AWS Direct Connect 网关 - AWS Direct Connect

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Direct Connect 网关

使用 AWS Direct Connect 网关连接您的 VPC。将 AWS Direct Connect 网关与以下任一网关关联:

  • 当您在同一区域有多个 VPC 时的中转网关

  • 虚拟私有网关

您也可以使用虚拟私有网关来扩展本地区域。此配置允许与本地区域关联的 VPC 连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Direct Connect 位置。本地数据中心具有与 Direct Connect 位置连接的 Direct Connect 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 Direct Connect 网关访问本地区域

Direct Connect 网关是全球可用资源。您可以使用 Direct Connect 网关连接到全球任何区域。包括 AWS GovCloud (US) 但不包括 AWS 中国区域。

对于使用 Direct Connect 且 VPC 当前绕过父级可用区的客户,将无法迁移其 Direct Connect 连接或虚拟接口。

下面描述了可以使用 Direct Connect 网关的场景。

Direct Connect 网关不允许位于同一 Direct Connect 网关上的网关关联相互发送流量(例如,虚拟私有网关发送到另一个虚拟私有网关)。2021 年 11 月实施的这一规则有一种例外情况,即在两个或多个 VPC 上公布超网,这些 VPC 连接的虚拟私有网关(VGW)关联到同一 Direct Connect 网关并位于同一虚拟接口上。在这种情况下,VPC 可通过 Direct Connect 端点相互通信。例如,如果您公布的超网(例如 10.0.0.0/8 或 0.0.0.0/0)与连接到 Direct Connect 网关(例如 10.0.0.0/24 和 10.0.1.0/24)的 VPC 重叠,并位于同一虚拟接口上,则这些 VPC 可以从您的本地网络相互通信。

如果您想在 Direct Connect 网关内阻止 VPC 到 VPC 的通信,请执行以下操作:

  1. 在 VPC 中的实例和其他资源上设置安全组以阻止 VPC 之间的流量,也可以将其用作 VPC 中默认安全组的一部分。

  2. 避免从与 VPC 重叠的本地网络公布超网。相反,您可以从不与 VPC 重叠的本地网络公布特定的路由。

  3. 为要连接到本地网络的每个 VPC 预置一个 Direct Connect 网关,而不是为多个 VPC 使用同一 Direct Connect 网关。例如,不要为开发和生产 VPC 使用单个 Direct Connect 网关,而是为每个 VPC 使用单独的 Direct Connect 网关。

Direct Connect 网关不会阻止流量从一个网关关联发送回同一网关关联(例如,当您有一个本地超网路由包含来自网关关联的前缀时)。如果您的配置中有多个 VPC 连接到与同一 Direct Connect 网关关联的中转网关,则这些 VPC 可以进行通信。要阻止 VPC 通信,请将路由表与设置了黑洞选项的 VPC 挂载关联。

场景

下文仅针对使用 Direct Connect 网关的部分场景进行说明。

在下图中,Direct Connect 网关允许您使用美国东部(弗吉尼亚州北部)区域的 AWS Direct Connect 连接,访问您账户中位于美国东部(弗吉尼亚州北部)和美国西部(北加利福尼亚)区域的 VPC。

每个 VPC 都有一个虚拟私有网关,该网关使用虚拟私有网关关联连接到 Direct Connect 网关。Direct Connect 网关使用私有虚拟接口连接到 AWS Direct Connect 位置。从该位置到客户数据中心有一个 AWS Direct Connect 连接。

用于将两个 AWS 区域中 VPC 和您的数据中心相连接的 Direct Connect 网关。

考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 和账户 B 想要使用 Direct Connect 网关。账户 A 和账户 B 各自向账户 Z 发送关联提议。账户 Z 接受关联提议,并(可选)更新账户 A 的虚拟私有网关或账户 B 的虚拟私有网关中允许的前缀。账户 Z 接受提议后,账户 A 和账户 B 可以将流量从其虚拟私有网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。

用于将三个 AWS 账户 和您的数据中心相连接的 Direct Connect 网关。

下图说明如何通过 Direct Connect 网关创建一条可供您的所有 VPC 使用的到 Direct Connect 连接的单一连接。

与包含多个 VPC 连接的中转网关关联的 Direct Connect 网关。

此解决方案包含以下组件:

  • 具有 VPC 挂载的中转网关。

  • 一个 Direct Connect 网关。

  • Direct Connect 网关与中转网关之间的关联。

  • 连接到 Direct Connect 网关的中转虚拟接口。

此配置提供以下好处。您可以:

  • 对于同一区域中的多个 VPC 或 VPN,只需管理一个连接。

  • 在本地至 AWS 之间与 AWS 至本地之间公布前缀。

有关配置中转网关的信息,请参阅《Amazon VPC 中转网关指南》中的使用中转网关

考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 拥有中转网关,并希望使用 Direct Connect 网关。账户 Z 接受关联提议,并可以选择更新账户 A 的中转网关允许的前缀。账户 Z 接受提议后,连接到中转网关的 VPC 可以将流量从中转网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。

与来自另一个 AWS 账户 的中转网关相关联的 Direct Connect 网关(Direct Connect 网关来自 AWS 账户)。