中转网关 Connect 挂载和 Connect 对等节点 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

中转网关 Connect 挂载和 Connect 对等节点

您可以创建中转网关 Connect 挂载,以便在 VPC 中运行的中转网关和第三方虚拟设备(例如 SD-WAN 设备)之间建立连接。Connect 挂载支持通用路由封装 (GRE) 隧道协议以实现高性能,支持边界网关协议 (BGP) 以实现动态路由。创建 Connect 挂载后,您可以在 Connect 挂载上创建一个或多个 GRE 隧道(也称为 Connect 对等节点)以连接中转网关和第三方设备。您可以通过 GRE 隧道建立两个 BGP 会话以交换路由信息。这两个 BGP 会话用于冗余。

Connect 挂载使用现有的 VPC 或 AWS Direct Connect 挂载作为基础传输机制。该挂载被称为运输挂载。中转网关将来自第三方设备的匹配 GRE 数据包标识为来自 Connect 挂载的流量。它将任何其他数据包(包括具有不正确源或目标信息的 GRE 数据包)视为传输挂载中的流量。

Connect 对等节点

Connect 对等节点(GRE 隧道)由以下组件组成。

CIDR 块内部(BGP 地址)

用于 BGP 对等连接的内部 IP 地址。您必须为 IPv4 指定 169.254.0.0/16 范围内的 /29 CIDR 块。您可以为 IPv6 可选地指定 fd00::/8 范围内的 /125 CIDR 块。以下 CIDR 块由系统保留,不能使用:

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

您必须将设备上 IPv4 范围中的第一个地址配置为 BGP IP 地址。使用 IPv6 时,如果您的内部 CIDR 块是 fd00::/125,您必须在设备的隧道接口上配置此范围内的第一个地址 (fd00::1)。

在中转网关的所有隧道中,BGP 地址必须是唯一的。

对等 IP 地址

Connect 对等节点设备侧的对等 IP 地址(GRE 外部 IP 地址)。该地址可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址,但它必须与中转网关地址同属一个 IP 地址系列。

中转网关地址

Connect 对等节点中转网关侧的对等 IP 地址(GRE 外部 IP 地址)。必须从中转网关 CIDR 块中指定 IP 地址,并且该地址在中转网关的 Connect 挂载中必须是唯一的。如果您没有指定 IP 地址,我们将使用中转网关 CIDR 块中的第一个可用地址。

您可以在创建修改中转网关时添加中转网关 CIDR 块。

IP 地址可以是 IPv4 或 IPv6 地址,但它必须与对等 IP 地址同属一个 IP 地址系列。

对等 IP 地址和中转网关地址用于唯一地标识 GRE 隧道。您可以在多个隧道中重复使用任一地址,但不能在同一隧道中重复使用两个地址。

您可以对 BGP 地址和 GRE 外部 IP 地址使用不同的 IP 地址系列。例如,您可以为 GRE 外部 IP 地址配置 IPv4 地址,为 BGP 地址配置 IPv6 CIDR 块。

以下示例显示了中转网关和 VPC 中的设备之间的 Connect 挂载。

中转网关 Connect 挂载和 Connect 对等节点
图组件 说明
VPC 挂载
Connect 挂载
GRE 隧道(Connect 对等节点)
BGP 对等会话

在前面的示例中,在现有 VPC 挂载(传输挂载)上创建了一个中转网关 Connect 挂载。在 Connect 挂载上创建 Connect 对等节点,以建立与 VPC 中的设备的连接。中转网关地址为 192.0.2.1,BGP 地址的范围为 169.254.6.0/29。范围中的第一个 IP 地址 (169.254.6.1) 在设备上被配置为对等 BGP IP 地址。

VPC C 的子网路由表有一个路由,该路由将发往中转网关 CIDR 块的流量指向中转网关。

目的地 目标
172.31.0.0/16 本地
192.0.2.0/24 tgw-id

要求和注意事项

以下是 Connect 挂载的要求和注意事项。

  • 必须将第三方设备配置为使用 Connect 挂载通过 GRE 隧道在中转网关之间发送和接收流量。

  • 必须将第三方设备配置为使用 BGP 进行动态路由更新和运行状况检查。

  • 支持以下类型的 BGP:

    • 外部 BGP (eBGP):用于连接到位于不同于中转网关的自治系统中的路由器。如果使用 eBGP,则必须使用生存时间 (TTL) 值 2 配置 ebgp-multihop。

    • 内部 BGP (eBGP):用于连接到位于与中转网关相同的自治系统的路由器。除非路由源自 eBGP 对等节点,否则中转网关不会安装来自 iBGP 对等节点(第三方设备)的路由。第三方设备通过 iBGP 对等连接发布的路由必须具有 ASN。

    • MP-BGP(BGP 的多协议扩展):用于支持多种协议类型,例如 IPv4 和 IPv6 地址系列。

  • 创建中转网关对等节点时,如果您没有指定对等节点 ASN 编号,我们将选择中转网关 ASN 编号。这意味着您的设备和中转网关将位于执行 iBGP 的同一个自治系统中。

  • 要在多个设备之间使用相同成本的多路径 (ECMP) 路由,您必须将设备配置为使用相同的 BGP AS-PATH 属性向中转网关发布相同的前缀。要使中转网关选择所有可用的 ECMP 路径,AS-PATH 和自治系统编号 (ASN) 必须匹配。中转网关可以在同一 Connect 挂载的 Connect 对等节点之间使用 ECMP,也可以在同一中转网关上的 Connect 挂载之间使用 ECMP。中转网关不能在同一 Connect 对等节点的 BGP 对等连接之间使用 ECMP。

  • 不支持静态路由。

  • 以下 AWS 区域目前支持 Connect 挂载:美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)、美国西部(俄勒冈)和欧洲(爱尔兰)。

  • 默认情况下,使用 Connect 挂载,路由会传播到中转网关路由表。

创建中转网关 Connect 挂载

要创建 Connect 挂载,您必须将现有挂载指定为传输挂载。您可以将 VPC 挂载或 AWS Direct Connect 挂载指定为传输挂载。

使用控制台创建 Connect 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Create Transit Gateway Attachment (创建中转网关挂载)

  4. 对于 Transit Gateway ID (中转网关 ID),选择要用于挂载的中转网关。

  5. 对于 Attachment type(挂载类型),选择 Connect(连接)。

  6. (可选)对于 Attachment name tag(挂载名称标签),为挂载指定名称标签。

  7. 对于 Transport Attachment ID(传输挂载 ID),选择现有挂载(运输挂载)的 ID 。

  8. 选择 Create attachment (创建挂载)

要使用 AWS CLI 创建 Connect 挂载

使用 create-transit-gateway-connect 命令。

创建 Connect 对等节点(GRE 隧道)

您可以为现有的 Connect 挂载创建 Connect 对等节点(GRE 隧道)。在开始之前,请确保已配置中转网关 CIDR 块。您可以在创建修改中转网关时配置中转网关 CIDR 块。

创建 Connect 对等节点时,必须在 Connect 对等节点的设备端指定 GRE 外部 IP 地址。

要使用控制台创建 Connect 对等节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Create Connect peer(创建 Connect 对等节点)。

  4. (可选)对于 Connect Peer name tag(Connect 对等节点名称标签),为 Connect 对等节点指定名称标签。

  5. (可选)对于 Transit Gateway GRE Address(中转网关 GRE 地址),为中转网关指定 GRE 外部 IP 地址。默认情况下,使用中转网关 CIDR 块中的第一个可用地址。

  6. 对于 Peer GRE Address(对等节点 GRE 地址),为 Connect 对等节点的设备端指定 GRE 外部 IP 地址。

  7. 对于 BGP Inside CIDR blocks IPv4(CIDR 块 IPv4 内的 BGP),指定用于 BGP 对等连接的内部 IPv4 地址范围。从 169.254.0.0/16 范围中指定 /29 CIDR 块。

  8. (可选)对于 BGP Inside CIDR blocks IPv6(CIDR 块 IPv6 内的 BGP),指定用于 BGP 对等连接的内部 IPv6 地址范围。从 fd00::/8 范围中指定 /125 CIDR 块。

  9. (可选)对于 Peer ASN(对等节点 ASN),为设备指定边界网关协议 (BGP) 自治系统编号 (ASN)。您可以使用指定给您的网络的现有 ASN。如果您没有 ASN,您可以使用专用 ASN(在 64512–65534 范围内)。

    默认值与中转网关的 ASN 相同。如果将 Peer ASN(对等节点 ASN)配置为与中转网关 ASN (eBGP) 不同,您必须使用生存时间 (TTL) 值 2 配置 ebgp-multihop。

  10. 选择创建

要使用 AWS CLI 创建 Connect 对等节点

使用 create-transit-gateway-connect-peer 命令。

查看您的中转网关 Connect 挂载和 Connect 对等节点

您可以查看中转网关 Connect 挂载和 Connect 对等节点。

要使用控制台查看 Connect 挂载和 Connect 对等节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载。

  4. 要查看 Connect 挂载对等节点,请选择 Connect Peers(Connect 对等节点)选项卡。

要使用 AWS CLI 查看 Connect 挂载和 Connect 对等节点

使用 describe-transit-gateway-connectsdescribe-transit-gateway-connect-peers 命令。

修改 Connect 挂载和 Connect 对等节点标签

您可以修改 Connect 挂载的标签。

要使用控制台修改 Connect 挂载标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Add/Edit tags(添加/编辑标签)。

  4. 要添加标签,请选择 Create tag(创建标签)并指定键名称和键值。

  5. 要删除标签,请为该标签选择 Delete(删除)("X")。

  6. 选择 Save

您可以修改 Connect 对等节点的标签。

要使用控制台修改 Connect 对等节点标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Connect peers(Connect 对等节点)。

  4. 选择 Connect 对等节点,然后选择 Actions(操作)、Add/Edit tags(添加/编辑标签)。

  5. 要添加标签,请选择 Create tag(创建标签)并指定键名称和键值。

  6. 要删除标签,请为该标签选择 Delete(删除)("X")。

  7. 选择 Save

要使用 AWS CLI 修改 Connect 挂载和 Connect 对等节点标签

使用 create-tagsdelete-tags 命令

删除 Connect 对等节点

如果您不再需要某个 Connect 对等节点,可以将其删除。

要使用控制台删除 Connect 对等节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载。

  4. Connect Peers(Connect 对等节点)选项卡中,选择 Connect 对等节点,然后选择 Actions(操作)、Delete Connect peer(删除 Connect 对等节点)。

要使用 AWS CLI 删除 Connect 对等节点

使用 delete-transit-gateway-connect-peer 命令。

删除中转网关 Connect 挂载

如果您不再需要某个中转网关 Connect 挂载,可以将其删除。您必须首先删除挂载的所有 Connect 对等节点。

要使用控制台删除 Connect 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。

  3. 选择 Connect 挂载,然后选择 Actions(操作)、Delete(删除)。

  4. 当系统提示进行确认时,选择 Delete

要使用 AWS CLI 删除 Connect 挂载

使用 delete-transit-gateway-connect 命令。