AWS Direct Connect 閘道 - AWS Direct Connect
案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Direct Connect 閘道

使用 AWS Direct Connect 閘道來連接 VPCs。您可以將 AWS Direct Connect 閘道與下列任何項目建立關聯:

  • 您在相同區域擁有多個 VPC 時的傳輸閘道

  • 虛擬私有閘道

  • AWS Cloud WAN 核心網路

您也可以使用虛擬私有閘道來擴充本機區域。此組態可讓與本機區域相關聯的 VPC 連線到 Direct Connect 閘道。Direct Connect 閘道可連線至區域中的 Direct Connect 位置。內部部署資料中心有 Direct Connect 連至 Direct Connect 的位置。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 Direct Connect 閘道存取本機區域

Direct Connect 閘道是一項全球可用的資源。您可以使用 Direct Connect 閘道連線到全域的任何區域。這包括 AWS GovCloud (US),但不包括 AWS 中國區域。Direct Connect 閘道是 Direct Connect 的虛擬元件,旨在充當一組分佈的 BGP 路由反射器。因為它在資料流量路徑之外運作,因此可避免建立單一故障點或引入特定相依性 AWS 區域。高可用性本質上內建於其設計中,無需多個 Direct Connect 閘道。

使用 Direct Connect 搭配目前繞過父可用區域的 VPC 的客戶將無法遷移其 Direct Connect 連線或虛擬介面。

以下描述的案例是您可以使用 Direct Connect 閘道的案例。

Direct Connect 閘道不允許位於相同 Direct Connect 閘道上的閘道關聯彼此傳送流量 (例如,虛擬私有閘道到另一個虛擬私有閘道)。2021 年 11 月實施的此規則出現例外情況,當超級網路跨兩個或多個 VPC 公告時,這些 VPC 的附接虛擬私有閘道 (VGW) 與相同的 Direct Connect 閘道相關聯,且在相同的虛擬介面上。在此情況下,VPC 可透過 Direct Connect 端點互相通訊。例如,如果您公告超級網路 (例如,10.0.0.0/8 或 0.0.0.0/0) 與附接至 Direct Connect 閘道的 VPC 重疊 (例如,10.0.0.0/24 和 10.0.1.0/24),而且在相同的虛擬介面上,VPC 就可以從您的內部部署網路互相通訊。

如果您想要封鎖 Direct Connect 閘道內的 VPC-to-VPC 通訊,請執行下列動作:

  1. 在 VPC 中的執行個體和其他資源上設定安全群組,以封鎖 VPC 之間的流量,同時將其用作 VPC 中預設安全群組的一部分。

  2. 避免從內部部署網路公告與 VPC 重疊的超級網路。您可以改為從內部部署網路公告不與 VPC 重疊的更具體路由。

  3. 為您要連線到內部部署網路的每個 VPC 佈建單一 Direct Connect 閘道,而不是針對多個 VPC 使用相同的 Direct Connect 閘道。例如,不要為開發和生產 VPC 使用單一 Direct Connect 閘道,而是為各個 VPC 使用單獨的 Direct Connect 閘道。

Direct Connect 閘道不會防止流量從一個閘道關聯傳回閘道關聯本身 (例如,當您有內部部署超級網路路由,且其中包含來自閘道關聯的字首)。如果您的組態具有多個 VPC 連線至與相同 Direct Connect 閘道相關聯的傳輸閘道,則 VPC 可以進行通訊。為了防止 VPCs通訊,請將路由表與已設定黑洞選項的 VPC 附件建立關聯。

主題

案例

以下僅說明使用 Direct Connect 閘道的幾個案例。

在下圖中,Direct Connect 閘道可讓您使用美國東部 (維吉尼亞北部) 區域的 AWS Direct Connect 連線,在美國東部 (維吉尼亞北部) 和美國西部 (加利佛尼亞北部) 區域中存取帳戶中的 VPC。

每個 VPC 都有一個虛擬私有閘道,該閘道使用虛擬私有閘道關聯連線至 Direct Connect 閘道。Direct Connect 閘道使用私有虛擬介面來連線至 AWS Direct Connect 位置。從該位置到客戶資料中心有一個 AWS Direct Connect 連線。

Direct Connect 閘道可連接兩個 AWS 區域中VPCs 和您的資料中心。

考慮這個案例的 Direct Connect 閘道擁有者 (帳戶 Z) 擁有 Direct Connect 閘道。帳戶 A 和帳戶 B 都想使用 Direct Connect 閘道。帳戶 A 和帳戶 B 各自將關聯提案傳送至帳戶 Z。帳戶 Z 會接受關聯提案,並可選擇性更新允許來自帳戶 A 的虛擬私有閘道或帳戶 B 的虛擬私有閘道的字首。在帳戶 Z 接受提案之後,帳戶 A 和帳戶 B 可以將來自其虛擬私有閘道的流量路由傳送到 Direct Connect 閘道。帳戶 Z 還擁有客戶的路由,因為帳戶 Z 擁有閘道。

Direct Connect 閘道可連接三個 AWS 帳戶 和您的資料中心。

下圖說明 Direct Connect 閘道如何讓您建立單一連線到您的 Direct Connect 連線,以供您所有 VPC 使用。

與具有多個 VPC 連接之傳輸閘道相關聯的 Direct Connect 閘道。

此解決方案包含下列元件:

  • 具有 VPC 連接的傳輸閘道。

  • Direct Connect 閘道。

  • Direct Connect 閘道和傳輸閘道之間的關聯。

  • 連接至 Direct Connect 閘道的傳輸虛擬介面。

此組態具有以下好處。您可以:

  • 管理相同區域中多個 VPC 或 VPN 的單一連線。

  • 將字首從現場部署公告到現場部署 AWS ,以及從現場部署公告 AWS 到現場部署。

如需設定傳輸閘道的相關資訊,請參閱《Amazon VPC 傳輸閘道指南》中的使用傳輸閘道

考慮這個案例的 Direct Connect 閘道擁有者 (帳戶 Z) 擁有 Direct Connect 閘道。帳戶 A 擁有傳輸閘道且想要使用 Direct Connect 閘道。帳戶 Z 接受關聯提案且可選擇更新允許來自帳戶 A 的傳輸閘道字首。帳戶 Z 接受提案後,連接到傳輸閘道的 VPC 可以從傳輸閘道路由流量到 Direct Connect 閘道。帳戶 Z 還擁有客戶的路由,因為帳戶 Z 擁有閘道。

來自與另一個傳輸閘道 AWS 帳戶 相關聯之 的 Direct Connect 閘道 AWS 帳戶。