Amazon Direct Connect 网关 - Amazon Direct Connect
场景
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Direct Connect 网关

使用 Amazon Direct Connect 网关连接您的 VPCs. 您可以将 Amazon Direct Connect 网关与以下任何一项关联:

  • 当您在同一个区域有多个网关时,则为 VPCs 中转网关

  • 虚拟私有网关

  • Amazon 云广域网核心网络

您也可以使用虚拟私有网关来扩展本地区域。此配置允许与本地区域关联的 VPC 连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Direct Connect 位置。本地数据中心具有与 Direct Connect 位置连接的 Direct Connect 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 Direct Connect 网关访问本地区域

Direct Connect 网关是全球可用资源。您可以使用 Direct Connect 网关连接到全球任何区域。这 Amazon GovCloud (US)包括但不包括 Amazon 中国地区。Direct Connect 网关是 Direct Connect 的虚拟组件,旨在充当一组分布式 BGP 路由反射器。由于它在数据流量路径之外运行,因此可以避免造成单点故障或引入对特定 Amazon Web Services 区域故障的依赖关系。其设计本身就内置了高可用性,因此无需使用多个 Direct Connect 网关。

在当前绕过父可用区的 Direct Connect 上使用 Direct Connect 的客户将无法迁移他们的 Direct Connect 连接或虚拟接口。 VPCs

下面描述了可以使用 Direct Connect 网关的场景。

Direct Connect 网关不允许位于同一 Direct Connect 网关上的网关关联相互发送流量(例如,虚拟私有网关发送到另一个虚拟私有网关)。2021 年 11 月实施的该规则的一个例外情况是,超网在两个或更多网络上通告 VPCs,这两个网关的虚拟专用网关 (VGWs) 关联到同一 Direct Connect 网关和同一个虚拟接口。在这种情况下, VPCs 可以通过 Direct Connect 端点相互通信。例如,如果您通告的超网(例如 10.0.0.0/8 或 0.0.0.0/0)与连接 VPCs 到 Direct Connect 网关(例如 10.0.0.0/24 和 10.0.1.0/24)重叠,并且在同一个虚拟接口上,则它们可以从您的本地网络相互通信。 VPCs

如果要阻止 Direct Connect 网关内的 VPC-to-VPC通信,请执行以下操作:

  1. 在 VPC 中的实例和其他资源上设置安全组以阻止 VPC 之间的流量 VPCs,也可以将其用作 VPC 中默认安全组的一部分。

  2. 避免在本地网络中宣传与您的网络重叠的超级网。 VPCs相反,您可以从本地网络发布与您的不重叠的更具体的路由 VPCs。

  3. 为要连接到本地网络的每个 VPC 配置一个 Direct Connect 网关,而不是为多个 VPC 使用相同的 Direct Connect 网关 VPCs。例如,与其使用单个 Direct Connect 网关进行开发和生产 VPCs,不如为每个网关使用单独的 Direct Connect 网关 VPCs。

Direct Connect 网关不会阻止流量从一个网关关联发送回同一网关关联(例如,当您有一个本地超网路由包含来自网关关联的前缀时)。如果您的配置中有多个 VPCs 连接到与同一 Direct Connect 网关关联的中转网关,则 VPCs 可以进行通信。要 VPCs 防止通信,请将路由表与设置了 blackhol e 选项的 VPC 附件相关联。

主题

场景

下文仅针对使用 Direct Connect 网关的部分场景进行说明。

在下图中,Direct Connect 网关允许您使用您在美国东部(弗吉尼亚北部)地区的 Amazon Direct Connect 连接,通过您的账户访问 VPCs 美国东部(弗吉尼亚北部)和美国西部(加利福尼亚北部)区域。

每个 VPC 都有一个虚拟私有网关,该网关使用虚拟私有网关关联连接到 Direct Connect 网关。Direct Connect 网关使用私有虚拟接口连接该 Amazon Direct Connect 地点。从该位置到客户数据中心有一个 Amazon Direct Connect 连接。

一个连接两个 Amazon 区域和您的数据中心的 Di VPCs rect Connect 网关。

考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 和账户 B 想要使用 Direct Connect 网关。账户 A 和账户 B 各自向账户 Z 发送关联提议。账户 Z 接受关联提议,并(可选)更新账户 A 的虚拟私有网关或账户 B 的虚拟私有网关中允许的前缀。账户 Z 接受提议后,账户 A 和账户 B 可以将流量从其虚拟私有网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。

一个 Direct Connect 网关,用于连接三个网关 Amazon Web Services 账户 和您的数据中心。

下图说明了 Direct Connect 网关如何使您能够创建所有人 VPCs都可以使用的指向 Direct Connect 连接的单个连接。

与包含多个 VPC 连接的中转网关关联的 Direct Connect 网关。

此解决方案包含以下组件:

  • 具有 VPC 挂载的中转网关。

  • 一个 Direct Connect 网关。

  • Direct Connect 网关与中转网关之间的关联。

  • 连接到 Direct Connect 网关的中转虚拟接口。

此配置提供以下好处。您可以:

  • 管理多个 VPCs 或位于同一区域 VPNs 的单个连接。

  • 将前缀从本地广告到本地 Amazon 以及从本地广告到本地 Amazon 。

有关配置中转网关的信息,请参阅《Amazon VPC 中转网关指南》中的使用中转网关

考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 拥有中转网关,并希望使用 Direct Connect 网关。账户 Z 接受关联提议,并可以选择更新账户 A 的中转网关允许的前缀。账户 Z 接受提案后, VPCs 连接至公交网关的用户可以将流量从公交网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。

来自的 Direct Connect 网关与来自另一个的传输网关 Amazon Web Services 账户 关联 Amazon Web Services 账户的。