AWS Outposts 与 AWS 区域的连接

AWS Outposts 支持通过服务链路连接进行广域网 (WAN) 连接。

通过服务链路进行连接

在 AWS Outposts 预置期间，您或 AWS 将创建服务链路连接，将您的 Outposts 服务器连接到您选择的 AWS 区域或主区域。服务链路是一组加密的 VPN 连接，每当 Outpost 与您选择的主区域通信时，都会使用这些连接。您可以使用虚拟 LAN (VLAN) 对服务链路上的流量进行分段。服务链路 VLAN 支持 Outpost 和 AWS 区域之间的通信，用于管理 AWS 区域与 Outpost 之间的 Outpost 和 VPC 内部流量。

Outpost 能够通过公共区域连接创建返回 AWS 区域的服务链路 VPN。为此，Outpost 需要通过公共互联网或 AWS Direct Connect 公有虚拟接口连接到 AWS 区域的公共 IP 范围。这种连接可以通过服务链路 VLAN 中的特定路由或通过 0.0.0.0/0 的默认路由实现。有关 AWS 公共范围的更多信息，请参阅 AWSIP 地址范围。

建立服务链路后，Outpost 将投入使用并由 AWS 管理。服务链路用于以下流量：

服务链路最大传输单元 (MTU) 要求

网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小（以字节为单位）。Outpost 与父 AWS 区域的服务链路端点之间的网络必须支持 1500 字节 MTU。

从 Outposts 中实例到该区域中实例的流量 MTU 为 1300。

服务链路带宽建议

为获得最佳体验和弹性，AWS 要求您使用至少 500 Mbps 的冗余连接，并且与 AWS 区域的服务链路连接的往返延迟不超过 175 毫秒。每个 Outposts 服务器的最大利用率为 500 Mbps。要提高连接速度，请使用多个 Outposts 服务器。例如，如果您有三台 AWS Outposts 服务器，则最大连接速度会增加到 1.5 Gbps (1,500 Mbps)。有关更多信息，请参阅服务器的服务链路流量。

AWS Outposts 服务链路带宽要求因工作负载特征而异，例如 AMI 大小、应用程序弹性、突发速度需求，以及传输到该区域的 Amazon VPC 流量。请注意，AWS Outposts 服务器不会缓存 AMI。每次启动实例时，都会从该区域下载 AMI。

要获得有关您的需求所需的服务链路带宽的定制建议，请联系您的 AWS 销售代表或 APN 合作伙伴。

防火墙和服务链路

本部分讨论防火墙配置和服务链路。

在下图中，该配置将 Amazon VPC 从 AWS 区域延伸到 Outpost。AWS Direct Connect 公有虚拟接口是服务链路连接。以下流量通过服务链路和 AWS Direct Connect 连接传送：

如果您在互联网连接中使用状态防火墙来限制从公共互联网到服务链路 VLAN 的连接，则可以阻止所有从互联网发起的入站连接。这是因为服务链路 VPN 仅从 Outpost 发起到该区域，而不是从该区域发起到 Outpost。

如果您使用防火墙限制来自服务链路 VLAN 的连接，则可以阻止所有入站连接。根据下表，您必须允许从 AWS 区域返回到 Outpost 的出站连接。如果为状态防火墙，则应允许来自 Outpost 的出站连接（即这些连接是从 Outpost 发起的）返回入站。

更新和服务链路

AWS 维护您的 Outposts 服务器与其父 AWS 区域之间的安全网络连接。这种网络连接称为服务链路，它在 Outpost 和 AWS 区域之间提供 VPC 内部流量，对管理 Outpost 至关重要。AWSWell-Architected 最佳实践建议在两个 Outposts（位于采用主动-主动设计的不同可用区）上部署应用程序。有关更多信息，请参阅 AWS Outposts 高可用性设计和架构注意事项。

服务链路定期更新，以保持运行质量和性能。在维护期间，您可能会在该网络上看到短暂的延迟和数据包丢失，从而对依赖 VPC 连接到区域内托管资源的工作负载造成影响。不过，通过本地网络接口（LNI）的流量不会受到影响。您可以遵循 AWS Well-Architected 最佳实践，并确保您的应用程序能够抵御影响单个 Outposts 服务器的故障或维护活动，从而避免应用程序受到影响。

冗余互联网连接

当您建立从 Outpost 到 AWS 区域的连接时，我们建议您创建多个连接，以提高可用性和弹性。有关更多信息，请参阅 AWS Direct Connect 弹性建议。

如果您需要连接到公共互联网，则可以使用冗余互联网连接和各种互联网提供商，就像使用现有的本地工作负载一样。