如何 AWS Outposts 工作 - AWS Outposts
網路元件VPC 和子網路路由DNS服務連結本機閘道本機網路介面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何 AWS Outposts 工作

AWS Outposts 旨在在您的前哨站和 AWS 區域之間保持恆定且一致的連接運行。若要與區域以及內部部署環境中的本機工作負載實現此連線,您必須將 Outpost 連線到內部部署網路。您的內部部署網路必須提供連回區域和網際網路的廣域網路 (WAN) 存取。其也必須提供對內部部署工作負載或應用程式所在本機網路的 LAN 或 WAN 存取。

下圖說明兩種 Outpost 形式規格。

Outpost 形式規格圖。

網路元件

AWS Outposts 使用該 AWS 區域可存取的 VPC 元件 (包括網際網路閘道、虛擬私有閘道、Amazon VPC 傳輸閘道和 VPC 端點),將 Amazon VPC 從某個區域延伸到前哨站。Outpost 位於區域中的可用區域,且為該可用區域的延伸,可用於復原。

下圖顯示 Outpost 的網路元件。

  • AWS 區域 和內部部署網路

  • 在區域中具有多個子網路的 VPC

  • 內部部署網路中的 Outpost

  • Outpost 與本機網路之間由本機閘道 (機架) 或本機網路介面 (伺服器) 提供的連線

Outpost 的 VPC 網路元件。

VPC 和子網路

虛擬私有雲 (VPC) 橫跨其 AWS 區域中的所有可用區域。您可新增 Outpost 子網路,以將 區域中的任何 VPC 延伸至 Outpost。若要將 Outpost 子網路新增至 VPC,請在建立子網路時指定 Outpost 的 Amazon Resource Name (ARN)。

Outpost 支援多個子網路。當您在 Outpost 中啟動 EC2 執行個體時,您可以指定 EC2 執行個體子網路。您無法指定部署執行個體的基礎硬體,因為 Outpost 是 AWS 運算和儲存容量的集區。

每個 Outpost 可支援多個 VPC,其中可能包含一或多個 Outpost 子網路。如需 VPC 配額的資訊,請參閱《Amazon VPC 使用者指南》中的《Amazon VPC 配額》。

您可以從建立 Outpost 之 VPC 的 VPC CIDR 範圍建立 Outpost 子網路。您可以針對資源 (例如位於 Outpost 子網路中的 EC2 執行個體) 使用 Outpost 地址範圍。

路由

根據預設,每個 Outpost 子網路都會從其 VPC 繼承主路由表。您可以建立自訂路由表,並建立其與 Outpost 子網路的關聯。

Outpost 子網路中路由表的運作方式與可用區域子網路中路由表的運作方式相同。您可以指定 IP 地址、網際網路閘道、本機閘道、虛擬私有閘道和對等互連作為目的地。例如,每個 Outpost 子網路都會透過繼承的主路由表或自訂資料表繼承 VPC 本機路由。這表示 VPC 中的所有流量 (包括具有 VPC CIDR 中目的地的 Outpost 子網路) 都會在 VPC 中保持路由。

Outpost 子網路路由表可以包含下列目的地:

  • VPC CIDR 範圍 — 在安裝時 AWS 定義此範圍。這是本機路由,適用於所有 VPC 路由,包括相同 VPC 中 Outpost 執行個體之間的流量。

  • AWS 區域目的地 — 這包括 Amazon AWS Transit Gateway Simple Storage Service (Amazon S3)、Amazon DynamoDB 閘道端點、虛擬私有閘道、網際網路閘道和 VPC 對等的前置詞清單。

    如果您與相同 Outpost 上的多個 VPC 對等互連,則 VPC 之間的流量會保留在 Outpost 中,而不會使用連回區域的服務連結。

  • 透過本機閘道跨 Outpost 進行 VPC 內部通訊 – 您可以使用直接 VPC 路由,在不同 Outpost 的相同 VPC 中的子網路之間建立通訊。如需詳細資訊,請參閱:

DNS

對於連線到 VPC 的網路介面,Outpost 子網路中的 EC2 執行個體可以使用 Amazon Route 53 DNS 服務將網域名稱解析為 IP 地址。Route 53 支援 DNS 功能,例如網域註冊、DNS 路由,以及執行於 Outpost 中之執行個體的運作狀態檢查。公有和私有託管的可用區域都支援將流量路由至特定網域。路線 53 解析器在區域中託管。 AWS 因此,必須啟動並執行從 Outpost 返回該 AWS 區域的服務連結連線,這些 DNS 功能才能運作。

使用 Route 53 時,您可能會遇到較長的 DNS 解析時間,具體取決於前哨站和 AWS 區域之間的路徑延遲。在這種情況下,您可以使用內部部署環境中本機安裝的 DNS 伺服器。若要使用自己的 DNS 伺服器,您必須為內部部署 DNS 伺服器建立 DHCP 選項組,並建立其與 VPC 的關聯。您也必須確保具有這些 DNS 伺服器的 IP 連線。您可能還需要將路由新增至本機閘道路由表以進行連線,但僅具有本機閘道的 Outpost 機架才有此選項。由於 DHCP 選項組具有 VPC 範圍,因此 Outpost 子網路和 VPC 之可用區域子網路中的執行個體都會嘗試使用指定的 DNS 伺服器進行 DNS 名稱解析。

不支援對來自 Outpost 的 DNS 查詢進行查詢日誌記錄。

服務鏈接是從您的前哨返回您選擇的 AWS 地區或 Outposts 所在地區的連接。服務連結是一組加密的 VPN 連線,會在每次 Outpost 與您選擇的主要區域進行通訊時使用。您可以使用虛擬 LAN (VLAN) 來分段服務連結上的流量。服務連結 VLAN 可讓前哨站和區域之間的通訊,以便管理 AWS 區域與前哨站之間的前哨和 VPC 內部流量。 AWS

您的服務連結是在佈建 Outpost 時所建立。如果您具有伺服器形式規格,請建立連線。如果您有機架,請 AWS 建立服務連結。如需詳細資訊,請參閱:

本機閘道

Outpost 機架包含本機閘道,可讓您連線到內部部署網路。如果您有 Outpost 機架,則可包含本機閘道作為目標,其目的地是內部部署網路。本機閘道僅適用於 Outpost 機架,而且只能在與 Outpost 機架相關聯的 VPC 和子網路路由表中使用。如需詳細資訊,請參閱:

本機網路介面

Outpost 伺服器包含本機網路介面,可讓您連線到內部部署網路。本機網路介面僅供在 Outpost 子網路上執行的 Outpost 伺服器使用。您無法在 Outpost 機架或 AWS 區域中使用 EC2 執行個體的本機網路界面。本機網路介面僅適用於內部部署位置。如需詳細資訊,請參閱《AWS Outposts Outpost 伺服器使用者指南》中的《本機網路介面》。