本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Direct Connect 网关
使用 Amazon Direct Connect 网关连接您的 VPC。将 Amazon Direct Connect 网关与以下任一网关关联:
-
当您在同一区域有多个 VPC 时的中转网关
-
虚拟私有网关
您也可以使用虚拟私有网关来扩展本地区域。此配置允许与本地区域关联的 VPC 连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Direct Connect 位置。本地数据中心具有与 Direct Connect 位置连接的 Direct Connect 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 Direct Connect 网关访问本地区域。
Direct Connect 网关是全球可用资源。您可以使用 Direct Connect 网关连接到全球任何区域。这包括 Amazon GovCloud (US) 但不包括 Amazon 中国区域。
对于使用 Direct Connect 且 VPC 当前绕过父级可用区的客户,将无法迁移其 Direct Connect 连接或虚拟接口。
下面描述了可以使用 Direct Connect 网关的场景。
Direct Connect 网关不允许位于同一 Direct Connect 网关上的网关关联相互发送流量(例如,虚拟私有网关发送到另一个虚拟私有网关)。2021 年 11 月实施的这一规则有一种例外情况,即在两个或多个 VPC 上公布超网,这些 VPC 连接的虚拟私有网关(VGW)关联到同一 Direct Connect 网关并位于同一虚拟接口上。在这种情况下,VPC 可通过 Direct Connect 端点相互通信。例如,如果您公布的超网(例如 10.0.0.0/8 或 0.0.0.0/0)与连接到 Direct Connect 网关(例如 10.0.0.0/24 和 10.0.1.0/24)的 VPC 重叠,并位于同一虚拟接口上,则这些 VPC 可以从您的本地网络相互通信。
如果您想在 Direct Connect 网关内阻止 VPC 到 VPC 的通信,请执行以下操作:
-
在 VPC 中的实例和其他资源上设置安全组以阻止 VPC 之间的流量,也可以将其用作 VPC 中默认安全组的一部分。
-
避免从与 VPC 重叠的本地网络公布超网。相反,您可以从不与 VPC 重叠的本地网络公布特定的路由。
-
为要连接到本地网络的每个 VPC 预置一个 Direct Connect 网关,而不是为多个 VPC 使用同一 Direct Connect 网关。例如,不要为开发和生产 VPC 使用单个 Direct Connect 网关,而是为每个 VPC 使用单独的 Direct Connect 网关。
Direct Connect 网关不会阻止流量从一个网关关联发送回同一网关关联(例如,当您有一个本地超网路由包含来自网关关联的前缀时)。如果您的配置中有多个 VPC 连接到与同一 Direct Connect 网关关联的中转网关,则这些 VPC 可以进行通信。要防止 VPC 通信,请将路由表与设置了 blackhol e 选项的 VPC 附件相关联。
下面描述了可以使用 Direct Connect 网关的场景。
场景
虚拟私有网关关联
在下图中,Direct Connect 网关允许您使用美国东部(弗吉尼亚州北部)区域的 Amazon Direct Connect 连接,访问您账户中位于美国东部(弗吉尼亚州北部)和美国西部(北加利福尼亚)区域的 VPC。
每个 VPC 都有一个虚拟私有网关,该网关使用虚拟私有网关关联连接到 Direct Connect 网关。Direct Connect 网关使用私有虚拟接口连接该 Amazon Direct Connect 地点。从该位置到客户数据中心有一个 Amazon Direct Connect 连接。
跨账户的虚拟私有网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 和账户 B 想要使用 Direct Connect 网关。账户 A 和账户 B 各自向账户 Z 发送关联提议。账户 Z 接受关联提议,并(可选)更新账户 A 的虚拟私有网关或账户 B 的虚拟私有网关中允许的前缀。账户 Z 接受提议后,账户 A 和账户 B 可以将流量从其虚拟私有网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
中转网关关联
下图说明如何通过 Direct Connect 网关创建一条可供您的所有 VPC 使用的到 Direct Connect 连接的单一连接。
此解决方案包含以下组件:
-
具有 VPC 挂载的中转网关。
-
一个 Direct Connect 网关。
-
Direct Connect 网关与中转网关之间的关联。
-
连接到 Direct Connect 网关的中转虚拟接口。
此配置提供以下好处。您可以:
-
对于同一区域中的多个 VPC 或 VPN,只需管理一个连接。
-
将前缀从本地广告到本地 Amazon 以及从本地广告到本地 Amazon 。
有关配置中转网关的信息,请参阅《Amazon VPC 中转网关指南》中的使用中转网关。
跨账户的中转网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 拥有中转网关,并希望使用 Direct Connect 网关。账户 Z 接受关联提议,并可以选择更新账户 A 的中转网关允许的前缀。账户 Z 接受提议后,连接到中转网关的 VPC 可以将流量从中转网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
创建 Direct Connect 网关
您可以在任何受支持的区域创建 Direct Connect 网关。
创建 Direct Connect 网关
打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home
。 -
在导航窗格中,选择 Direct Connect Gateways。
-
选择创建 Direct Connect 网关。
-
指定以下信息,然后选择创建 Direct Connect 网关。
-
Name (名称):输入一个名称以帮助您标识 Direct Connect 网关。
-
Amazon side ASN:为 BGP 会话的 Amazon 端指定 ASN。该 ASN 必须位于 64,512 到 65,534 范围或 4,200,000,000 到 4,294,967,294 范围内。
-
虚拟私有网关:要关联虚拟私有网关,请选择虚拟私有网关。
-
使用命令行或 API 创建 Direct Connect 网关
-
create-direct-connect-gateway (Amazon CLI)
-
CreateDirectConnectGateway(Amazon Direct Connect API)
删除 Direct Connect 网关
如果您不再需要某一 Direct Connect 网关,可将其删除。您必须先解除关联所有关联的虚拟私有网关并删除附加的私有虚拟接口。
删除 Direct Connect 网关
打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home
。 -
在导航窗格中,选择 Direct Connect Gateways。
-
选择网关,然后选择 Delete (删除)。
使用命令行或 API 删除 Direct Connect 网关
-
delete-direct-connect-gateway (Amazon CLI)
-
DeleteDirectConnectGateway(Amazon Direct Connect API)
从虚拟私有网关迁移到 Direct Connect 网关
如果您有一个虚拟私有网关附加到虚拟接口,并且您想要迁移到 Direct Connect 网关,请执行以下步骤:
迁移到 Direct Connect 网关
-
创建 Direct Connect 网关。有关更多信息,请参阅 创建 Direct Connect 网关。
-
创建 Direct Connect 网关的虚拟接口。有关更多信息,请参阅 创建虚拟接口。
-
将虚拟私有网关与 Direct Connect 网关相关联。有关更多信息,请参阅 关联和取消关联虚拟私有网关。
-
删除与虚拟私有网关相关联的虚拟接口。有关更多信息,请参阅 删除虚拟接口。