本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 服務連結私有連線選項
您可以使用私有連線為 Outposts 和主要 AWS 區域之間的流量設定服務連結。您可以選擇使用 Direct Connect 私有或傳輸 VIFs。
當您在 AWS Outposts 主控台中建立 Outpost 時,請選取私有連線選項。如需說明,請參閱[建立 Outpost](https://docs.aws.amazon.com/outposts/latest/userguide/order-outpost-capacity.html#create-outpost)。
當您選取私有連線選項時,會使用您指定的 VPC 和子網路,在安裝 Outpost 之後建立服務連結 VPN 連線。這允許透過 VPC 進行私有連線,並將公有網際網路暴露降至最低。
下圖顯示在您的 Outpost 和 AWS 區域之間建立服務連結 VPN 私有連線的兩個選項:
![\[服務連結私有連線選項。\]](http://docs.aws.amazon.com/zh_tw/outposts/latest/userguide/images/outpost-rack-sl-private-connectivity-options.png)
## 先決條件
您必須先符合下列先決條件,才能為 Outpost 設定私有連線:
+ 您必須設定 IAM 實體 (使用者或角色) 的許可,允許使用者或角色建立服務連結角色以進行私有連線。IAM 實體需要許可才能存取下列動作:
+ `arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*` 的 `iam:CreateServiceLinkedRole`
+ `arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*` 的 `iam:PutRolePolicy`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSubnets`
如需詳細資訊,請參閱 [AWS Identity and Access Management for AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/identity-access-management.html)
+ 在與 Outpost 相同的 AWS 帳戶和可用區域中,建立 VPC,僅用於 Outpost 與子網路 /25 或更高版本的私有連線,而不會與 10.1.0.0/16 衝突。例如,您可以使用 10.3.0.0/16。
**重要**
請勿刪除此 VPC,因為它會維護與 Outpost 的連線。
+ 使用[安全控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 保護此 VPC 免於遭到刪除。
下列範例 SCP 可防止刪除下列項目:
+ 已標記 **Outposts 錨點子網路的子網路**
+ VPC 標記的 **Outposts 錨點 VPC**
+ 標記為 **Outposts 錨點路由表的路由表**
+ 標記為 **Outposts Transit Gateway** 的傳輸閘道
+ Virtual Private Gateway 標記的 **Outposts Virtual Private Gateway**
+ 標記為 **Outposts Transit Gateway Route Table 的傳輸閘道路由表**
+ 任何標籤為 **Outposts Anchor ENI 的 ENI**
+ 設定連接到網路介面的安全群組,以允許下列傳入流量:
+ 來自您指定來源的 ICMP
+ 來自您指定來源的 TCP 連接埠 443
+ 來自您指定來源的 UDP 連接埠 443
**注意**
連接埠 443 上的 TCP 和 UDP 都需要私有連線才能正常運作。
+ 向您的內部部署網路公告子網路 CIDR。您可以使用 AWS Direct Connect 來執行此操作。如需詳細資訊,請參閱《 指南》中的《Direct Connect **[Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)》和《[使用 Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)》。
**注意**
若要在 Outpost 處於**待定**狀態時選取私有連線選項,請從 AWS Outposts 主控台選擇 **Outpost,**然後選取您的 Outpost。選擇 **動作**、**新增私有連線**,然後依照步驟進行。
在您為 Outpost 選取私有連線選項之後, 會在您的帳戶中 AWS Outposts 自動建立服務連結角色,讓它代表您完成下列任務:
+ 在您指定的子網路和 VPC 中建立網路介面,並為網路介面建立安全群組。
+ 准許 AWS Outposts 服務將網路介面連接至帳戶中的服務連結端點執行個體。
+ 將網路介面連接至帳戶中的服務連結端點執行個體。
**重要**
安裝 Outpost 之後,請確認可從 Outpost 連線到子網路中的私有 IP。
## 選項 1。透過私有 VIFs Direct Connect 私有連線
建立 AWS Direct Connect 連線、私有虛擬介面和虛擬私有閘道,以允許內部部署 Outpost 存取 VPC。
如需詳細資訊,請參閱*Direct Connect 《 使用者指南*》中的下列章節:
+ [專用和託管連線](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)
+ [建立私有虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-private-vif.html)
+ [虛擬私有閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)
如果 AWS Direct Connect 連線位於與 VPC 不同的 AWS 帳戶中,請參閱*Direct Connect 《 使用者指南*》中的[跨帳戶建立虛擬私有閘道的關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/multi-account-associate-vgw.html)。
## 選項 2。透過 Direct Connect 傳輸 VIFs私有連線
建立 AWS Direct Connect 連線、傳輸虛擬介面和傳輸閘道,以允許內部部署 Outpost 存取 VPC。
如需詳細資訊,請參閱*Direct Connect 《 使用者指南*》中的下列章節:
+ [專用和託管連線](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)
+ [建立傳輸虛擬介面到 Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-dx.html)
+ [傳輸閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)