本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 连接您的网络进行 AWS DataSync 传输
<a name="networking-datasync"></a>

[如果需要 AWS DataSync 代理](do-i-need-datasync-agent.md)，则必须建立多个网络连接才能进行数据传输。下图显示了从存储系统（可能位于本地、另一云端或边缘）向 AWS 存储服务 DataSync 传输过程中的三个网络连接。

![\[AWS DataSync 网络架构显示了数据传输工作流程的三个基本连接。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-network-connection-diagram-overview.png)


## 1. 存储系统和代理之间的网络连接
<a name="1-network-between-storage-agent"></a>

您的 DataSync 代理连接到您的本地存储或其他云中的存储。有关更多信息，请参阅 [本地、自我管理和其他云存储的网络要求](datasync-network.md#on-premises-network-requirements)。

## 2. 您的代理和 DataSync 服务之间的网络连接
<a name="2-network-between-agent-service"></a>

将您的代理连接到 DataSync 服务有几个方面。首先，您必须在存储位置和之间建立网络连接 AWS。其次，您的代理需要一个服务端点来与之通信 DataSync。

**Contents**
+ [将您的存储网络连接到 AWS](#connecting-options-to-amazon)
+ [选择服务终端节点](#service-endpoint-options)

### 将您的存储网络连接到 AWS
<a name="connecting-options-to-amazon"></a>

使用时 DataSync，请考虑使用以下选项将存储网络连接到 AWS：
+ **Direct Connect**：使用 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)，您可以在存储网络和 AWS之间创建专用连接。从 DataSync 角度来看，这可以让你：
  + 通过专用路径将数据传输到虚拟私有云（VPC），从而避免通过公共互联网路由。
  + 与使用虚拟专用网络 (VPN) 连接存储网络相比，获得更可预测的连接 AWS （尤其是在您的代理是 Amazon EC2 实例的情况下）。
  + 使用任何类型的 DataSync 服务终端节点，包括[公共](choose-service-endpoint.md#choose-service-endpoint-public)、[联邦信息处理标准 (FIPS)](choose-service-endpoint.md#choose-service-endpoint-fips) 或 [VPC](choose-service-endpoint.md#datasync-in-vpc) 终端节点。

  有关更多信息，请参阅 [DataSync 架构和路由示例 Direct Connect](direct-connect-architecture.md)。
+ **VPN**-您可以使用 VPN（例如 [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)）将存储网络连接到 AWS 。
+ **公共互联网**-您可以使用[公共](choose-service-endpoint.md#choose-service-endpoint-public)或 [FIPS](choose-service-endpoint.md#choose-service-endpoint-fips) 服务端点将存储网络直接连接到互联网。 DataSync 

### 选择服务终端节点
<a name="service-endpoint-options"></a>

您的代理使用服务端点进行通信 DataSync。有关更多信息，请参阅 [为 AWS DataSync 代理选择服务端点](choose-service-endpoint.md)。

## 3. 服务和 AWS 存储 DataSync 服务之间的网络连接
<a name="3-network-between-service-amazon-storage"></a>

要 DataSync 连接到 AWS 存储服务，您只需确保该 DataSync 服务可以访问您的 S3 存储桶或文件系统即可。有关更多信息，请参阅 [AWS 存储服务的网络要求](datasync-network.md#storage-service-network-requirements)。

## 不需要 DataSync 代理时联网
<a name="connecting-between-amazon-storage"></a>

对于[不需要 DataSync代理](do-i-need-datasync-agent.md#when-agent-not-required)的传输，您只需要确保该 DataSync 服务可以访问要在它们之间传输的 AWS 存储系统即可。有关更多信息，请参阅 [AWS 存储服务的网络要求](datasync-network.md#storage-service-network-requirements)。

## DataSync 流量通过网络的方式和位置
<a name="datasync-traffic-flows"></a>

DataSync 有*数据平面*和*控制平面*流量。如果您想分离流量，那么了解这些流量是如何流经网络的，这一点非常重要。 DataSync 
+ **数据面板流量**：包括在存储位置之间移动的文件或对象数据。在大多数情况下，数据平面流量会通过[网络接口进行路由，这些接口](required-network-interfaces.md)会在您创建任务时 DataSync 自动生成和管理。这些网络接口的创建位置取决于您要传输的 AWS 存储服务类型以及 DataSync 代理使用的服务端点。
+ **控制飞机流量**-包括 DataSync 资源的管理活动。此种流量通过代理使用的服务端点路由。

## 网络安全 DataSync
<a name="network-security-info"></a>

有关在传输过程中如何保护存储数据（包括元数据）的信息，请参阅 [AWS DataSync 传输中的加密](encryption-in-transit.md)。

# AWS DataSync 网络要求
<a name="datasync-network"></a>

配置网络是 AWS DataSync设置过程中的一个重要步骤。网络配置取决于多种因素，例如您正在使用的存储系统类型。它还取决于您计划使用的 DataSync 服务端点类型。

## IPv6 支持
<a name="ipv6-support"></a>

DataSync 支持双堆栈，可与 IPv6 网络 IPv4 兼容。 IPv6 在提供服务的所有 AWS 区域 地方都提供支持。 DataSync 支持使用具有以下数据源 IPv6 的地址：
+ Elastic File System（EFS）
+ 网络文件系统 (NFS)
+ 服务器消息块 (SMB)
+ 对象存储

### IPv6-适用于本地存储的兼容代理
<a name="ipv6-agents"></a>

要在 IPv6 网络环境 DataSync 中使用，需要使用 IPv6兼容的代理。这些代理同时支持 IPv4 和 IPv6 连接，可适应各种网络环境。
+ 对于 IPv6仅限网络的网络，无需更改配置。
+ 对于 IPv4仅限网络的网络，无需更改配置。
+ 对于双栈（两者 IPv4 兼有 IPv6）网络，让代理根据您的喜好选择协议或手动配置协议。

#### 双堆栈网络的注意事项
<a name="dual-stack-consideration"></a>

可使用以下方式，通过本地控制台自定义代理行为：
+ 禁用， IPv6 这样代理就无法使用 IPv6 它来访问本地文件系统或服务。 DataSync 
+ 设置代理用于数据传输的 IP 版本：
  + 设置为， IPv6 使代理仅 IPv6 用于数据传输。
  + 设置 IPv4 为代理仅 IPv4 用于数据传输。
  + 设置为 “自动”（恢复默认值），以便代理自动选择用于数据传输的协议版本（IPv4 或 IPv6）。

有关管理代理的 IP 版本设置的更多信息，请参阅[对代理进行维护](local-console-vm.md)。

**重要**  
根据 2025 年 7 月 16 日之前下载的图像构建的代理不支持 IPv6。

## 本地、自我管理和其他云存储的网络要求
<a name="on-premises-network-requirements"></a>

以下网络要求可能适用于本地、自我管理和其他云存储系统。这些存储系统通常由您管理，也可能由其他云提供商管理。

**注意**  
根据您的网络，您可能需要允许此处列出的端口以外的端口上的流量，您的 DataSync 代理才能连接到您的存储。


| 来源  | 目标  | 协议 | 端口： | 它是如何使用的 DataSync | 
| --- | --- | --- | --- | --- | 
| DataSync 代理人  |  NFS 文件服务器  |  TCP  |  2049（适用于 NFS 版本 4.1 和 4.0） 111 和 2049（适用于 NFS 3.x 版本）  |  装载 NFS 文件服务器。 DataSync 支持 NFS 版本 3.x、4.0 和 4.1。  | 
| DataSync 代理人  |  SMB 文件服务器  |  TCP  |  139 或 445  |  装载 SMB 文件服务器。 DataSync 支持 SMB 版本 1.0 及更高版本。出于安全起见，建议使用 SMB 版本 3.0.2 或更高版本。早期版本（例如 SMB 1.0）包含已知的安全漏洞，攻击者可以借此来窃取您的数据。  | 
| DataSync 代理人  |  对象存储  |  TCP  |  443 (HTTPS) 或 80 (HTTP)  根据对象存储的不同，您可能需要允许非标准 HTTPS 和 HTTP 端口（如 8443 或 8080）上的流量。   |  访问与 Amazon S3 兼容的本地对象存储或其他云中的存储。  | 
| DataSync 代理人  | Hadoop 集群 | TCP |  NameNode 端口（默认为 8020） 在大多数集群中，可以在`core-site.xml`文件中的 `fs.default`或`fs.default.name`属性下找到此端口号（取决于 Hadoop 发行版）。  | 访问您的 Hadoop 集群 NameNodes 中的。指定创建 HDFS 位置的端口。 | 
| DataSync 代理人  | Hadoop 集群 | TCP |  DataNode 端口（默认为 50010） 在大多数集群中，可以在`dfs.datanode.address`属性下的 `hdfs-site.xml`文件中找到此端口号。  | 访问您的 Hadoop 集群 DataNodes 中的。 DataSync代理会自动确定要使用的端口。 | 
| DataSync 代理人  | Hadoop 密钥管理服务器（KMS） | TCP | KMS 端口（默认值为 9600） | 访问您的 Hadoop 集群 KMS。 | 
| DataSync 代理人  | Kerberos 密钥分配中心（KDC）服务器 | TCP | KDC 端口（默认值为 88） | 使用 Kerberos 领域执行身份验证。此端口仅适用于使用 Kerberos 身份验证的 HDFS 与 SMB 位置。 | 
| DataSync 代理人  | 存储系统管理界面 | TCP | 取决于您的网络 | 连接至您的存储系统。 | 

## AWS 存储服务的网络要求
<a name="storage-service-network-requirements"></a>

传输期间 DataSync 连接到 AWS 存储服务所需的网络端口各不相同。


| 来源  | 目标  | 协议 | 端口： | 
| --- | --- | --- | --- | 
| DataSync 服务 |  Amazon EFS  |  TCP  |  2049  | 
| DataSync 服务 |  FSx 适用于 Windows 文件服务器  |  请参阅 [Windows 文件服务器的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html)。 FSx   | 
| DataSync 服务 |  FSx 为了光泽  |  参见 [Lustre 的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/LustreGuide/limit-access-security-groups.html)。 FSx   | 
| DataSync 服务 | FSx 适用于 OpenZFS |  请参阅 [OpenZFS 的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/limit-access-security-groups.html)。 FSx   | 
| DataSync 服务 | FSx 适用于 ONTAP | TCP |  111、635 和 2049 (NFS) 445 (SMB)  | 
| DataSync 服务 | Amazon S3 | 不适用（代表您DataSync 连接到 S3 存储桶） | 

## 公共或 FIPS 服务端点的网络要求
<a name="using-public-endpoints"></a>

使用公共或 FIPS 服务端点时，您的 DataSync 代理需要以下网络访问权限。如果使用防火墙或路由器来筛选或限制网络流量，请配置防火墙和路由器以允许这些端点。


|  来源  |  目标  |  协议  |  端口： |  使用方法  |  访问的端点 | 
| --- | --- | --- | --- | --- | --- | 
|  您的 Web 浏览器  |  DataSync 代理人   |  TCP   |  80 (HTTP)   |  允许您的浏览器获取 DataSync 代理的激活密钥。激活后， DataSync 关闭代理的端口 80。 您的代理不要求端口 80 可供公开访问。端口 80 所需的访问级别取决于网络配置。  您无需在浏览器和代理之间建立连接，即可获取激活密钥。有关更多信息，请参阅 [获取激活密钥](activate-agent.md#get-activation-key)。   | 不适用 | 
| DataSync 代理人 | Amazon CloudFront | TCP | 443（HTTPS） | 在激活之前帮助引导您的 DataSync 代理。 只有基本模式代理才需要。 |  **AWS 区域**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **AWS GovCloud (US) 区域**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
| DataSync 代理人 | AWS | TCP |  443（HTTPS）  |  激活您的 DataSync 代理并将其与您的 AWS 账户代理关联。您可以在激活后阻止公有端点。  |  `activation-region`这是您激活 DataSync代理 AWS 区域 的地方。**公有端点激活**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **FIPS 端点激活**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
|  DataSync 代理人   |  AWS   |   TCP   |   443（HTTPS）   |  允许 DataSync 代理和 DataSync 服务端点之间的通信。 有关信息，请参阅[为 AWS DataSync 代理选择服务端点](choose-service-endpoint.md)。  |  `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。根据您的用 DataSync 途，您可能不需要允许访问此处列出的每个端点。 **DataSync 控制平面端点**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **DataSync 数据平面端点**（仅适用于传输任务）： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
| 您的客户端 | AWS | TCP | 443（HTTPS） | 允许您发出 DataSync API 请求。 |  `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。 **公有端点**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **FIPS 端点**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
| DataSync 代理人  | AWS | TCP | 443（HTTPS） | 允许 DataSync 代理从获取更新 AWS。有关更多信息，请参阅 [管理您的 AWS DataSync 代理](managing-agent.md)。 |  `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。 **基本模式代理**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **增强模式代理**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
|  DataSync 代理人   |  域名服务 (DNS) 服务器  |  TCP/UDP  |  53 (DNS)  |  允许 DataSync 代理与 DNS 服务器之间的通信。  | 不适用 | 
|  DataSync 代理人   |  AWS  |  TCP  |  22 (支持渠道)  |   AWS 支持 允许访问您的 DataSync 代理以帮助您解决问题。您不需要打开此端口即可正常操作。  |  **基本模式代理**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **增强模式代理**： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  | 
| DataSync 代理人  |  网络时间协议 (NTP) 服务器  |  UDP  |  123 (NTP)  |  允许本地系统使用以将虚拟机时间同步到主机时间。  |  **NTP：** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html)  要使用本地控制台更改 VM 代理的默认 NTP 配置以使用其他 NTP 服务器，请参阅[查看和管理代理的系统时间服务器配置](local-console-vm.md#time-management)。   | 

下图显示了使用公共或 FIPS 服务端点 DataSync 时所需的端口。

![\[显示用于公共或 FIPS 端点的端口。 DataSync\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-ports.png)


## VPC 或 FIPS VPC 服务端点的网络要求
<a name="using-vpc-endpoint"></a>

虚拟私有云 (VPC) 端点在您的代理之间提供私有连接 AWS ，该连接不通过互联网或使用公有 IP 地址。这还有助于防止数据包进入或者离开网络。有关更多信息，请参阅 [选择 VPC 服务端点](choose-service-endpoint.md#datasync-in-vpc)。

DataSync 您的代理需要以下端口才能使用 VPC 服务终端节点。


|  来源  |  目标  |  协议  |  端口： |  使用方法  | 
| --- | --- | --- | --- | --- | 
|  您的 Web 浏览器   |  你的 DataSync 经纪人   |  TCP   |  80 (HTTP)   |  允许浏览器获取代理的激活密钥。激活后， DataSync 关闭代理的端口 80。 您的代理不要求端口 80 可供公开访问。端口 80 所需的访问级别取决于网络配置。  您无需在浏览器和代理之间建立连接，即可获取激活密钥。有关更多信息，请参阅 [获取激活密钥](activate-agent.md#get-activation-key)。   | 
|  DataSync 代理人   |  您的 DataSync VPC 服务终端节点  要查找终端节点的 IP 地址，请打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)，选择**终端节点**，然后选择您的 DataSync VPC 服务终端节点。在**子网**选项卡上，找到您的 [VPC 服务端点子网](choose-service-endpoint.md#datasync-in-vpc)的 IP 地址。这是端点的 IP 地址。  |  TCP  |  1024-1064   |  用于[控制面板流量](networking-datasync.md#datasync-traffic-flows)。  | 
| DataSync 代理人  |  您的 DataSync 任务的[网络接口](required-network-interfaces.md) 要查找这些接口的 IP 地址，请参阅 [查看您的网络接口](required-network-interfaces.md#view-network-interfaces)。  |  TCP  |  443（HTTPS）  |  用于[数据面板流量](networking-datasync.md#datasync-traffic-flows)。  | 
| DataSync 代理人  |  您的 DataSync VPC 服务终端节点  |  TCP  |  22 (支持渠道)  |  允许 AWS 支持 访问您的 DataSync 代理进行故障排除。 **只有基本模式代理才需要**。 您不需要打开此端口即可正常操作。  | 

 下图显示了使用 VPC 服务终端节点 DataSync 时所需的端口。

![\[显示用于 VPC 服务终端节点 DataSync 的端口。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-ports-PL.png)


# 用于 AWS DataSync 传输的网络接口
<a name="required-network-interfaces"></a>

对于您创建的每项任务，都会 AWS DataSync 自动生成和管理用于数据传输流量的[网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。创建多少网络接口及其 DataSync创建位置取决于您的传输任务的以下详细信息：
+ 您的任务是否[需要代 DataSync理](do-i-need-datasync-agent.md)。
+ 您的源位置和目标位置（您将数据往来复制的位置）。
+ 您的代理使用的服务端点类型。

每个网络接口在您的子网中使用一个 IP 地址（网络接口越多，您需要的 IP 地址就越多）。使用下表，确保您的子网有足够的 IP 地址来完成您的任务。

## 用于与代理传输的网络接口
<a name="transfers-with-agents-enis"></a>

通常，在 AWS 存储服务和存储系统之间复制数据时需要 DataSync 代理 AWS。


| 位置 | 默认创建网络接口 | 使用公共或 FIPS 端点时创建网络接口的位置 | 使用私有（VPC）端点时创建网络接口的位置  | 
| --- | --- | --- | --- | 
|  Amazon S3  | 4 | 不适用 1 |  您在激活 DataSync代理时指定的子网。  | 
|  Amazon EFS  | 4 | 您在创建 Amazon EFS 位置时的指定子网。 | 
|  FSx 适用于 Windows 文件服务器的亚马逊 | 4 |  与文件系统首选文件服务器相同的子网。  | 
| 亚马逊 f FSx or Lustre | 4 | 与文件系统相同的子网。 | 
|  FSx 适用于 OpenZFS 的亚马逊 | 4 | 与文件系统相同的子网。 | 
|  FSx 适用于 NetApp ONTAP 的亚马逊 | 4 | 与文件系统相同的子网。 | 

1 不需要网络接口，因为该 DataSync服务直接与 S3 存储桶通信。

## 无需代理即可传输的网络接口
<a name="transfers-without-agents-enis"></a>

在两者之间复制数据时不需要 DataSync 代理 AWS 服务。

网络接口的总数取决于传输中的 DataSync 位置。例如，在 Amazon EFS 和 FSx Lustre 文件系统之间传输需要四个网络接口。同时，在 Window FSx s 文件服务器和 S3 存储桶之间进行传输需要两个网络接口。


| 位置 | 默认创建网络接口 | 网络接口的创建位置 | 
| --- | --- | --- | 
|  Amazon S3  |  不适用 1  |  不适用 1  | 
|  Amazon EFS  | 2 | 您在创建 Amazon EFS 位置时的指定子网。 | 
| FSx 适用于 Windows 文件服务器 | 2 |  与文件系统首选文件服务器相同的子网。  | 
| FSx 为了光泽 | 2 | 与文件系统相同的子网。 | 
| FSx 适用于 OpenZFS | 2 | 与文件系统相同的子网。 | 
| FSx 适用于 ONTAP | 2 | 与文件系统相同的子网。 | 

1 不需要网络接口，因为该 DataSync服务直接与 S3 存储桶通信。

## 查看您的网络接口
<a name="view-network-interfaces"></a>

要查看分配给您的 DataSync 传输任务的网络接口，请执行以下任一操作：
+ 使用 [DescribeTask](https://docs.aws.amazon.com//datasync/latest/userguide/API_DescribeTask.html) 操作。操作将返回`SourceNetworkInterfaceArns` 和 `DestinationNetworkInterfaceArns`，其响应如下所示：

  ```
  arn:aws:ec2:your-region:your-account-id:network-interface/eni-f012345678abcdef0
  ```

  在此示例中，网络接口 ID 为 `eni-f012345678abcdef0`。
+ 在 Amazon EC2 控制台中，搜索您的任务 ID（例如 `task-f012345678abcdef0`）以查找其网络接口。

# DataSync 架构和路由示例 Direct Connect
<a name="direct-connect-architecture"></a>

在使用 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 进行 AWS DataSync 传输时，请考虑以下网络架构。

**提示**  
如果您的网络使用传输网关，我们建议将 DataSync 传输的逻辑路径分开，以优化成本（尤其是在迁移大量数据的情况下）。  
例如，如果您使用[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)本地网络和虚拟私有云之间的普通流量（VPCs），则可以配置网络，使 DataSync 流量绕过传输网关及其数据处理费用。

## 将 Direct Connect 与 DataSync VPC 服务终端节点结合使用
<a name="using-direct-connect-vpc-endpoint"></a>

如果您的 DataSync 代理使用 [VPC 服务终端节点](choose-service-endpoint.md#datasync-in-vpc)，则需要一个 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)才能连接到您的 VPC。

**Contents**
+ [带有 VPC 端点和 S3 目标的 Direct Connect 架构](#direct-connect-example-vpc-s3)
+ [Direct Connect 架构，VPC 端点和文件系统目标位于同一子网中](#direct-connect-example-vpc-file-same-subnet)
+ [Direct Connect 架构，VPC 端点和文件系统目标位于不同子网](#direct-connect-example-vpc-file-different-subnet)

### 带有 VPC 端点和 S3 目标的 Direct Connect 架构
<a name="direct-connect-example-vpc-s3"></a>

以下 Direct Connect 架构显示了从本地存储系统到 S3 存储桶的 DataSync 传输。

![\[显示通过 Direct Connect 路由到 S3 存储桶的 DataSync 传输流量的示意图。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-direct-connect-diagram-vpc-s3.png)


1.  DataSync 代理将 DataSync 流量从本地存储系统（源位置）路由到 Direct Connect 连接。

1. DataSync 流量会路由到用于传输的 Direct Connect 网关。要对此进行设置，您必须：

   1. 将 Direct Connect 网关与 VPC 的[虚拟专用网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)关联。这是 VP DataSync C 终端节点所在的 VPC，也是 DataSync 任务创建[网络接口](required-network-interfaces.md)的地方。

   1. 创建将此 VPC 连接到 Direct Connect 网关的[专用虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-private-vif)。

1. DataSync 流量（控制平面）通过 DataSync VPC 终端节点路由。

1. DataSync 流量（数据平面）通过您在[创建 DataSync 代理时指定的子网中的 DataSync 网络接口进行](choose-service-endpoint.md#datasync-in-vpc)路由。

1. DataSync 流量通过 DataSync 服务路由到 S3 存储桶（目标位置）。

### Direct Connect 架构，VPC 端点和文件系统目标位于同一子网中
<a name="direct-connect-example-vpc-file-same-subnet"></a>

在与 Amazon EFS 或 Amazon FSx 文件系统进行传输或传出时，您的文件系统和 DataSync VPC 终端节点可以位于同一个子网中。

以下 Direct Connect 架构显示了从本地存储系统到 Amazon EFS 或 Amazon FSx 文件系统的 DataSync 传输。

![\[显示通过 Direct Connect 路由到 AWS 存储文件系统的 DataSync 传输流量的示意图。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-direct-connect-diagram-vpc-file-1subnet.png)


1.  DataSync 代理将 DataSync 流量从本地存储系统（源位置）路由到 Direct Connect 连接。

1. DataSync 流量会路由到用于传输的 Direct Connect 网关。要对此进行设置，您必须：

   1. 将 Direct Connect 网关与 VPC 的[虚拟专用网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)关联。这是 VP DataSync C 终端节点所在的 VPC，也是 DataSync 任务为文件系统创建[网络接口](required-network-interfaces.md)的地方（目标位置）。

   1. 创建将此 VPC 连接到 Direct Connect 网关的[专用虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-private-vif)。

1. DataSync 流量（控制平面）通过 DataSync VPC 终端节点路由。

1. DataSync 流量（数据平面）通过文件系统子网中的 DataSync 网络接口进行路由。这与 DataSync VPC 终端节点所在的子网相同。

1. DataSync 流量通过 DataSync 服务路由到文件系统（目标位置）。

### Direct Connect 架构，VPC 端点和文件系统目标位于不同子网
<a name="direct-connect-example-vpc-file-different-subnet"></a>

在与 Amazon EFS 或 Amazon FSx 文件系统进行传输或传出时，您的文件系统和 DataSync VPC 终端节点可以位于不同的子网中。

以下 Direct Connect 架构显示了从本地存储系统到 Amazon EFS 或 Amazon FSx 文件系统的 DataSync 传输。

![\[该图显示了通过 Direct Connect 和两个子网路由到 AWS 存储文件系统的 DataSync 传输流量。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-direct-connect-diagram-vpc-file-2subnet.png)


1.  DataSync 代理将 DataSync 流量从本地存储系统（源位置）路由到 Direct Connect 连接。

1. DataSync 流量会路由到用于传输的 Direct Connect 网关。要对此进行设置，您必须：

   1. 将 Direct Connect 网关与 VPC 的[虚拟专用网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)关联。这是 VP DataSync C 终端节点所在的 VPC，也是 DataSync 任务为文件系统创建[网络接口](required-network-interfaces.md)的地方（目标位置）。

   1. 创建一个[私有虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-private-vif)， VPCs 将其连接到 Direct Connect 网关。

1. DataSync 流量（控制平面）通过 DataSync VPC 终端节点路由。

1. DataSync 流量（数据平面）通过文件系统子网中的 DataSync 网络接口进行路由。这与 DataSync VPC 终端节点所在的子网不同。

1. DataSync 流量通过 DataSync 服务路由到文件系统（目标位置）。

## 将 Direct Connect 与 DataSync 公共或 FIPS 服务端点配合使用
<a name="direct-connect-example-public-fips"></a>

如果您的 DataSync 代理使用[公共](choose-service-endpoint.md#choose-service-endpoint-public)或[联邦信息处理标准 (FIPS)](choose-service-endpoint.md#choose-service-endpoint-fips) 服务端点，则可以使用[公共虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-public-vif)通过 Direct Connect 连接路由数据传输流量。

虽然 Direct Connect 默认会通告所有本地和远程 AWS 区域 前缀，但您可以使用 [BGP 社区标签](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#bgp-communities)来控制公共虚拟接口上流量的范围（区域或全局）和路由首选项。您必须宣传至少一个公共前缀才能创建您的 DataSync 代理。

以下 Direct Connect 架构显示了从本地存储系统通过公共或 FIPS 端点到 S3 存储桶的 DataSync 传输。

![\[该图表显示了使用公共虚拟接口通过 Direct Connect 路由到 S3 存储桶的 DataSync 传输流量。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-direct-connect-diagram-public-endpoint.png)


1.  DataSync 代理将 DataSync 流量从本地存储系统（源位置）路由到 Direct Connect 连接。

1. DataSync 流量通过公共虚拟接口路由到 DataSync 服务。

1. DataSync 到 S3 存储桶（目标位置）的流量。

## 后续步骤
<a name="direct-connect-next-steps"></a>

[如果您需要 DataSync 代理](do-i-need-datasync-agent.md)但尚未创建代理，请[部署](deploy-agents.md)代理，为代理[选择服务端点](choose-service-endpoint.md)，然后[激活](activate-agent.md)该代理。

创建代理后，您可以为[配置网络](datasync-network.md) DataSync。

# 为多个 AWS DataSync 代理配置代理 NICs
<a name="configure-agent-multinic"></a>

如果将 AWS DataSync 代理配置为使用多个网络适配器 (NICs)，则可以通过多个 IP 地址访问该代理。您可能希望在以下情况下执行此操作：
+ ****最大程度地增加吞吐量**** - 当网络适配器成为瓶颈时，您可能希望最大程度地增加代理的吞吐量。
+ ****网络隔离**** — 网络文件系统 (NFS)、服务器消息块 (SMB)、Hadoop Distributed File System (HDFS) 或对象存储服务器，可能位于出于安全原因而缺少互联网连接的虚拟局域网 (VLAN) 上。

在典型的多适配器用例中，将一个适配器配置为代理与之通信的路由 AWS （作为默认代理）。除了这个适配器之外，NFS、SMB、HDFS 或自行管理对象存储位置必须与连接到它们的适配器位于同一子网中。

否则，可能无法与预期 NFS、SMB、HDFS 或对象存储位置通信。在某些情况下，您可以在用于与通信的同一适配器上配置 NFS、SMB、HDFS 或对象存储位置。 AWS在这些情况下，该服务器的 NFS、SMB、HDFS 或对象存储流量以及 AWS 流量会流经同一个适配器。

在某些情况下，您可以将一个适配器配置为连接到 AWS DataSync 控制台，然后再添加第二个适配器。在这种情况下， DataSync 自动将路由表配置为使用第二个适配器作为首选路由。