将 VPC 扩展到本地区域、Wavelength 区域或 Outpost - Amazon Virtual Private Cloud
Amazon Local Zones 中的子网Amazon Wavelength 中的子网Amazon Outposts 中的子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 VPC 扩展到本地区域、Wavelength 区域或 Outpost

您可以在全球多个位置托管 VPC 资源(如子网)。这些位置由“区域”、“可用区”、“本地区域”和“Wavelength 区域”组成。每个区域都是一个单独的地理区域。

  • 可用区是每个区域内的多个相互隔离的位置。

  • 本地区域允许您在多个离终端用户较近的位置放置资源(如计算和存储)。

  • Amazon Outposts 可将本机 Amazon 服务、基础设施和运营模式引入几乎任何数据中心、主机托管空间或本地设施。

  • 利用 Wavelength 区域,开发人员可以为 5G 设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将标准 Amazon 计算和存储服务部署到电信运营商的 5G 网络边缘。

Amazon运行着具有高可用性的先进数据中心。数据中心有时会发生影响托管于同一位置的所有实例的可用性的故障,虽然这种故障极少发生。如果您将所有实例都托管在受故障影响的同一个位置,则您的所有实例都将不可用。

要帮助您确定哪种部署最适合您,请参阅 Amazon Wavelength 常见问题解答

Amazon Local Zones 中的子网

Amazon Local Zones 允许您在靠近用户的位置放置资源,并且使用熟悉的 API 和工具集无缝连接到 Amazon 区域中的各种服务。当您在本地区域中创建子网时,您也会将 VPC 扩展到该本地区域。

要使用 Local Zone,您需要遵循以下流程:

  • 选择加入 Local Zone。

  • 在本地扩展区中创建子网。

  • 在 Local Zone 子网中启动资源,以确保您的应用程序靠近用户。

下图演示的 VPC 位于美国西部(俄勒冈州)(us-west-2) 区域,横跨多个可用区和一个 Local Zone。

横跨多个可用区和一个 Local Zone 的 VPC。

创建 VPC 时,您可以选择为 VPC 分配一组由 Amazon 提供的公有 IP 地址。您还可以为这些地址设置网络边界组,以将地址限制到该组。设置网络边界组时,IP 地址不能在网络边界组间移动。本地区域网络流量将直接进入互联网或接入网点 (PoP),无需遍历本地区域的父区域,从而能够访问低延迟计算。对于 Local Zones 及其相应父区域的完整列表,请参阅 Amazon Local Zones 用户指南中的可用的 Local Zones

以下规则适用于本地区域:

  • 本地区域子网遵循与可用区子网相同的路由规则,包括路由表、安全组和网络 ACL。

  • 出站互联网流量从本地区域内部离开。

  • 您必须预配置公有 IP 地址以便在本地区域中使用。分配地址时,您可以指定通告其中 IP 地址的位置。我们将其称为网络边界组,您可以设置此参数,将地址限制到此位置。预置 IP 地址后,您无法在本地区域与父区域之间移动这些地址(例如,从 us-west-2-lax-1aus-west-2)。

  • 如果 Local Zone 支持 IPv6,您可以请求 Amazon 提供的 IPv6 IP 地址,并将其与新 VPC 或现有 VPC 的网络边界组关联。有关支持 IPv6 的 Local Zones 列表,请参阅 Amazon Local Zones 用户指南中的注意事项

  • 您无法在 Local Zone 子网内创建 VPC 端点。

有关使用 Local Zones 的更多信息,请参阅 Amazon Local Zones 用户指南

互联网网关的注意事项

在本地区域中使用(父区域中的)互联网网关时,请考虑以下信息:

  • 您可以在本地区域中使用具有弹性 IP 地址或 Amazon 自动分配的公有 IP 地址的互联网网关。您关联的弹性 IP 地址必须包括本地区域的网络边界组。有关更多信息,请参阅 将弹性 IP 地址关联到 VPC 中的资源

    您不能关联为该区域设置的弹性 IP 地址。

  • 本地区域中使用的弹性 IP 地址与区域中的弹性 IP 地址在配额上相同。有关更多信息,请参阅 弹性 IP 地址

  • 您可以在与本地区域资源关联的路由表中使用互联网网关。有关更多信息,请参阅 路由到互联网网关

使用 Direct Connect 网关访问本地区域

考虑一下您希望本地数据中心访问本地扩展区中的资源的情况。您可以将虚拟私有网关用于与本地区域关联的 VPC,以连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Amazon Direct Connect 站点。本地部署数据中心拥有与该 Amazon Direct Connect 位置的 Amazon Direct Connect 连接。

注意

在美国境内,使用 Direct Connect 发往本地区域子网的流量不会通过本地区域的父区域。相反,流量会采用最短路径到达本地区域。这可以减少延迟,并有助于提高应用程序的响应速度。

对于此配置,可以配置以下资源:

  • 与本地扩展区子网关联的 VPC 的虚拟私有网关。您可以在 Amazon Virtual Private Cloud Console 中的子网详细信息页面上查看子网的 VPC,也可以使用 describe-subnets

    有关如何创建虚拟私有网关的信息,请参阅《Amazon Site-to-Site VPN 用户指南》中的创建目标网关

  • Direct Connect 连接。为了获得最佳延迟性能,Amazon 建议您使用要将子网扩展到的最靠近本地区域的 Direct Connect 站点

    有关如何订购连接的信息,请参阅《Amazon Direct Connect 用户指南》中的交叉连接

  • 一个 Direct Connect 网关。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建 Direct Connect 网关

  • 将 VPC 连接到 Direct Connect 网关的虚拟私有网关关联。有关如何创建虚拟私有网关关联的信息,请参阅《Amazon Direct Connect 用户指南》中的关联和取消关联虚拟私有网关

  • 从 Amazon Direct Connect 站点到本地部署数据中心的连接上的私有虚拟接口。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建到 Direct Connect 网关的私有虚拟接口

将本地扩展区子网连接到中转网关

您无法为本地区域中的子网创建中转网关挂载。下图显示了如何配置网络,以便本地区域中的子网通过父可用区连接到中转网关。在本地区域中创建子网,并在父可用区中创建子网。将父可用区域中的子网连接到中转网关,然后在路由表中为每个 VPC 创建一个路由,该路由将用于其他 VPC CIDR 的流量路由到中转网关挂载的网络接口。

注意

从中转网关发往本地区域中子网的流量将首先遍历父区域。

本地扩展区到中转网关

为此场景创建以下资源:

  • 每个父可用区中的子网。有关更多信息,请参阅 创建子网

  • 中转网关。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建中转网关

  • 使用父可用区的每个 VPC 的中转网关挂载。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建 VPC 的中转网关挂载

  • 与中转网关挂载关联的中转网关路由表。有关更多信息,请参阅 Amazon VPC Transit Gateway中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关挂载的网络接口 ID 作为目标。要查找中转网关挂载的网络接口,请在网络接口的说明中搜索中转网关挂载的 ID。有关更多信息,请参阅 中转网关的路由

以下是 VPC 1 的示例路由表。

目标位置 目标

VPC 1 CIDR

本地

VPC 2 CIDR

vpc1-attachment-network-interface-id

以下是 VPC 2 的示例路由表。

目标位置 目标

VPC 2 CIDR

本地

VPC 1 CIDR

 vpc2-attachment-network-interface-id

以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。

CIDR Attachment 路由类型

VPC 1 CIDR

VPC 1 的挂载

传播

VPC 2 CIDR

VPC 2 的挂载

传播

Amazon Wavelength 中的子网

利用 Amazon Wavelength,开发人员可以为移动设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将标准 Amazon 计算和存储服务部署到电信运营商的 5G 网络边缘。开发人员可以将虚拟私有云(VPC)扩展到一个或多个 Wavelength Zone,然后使用 Amazon EC2 实例等 Amazon 资源来运行需要超低延迟并连接到区域中的 Amazon Web Services的应用程序。

要使用 Wavelength 区域,必须首先选择加入区域。接下来,在 Wavelength 区域中创建子网。您可以在 Wavelength 区域中创建 Amazon EC2 实例、Amazon EBS 卷和 Amazon VPC 子集和 Carrier Gateway。此外,您还可以使用通过 EC2、EBS 和 VPC 编排或搭配使用的服务,如 Amazon EC2 Auto Scaling、Amazon EKS 集群、Amazon ECS 集群、Amazon EC2 Systems Manager、Amazon CloudWatch、Amazon CloudTrail 和 Amazon CloudFormation。Wavelength 中的服务是 VPC 的一部分,它通过可靠的高带宽连接至 Amazon 区域,以便轻松访问包括 Amazon DynamoDB 和 Amazon RDS 在内的服务。

以下规则适用于 Wavelength 区域:

  • 当您在 VPC 中创建子网并将其与 Wavelength 区域关联时,VPC 将扩展到 Wavelength 区域。

  • 默认情况下,您在跨越某个 Wavelength 区域的 VPC 中创建的每个子网都会继承主 VPC 路由表,包括本地路由。

  • 当您在 Wavelength 区域的子网中启动 EC2 实例时,您将为其分配运营商 IP 地址。运营商网关将地址用于从接口到 Internet 或移动设备的流量。运营商网关使用 NAT 转换地址,然后将流量发送到目的地。来自电信运营商网络的流量通过运营商网关路由。

  • 您可以将 VPC 路由表或 Wavelength 区域中的子网路由表的目标设置为运营商网关,从而允许来自特定位置的运营商网络的入站流量,以及向运营商网络和 Internet 发送出站流量。有关 Wavelength 区域中的路由选项的更多信息,请参阅《Amazon Wavelength 开发人员指南》中的路由

  • Wavelength 区域中的子网与可用区中的子网具有相同的网络组件,包括 IPv4 地址、DHCP 选项集和网络 ACL。

  • 您无法为 Wavelength 区域中的子网创建 Transit Gateway 挂载。但可以通过父可用区中的子网创建附件,然后通过 Transit Gateway 将流量路由到所需目的地。有关示例,请参阅下一节。

存在多个 Wavelength 区域时的注意事项

不允许位于同一 VPC 中不同 Wavelength 区域内的 EC2 实例之间相互通信。如果您需要在不同 Wavelength 区域之间进行通信,Amazon 建议您使用多个 VPC,每个 Wavelength 区域一个。您可以使用中转网关连接这些 VPC。此配置允许这些 Wavelength 区域中的实例之间相互通信。

Wavelength 区域到 Wavelength 区域的流量传输会经过 Amazon 区域。有关更多信息,请参阅 Amazon Transit Gateway

下图显示了如何配置网络以支持两个不同 Wavelength 区域中的实例相互通信。您有两个 Wavelength 区域(Wavelength 区域 A 和 Wavelength 区域 B)。您需要创建以下资源才能支持通信:

  • 对于每个 Wavelength 区域,创建一个位于其父可用区中的子网。在示例中,您创建了子网 1 和子网 2。有关创建子网的信息,请参阅 创建子网。使用 describe-availability-zones 查找父可用区。

  • 中转网关。中转网关连接 VPC。有关如何创建中转网关的信息,请参阅《Amazon VPC Transit Gateway 指南》中的创建中转网关

  • 对于每个 VPC,VPC 挂载到 Wavelength 区域父可用区的 Transit Gateway 中。有关更多信息,请参阅《Amazon VPC Transit Gateway 指南》中的 VPC 的 Transit Gateway 挂载

  • 中转网关路由表中每个 VPC 的条目。有关如何创建 Transit Gateway 路由的信息,请参阅《Amazon VPC Transit Gateway 指南》中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关 ID 作为目标。有关更多信息,请参阅 中转网关的路由

    在示例中,VPC 1 的路由表包含以下条目:

    目的地 目标

    10.1.0.0/24

    tgw-22222222222222222

    VPC 2 的路由表包含以下条目:

    目的地 目标

    10.0.0.0/24

    		 tgw-22222222222222222
多个 Wavelength 区域

Amazon Outposts 中的子网

Amazon Outposts 为您提供相同的 Amazon 硬件基础设施、服务、API 和工具,用于在本地和云中构建并运行您的应用程序。Amazon Outposts 非常适合需要以低延迟方式访问本地应用程序或系统的工作负载,以及需要在本地存储和处理数据的工作负载。有关 Amazon Outposts 的更多信息,请参阅 Amazon Outposts

VPC 涵盖一个 Amazon 区域中的所有可用区。将您的 Outpost 连接到其父级区域后,您可以在该 VPC 中为您的 Outpost 创建子网,从而将该区域中的所有 VPC 都扩展到您的 Outpost。

以下规则适用于 Amazon Outposts:

  • 子网必须位于一个 Outposts 位置。

  • 要为 Outpost 创建子网,请在创建子网时指定 Outpost 的Amazon 资源名称(ARN)。

  • Outposts 机架 – 由本地网关处理 VPC 与本地网络之间的网络连接。有关更多信息,请参阅《Amazon Outposts 用户指南》中的 本地网关

  • Outposts 服务器 – 由本地网络接口处理 VPC 与本地网络之间的网络连接。有关更多信息,请参阅《适用于 Outposts 服务器的 Amazon Outposts 用户指南》中的 本地网络接口

  • 默认情况下,您在 VPC 中创建的每个子网(包括为您的 Outpost 创建的子网),都会隐式与 VPC 的主路由表关联。您还可以将自定义路由表与 VPC 中的子网显式关联,并将本地网关作为指向本地网络的所有流量的下一跳目标。

具有可用区和 Outpost 的 VPC。