettività della rete Wide Area (WAN) alla AWS Regione, è AWS Outposts possibile stabilire VPN connessioni di service link tramite la connettività pubblica della AWS Regione. Ciò richiede che gli Outposts abbiano accesso agli intervalli di IP pubblici della Regione, che possono avvenire tramite Internet pubblico o interfacce virtuali AWS Direct Connect pubbliche. Per gli intervalli di indirizzi IP correnti, consulta gli intervalli di indirizzi AWS IP nella guida per VPC l'utente di Amazon. Questa connettività può essere abilitata configurando routing specifici o predefiniti (0.0.0.0/0) nel percorso a livello di rete del collegamento al servizio. Per ulteriori informazioni, consulta Service link BGP connectivity e Service link infrastructure Subnet advertising and IP range.
In alternativa, puoi selezionare l'opzione di connettività privata per il tuo Outpost. Per ulteriori informazioni, consulta Service Link Private Connectivity using VPC.
Una volta stabilita la connessione al service link, Outpost diventa operativo ed è gestito da AWS. Il collegamento al servizio viene utilizzato per il seguente traffico:
-
VPCTraffico di clienti tra Outpost e qualsiasi altro dispositivo associato. VPCs
-
Traffico di gestione Outposts, ad esempio gestione delle risorse, monitoraggio delle risorse e aggiornamenti firmware e software.
Requisiti relativi all'unità di trasmissione massima di Service Link (MTU)
L'unità di trasmissione massima (MTU) di una connessione di rete è la dimensione, in byte, del pacchetto più grande consentito che può essere passato sulla connessione. La rete deve supportare 1500 byte MTU tra Outpost e gli endpoint service link nella regione principale. AWS Per informazioni sulla MTU distanza richiesta tra un'istanza in Outpost e un'istanza nella AWS regione tramite il collegamento al servizio, consulta Network maximum transmission unit (MTU) per la tua EC2 istanza Amazon nella Amazon EC2 User Guide.
Raccomandazioni sulla larghezza di banda dei collegamenti al servizio
Per un'esperienza e una resilienza ottimali, è AWS necessario utilizzare una connettività ridondante di almeno 500 Mbps (1 Gbps è preferibile) e una latenza massima di 175 ms di andata e ritorno per la connessione del service link alla regione. AWS È possibile utilizzare una connessione Internet per AWS Direct Connect il collegamento al servizio. I requisiti minimi di 500 Mbps e il tempo massimo di andata e ritorno per la connessione service link consentono di avviare EC2 istanze Amazon, collegare EBS volumi Amazon e accedere a AWS servizi come AmazonEMR, EKS Amazon e CloudWatch metriche con prestazioni ottimali.
I requisiti di larghezza di banda del collegamento al servizio degli Outpost variano a seconda delle caratteristiche seguenti:
-
Numero di AWS Outposts rack e configurazioni di capacità
-
Caratteristiche del carico di lavoro, come AMI dimensioni, elasticità delle applicazioni, esigenze di velocità di burst e VPC traffico Amazon verso la regione
Per ricevere un consiglio personalizzato sulla larghezza di banda del service link necessaria per le tue esigenze, contatta il tuo rappresentante di AWS vendita o partner. APN
Firewall e il collegamento al servizio
Questa sezione illustra le configurazioni del firewall e la connessione del collegamento al servizio.
Nel diagramma seguente, la configurazione estende l'Amazzonia VPC dalla AWS regione all'avamposto. Un'interfaccia virtuale AWS Direct Connect pubblica è la connessione di collegamento al servizio. Il seguente traffico passa attraverso il collegamento al servizio e la connessione AWS Direct Connect :
-
Gestione del traffico verso Outpost attraverso il collegamento al servizio
-
Traffico tra l'Outpost e tutti i siti associati VPCs
Se si utilizza un firewall stateful con la connessione Internet per limitare la connettività dalla rete Internet pubblica al collegamento di servizioVLAN, è possibile bloccare tutte le connessioni in entrata che partono da Internet. Questo perché il collegamento di servizio VPN inizia solo dall'avamposto alla regione, non dalla regione all'avamposto.
Se si utilizza un firewall per limitare la connettività dal collegamento di servizioVLAN, è possibile bloccare tutte le connessioni in entrata. È necessario consentire le connessioni in uscita verso Outpost dalla AWS regione secondo la tabella seguente. Se utilizzi un firewall stateful, le connessioni in uscita dall'Outpost che sono consentite, ossia avviate dall'Outpost, devono essere consentite nuovamente in entrata.
| Protocollo | Porta di origine | Indirizzo di origine | Porta di destinazione | Indirizzo di destinazione |
|---|---|---|---|---|
UDP |
443 |
AWS Outposts collegamento di servizio /26 |
443 |
AWS Outposts Percorsi pubblici della regione |
TCP |
1025-65535 |
AWS Outposts collegamento di servizio /26 |
443 |
AWS Outposts Percorsi pubblici della regione |
Nota
Le istanze in un Outpost non possono utilizzare il link di servizio per comunicare con le istanze di un altro Outpost. Sfrutta il routing attraverso il gateway locale o l'interfaccia di rete locale per comunicare tra gli Outpost.
AWS Outposts i rack sono inoltre progettati con apparecchiature di alimentazione e rete ridondanti, inclusi componenti gateway locali. Per ulteriori informazioni, vedere Resilience in. AWS Outposts
Service Link: connettività privata tramite VPC
Puoi selezionare l'opzione di connettività privata nella console quando crei il tuo Outpost. In tal caso, viene stabilita una VPN connessione di collegamento al servizio dopo l'installazione di Outpost utilizzando una sottorete VPC and specificata dall'utente. Ciò consente la connettività privata tramite VPC e riduce al minimo l'esposizione pubblica a Internet.
Prerequisiti
Prima di poter configurare la connettività privata per l'Outpost è necessario verificare i seguenti prerequisiti:
-
È necessario configurare le autorizzazioni per un'IAMentità (utente o ruolo) per consentire all'utente o al ruolo di creare il ruolo collegato al servizio per la connettività privata. L'IAMentità necessita dell'autorizzazione per accedere alle seguenti azioni:
-
iam:CreateServiceLinkedRole-arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
iam:PutRolePolicy-arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
ec2:DescribeVpcs -
ec2:DescribeSubnets
Per ulteriori informazioni, consulta Gestione delle identità e degli accessi () per IAM AWS Outposts e Ruoli collegati ai servizi per AWS Outposts.
-
-
Nello stesso AWS account e nella stessa zona di disponibilità del tuo Outpost, crea una VPC connettività privata di Outpost con una sottorete /25 o superiore che non sia in conflitto con 10.1.0.0/16. Ad esempio, potresti usare 10.2.0.0/16.
-
Crea una AWS Direct Connect connessione, un'interfaccia virtuale privata e un gateway privato virtuale per consentire al tuo Outpost locale di accedere a. VPC Se la AWS Direct Connect connessione è in un AWS account diverso dal tuoVPC, vedi Associare un gateway privato virtuale tra account nella Guida per l'AWS Direct Connect utente.
-
Pubblicizza la sottorete nella rete CIDR locale. Puoi usare AWS Direct Connect per farlo. Per ulteriori informazioni, consulta le interfacce virtuali AWS Direct Connect e Utilizzo di gateway AWS Direct Connect nella Guida per l'utente di AWS Direct Connect .
Puoi selezionare l'opzione di connettività privata quando crei il tuo Outpost nella console AWS Outposts . Per istruzioni, consulta Crea un ordine per un rack Outposts.
Nota
Per selezionare l'opzione di connettività privata quando Outpost è attivo PENDING, scegli Outposts dalla console e seleziona Outpost. Scegli Operazioni, Aggiungi connettività privata e segui i passaggi.
Dopo aver selezionato l'opzione di connettività privata per Outpost, crea AWS Outposts automaticamente nel tuo account un ruolo collegato ai servizi che gli consente di completare le seguenti attività per tuo conto:
-
Crea interfacce di rete nella sottorete e VPC quelle specificate dall'utente e crea un gruppo di sicurezza per le interfacce di rete.
-
Concede l'autorizzazione al AWS Outposts servizio per collegare le interfacce di rete a un'istanza dell'endpoint service link nell'account.
-
Collega le interfacce di rete alle istanze dell'endpoint del collegamento al servizio a partire dall'account.
Per ulteriori informazioni sul ruolo collegato al servizio, consulta Ruoli collegati ai servizi per AWS Outposts.
Importante
Dopo aver installato Outpost, conferma la connettività alla rete privata IPs nella sottorete da Outpost.
Connessioni Internet ridondanti
Quando crei connettività da Outpost alla AWS regione, ti consigliamo di creare più connessioni per una maggiore disponibilità e resilienza. Per ulteriori informazioni, consulta Raccomandazioni per la resilienza di AWS Direct Connect
Se necessiti di connettività alla rete Internet pubblica, puoi utilizzare connessioni Internet ridondanti e diversi provider Internet, proprio come faresti con i carichi di lavoro on-premise esistenti.
