运营商网关 - Amazon Virtual Private Cloud
允许访问电信运营商网络使用运营商网关管理区域
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

运营商网关

运营商网关具有两个作用。它允许来自特定位置的运营商网络的入站流量,并允许将出站流量发送到运营商网络和 Internet。没有通过运营商网关从 Internet 到 Wavelength 区域的入站连接配置。

运营商网关支持 IPv4 流量。

运营商网关仅适用于 Wavelength 区域中包含子网的 VPC。运营商网关在 Wavelength 区域与电信运营商以及电信运营商网络上的设备之间提供连接。运营商网关执行 Wavelength 实例的 IP 地址到运营商 IP 地址(属于分配给网络边界组的池)的 NAT。运营商网关 NAT 函数与 Internet 网关在区域中的工作方式相似。

允许访问电信运营商网络

要针对 Wavelength 子网中的实例启用对电信运营商网络的访问或从该网络访问,您必须执行以下操作:

  • 创建 VPC。

  • 创建运营商网关并将运营商网关附加到您的 VPC。创建运营商网关时,您可以选择哪些子网路由到运营商网关。选择此选项后,我们会自动创建与运营商网关相关的资源,例如路由表和网络 ACL。如果不选择此选项,则必须执行以下任务:

    • 选择将流量路由到运营商网关的子网。

    • 确保您的子网路由表具有将流量引导到运营商网关的路由。

    • 确保子网中的实例具有全球唯一的运营商 IP 地址。

    • 确保您的网络访问控制列表和安全组规则允许相关流量在您的实例中流入和流出。

使用运营商网关

以下部分介绍如何为 VPC 手动创建运营商网关,以支持来自运营商网络(例如移动电话)的入站流量以及支持指向运营商网络和 Internet 的出站流量。

创建 VPC

您可以使用 Amazon VPC 控制台或 AWS CLI 创建空的 Wavelength VPC。

Amazon VPC console

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,依次选择 Your VPCsCreate VPC

  3. 根据需要指定以下 VPC 详细信息,然后选择创建

    • Name tag:可以选择为您的 VPC 提供名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • IPv4 CIDR block:为 VPC 指定 IPv4 CIDR 块。我们建议您参照 RFC 1918 中指定的私有 (非公有可路由) IP 地址范围,从中指定一个 CIDR 块,例如 10.0.0.0/16192.168.0.0/16

      注意

      您可以指定一系列可公开路由的 IPv4 地址。但是,我们目前不支持从 VPC 中可公开路由的 CIDR 块直接访问互联网。如果启动到范围从 224.0.0.0255.255.255.255 (类 D 和类 E IP 地址范围) 的 VPC,Windows 实例将无法正常启动。

AWS CLI

创建 VPC

  • 使用 create-vpc。有关更多信息,请参阅 AWS CLI 命令参考 中的 create-VPC

创建运营商网关

创建 VPC 后,创建运营商网关,然后选择将流量路由到运营商网关的子网。

如果您尚未选择加入 Wavelength 区域, Amazon VPC 控制台将提示您选择加入。有关更多信息,请参阅 管理区域

当您选择自动将流量从子网路由到运营商网关时,我们会创建以下资源:

  • 运营商网关

  • 子网。您可以选择将所有对于 Name 没有值的运营商网关标签分配给子网。

  • 具有以下资源的网络 ACL:

    • 与 Wavelength 区域中的子网关联的子网

    • 所有流量的默认入站和出站规则。

  • 具有以下资源的路由表:

    • 所有本地流量的路由

    • 将所有非本地流量路由到运营商网关的路由

    • 与子网的关联

Amazon VPC console

创建运营商网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择运营商网关,然后选择创建运营商网关

  3. 可选:对于名称,输入运营商网关的名称。

  4. 对于 VPC,请选择 VPC。

  5. 选择将子网流量路由到运营商网关,然后在要路由的子网下执行以下操作。

    1. Wavelength 区域中的现有子网下,选中要路由到运营商网关的每个子网所对应的框。

    2. 要在 Wavelength 区域中创建子网,请选择添加新子网,指定以下信息,然后选择添加新子网

      • Name tag:可以选择为子网提供一个名称。这样做可创建具有 Name 键以及您指定的值的标签。

      • VPC:选择 VPC。

      • 可用区:选择 Wavelength 区域。

      • IPv4 CIDR block:为您的子网指定 IPv4 CIDR 块,如 10.0.1.0/24

      • 要将运营商网关标签应用于子网,请选择应用来自此运营商网关的相同标签

  6. (可选)要向运营商网关添加标签,请选择添加标签,然后执行以下操作:

    • 对于 Key (键),输入键名称。

    • 对于 Value (值),输入键值。

  7. 选择创建运营商网关

AWS CLI

创建运营商网关

  • 使用 create-carrier-gateway。有关更多信息,请参阅 AWS CLI 命令参考 中的 create-carrier-gateway

    创建运营商网关后,使用以下资源添加 VPC 路由表:

    • 所有 VPC 本地流量的路由

    • 将所有非本地流量路由到运营商网关的路由

    • 与 Wavelength 区域中的子网之间的关联

    有关更多信息,请参阅 路由到 Wavelength 区域运营商网关使用路由表

创建安全组以访问电信运营商网络

默认情况下,VPC 安全组允许所有出站流量。您可以创建新的安全组,并添加允许来自电信运营商的入站流量的规则。然后,将安全组与子网中的实例关联起来。

Amazon VPC console

创建新的安全组,并将其与您的实例关联

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Security Groups,然后选择 Create Security Group

  3. 要创建安全组,请选择创建安全组,指定以下信息,然后选择创建

    • 安全组名称:输入子网的名称。

    • 说明:输入安全组说明。

    • VPC:选择 VPC。

  4. 选择安全组。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

  5. Inbound Rules 选项卡上,选择 Edit。选择 Add Rule,然后填写所需信息。例如,从 Type 列表中选择 HTTPHTTPS,然后在 Source 中输入 0.0.0.0/0 (对于 IPv4 流量) 或 ::/0 (对于 IPv6 流量)。选择 Save

  6. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  7. 在导航窗格中,选择 Instances (实例)

  8. 选择实例,选择操作网络连接,然后选择更改安全组

  9. 清除当前所选安全组的复选框,然后选中一个新的复选框。选择 Assign Security Groups

AWS CLI

创建安全组

  • 使用 create-security-group。有关更多信息,请参阅 AWS CLI 命令参考 中的 create-security-group

在 Wavelength 区域子网中分配运营商 IP 地址并将其与实例相关联

如果您使用 Amazon EC2 控制台启动实例,或者未使用 AWS CLI 中的 associate-carrier-ip-address 选项,则必须分配运营商 IP 地址并将其分配给实例:

分配和关联运营商 IP 地址

  1. 使用 allocate-address 分配运营商 IP 地址。有关更多信息,请参阅 AWS CLI 命令参考 中的 allocate-address

    示例

    aws ec2 allocate-address --region us-east-1 --domain vpc --network-border-group us-east-1-wl1-bos-wlz-1

    输出

    {
    "AllocationId": "eipalloc-05807b62acEXAMPLE",
    "PublicIpv4Pool": "amazon",
    "NetworkBorderGroup": "us-east-1-wl1-bos-wlz-1",
    "Domain": "vpc",
    "CarrierIp": "155.146.10.111"

}

  2. 使用 associate-address 将运营商 IP 地址与 EC2 实例关联。有关更多信息,请参阅 AWS CLI 命令参考 中的 associate-address

    示例

    aws ec2 associate-address --allocation-id eipalloc-05807b62acEXAMPLE --network-interface-id eni-1a2b3c4d

    输出

    {
    "AssociationId": "eipassoc-02463d08ceEXAMPLE",
}

查看运营商网关详细信息

您可以查看有关运营商网关的信息,包括状态和标签。

Amazon VPC console

查看运营商网关详细信息

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择运营商网关

  3. 选择运营商网关,然后选择操作查看详细信息

AWS CLI

查看运营商网关详细信息

管理运营商网关标签

标签可帮助您识别运营商网关。您可以添加或删除标签。

Amazon VPC console

管理运营商网关标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择运营商网关

  3. 选择运营商网关,然后选择操作管理标签

  4. 要添加标签,请选择添加标签,然后执行以下操作:

    • 对于 Key (键),输入键名称。

    • 对于 Value (值),输入键值。

  5. 要删除标签,请选择标签的“键”和“值”右侧的删除

  6. 选择 Save

AWS CLI

管理运营商网关标签

  • 要创建标签键,请使用 create-tag。有关更多信息,请参阅 AWS CLI 命令参考 中的 create-tag

    要删除标签,请使用 delete-tags。有关更多信息,请参阅 AWS CLI 命令参考 中的 delete-tags

删除运营商网关

您可以删除不再需要的运营商网关。

重要

如果不删除以运营商网关作为目标的路由,则该路由为黑洞路由。

Amazon VPC console

删除运营商网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择运营商网关

  3. 选择运营商网关,然后选择操作删除运营商网关

  4. 删除运营商网关对话框中,输入删除,然后选择删除

AWS CLI

删除运营商网关

  • 使用 delete-carrier-gateway。有关更多信息,请参阅 AWS CLI 命令参考 中的 delete-carrier-gateway

管理区域

在为资源或服务指定 Wavelength 区域之前,您必须选择加入该区域。

在选择加入之前,您需要申请访问权限以便使用 Wavelength 区域。有关如何请求 Wavelength 区域访问权限的信息,请参阅 AWS Wavelength