本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加速 AWS Site-to-Site VPN 连接
您可以选择为 Site-to-SiteVPN连接启用加速。加速 Site-to-SiteVPN连接(加速VPN连接)用于 AWS Global Accelerator 将流量从您的本地网络路由到离您的客户网关设备最近的 AWS 边缘位置。 AWS Global Accelerator 优化网络路径,使用无拥塞的 AWS 全球网络将流量路由到提供最佳应用程序性能的端点(有关更多信息,请参阅)。AWS Global Accelerator
当您创建加速VPN连接时,我们会代表您创建和管理两个加速器,每个VPN隧道一个。您无法使用 AWS Global Accelerator 控制台或自己查看或APIs管理这些加速器。
有关支持加速VPN连接的 AWS 区域的信息,请参阅加AWS 速 Site-to-SiteVPNFAQs
启用加速
默认情况下,创建 Site-to-SiteVPN连接时,加速处于禁用状态。在公交网关上创建新 Site-to-SiteVPN连接时,您可以选择启用加速。有关更多信息和步骤,请参阅创建公交网关 AWS Site-to-Site VPN 附件。
加速VPN连接使用单独的 IP 地址池作为隧道端点 IP 地址。这两VPN条隧道的 IP 地址是从两个不同的网络区域中选择的。
规则和限制
要使用加速VPN连接,请遵循以下规则:
-
只有连接到传输网关的 Site-to-SiteVPN连接才支持加速。虚拟专用网关不支持加速VPN连接。
-
加速 Site-to-SiteVPN连接不能与 AWS Direct Connect 公共虚拟接口一起使用。
-
您无法为现有 Site-to-SiteVPN连接开启或关闭加速。相反,您可以根据需要创建开启或关闭加速功能的新 Site-to-SiteVPN连接。然后,将您的客户网关设备配置为使用新 Site-to-SiteVPN连接并删除旧 Site-to-SiteVPN连接。
-
NAT-traversal (NAT-T) 是加速VPN连接所必需的,默认情况下处于启用状态。如果您从 Amazon VPC 控制台下载了配置文件,请检查 NAT-T 设置并在必要时进行调整。
-
IKE加速VPN隧道的协商必须从客户网关设备启动。影响此行为的两个隧道选项是
Startup Action和DPD Timeout Action。有关更多信息,请参阅 VPN 隧道选项 和 VPN 隧道启动选项。 -
Site-to-Site VPN由于 Global Accelerator 中对数据包分段的支持有限 AWS Global Accelerator,因此使用基于证书的身份验证的连接可能与不兼容。有关更多信息,请参阅 AWS Global Accelerator 的工作原理。如果您需要使用基于证书的身份验证的加速VPN连接,则您的客户网关设备必须支持IKE分段。否则,请勿启用您的VPN加速功能。
