什么是 AWS Site-to-Site VPN？

默认情况下，您在 Amazon VPC 中启动的实例无法与您自己的（远程）网络通信。您可以创建 AWS Site-to-Site VPN (VP Site-to-Site N) 连接并配置路由以通过该连接传递流量，从而允许从 VPC 访问您的远程网络。

尽管 VPN 连接是一个通用术语，但在本文档中，VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。 Site-to-SiteVPN 支持互联网协议安全 (IPsec) VPN 连接。

概念

以下是 Site-to-Site VPN 的关键概念：

VPN 连接：您的本地设备与您的设备之间的安全连接 VPCs。
VPN 隧道：用于在客户网络和 AWS之间传输数据的加密链接。

每个 VPN 连接均包括两条 VPN 隧道，可以同时使用这两条隧道来实现高可用性。
客户网关：一种向您的客户网关设备提供 AWS 相关信息的 AWS 资源。
客户网关设备： Site-to-SiteVPN 连接您一侧的物理设备或软件应用程序。
目标网关：VP Site-to-Site N 连接的 Amazon 端点的通用术语。
虚拟私有网关：虚拟私有网关是 VPN 连接的 Amazon 端的 Site-to-Site VPN 终端节点，可以连接到单个 VPC。
传输网关：一个传输中心，可用于互连多个 VPCs 本地网络，也可用作 VPN 连接的 Amazon 端点的 V Site-to-Site PN 终端节点。

AWS Site-to-Site VPN 连接支持以下功能：

互联网密钥交换版本 2 (IKEv2)
NAT 遍历
适用于虚拟专用网关（VGW）配置的 4 字节 ASN，范围为 1 至 2147483647。请参阅您的 AWS Site-to-Site VPN 连接的客户网关选项了解更多信息。
适用于客户网关（CGW）的 2 字节 ASN，范围为 1 至 65535。请参阅您的 AWS Site-to-Site VPN 连接的客户网关选项了解更多信息。
CloudWatch 指标
您的客户网关的可重用 IP 地址。
其他加密选项，包括 AES 256 位加密、SHA-2 哈希，以及其他 Diffie-Hellman 组
可配置的隧道选项
BGP 会话的 Amazon 端的自定义专用 ASN
来自下属 CA 的私有证书 AWS Private Certificate Authority
支持 IPv6 传输网关上的 VPN 连接流量

V Site-to-Site PN 连接有以下限制。

此外，在使用 Site-to-Site VPN 时，请考虑以下几点。

您可以使用以下任何接口创建、访问和管理 Site-to-Site VPN 资源：

AWS Management Console— 提供可用于访问您的 Site-to-Site VPN 资源的 Web 界面。
AWS Command Line Interface (AWS CLI) — 为包括亚马逊 VPC 在内的各种 AWS 服务提供命令，并在 Windows、macOS 和 Linux 上受支持。有关更多信息，请参阅 AWS Command Line Interface。
AWS SDKs— 提供特定语言 APIs 并处理许多连接细节，例如计算签名、处理请求重试和错误处理。有关更多信息，请参阅 AWS SDKs。
查询 API — 提供您使用 HTTPS 请求调用的低级别 API 操作。使用查询 API 是用于访问 Amazon VPC 的最直接方式，但需要您的应用程序处理低级别详细信息，例如生成哈希值以签署请求以及进行错误处理。有关更多信息，请参阅 Amazon EC2 API 参考。

您需要为预置并且可用的 VPN 连接按 VPN 连接小时数付费。有关更多信息，请参阅加AWS Site-to-Site VPN 速 Site-to-Site VPN 连接定价。

您需要支付从 Amazon EC2 向互联网传输数据的费用。有关更多信息，请参阅 Amazon EC2 按需定价页面上的数据传输。

当您创建加速 VPN 连接时，我们将代表您创建和管理两个加速器。您需要按小时为每个加速器付费，并支付数据传输费。有关更多信息，请参阅 AWS Global Accelerator 定价。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

如何 Site-to-SiteVPN运作