本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路到 Amazon VPC 連線選項
本節提供連接遠端網路與 Amazon VPC 環境的設計模式。這些選項對於將 AWS 資源與現有的現場服務 (例如監控、身分驗證、安全、資料或其他系統) 整合非常有用,方法是將內部網路延伸到 AWS 雲端。此網路延伸模組也可讓您的內部使用者順暢地連線至 AWS 上託管的資源,就像任何其他內部資源一樣。
針對每個連線的網路使用非重疊 IP 範圍時,最佳實現遠端客戶網路的 VPC 連線。例如,如果您想要將一或多個 VPC 連線到公司網路,請確定 VPC 設定為唯一的無類別網域間路由 (CIDR) 範圍。我們建議您配置單一、連續、非重疊的 CIDR 區塊,以供每個 VPC 使用。如需有關 Amazon VPC 路由和約束的其他資訊,請參閱 Amazon VPC 常見問答集
| 選項 | 使用案例 | 優點 | 限制 |
|---|---|---|---|
| 透過網際網路與個別虛擬私人 VPC 端的 AWS 受管 IPSec VPN 連線 |
重複使用現有的 VPN 設備和流程 重複使用現有的互聯 AWS 受管的高可用性 VPN 服務 支援靜態路由或動態邊界閘道通訊協定 (BGP) 對等與路由原則 |
網路延遲、變動性和可用性取決於網際網路狀況 您有責任實施冗餘和故障轉移(如果需要) 遠端裝置必須支援單跳 BGP (利用 BGP 進行動態路由時) |
|
|
AWS 受管 IPSec VPN 透過網際網路連線到多個 VPC 的區域路由器 |
與上一個選項相同 AWS 管理的高可用性和可擴展性區域網路中樞,最多可容納 5,000 個附件 |
與上一個選項相同 |
|
|
透過私人線路連接專用網絡 |
更可預測的網路效能 降低頻寬成本 支援 BGP 對等互連和路由原則 |
可能需要配置額外的電信和託管服務提供商關係或新的網絡電路 |
|
|
透過私人線路與多個 VPC 的區域路由器進行專用網路連線 |
與上一個選項相同 AWS 管理的高可用性和可擴展性區域網路中樞,最多可容納 5,000 個附件 |
與上一個選項相同 |
|
|
透過私人線路進行 IPsec VPN 連線 |
更可預測的網路效能 降低頻寬成本 支援 BGP 對等互連和路由原則 AWS Direct Connect 重複使用現有的 VPN 設備和流程 AWS 受管的高可用性 VPN 服務 支援 VPN 連線上的靜態路由或動態邊界閘道通訊協定 (BGP) 對等與路由原則 |
可能需要配置額外的電信和託管服務提供商關係或新的網絡電路 您有責任實施冗餘和故障轉移(如果需要) 遠端裝置必須支援單跳 BGP (利用 BGP 進行動態路由時) |
|
| AWS Direct Connect + AWS Transit Gateway + AWS Site-to-Site VPN |
透過私人線路與多個虛擬私人電腦的區域路由器進行 IPsec VPN 連線 |
與上一個選項相同 AWS 管理的高可用性和可擴展性區域網路中樞,最多可容納 5,000 個附件 |
與上一個選項相同 |
|
以 hub-and-spoke 模型 Connect 遠端分公司,以獲得主要或備份連線 |
重用現有的互聯網連接和 AWS VPN 連接 AWS 受管的高可用性 VPN 服務 支持 BGP 交換路由和路由優先級 |
網路延遲、變動性和可用性取決於網際網路 使用者管理的分公司端點負責實作備援和容錯移轉 (如有需要) |
|
|
透過軟體定義的廣域網路,使用 AWS 骨幹或網際網路做為傳輸網路,Connect 遠端分公司和辦公室。 |
支援更廣泛的 SD-WAN 廠商、產品和通訊協定 部分廠商解決方案與 AWS 原生服務整合。 |
如果 SD-WAN 設備放置在 Amazon VPC 中,您必須負責實作這些設備的 HA (高可用性)。 |
|
|
透過網際網路進行軟體設備的 VPN 連線 |
支援更廣泛的 VPN 廠商、產品和通訊協定 完全客戶管理的解決 |
您有責任為所有 VPN 端點實作 HA (高可用性) 解決方案 (如有需要) |
