使用 AWS Direct Connect 復原工具組來設定 AWS Direct Connect 高恢復能力 - AWS Direct Connect
步驟 1:註冊 AWS步驟 2:設定彈性模型步驟 3:建立您的虛擬介面步驟 4:驗證您的虛擬介面彈性組態步驟 5:驗證您的虛擬介面連線能力

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Direct Connect 復原工具組來設定 AWS Direct Connect 高恢復能力

在此範例中, AWS Direct Connect 彈性工具組用於設定高復原模型

步驟 1:註冊 AWS

要使用 AWS Direct Connect,如果您還沒有 AWS 帳戶,則需要一個帳戶。

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

  1. 打開https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊時 AWS 帳戶,會建立AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」,檢視目前的帳戶活動並管理您的帳戶

建立具有管理存取權的使用者

註冊後,請保護您的 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。AWS Management Console在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 為您的 root 使用者開啟多因素驗證 (MFA)。

    如需指示,請參閱《使指南》中的「IAM為 AWS 帳戶 root 使用者啟用虛擬MFA裝置 (主控台)」。

建立具有管理存取權的使用者

  1. 啟用IAM身分識別中心。

    如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center

  2. 在IAM身分識別中心中,將管理存取權授與使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程,請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理存取權的使用者身分登入
指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限權限的最佳作法的權限集。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

步驟 2:設定彈性模型

設定高彈性模型

  1. https://console.aws.amazon.com/directconnect/v2/ 家中打開AWS Direct Connect控制台。

  2. 在導覽窗格中,選擇連線,然後選擇建立連線

  3. Connection ordering type (連線訂購類型) 下,選擇 Connection wizard (連線精靈)

  4. Resiliency level (彈性層級) 下,選擇 High Resiliency (高彈性),然後選擇 Next (下一步)

  5. Configure connections (設定連線) 窗格的 Connection settings (連線設定) 下,執行下列動作:

    1. 對於 bandwidth (頻寬),選擇連線頻寬。

      此頻寬適用於所有建立的連線。

    2. 對於「第一位置服務提供者」,請選取適當的 AWS Direct Connect 位置。

    3. 如適用,將第一個子位置選為最靠近您本身或網路供應商的樓層。僅當該位置在建築的多個樓層上具有會見房間 (MMRs) 時,才可使用此選項。

    4. 如果您對第一個位置服務供應商選取其他,則對其他供應商的名稱,請輸入您使用的合作夥伴名稱。

    5. 對於「第二位置服務提供者」,請選取適當的 AWS Direct Connect 位置。

    6. 如適用,將第二個子位置選為最靠近您本身或網路供應商的樓層。僅當該位置在建築的多個樓層上具有會見房間 (MMRs) 時,才可使用此選項。

    7. 如果您對第二個位置服務供應商選取其他,則對其他供應商的名稱,請輸入您使用的合作夥伴名稱。

    8. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:

      • 對於 Key (金鑰),輸入金鑰名稱。

      • 中,進入索引鍵值。

      [移除標籤] 在標籤旁邊,選擇 移除標籤

  6. 選擇 Next (下一步)

  7. 檢閱您的連線,然後選擇 Continue (繼續)

    如果您LOAs已準備就緒,可以選擇 [下載]LOA,然後按一下 [繼續]。

    檢閱您的要求並為 AWS 您的連線佈建連接埠,最多可能需要 72 小時的時間。在此期間,您可能會收到一封電子郵件,要求您就自身使用案例或指定的據點補齊更多資訊。電子郵件會傳送至您註冊時使用的電子郵件地址 AWS。您必須在 7 日內回覆,否則將刪除連線。

步驟 3:建立您的虛擬介面

您可以創建一個私有虛擬界面來連接到您的VPC. 或者,您可以建立公用虛擬介面,以連線至不在VPC. AWS 當您建立私有虛擬界面時VPC,您需要為每個您要連接VPC的私人虛擬界面。例如,您需要三個私有虛擬界面才能連接到三個VPCs。

開始之前,請務必備妥下列資訊:

資源 必要資訊
Connection (連線) 您要為其建立虛擬介面的 AWS Direct Connect 連線或連結彙總群組 (LAG)。
虛擬介面名稱 虛擬介面的名稱。
虛擬介面擁有者 如果您要為其他帳戶建立虛擬介面,則需要另一個 AWS 帳戶的帳戶 ID。
(僅限私有虛擬介面) 連線 要連接到同一 AWS 區域VPC中的一個,您需要VPC. 工ASN作階段的 Amazon 端BGP會繼承自虛擬私有閘道。建立虛擬私有閘道時,您可以指定自己的私有閘道ASN。否則,Amazon 提供了一個默認值ASN。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立虛擬私有閘道。若要VPC透過直接連線閘道連線到,您需要直接 Connect 閘道。如需詳細資訊,請參閱 Direct Connect 閘道
VLAN 您的連線尚未使用的唯一虛擬區域網路 (VLAN) 標籤。此值必須介於 1 到 4094 之間,且必須符合乙太網路 802.1Q 標準。任何周遊 AWS Direct Connect 連線的流量都需使用此標籤。

如果您有託管連線,您的 AWS Direct Connect 合作夥伴會提供此值。建立虛擬介面後,就無法修改該值。
對等 IP 地址 虛擬介面可支援、或其中一個對IPv4IPv6等BGP工作階段 (雙堆疊)。請勿使用彈性 IPs (EIPs) 或從 Amazon 集區使用您自己的 IP 地址 (BYOIP) 來建立公用虛擬界面。您無法在相同的虛擬介面上為相同 IP 位址系列建立多個BGP工作階段。IP 位址範圍會指派給對BGP等工作階段之虛擬介面的每一端。

  • IPv4:

    • (僅限公用虛擬介面) 您必須指定您擁有的唯一公用IPv4位址。值可為下列其中之一:

      • 客戶擁有 IPv4 CIDR

        這些可以是任何公用的IPs(客戶擁有或由提供 AWS),但是對等 IP 和 AWS 路由器對等 IP 都必須使用相同的子網掩碼。例如,如果您配置一個/31範圍203.0.113.0/31,例如,您可以用203.0.113.0於對等 IP 和203.0.113.1對 AWS 等 IP。或者,如果您分配一個/24範圍198.51.100.0/24,例如,您可以使用198.51.100.10對等 IP 和198.51.100.20對 AWS 等 IP。

      • 您的 AWS Direct Connect 合作夥伴擁有的 IP 範圍ISP,或連同 LOA-CFA 授權

      • 一個 AWS-提供的 /31CIDR. 聯絡 Sup AWS port 部門以申請公開 IPv4CIDR(並在您的要求中提供使用案例)

        注意

        我們無法保證我們能夠滿足所 AWS提供公共IPv4地址的所有要求。

    • (僅限私有虛擬界面)Amazon 可以為您生成私有IPv4地址。如果您指定自己的,請確保僅CIDRs為路由器介面和 AWS Direct Connect 介面指定為私有。例如,請勿從您的本機網路指定其他 IP 地址。與公共虛擬界面類似,同時對等 IP 和路由器對等 IP 都必須使用相同的子網 AWS 路遮罩。例如,如果您配置一個/30範圍192.168.0.0/30,例如,您可以用192.168.0.1於對等 IP 和192.168.0.2對 AWS 等 IP。

  • IPv6:Amazon 會自動為您分配/IPv6CIDR125。您無法指定自己的對等IPv6位址。
地址系列 BGP對等工作階段是結束IPv4還IPv6是。
BGP資訊

  • 您BGP工作階段的公用或私有邊界閘道通訊協定 (BGPASN) 自主系統編號 ()。如果您使用的是公共ASN,則必須擁有它。如果您使用私有ASN,則可以設置自定義ASN值。如果是 16 位元ASN,此值必須在 64512 到 65534 的範圍之間。如果是 32 位元ASN,此值必須介於 1 到 2147483647 的範圍內。如果您使用私ASN有的公共虛擬界面,則自治系統(AS)預先處理不起作用。

  • AWS MD5依預設會啟用。您無法修改此選項。

  • 驗MD5BGP證金鑰。您可以提供自己的資訊,或是由 Amazon 為您生成。
(僅限公有虛擬介面) 您要公告的字首

要做廣告的公共IPv4IPv6路線或路線BGP。您必須使用公告至少一個前置詞BGP,最多 1,000 個字首。

  • IPv4:當IPv4CIDR以下任一情況成立 AWS Direct Connect 時,可以與IPv4CIDR宣布使用的另一個公眾重疊:

    • 來自CIDRs不同的 AWS 地區。請確定您在公開前置詞上套用BGP社群標記。

    • 當您在主動/被動組態ASN中擁有公用PATH時,您可以使用 AS_。

    如需詳細資訊,請參閱路由原則和BGP社群

  • IPv6:指定 /64 或更短的字首長度。

  • 您可以向現有的公共添加其他前綴,VIF並通過聯繫AWS 支持來宣傳這些前綴。在您的支援案例中,請提供您要新增至公眾VIF和公告的其他CIDR前置詞清單。

  • 您可以透過 Direct Connect 公有虛擬介面指定任何字首長度。IPv4應該支持 /1-/32 的任何內容,並且IPv6應該支持 /1-/64 的任何內容。
(僅限私有虛擬介面) 巨型訊框 封包的最大傳輸單位 (MTU) AWS Direct Connect。預設值為 1500。如果未更新為支援巨型框架,將虛擬介面設定為 9001 (巨型框架) 可能會導致基礎實體連線的更新。MTU更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。巨型框架僅適用於來源傳輸的路由 AWS Direct Connect。如果您將靜態路由新增至指向虛擬私有閘道的路由表,則透過靜態路由路由的流量會使用 1500 傳送MTU。若要檢查連線或虛擬介面是否支援超大型框架,請在 AWS Direct Connect 主控台中選取該框架,然後在虛擬介面的 [一般組態] 頁面上找到具有超大型框架功能
(僅限傳輸虛擬介面) 巨型訊框 封包的最大傳輸單位 (MTU) AWS Direct Connect。預設值為 1500。如果虛擬介面未更新為支援巨型框架,則將虛擬介面設定為 8500 (巨型框架) 可能會導致基礎實體連線的更新。MTU更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。直接 Connect MTU 的巨型框架最多支持 8500。傳輸閘道路由表中設定的靜態路由和傳輸路由將支援「巨型框架」,包括從具有VPC靜態路由表項目的EC2執行個體到傳 Transit Gateway 附件。若要檢查連線或虛擬介面是否支援超大型框架,請在 AWS Direct Connect 主控台中選取該框架,然後在虛擬介面的 [一般組態] 頁面上找到具有超大型框架功能

如果您的公開前綴或ASNs屬於ISP或網絡運營商, AWS 請向您索取其他信息。這可以是使用官方公司信箋的文件,或者來自公司網域名稱的電子郵件,以驗證您是否ASN可以使用網路前綴/。

建立公用虛擬界面時,最多可能需要 72 小時 AWS 才能審核和核准您的請求。

為非VPC服務提供公共虛擬界面

  1. https://console.aws.amazon.com/directconnect/v2/ 家中打開AWS Direct Connect控制台。

  2. 在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。

  3. 選擇建立虛擬介面

  4. 虛擬介面類型之下,針對類型選擇公有

  5. 公有虛擬介面設定 之下,執行下列動作:

    1. 針對虛擬介面名稱,輸入虛擬介面的名稱。

    2. 針對連線,選擇要用於此介面的 Direct Connect 連線。

    3. 在中 VLAN,輸入虛擬區域網路的 ID 號碼 (VLAN)。

    4. 在中 BGPASN,輸入閘道的邊界閘道通訊協定 (BGPASN) 自主系統編號 ()。

      有效值為 1-2147483647。

  6. Additional settings (其他設定) 之下,執行下列動作:

    1. 要配置IPv4BGP或對IPv6等,請執行以下操作:

      [IPv4] 要配置對IPv4BGP等,請選擇IPv4並執行以下操作之一:

      • 若要自行指定這些 IP 位址,請針對您的路由器對等 IP 輸入 Amazon 應傳送流量的目的地位IPv4CIDR址。

      • 對於 Amazon 路由器對等 IP,請輸入用於傳送流量的位IPv4CIDR址 AWS。

      [IPv6] 要配置對IPv6BGP等,請選擇IPv6。對等IPv6地址是從 Amazon 的地IPv6址集區自動分配的。您無法指定自訂IPv6位址。

    2. 若要提供您自己的BGP金鑰,請輸入您的BGPMD5金鑰。

      如果你沒有輸入一個值,我們生成一個BGP密鑰。

    3. 若要向 Amazon 公告首碼,對於您要通告的首碼,請輸入應透過虛擬界面路由流量的IPv4CIDR目標地址 (以逗號分隔)。

    4. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:

      • 對於 Key (金鑰),輸入金鑰名稱。

      • 中,進入索引鍵值。

      [移除標籤] 在標籤旁邊,選擇 移除標籤

  7. 選擇建立虛擬介面

若要佈建私有虛擬介面給 VPC

  1. https://console.aws.amazon.com/directconnect/v2/ 家中打開AWS Direct Connect控制台。

  2. 在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。

  3. 選擇建立虛擬介面

  4. 虛擬介面類型之下,對於類型,請選擇私有

  5. 公有虛擬介面設定之下,執行下列動作:

    1. 針對虛擬介面名稱,輸入虛擬介面的名稱。

    2. 針對連線,選擇要用於此介面的 Direct Connect 連線。

    3. 對於閘道類型,選擇「虛擬私有閘道」或「Direct Connect 閘道」。

    4. 對於 [虛擬介面擁有者],請選擇 [其他 AWS 帳戶],然後輸入 AWS 帳戶。

    5. 對於虛擬私有閘道,請選擇您用於此介面的虛擬私有閘道。

    6. 在中 VLAN,輸入虛擬區域網路的 ID 號碼 (VLAN)。

    7. 針對 BGPASN,輸入新虛擬介面的內部部署對等路由器的邊界閘道通訊協定自主系統號碼。

      有效值為 1 至 2147483647。

  6. Additional settings (其他設定) 之下,執行下列動作:

    1. 要配置IPv4BGP或對IPv6等,請執行以下操作:

      [IPv4] 要配置對IPv4BGP等,請選擇IPv4並執行以下操作之一:

      • 若要自行指定這些 IP 位址,請針對您的路由器對等 IP 輸入 Amazon 應傳送流量的目的地位IPv4CIDR址。

      • 對於 Amazon 路由器對等 IP,請輸入要用來傳送流量的位IPv4CIDR址 AWS。

        重要

        如果您允許 AWS 自動指派IPv4位址,則CIDR會根據 3927 從 169.254.0.0/ IPv4 16 連結本機配置 /29 以進行連線。RFC point-to-point AWS 如果您打算使用客戶路由器對等 IP 位址作為VPC流量的來源和/或目的地,則不建議使用此選項。相反,您應該使用 RFC 1918 或其他地址,並自行指定地址。

      [IPv6] 要配置對IPv6BGP等,請選擇IPv6。對等IPv6地址是從 Amazon 的地IPv6址集區自動分配的。您無法指定自訂IPv6位址。

    2. 若要將最大傳輸單位 (MTU) 從 1500 (預設值) 變更為 9001 (巨訊框),請選取「超大訊框 MTU (MTU大小 9001)」。

    3. (選擇性) 在「」下 SiteLink,選擇「啟用」以在「直接連線」存在點之間啟用直 Connect 線。

    4. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:

      • 對於 Key (金鑰),輸入金鑰名稱。

      • 中,進入索引鍵值。

      [移除標籤] 在標籤旁邊,選擇 移除標籤

  7. 選擇建立虛擬介面

步驟 4:驗證您的虛擬介面彈性組態

建立 AWS 雲端或 Amazon 的虛擬界面之後VPC,請執行虛擬界面容錯移轉測試,以確認您的組態是否符合備援需求。如需詳細資訊,請參閱AWS Direct Connect 容錯移轉測

步驟 5:驗證您的虛擬介面連線能力

建立 AWS 雲端或 Amazon 的虛擬界面後VPC,您可以使用下列程序驗證 AWS Direct Connect 連線。

驗證您的虛擬界面與 AWS 雲端的連接

  • 執行traceroute並確認 AWS Direct Connect 識別碼位於網路追蹤中。

驗證您與 Amazon 的虛擬界面連接 VPC

  1. 使用可執行AMI個體 (例如 Amazon Linux)AMI,將EC2執行個體啟動到連接至虛擬私有閘道的執行個體。VPC當您在 Amazon EC2 主控台中使用執行個體啟動精靈時,可在快速啟動索引標籤中使用 Amazon Linux AMIs。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的啟動執行個體確定與執行個體相關聯的安全性群組包含允許輸入ICMP流量的規則 (針對 ping 要求)。

  2. 執行個體執行後,取得其私有IPv4位址 (例如 10.0.0.4)。Amazon 主EC2控台會將地址顯示為執行個體詳細資訊的一部分。

  3. Ping 私人IPv4地址並獲得回應。