本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 服务链路私有连接选项
<a name="private-connectivity"></a>

您可以为Outposts和家乡 AWS 地区之间的流量配置专用连接的服务链接。您可以选择使用 Direct Connect 私人或公交 VIFs。

在 AWS Outposts 控制台中创建 Outpost 时，请选择私有连接选项。有关说明，请参阅[创建前哨基地](https://docs.aws.amazon.com/outposts/latest/userguide/order-outpost-capacity.html#create-outpost)。

当您选择私有连接选项时，将在安装 Outpost 之后使用您指定的 VPC 和子网建立服务链接 VPN 连接。这允许通过 VPC 进行私有连接，并最大限度地减少公共互联网暴露。

下图显示了在您的 Outposts 和该地区之间建立服务链接 VPN 私有连接的 AWS 两个选项：

![\[服务链接私有连接选项。\]](http://docs.aws.amazon.com/zh_cn/outposts/latest/userguide/images/outpost-rack-sl-private-connectivity-options.png)


## 先决条件
<a name="private-connectivity-prerequisites"></a>

在为 Outpost 配置私有连接之前，需要满足以下先决条件：
+ 您必须为 IAM 实体（用户或角色）配置权限，以允许用户或角色创建服务链路的角色，以实现私有连接。IAM 实体需要权限才能访问以下操作：
  + `arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*` 上的 `iam:CreateServiceLinkedRole`
  + `arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*` 上的 `iam:PutRolePolicy`
  + `ec2:DescribeVpcs`
  + `ec2:DescribeSubnets`

  有关更多信息，请参[AWS Identity and Access Management 阅 AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/identity-access-management.html)
+ 在与您的 Outpost 相同的 AWS 账户和可用区中，创建一个专为 Outpost 私有连接而使用子网 /25 或更大且与 10.1.0.0/16 不冲突的 VPC。例如，你可以使用 10.3.0.0/16。
**重要**  
请勿删除此 VPC，因为它会保持与您的 Outposts 的连接。
+ 使用[安全控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 保护此 VPC 不被删除。

  以下 SCP 示例，可防止删除以下内容：
  + 子网标记为 **Outposts 锚子**网
  + VPC 标记为 **Outpost** s Anchor VPC
  + 标有 **Outposts 锚点**路由表的路由表
  + 标记为 **Outpost** s Transit Gateway 的公交
  + 虚拟专用网关标记为 **Outposts 虚拟专用**网关
  + 标有 **Outposts Transit Gateway 路由表的公交网关**路由表
  + 任何标有 **Outpost** s Anchor ENI 标签的 ENI
+ 配置连接到网络接口的安全组以允许以下入站流量：
  + 来自您指定来源的 ICMP
  + 来自您指定来源的 TCP 端口 443
  + 来自您指定来源的 UDP 端口 443
**注意**  
私有连接需要端口 443 上的 TCP 和 UDP 才能正常运行。
+ 向您的本地网络通告子网 CIDR。你可以用它 AWS Direct Connect 来做到这一点。有关更多信息，请参阅 *Direct Connect 用户指南*中的[Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)和[使用 Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。

**注意**  
要在 Outpost 处于 “**待定**” 状态时选择私密连接选项，请从主机中选择 Outpo **st** s，然后选择你 AWS Outposts 的 Outpost。选择**操作**和**添加私有连接**，然后按步骤操作。

为 Outpost 选择私有连接选项后，会在您的账户中 AWS Outposts 自动创建一个服务相关角色，使其能够代表您完成以下任务：
+ 在您指定的子网和 VPC 中创建网络接口，并为网络接口创建安全组。
+ 向 AWS Outposts 服务授予权限，以将网络接口连接到账户中的服务链接端点实例。
+ 将网络接口附加到账户中的服务链路端点实例。

**重要**  
安装 Outpost 后，确认从 Outpost 连接到子网 IPs 中的私有网络。

## 选项 1。通过私有连接实现 Direct Connect 私有连接 VIFs
<a name="sl-dx-private-vif-option"></a>

创建 AWS Direct Connect 连接、私有虚拟接口和虚拟私有网关，以允许您的本地 Outpost 访问 VPC。

有关更多信息，请参阅《*Direct Connect 用户指南》*中的以下部分：
+ [专用和托管连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)
+ [创建私有虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-private-vif.html)
+ [虚拟专用网关关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)

如果 AWS Direct Connect 连接位于与您的 VPC 不同的 AWS 账户中，请参阅*Direct Connect 用户指南*中的[跨账户关联虚拟私有网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/multi-account-associate-vgw.html)。

## 选项 2。通过公 Direct Connect 交实现私有连接 VIFs
<a name="sl-dx-transit-vif-option"></a>

创建 AWS Direct Connect 连接、中转虚拟接口和传输网关，以允许您的本地 Outpost 访问 VPC。

有关更多信息，请参阅《*Direct Connect 用户指南》*中的以下部分：
+ [专用和托管连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)
+ [创建到 Direct Connect 网关的传输虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-dx.html)
+ [中转网关关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)