本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Direct Connect 网关
使用Amazon Direct Connect网关连接您的 VPC。您将Amazon Direct Connect网关与以下任一网关关联:
-
当您在同一个区域中有多个 VPC 时使用的传输网关
-
虚拟私有网关
您也可以使用虚拟专用网关来扩展您的本地区域。此配置允许与本地扩展区关联的 VPC 连接到Direct Connect 网关。Direct Connect 网关连接到区域中的 Direct Connect 站点。本地数据中心与 Direct Connect 站点之间具有 Direct Connect 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的使用直接Connect 网关访问Local Zones。
Direct Connect 网关是全球可用资源。您可以在任何区域创建 Direct Connect 网关并从所有其他区域访问该网关。您可以将 Direct Connect 设置为绕过父可用区直接连接或通过 Direct Connect 连接到互联网 points-of-presence。有关Local ZonAmazon es 的更多信息,请参阅Loc Amazonal Zones 功能
在当前绕过父可用区的 VPC 上使用 Direct Connect 的客户将无法迁移其 Direct Connect 连接或虚拟接口。
以下描述了您可以使用直接Connect 网关的场景。
Direct Connect 网关不允许位于同一 Direct Connect 网关上的网关关联相互发送流量(例如,虚拟私有网关发送到另一个虚拟私有网关)。2021 年 11 月实施的该规则的一个例外情况是,在两个或多个 VPC 上发布超网广告,这些虚拟私有网关的连接虚拟专用网关 (VGW) 关联到同一 Direct Connect 网关和相同的虚拟接口上。在这种情况下,VPC 可以通过Direct Connect 终端节点互相通信。例如,如果您通告的超网(例如 10.0.0.0/8 或 0.0.0.0/0)与连接到 Direct Connect 网关(例如 10.0.0.0/24 和 10.0.1.0/24)的 VPC 重叠,并且在同一个虚拟接口上,则从您的本地网络,这些 VPC 可以相互通信。
如果您想在直接Connect 网关内阻止 VPC 到 VPC 的通信,请执行以下操作:
-
在 VPC 中的实例和其他资源上设置安全组以阻止 VPC 之间的流量,也可以将其用作 VPC 中默认安全组的一部分。
-
避免从您的本地网络中发布与 VPC 重叠的超网。相反,您可以从本地网络发布更多与您的 VPC 不重叠的特定路由。
-
为您想要连接到本地网络的每个 VPC 预置一个 Direct Connect 网关,而不是为多个 VPC 使用同一个直接Connect 网关。例如,与其为开发和生产 VPC 使用单个 Direct Connect 网关,不如为每个 VPC 使用单独的直接Connect 网关。
Direct Connect 网关不会阻止流量从一个网关关联发送回网关关联本身(例如,当您的本地超网路由包含来自网关关联的前缀时)。如果您的配置中有多个 VPC 连接到与同一 Direct Connect 网关关联的传输网关,则这些 VPC 可以通信。要防止 VPC 通信,请将路由表与设置了黑洞选项的 VPC 附件相关联。
以下描述了可以在何处使用 Direct Connect 网关。
场景
虚拟私有网关关联
在下图中,Direct Connect 网关使您能够使用您在美国东部(弗吉尼亚北部)区域的Amazon Direct Connect连接访问您的账户中位于美国东部(弗吉尼亚北部)和美国西部(加利福尼亚北部)区域的 VPC。
每个 VPC 都有一个虚拟专用网关,该网关使用虚拟专用网关关联连接到 Direct Connect 网关。Direct Connect 网关使用私有虚拟接口连接到该Amazon Direct Connect位置。从站点到客户数据中心的Amazon Direct Connect连接。
跨账户的虚拟私有网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 和账户 B 想要使用 Direct Connect 网关。账户 A 和账户 B 各自向账户 Z 发送关联提议。账户 Z 接受关联提议,并(可选)更新账户 A 的虚拟私有网关或账户 B 的虚拟私有网关中允许的前缀。账户 Z 接受提议后,账户 A 和账户 B 可以将流量从其虚拟私有网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
中转网关关联
下图说明如何通过 Direct Connect 网关创建一条可供您的所有 VPC 使用的到 Direct Connect 连接的单一连接。
此解决方案包含以下组件:
-
具有 VPC 附件的传输网关。
-
一个 Direct Connect 网关。
-
Direct Connect 网关与中转网关之间的关联。
-
连接到 Direct Connect 网关的中转虚拟接口。
此配置提供以下好处。您可以:
-
对于同一区域中的多个 VPC 或 VPN,只需管理一个连接。
-
在本地至 Amazon 之间与 Amazon 至本地之间公布前缀。
有关配置传输网关的信息,请参阅 Amazon VPC 传输网关指南中的使用传输网关。
跨账户的中转网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 拥有传输网关并想要使用直接Connect 网关。账户 Z 接受关联提案,可以选择更新账户 A 的传输网关允许的前缀。账户 Z 接受提案后,连接到传输网关的 VPC 可以将流量从传输网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
创建 Direct Connect 网关
您可以在任何支持的区域中创建 Direct Connect 网关。
创建 Direct Connect 网关
通过 https://console.aws.amazon.com/directconnect/v2/
打开Amazon Direct Connect主机。 -
在导航窗格中,选择 Direct Connect Gateways。
-
选择创建 Direct Connect 网关。
-
指定以下信息,然后选择创建 Direct Connect 网关。
-
Name (名称):输入一个名称以帮助您标识 Direct Connect 网关。
-
Amazon side ASN:为 BGP 会话的 Amazon 端指定 ASN。该 ASN 必须位于 64,512 到 65,534 范围或 4,200,000,000 到 4,294,967,294 范围内。
-
虚拟私有网关:要关联虚拟私有网关,请选择虚拟私有网关。
-
使用命令行或 API 创建 Direct Connect 网关
-
create-direct-connect-gateway (Amazon CLI)
-
CreateDirectConnectGateway(Amazon Direct ConnectAPI)
删除 Direct Connect 网关
如果您不再需要某一 Direct Connect 网关,可将其删除。您必须先解除关联所有关联的虚拟私有网关并删除附加的私有虚拟接口。
删除 Direct Connect 网关
通过 https://console.aws.amazon.com/directconnect/v2/
打开Amazon Direct Connect主机。 -
在导航窗格中,选择 Direct Connect Gateways。
-
选择网关,然后选择 Delete (删除)。
使用命令行或 API 删除 Direct Connect 网关
-
delete-direct-connect-gateway (Amazon CLI)
-
DeleteDirectConnectGateway(Amazon Direct ConnectAPI)
从虚拟私有网关迁移到 Direct Connect 网关
如果您有一个虚拟私有网关附加到虚拟接口,并且您想要迁移到 Direct Connect 网关,请执行以下步骤:
迁移到 Direct Connect 网关
-
创建 Direct Connect 网关。有关更多信息,请参阅创建 Direct Connect 网关:
-
创建 Direct Connect 网关的虚拟接口。有关更多信息,请参阅创建虚拟接口:
-
将虚拟私有网关与 Direct Connect 网关相关联。有关更多信息,请参阅关联和取消关联虚拟私有网关:
-
删除与虚拟私有网关相关联的虚拟接口。有关更多信息,请参阅删除虚拟接口: