使用安全 AWS Site-to-Site VPN 连接之间的通信 VPN CloudHub - AWS Site-to-Site VPN
概述定价

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用安全 AWS Site-to-Site VPN 连接之间的通信 VPN CloudHub

如果您有多个 AWS Site-to-Site VPN 连接,则可以使用在站点之间提供安全的通信 AWS VPN CloudHub。这使您的站点能够相互通信,而不仅仅是与您的网站中的资源进行通信VPC。在一个简单的 hub-and-spoke模型上VPN CloudHub 运行,无论是否使用,都可以使用VPC。如果您有多个分支机构和现有的互联网连接,并且希望为这些站点之间的主连接或备用连接实施一种方便、可能低成本的 hub-and-spoke模式,则此设计非常适合。

概述

下图显示了VPN CloudHub 架构。虚线显示通过连接路由的远程站点之间的网络流量。VPN站点的 IP 范围不得重叠。

CloudHub 架构图

对于此场景,请执行以下操作:

  1. 创建单个虚拟私有网关。

  2. 创建多个客户网关,每个网关都使用该网关的公有 IP 地址。您必须为每个客户网关使用唯一的边界网关协议 (BGPASN) 自治系统编号 ()。

  3. 创建从每个客户网关到公共虚拟专用网关的动态路由 Site-to-SiteVPN连接。

  4. 配置客户网关设备以向虚拟私有网关通告特定于站点的前缀(例如 10.0.0.0/24、10.0.1.0/24)。这些路由广告会被接收并重新发布给每个BGP对等体,从而使每个站点能够向其他站点发送数据和从其他站点接收数据。这是使用 Site-to-SiteVPN连接VPN配置文件中的网络语句完成的。根据您使用的路由类型,网络声明可能会有稍许不同。

  5. 在子网路由表中配置路由,使您的VPC实例能够与您的站点通信。有关更多信息,请参阅 (虚拟私有网关)在路由表中启用路由传播。您可以在路由表中配置聚合路由(例如,10.0.0.0/16)。在客户网关设备和虚拟私有网关之间使用更具体的前缀。

使用虚拟专用网关 AWS Direct Connect 连接的站点也可以是其中的一部分 AWS VPN CloudHub。例如,您在纽约的公司总部可以 AWS Direct Connect 与建立连接,VPC而您的分支机构可以使用 Site-to-SiteVPN与的连接VPC。洛杉矶和迈阿密的分支机构可以相互发送和接收数据,也可以与您的公司总部发送和接收数据,所有这些都使用 AWS VPN CloudHub。

定价

要使用 AWS VPN CloudHub,您需要支付典型的 Amazon VPC Site-to-Site VPN 连接费率。您需要按每小时连接到虚拟专用网关VPN的连接费率计费。当您使用将数据从一个站点发送到另一个站点时 AWS VPN CloudHub,将数据从您的站点发送到虚拟专用网关是免费的。对于从虚拟私有网关转继到您的终端节点的数据,您仅需支付标准 AWS 数据传输费用即可。

例如,如果您在洛杉矶有一个站点,在纽约有一个站点,并且两个站点都连接到虚拟专用网关,则您需要为每个 Site-to-SiteVPN Site-to-SiteVPN连接支付每小时费率(因此,如果费率为每小时 0.05 美元,则总共为每小时 0.10 美元)。您还需要为通过每个 Site-to-SiteVPN连接从洛杉矶发送到纽约(反之亦然)的所有数据支付标准 AWS 数据传输费率。通过 Site-to-SiteVPN连接发送到虚拟专用网关的网络流量是免费的,但是通过 Site-to-SiteVPN连接从虚拟专用网关发送到终端节点的网络流量按标准 AWS 数据传输费率计费。

有关更多信息,请参阅Site-to-Site VPN连接定价