本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Direct Connect 虚拟接口
必须创建以下虚拟接口 (VIF) 之一才能开始使用您的 Amazon Direct Connect 连接。
-
私有虚拟接口:应使用私有虚拟接口访问使用私有 IP 地址的 Amazon VPC。
-
公共虚拟接口:公共虚拟接口可以使用公有 IP 地址访问所有 Amazon 公共服务。
-
中转虚拟接口:中转虚拟接口用于访问与 Direct Connect 网关关联的一个或多个 Amazon VPC 中转网关。您可以将公交虚拟接口与任何速度的任何 Amazon Direct Connect 专用或托管连接一起使用。有关 Direct Connect 网关配置的信息,请参阅Direct Connect 网关。
要使用 IPv6 地址连接到其他 Amazon 服务,请查看服务文档以确认是否支持 IPv6 寻址。
公有虚拟接口前缀公布规则
我们会向您宣传合适的 Amazon 前缀,以便您可以访问自己的 VPC 或其他 Amazon 服务。您可以通过此连接访问所有 Amazon 前缀;例如 Amazon EC2、Amazon S3 和 Amazon.com。您无权访问非 Amazon 前缀。有关发布的前缀的最新列表 Amazon,请参阅中的 Amazon IP 地址范围。Amazon Web Services 一般参考 Amazon 不会将通过 Direc Amazon t Connect 公共虚拟接口接收的客户前缀重新通告给其他客户。有关公有虚拟接口和路由策略的更多信息,请参阅 公有虚拟接口路由策略。
注意
我们建议您使用防火墙筛选条件 (根据数据包的源/目标地址) 来控制流量传入和传出某些前缀。如果您使用前缀筛选条件 (路由映射),请确保它接受精确匹配或更长的前缀。广告来源的前缀 Amazon Direct Connect 可能会被汇总,并且可能与前缀过滤器中定义的前缀不同。
托管的虚拟接口
要使用与其他账户的 Amazon Direct Connect 连接,您可以为该账户创建托管虚拟接口。其他账户的所有者在开始使用它之前必须接受托管虚拟接口。托管虚拟接口与标准虚拟端口的工作方式相同,可以连接至公有资源或 VPC。
您可以将传输虚拟接口与 Direct Connect 专用连接或任何速度的托管连接配合使用。托管连接仅支持一个虚拟接口。
要创建虚拟接口,您需要以下信息:
| 资源 | 所需信息 |
|---|---|
| Connection | 您要为其创建虚拟接口的 Amazon Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 Amazon 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 Amazon 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建虚拟私有网关。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Amazon Direct Connect 连接的流量都必须有此标签。 如果您有托管连接,则您的 Amazon Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口支持 IPv4、IPv6 或其中一个(双堆栈)的 BGP 对等会话。请勿使用弹性 IP (EIP) 或从 Amazon Pool 中自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。
|
| 地址系列 | BGP 对等会话是通过 IPv4 还是 IPv6 进行。 |
| BGP 信息 |
|
| (仅限公有虚拟接口)您要公布的前缀 | 通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。
|
| (仅限私有虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Amazon Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
| (仅限中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新(如果之前未更新为支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在中转网关路由表中配置的静态路由和传播路由将支持巨型帧,包括具有 VPC 静态路由表条目的 EC2 实例和中转网关连接。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
SiteLink
如果您要创建私有或传输虚拟接口,则可以使用 SiteLink。
SiteLink 是虚拟专用接口的可选 Direct Connect 功能,它允许使用 Amazon 网络上最短的可用路径在同一 Amazon 分区中的任意两个 Direct Connect 接入点 (PoPs) 之间建立连接。这使您可以通过 Amazon
全球网络连接本地网络,而无需经过区域路由流量。有关更多信息, SiteLink 请参阅简介 Amazon Direct Connect SiteLink
注意
SiteLink 在中国 Amazon GovCloud (US) 和中国地区不可用。
使用时需要支付单独的定价费 SiteLink。有关更多信息,请参阅 Amazon Direct Connect 定价
SiteLink 不支持所有虚拟接口类型。下表显示了接口类型以及是否受支持。
| 虚拟接口类型 | 支持/不支持 |
|---|---|
| 中转虚拟接口 | 支持 |
| 连接到具有虚拟网关的 Direct Connect 网关的私有虚拟接口 | 支持 |
| 连接到与虚拟网关或中转网关无关联的 Direct Connect 网关的私有虚拟接口 | 支持 |
| 连接到虚拟网关的私有虚拟接口 | 不支持 |
| 公有虚拟接口 | 不支持 |
通过 SiteLink 启用的虚拟接口从 Amazon Web Services 区域 (虚拟或传输网关)到本地位置的流量的流量路由行为与带有 Amazon 路径预置的默认 Direct Connect 虚拟接口行为略有不同。启用后 SiteLink,无论关联的区域如何,来自的虚拟接口都 Amazon Web Services 区域 首选从 Direct Connect 位置的 AS 路径长度较低的 BGP 路径。例如,系统会为每个 Direct Connect 位置公布关联的区域。如果禁用, SiteLink 则默认情况下,来自虚拟网关或传输网关的流量会优先选择与该网关关联的 Direct Connect 位置 Amazon Web Services 区域,即使来自与不同区域关联的 Direct Connect 位置的路由器通告的路径长度较短。虚拟或中转网关仍将首选从本地 Direct Connect 位置到关联 Amazon Web Services 区域的路径。
SiteLink 支持最大巨型帧 MTU 大小为 8500 或 9001,具体取决于虚拟接口类型。有关更多信息,请参阅 为私有虚拟接口或中转虚拟接口设置网络 MTU。
虚拟接口的先决条件
在创建虚拟接口之前,请执行以下操作:
-
创建连接。有关更多信息,请参阅 使用连接向导创建连接。
-
当您有多个您希望将其视为单个连接的连接时,请创建一个链接聚合组 (LAG) 。有关信息,请参阅 将连接与 LAG 关联。
要创建虚拟接口,您需要以下信息:
| 资源 | 所需信息 |
|---|---|
| Connection | 您要为其创建虚拟接口的 Amazon Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 Amazon 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 Amazon 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建虚拟私有网关。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Amazon Direct Connect 连接的流量都必须有此标签。 如果您有托管连接,则您的 Amazon Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口支持 IPv4、IPv6 或其中一个(双堆栈)的 BGP 对等会话。请勿使用弹性 IP (EIP) 或从 Amazon Pool 中自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。
|
| 地址系列 | BGP 对等会话是通过 IPv4 还是 IPv6 进行。 |
| BGP 信息 |
|
| (仅限公有虚拟接口)您要公布的前缀 | 通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。
|
| (仅限私有虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Amazon Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
| (仅限中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新(如果之前未更新为支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在中转网关路由表中配置的静态路由和传播路由将支持巨型帧,包括具有 VPC 静态路由表条目的 EC2 实例和中转网关连接。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
创建虚拟接口时,可以指定拥有虚拟接口的账户。当您选择的 Amazon 账户不是您的账户时,以下规则适用:
-
对于私有 VIF 和传输 VIF,该账户适用于虚拟接口和虚拟私有网关/Direct Connect 网关目标。
-
对于公有 VIF,该账户用于虚拟接口计费。数据传出 (DTO) 使用量按 Amazon Direct Connect 数据传输速率向资源所有者计量。
注意
所有 Direct Connect 虚拟接口类型均支持 31 位前缀。有关更多信息,请参阅 RFC 3021:在 IPv4 点对点链路上使用 31 位前缀