Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

使用 VPN CloudHub 在各个站点之间建立安全通信

如果您有多项 VPN 连接,您可以使用 AWS VPN CloudHub 在各个站点之间建立安全通信。这可使您的远程站点彼此进行通信,而不只是与 VPC 进行通信。VPN CloudHub 在简单的星型拓扑连接模型上操作,您可以在使用或不使用 VPC 的情况下操作 VPN CloudHub。这种设计适合有多间分公司和现有 Internet 连接的客户,帮助他们实施方便、潜在低成本的星型拓扑连接模型,以便在这些远程办公室之间建立主要或备用连接。

下图展示了 VPN CloudHub 架构,蓝色虚线表明远程站点之间的网络流量 (通过 VPN 连接路由)。

要使用 AWS VPN CloudHub,必须创建具有多个客户网关的虚拟专用网关。您必须为每个客户网关使用唯一的边界网关协议 (BGP) 自治系统编号 (ASN)。客户网关可通过它们的 VPN 连接传播适当的路由 (BGP 前缀)。路由通告会被每个 BGP 对等体接收并重新通告,使每个站点都可以向其他站点发送或接受数据。站点的 IP 范围不得重叠。每个站点还可以发送和从 VPC 接收数据 (与使用标准 VPN 连接的方式相同)。

使用 AWS Direct Connect 连接来连接虚拟专用网关的站点也可以是 AWS VPN CloudHub 的一部分。例如,您在纽约的公司总部有到 VPC 的 AWS Direct Connect 连接,您的分公司可以使用 VPN 连接以连接 VPC。洛杉矶和迈阿密的分公司可以使用 AWS VPN CloudHub 在彼此以及您的公司总部之间发送和接收数据。

如需配置 AWS VPN CloudHub,您可以使用 AWS 管理控制台创建多个客户网关,每个网关都有网关公有 IP 地址和 ASN。接下来,您可以创建从每个客户网关到通用虚拟专用网关的 VPN 连接。每项 VPN 连接必须传播其指定的 BGP 路由。您可以使用 VPN 连接的 VPN 配置文件内的网络声明完成此操作。根据您使用的路由类型,网络声明可能会有稍许不同。

在使用 AWS VPN CloudHub 时,您需要支付标准的 Amazon VPC VPN 连接费用。您需要按小时承担 VPN 与虚拟专用网关的连接费用。当您使用 AWS VPN CloudHub 从一个站点向另一个站点发送数据,从您的站点向虚拟专用网关发送数据不会产生任何费用。对于从虚拟专用网关转继到您的终端节点的数据您仅需支付标准 AWS 数据传输费用即可。 例如,如果您在洛杉矶设有一个站点、在纽约设有第二个站点,并且两个站点都有通向虚拟专用网关的 VPN 连接,您应为每个 VPN 连接支付每小时 0.05 美元的费用 (两项 VPN 连接的总费用为每小时 0.10 美元)。您还需要为所有经过 VPN 连接从洛杉矶发送到纽约 (或从纽约发送到洛杉矶) 的数据支付标准 AWS 数据传输费用;通过 VPN 连接发送到虚拟专用网关的数据流量不会产生任何费用,但是通过 VPN 从虚拟专用网关发送到终端节点的网络流量将按照标准 AWS 数据传输费用产生相应的费用。有关更多信息,请参见VPN Connection Pricing