本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Direct Connect 虚拟私有网关关联
您可以将虚拟私有网关与 Direct Connect 网关关联,以便跨不同账户和区域的 Direct Connect 连接与 VPC 之间建立连接。每个 VPC 都需要虚拟私有网关,您将此网关与 Direct Connect 网关关联。建立这些关联后,您就可以在与 Direct Connect 网关的 Direct Connect 连接上创建私有虚拟接口,从而允许多个 VPC 通过各自的虚拟私有网关关联共享同一个 Direct Connect 连接。
以下规则适用于虚拟私有网关关联:
+ 在将虚拟网关与 Direct Connect 网关关联之前,请勿启用路由传播。如果在关联网关之前启用路由传播,则可能无法正确传播路由。
+ 创建和使用 Direct Connect 网关是有限制的。有关更多信息,请参阅 [Direct Connect 的配额](limits.md)。
+ 当 Direct Connect 网关已与中转网关关联时,您无法将 Direct Connect 网关连接到虚拟私有网关。
+ 您通过 Direct Connect 网关连接到的 VPC 不能具有重叠 CIDR 块。如果您将 IPv4 CIDR 块连接到一个与 Direct Connect 网关关联的 VPC,请确保该 CIDR 块不会与任何其他关联 VPC 的现有 CIDR 块重叠。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[向 VPC 中添加 IPv4 CIDR 块](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize)。
+ 您不能创建一个到 Direct Connect 网关的公有虚拟接口。
+ Direct Connect 网关仅支持连接的私有虚拟接口和关联的虚拟私有网关之间的通信,并且可以启用到另一个私有网关的虚拟私有网关。以下流量不受支持:
+ 与单个 Direct Connect 网关相关联的多个 VPC 之间的直接通信。包括在本地网络中经由单个 Direct Connect 网关使用发夹,从一个 VPC 到另一个 VPC 的流量。
+ 附加到单个 Direct Connect 网关的虚拟接口之间的直接通信。
+ 附加到单个 Direct Connect 网关的虚拟接口和与同一 Direct Connect 网关关联的虚拟私有网关上的 VPN 连接之间的直接通信。
+ 您不能将一个虚拟私有网关与多个 Direct Connect 网关关联,而且不能将一个私有虚拟接口附加到多个 Direct Connect 网关。
+ 与 Direct Connect 网关关联的虚拟私有网关必须附加到 VPC。
+ 虚拟私有网关关联提议将在创建的 7 天后过期。
+ 接受的虚拟私有网关提议或删除的虚拟私有网关提议将在 3 天内保持可见。
+ 虚拟私有网关可以与 Direct Connect 网关相关联,也可以附加到虚拟接口。
+ 从 VPC 分离虚拟私有网关也会解除虚拟私有网关与 Direct Connect 网关的关联。
+ 如果您计划对 Direct Connect 网关和动态 VPN 连接使用虚拟私有网关,请将虚拟私有网关上的 ASN 设置为 VPN 连接的所需值。否则,虚拟私有网关上的 ASN 可以设置为任何允许的值。Direct Connect 网关会通过分配给它的 ASN 公布给所有连接的 VPC。
要将您的 Direct Connect 仅连接到相同区域中的 VPC,您可以创建一个 Direct Connect 网关。或者,您可以创建一个私有虚拟接口,并将其附加到 VPC 的虚拟私有网关。有关更多信息,请参阅[创建私有虚拟接口](create-private-vif.md)和 [VPN CloudHub](https://docs.aws.amazon.com/vpc/latest/userguide/VPN_CloudHub.html)。
要通过其他账户中的 VPC 使用您的 Direct Connect 连接,可以为相应账户创建一个托管私有虚拟接口。当其他账户的所有者接受该托管虚拟接口时,他们可以选择将其附加到其账户中的虚拟私有网关或 Direct Connect 网关。有关更多信息,请参阅 [虚拟接口和托管虚拟接口](WorkingWithVirtualInterfaces.md)。
**Topics**
+ [创建虚拟专用网关](create-virtual-private-gateway.md)
+ [关联虚拟私有网关或解除其关联](associate-vgw-with-direct-connect-gateway.md)
+ [创建到 Direct Connect 网关的私有虚拟接口](create-private-vif-for-gateway.md)
+ [跨账户关联虚拟私有网关](multi-account-associate-vgw.md)
# 创建 Direct Connect 虚拟私有网关
虚拟私有网关必须附加到您要连接到的 VPC。您可以使用 Direct Connect 控制台或使用命令行或 API 创建虚拟私有网关,并将其挂载到 VPC。
**注意**
如果您计划对 Direct Connect 网关和动态 VPN 连接使用虚拟私有网关,请将虚拟私有网关上的 ASN 设置为 VPN 连接的所需值。否则,虚拟私有网关上的 ASN 可以设置为任何允许的值。Direct Connect 网关会通过分配给它的 ASN 公布给所有连接的 VPC。
创建虚拟专用网关后,必须将其连接到您的 VPC。
**创建虚拟专用网关并将其连接到您的 VPC**
1. 访问 [https://console.aws.amazon.com/directconnect/v2/home](https://console.aws.amazon.com/directconnect/v2/home) 并打开 **Direct Connect** 控制台。
1. 在导航窗格中,选择**虚拟私有网关**,然后选择**创建虚拟私有网关**。
1. (可选)为虚拟私有网关输入名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **ASN**,保留默认选择以使用默认的 Amazon ASN。否则,选择**自定义 ASN**并输入一个值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 4200000000 到 4294967294 范围内。
1. 选择 **Create Virtual Private Gateway**。
1. 选择您已创建的虚拟专用网关,然后依次选择 **Actions**、**Attach to VPC**。
1. 从列表中选择您的 VPC ,然后选择 **Yes, Attach**。
**使用命令行或 API 创建虚拟专用网关**
+ [CreateVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpnGateway.html)(Amazon EC2 查询 API)
+ [create-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-gateway.html) (AWS CLI)
+ [New-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**使用命令行或 API 将虚拟专用网关连接到 VPC**
+ [AttachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AttachVpnGateway.html)(Amazon EC2 查询 API)
+ [attach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-vpn-gateway.html) (AWS CLI)
+ [Add-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# 关联或取消关联 Direct Connect 虚拟专用网关
您可以使用 Direct Connect 控制台、命令行或 API 关联或取消关联虚拟专用网关和 Direct Connect 网关。虚拟私有网关的账户所有者执行这些操作。
**关联虚拟私有网关**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Direct Connect 网关**,然后选择 Direct Connect 网关。
1. 请选择**查看详细信息**。
1. 选择**网关关联**,然后选择**关联网关**。
1. 对于 **Gateways (网关)**,选择要关联的虚拟私有网关,然后选择 **Associate gateway (关联网关)**。
您可以通过选择 **Gateway associations (网关关联)** 查看与 Direct Connect 网关关联的所有虚拟私有网关。
**取消关联虚拟私有网关**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Direct Connect 网关**,然后选择 Direct Connect 网关。
1. 请选择**查看详细信息**。
1. 选择 **Gateway associations (网关关联)**,然后选择虚拟私有网关。
1. 选择**取消关联**。
**使用命令行或 API 关联虚拟私有网关**
+ [create-direct-connect-gateway-协会](https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway-association.html) ()AWS CLI
+ [CreateDirectConnectGatewayAssociation](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGatewayAssociation.html)(Direct Connect API)
**使用命令行或 API 查看与 Direct Connect 网关关联的虚拟私有网关**
+ [describe-direct-connect-gateway-协会](https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-associations.html) ()AWS CLI
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)(Direct Connect API)
**使用命令行或 API 取消关联虚拟私有网关**
+ [delete-direct-connect-gateway-协会](https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway-association.html) ()AWS CLI
+ [DeleteDirectConnectGatewayAssociation](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGatewayAssociation.html)(Direct Connect API)
# 为 Direct Connect 网关创建私有虚拟接口
要将您的 Direct Connect 连接连接到远程 VPC,您必须为连接创建私有虚拟接口。指定要连接到的 Direct Connect 网关。您可以使用 Direct Connect 控制台、命令行或 API 创建私有虚拟接口。
**注意**
如果您接受了某个托管私有虚拟接口,则可以将其与您账户中的 Direct Connect 网关关联。有关更多信息,请参阅 [接受托管 虚拟接口](accepthostedvirtualinterface.md)。
**为 Direct Connect 网关配置私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**虚拟接口所有者**,如果虚拟接口适用于您的** AWS 账户,请选择我的** AWS 账户。
1. 对于 **Direct Connect 网关**,选择 Direct Connect 网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
创建了虚拟接口后,您可以为设备下载路由器配置。有关更多信息,请参阅 [下载路由器配置文件](vif-router-config.md)。
**使用命令行或 API 创建私有虚拟接口**
+ [create-private-virtual-interface](https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-private-virtual-interface.html) (AWS CLI)
+ [CreatePrivateVirtualInterface](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreatePrivateVirtualInterface.html) (Direct Connect API)
**使用命令行或 API 查看附加到 Direct Connect 网关的虚拟接口**
+ [describe-direct-connect-gateway-附件](https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-attachments.html) ()AWS CLI
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.html)(Direct Connect API)
# 跨账户关联 Direct Connect 虚拟私有网关
您可以将 Direct Connect 网关与任何 AWS 账户拥有的虚拟私有网关关联。Direct Connect 网关可以是现有网关,您也可以创建新网关。虚拟私有网关的所有者创建*关联提议*,而 Direct Connect 网关的所有者必须接受此关联提议。
关联提议可以包含虚拟私有网关中将允许的前缀。Direct Connect 网关的所有者可以选择覆盖关联提议中的任何请求的前缀。
## 允许的前缀
当您将虚拟私有网关与 Direct Connect 网关关联时,您可以指定一个要公布到 Direct Connect 网关的 Amazon VPC 前缀的列表。该前缀列表用作筛选器,以允许相同的 CIDR 或更小的 CIDR 公布到 Direct Connect 网关。您必须将 **Allowed prefixes (允许的前缀)** 设置为等于或大于 VPC CIDR 的范围,因为我们在虚拟私有网关上预配置整个 VPC CIDR 。
考虑以下情况:VPC CIDR 为 10.0.0.0/16。您可以将 **Allowed prefixes (允许的前缀)** 设置为 10.0.0.0/16(VPC CIDR 值)或10.0.0.0/15(大于 VPC CIDR 的值)。
任何通过 Direct Connect 通告的网络前缀内部的虚拟接口只能传播到跨区域的中转网关,但不能传播到同一区域内的中转网关。有关允许的前缀如何与虚拟私有网关和中转网关交互的更多信息,请参阅 [允许的前缀交互](allowed-to-prefixes.md)。