中转网关 Connect 挂载和中转网关 Connect 对等节点 - Amazon VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

中转网关 Connect 挂载和中转网关 Connect 对等节点

您可以创建中转网关 Connect 挂载,以便在 VPC 中运行的中转网关和第三方虚拟设备(例如 SD-WAN 设备)之间建立连接。Connect 挂载支持通用路由封装 (GRE) 隧道协议以实现高性能,支持边界网关协议 (BGP) 以实现动态路由。创建 Connect 挂载后,您可以在 Connect 挂载上创建一个或多个 GRE 隧道(也称为 中转网关 Connect 对等节点)以连接中转网关和第三方设备。您可以通过 GRE 隧道建立两个 BGP 会话以交换路由信息。

重要

中转网关 Connect 对等节点由两个在 Amazon- 托管基础设施上终止的 BGP 对等会话组成。两个 BGP 对等会话提供路由层冗余,以确保丢失一个 BGP 对等会话不会影响您的路由操作。从两个 BGP 会话接收到的路由信息将累积到给定的 Connect 对等节点。两个 BGP 对等会话还可以防止任何 Amazon 基础设施操作,例如例行维护、修补、硬件升级和更换,所导致的中断。如果您的 Connect 对等节点没有在推荐的双 BGP 对等会话的冗余配置下运行,则它可能会在 Amazon 基础设施操作期间遇到暂时的连接中断。我们强烈建议您在 Connect 对等节点上配置两个BGP 对等会话。如果您已配置多个 Connect 对等节点以支持设备端的高可用性,我们建议您在每个 Connect 对等节点上配置两个 BGP 对等会话。

Connect 挂载使用现有的 VPC 或 Direct Connect 挂载作为基础传输机制。该挂载被称为运输挂载。Transit Gateway将来自第三方设备的匹配 GRE 数据包标识为来自 Connect 挂载的流量。它将任何其他数据包(包括具有不正确源或目标信息的 GRE 数据包)视为传输挂载中的流量。

注意

要使用 Direct Connect 挂载作为传输机制,您首先需要将 Direct Connect 与 Amazon Transit Gateway 集成。有关创建此集成的步骤,请参阅将 SD-WAN 设备与 Amazon Transit Gateway 和 Amazon Direct Connect 集成

Connect 对等节点

Connect 对等节点(GRE 隧道)由以下组件组成。

CIDR 块内部(BGP 地址)

用于 BGP 对等连接的内部 IP 地址。您必须为 IPv4 指定 169.254.0.0/16 范围内的 /29 CIDR 块。您可以为 IPv6 可选地指定 fd00::/8 范围内的 /125 CIDR 块。以下 CIDR 块由系统保留,不能使用:

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

您必须将设备上 IPv4 范围中的第一个地址配置为 BGP IP 地址。使用 IPv6 时,如果您的内部 CIDR 块是 fd00::/125,您必须在设备的隧道接口上配置此范围内的第一个地址 (fd00::1)。

在Transit Gateway的所有隧道中,BGP 地址必须是唯一的。

对等 IP 地址

Connect 对等节点设备侧的对等 IP 地址(GRE 外部 IP 地址)。该地址可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址,但它必须与Transit Gateway地址同属一个 IP 地址系列。

Transit Gateway地址

Connect 对等节点中转网关侧的对等 IP 地址(GRE 外部 IP 地址)。必须从Transit Gateway CIDR 块中指定 IP 地址,并且该地址在Transit Gateway的 Connect 挂载中必须是唯一的。如果您没有指定 IP 地址,我们将使用Transit Gateway CIDR 块中的第一个可用地址。

您可以在创建修改Transit Gateway时添加Transit Gateway CIDR 块。

IP 地址可以是 IPv4 或 IPv6 地址,但它必须与对等 IP 地址同属一个 IP 地址系列。

对等 IP 地址和Transit Gateway地址用于唯一地标识 GRE 隧道。您可以在多个隧道中重复使用任一地址,但不能在同一隧道中重复使用两个地址。

用于 BGP 对等的 Transit Gateway Connect 仅支持多协议 BGP (MP-BGP),其中还需要 IPv4 单播寻址才能为 IPv6 单播建立 BGP 会话。您可以将 IPv4 和 IPv6 地址用于 GRE 外部 IP 地址。

以下示例显示了Transit Gateway和 VPC 中的设备之间的 Connect 挂载。

中转网关 Connect 挂载和 Connect 对等节点
图组件 描述
VPC 挂载
Connect 挂载
GRE 隧道(Connect 对等节点)
BGP 对等会话

在前面的示例中,在现有 VPC 挂载(传输挂载)上创建了一个 Connect 挂载。在 Connect 挂载上创建 Connect 对等节点,以建立与 VPC 中的设备的连接。Transit Gateway地址为 192.0.2.1,BGP 地址的范围为 169.254.6.0/29。范围中的第一个 IP 地址 (169.254.6.1) 在设备上被配置为对等 BGP IP 地址。

VPC C 的子网路由表有一个路由,该路由将发往Transit Gateway CIDR 块的流量指向Transit Gateway。

目的地 目标
172.31.0.0/16 本地
192.0.2.0/24 tgw-id

要求和注意事项

以下是 Connect 挂载的要求和注意事项。

  • 有关哪些区域支持 Connect 挂载的信息,请参阅 Amazon Transit Gateway 常见问题解答

  • 必须将第三方设备配置为使用 Connect 挂载通过 GRE 隧道在Transit Gateway之间发送和接收流量。

  • 必须将第三方设备配置为使用 BGP 进行动态路由更新和运行状况检查。

  • 支持以下类型的 BGP:

    • 外部 BGP (eBGP):用于连接到位于不同于Transit Gateway的自治系统中的路由器。如果使用 eBGP,则必须使用生存时间 (TTL) 值 2 配置 ebgp-multihop。

    • 内部 BGP (iBGP):用于连接到位于与 Transit Gateway 相同的自治系统的路由器。除非路由源自 eBGP 对等节点,并且已经配置了 next-hop-self,否则中转网关不会安装来自 iBGP 对等节点(第三方设备)的路由。第三方设备通过 iBGP 对等连接发布的路由必须具有 ASN。

    • MP-BGP(BGP 的多协议扩展):用于支持多种协议类型,例如 IPv4 和 IPv6 地址系列。

  • 默认 BGP 保持连接超时为 10 秒,默认的保持计时器为 30 秒。

  • 不支持 IPv6 BGP 对等连接;仅支持基于 IPv4 的 BGP 对等连接。IPv6 前缀使用 MP-BGP 通过 IPv4 BGP 对等连接交换。

  • 不支持双向转发检测 (BFD)。

  • 不支持 BGP 平稳重启。

  • 创建Transit Gateway对等节点时,如果您没有指定对等节点 ASN 编号,我们将选择Transit Gateway ASN 编号。这意味着您的设备和Transit Gateway将位于执行 iBGP 的同一个自治系统中。

  • 当您有两个 Connect 对等节点时,使用 BGP AS-PATH 属性的 Connect 对等节点是首选路由。

    要在多个设备之间使用相同成本的多路径 (ECMP) 路由,您必须将设备配置为使用相同的 BGP AS-PATH 属性向Transit Gateway发布相同的前缀。要使Transit Gateway选择所有可用的 ECMP 路径,AS-PATH 和自治系统号 (ASN) 必须匹配。中转网关可以在同一 Connect 挂载的 Connect 对等节点之间使用 ECMP,也可以在同一中转网关上的 Connect 挂载之间使用 ECMP。Transit Gateway 不能在单个对等体建立的两个冗余 BGP 对等连接之间使用 ECMP。

  • 默认情况下,使用 Connect 挂载,路由会传播到Transit Gateway路由表。

  • 不支持静态路由。

创建 Connect 挂载

要创建 Connect 挂载,您必须将现有挂载指定为传输挂载。您可以将 VPC 挂载或 Direct Connect 挂载指定为传输挂载。

使用控制台创建 Connect 挂载
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Create Transit Gateway Attachment(创建中转网关挂载)。

  4. (可选)对于 Name tag(名称标签),为挂载指定名称标签。

  5. 对于Transit Gateway ID(中转网关 ID),选择要用于挂载的中转网关。

  6. 对于 Attachment type(挂载类型),选择 Connect(连接)。

  7. 对于 Transport Attachment ID(传输挂载 ID),选择现有挂载(传输挂载)的 ID。

  8. 选择 Create Transit Gateway Attachment(创建中转网关连接)。

使用 Amazon CLI 创建 Connect 挂载

使用 create-transit-gateway-connect 命令。

创建 Connect 对等节点(GRE 隧道)

您可以为现有的 Connect 挂载创建 Connect 对等节点(GRE 隧道)。在开始之前,请确保已配置中转网关 CIDR 块。您可以在创建修改中转网关时配置中转网关 CIDR 块。

创建 Connect 对等节点时,必须在 Connect 对等节点的设备端指定 GRE 外部 IP 地址。

要使用控制台创建 Connect 对等节点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Create Connect peer(创建 Connect 对等节点)。

  4. (可选)对于“名称标签”,为 Connect 对等节点指定名称标签。

  5. (可选)对于 Transit Gateway GRE Address(中转网关 GRE 地址),为中转网关指定 GRE 外部 IP 地址。默认情况下,使用中转网关 CIDR 块中的第一个可用地址。

  6. 对于“对等节点 GRE 地址”,为 Connect 对等节点的设备端指定 GRE 外部 IP 地址。

  7. 对于 BGP Inside CIDR blocks IPv4(CIDR 块 IPv4 内的 BGP),指定用于 BGP 对等连接的内部 IPv4 地址范围。从 169.254.0.0/16 范围中指定 /29 CIDR 块。

  8. (可选)对于 BGP Inside CIDR blocks IPv6(CIDR 块 IPv6 内的 BGP),指定用于 BGP 对等连接的内部 IPv6 地址范围。从 fd00::/8 范围中指定 /125 CIDR 块。

  9. (可选)对于 Peer ASN(对等节点 ASN),为设备指定边界网关协议(BGP) 自治系统编号(ASN)。您可以使用指定给您的网络的现有 ASN。如果您没有 ASN,您可以使用 64512–65534(16 位 ASN)或 4200000000–4294967294(32 位 ASN)范围内的私有 ASN。

    默认值与Transit Gateway的 ASN 相同。如果将 Peer ASN(对等节点 ASN)配置为与Transit Gateway ASN(eBGP) 不同,您必须使用生存时间(TTL) 值 2 配置 ebgp-multihop。

  10. 选择 Create Connect peer(创建 Connect 对等节点)

要使用 Amazon CLI 创建 Connect 对等节点

使用 create-transit-gateway-connect-peer 命令。

查看您的 Connect 挂载和 Connect 对等节点

您可以查看 Connect 挂载和 Connect 对等节点。

要使用控制台查看 Connect 挂载和 Connect 对等节点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Connect 挂载。

  4. 要查看 Connect 挂载对等节点,请选择 Connect Peers(Connect 对等节点)选项卡。

要使用 Amazon CLI 查看 Connect 挂载和 Connect 对等节点

使用 describe-transit-gateway-connectsdescribe-transit-gateway-connect-peers 命令。

修改 Connect 挂载和 Connect 对等节点标签

您可以修改 Connect 挂载的标签。

要使用控制台修改 Connect 挂载标签
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Manage tags(管理标签)。

  4. 要添加标签,请选择 Add new tag(添加新标签)并指定键名称和键值。

  5. 要删除标签,请选择 Remove(删除)。

  6. 选择 Save(保存)。

您可以修改 Connect 对等节点的标签。

要使用控制台修改 Connect 对等节点标签
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Connect peers(Connect 对等节点)。

  4. 选择 Connect 对等节点,然后选择“操作”、“管理标签”

  5. 要添加标签,请选择 Add new tag(添加新标签)并指定键名称和键值。

  6. 要删除标签,请选择 Remove(删除)。

  7. 选择 Save(保存)。

要使用 Amazon CLI 修改 Connect 挂载和 Connect 对等节点标签

使用 create-tagsdelete-tags 命令

删除 Connect 对等节点

如果您不再需要某个 Connect 对等节点,可以将其删除。

要使用控制台删除 Connect 对等节点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Connect 挂载。

  4. 在“Connect 对等节点”选项卡中,选择 Connect 对等节点,然后选择“操作”、“删除 Connect 对等节点”

要使用 Amazon CLI 删除 Connect 对等节点

使用 delete-transit-gateway-connect-peer 命令。

删除 Connect 挂载

如果您不再需要某个 Connect 挂载,则可以将其删除。您必须首先删除挂载的所有 Connect 对等节点。

要使用控制台删除 Connect 挂载
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Delete Transit Gateway attachment(删除Transit Gateway挂载)。

  4. 输入 delete,然后选择 Delete(删除)。

要使用 Amazon CLI 删除 Connect 挂载

使用 delete-transit-gateway-connect 命令。