Amazon Local Zones 中的子网 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Local Zones 中的子网

Amazon Local Zones 允许您在靠近用户的位置放置资源,并且使用熟悉的 API 和工具集无缝连接到 Amazon 区域中的各种服务。当您在本地区域中创建子网时,您也会将 VPC 扩展到该本地区域。

要使用 Local Zone,您需要遵循以下流程:

  • 选择加入 Local Zone。

  • 在本地扩展区中创建子网。

  • 在 Local Zone 子网中启动资源,以确保您的应用程序靠近用户。

下图演示的 VPC 位于美国西部(俄勒冈州)(us-west-2) 区域,横跨多个可用区和一个 Local Zone。

横跨多个可用区和一个 Local Zone 的 VPC。

创建 VPC 时,您可以选择为 VPC 分配一组由 Amazon 提供的公有 IP 地址。您还可以为这些地址设置网络边界组,以将地址限制到该组。设置网络边界组时,IP 地址不能在网络边界组间移动。本地区域网络流量将直接进入互联网或接入网点 (PoP),无需遍历本地区域的父区域,从而能够访问低延迟计算。对于 Local Zones 及其相应父区域的完整列表,请参阅 Amazon Local Zones 用户指南中的可用的 Local Zones

以下规则适用于本地区域:

  • 本地区域子网遵循与可用区子网相同的路由规则,包括路由表、安全组和网络 ACL。

  • 出站互联网流量从本地区域内部离开。

  • 您必须预配置公有 IP 地址以便在本地区域中使用。分配地址时,您可以指定通告其中 IP 地址的位置。我们将其称为网络边界组,您可以设置此参数,将地址限制到此位置。预置 IP 地址后,您无法在本地区域与父区域之间移动这些地址(例如,从 us-west-2-lax-1aus-west-2)。

  • 如果 Local Zone 支持 IPv6,您可以请求 Amazon 提供的 IPv6 IP 地址,并将其与新 VPC 或现有 VPC 的网络边界组关联。有关支持 IPv6 的 Local Zones 列表,请参阅 Amazon Local Zones 用户指南中的注意事项

  • 您无法在 Local Zone 子网内创建 VPC 端点。

有关使用 Local Zones 的更多信息,请参阅 Amazon Local Zones 用户指南

互联网网关的注意事项

在本地区域中使用(父区域中的)互联网网关时,请考虑以下信息:

  • 您可以在本地区域中使用具有弹性 IP 地址或 Amazon 自动分配的公有 IP 地址的互联网网关。您关联的弹性 IP 地址必须包括本地区域的网络边界组。有关更多信息,请参阅 将弹性 IP 地址关联到 VPC 中的资源

    您不能关联为该区域设置的弹性 IP 地址。

  • 本地区域中使用的弹性 IP 地址与区域中的弹性 IP 地址在配额上相同。有关更多信息,请参阅 弹性 IP 地址

  • 您可以在与本地区域资源关联的路由表中使用互联网网关。有关更多信息,请参阅 路由到互联网网关

使用 Direct Connect 网关访问本地区域

考虑一下您希望本地数据中心访问本地扩展区中的资源的情况。您可以将虚拟私有网关用于与本地区域关联的 VPC,以连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Amazon Direct Connect 站点。本地部署数据中心拥有与该 Amazon Direct Connect 位置的 Amazon Direct Connect 连接。

注意

在美国境内,使用 Direct Connect 发往本地区域子网的流量不会通过本地区域的父区域。相反,流量会采用最短路径到达本地区域。这可以减少延迟,并有助于提高应用程序的响应速度。

对于此配置,可以配置以下资源:

  • 与本地扩展区子网关联的 VPC 的虚拟私有网关。您可以在 Amazon Virtual Private Cloud Console 中的子网详细信息页面上查看子网的 VPC,也可以使用 describe-subnets 命令。

    有关如何创建虚拟私有网关的信息,请参阅《Amazon Site-to-Site VPN 用户指南》中的创建目标网关

  • Direct Connect 连接。为了获得最佳延迟性能,Amazon 建议您使用要将子网扩展到的最靠近本地区域的 Direct Connect 站点。

    有关如何订购连接的信息,请参阅《Amazon Direct Connect 用户指南》中的交叉连接

  • 一个 Direct Connect 网关。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建 Direct Connect 网关

  • 将 VPC 连接到 Direct Connect 网关的虚拟私有网关关联。有关如何创建虚拟私有网关关联的信息,请参阅《Amazon Direct Connect 用户指南》中的关联和取消关联虚拟私有网关

  • 从 Amazon Direct Connect 站点到本地部署数据中心的连接上的私有虚拟接口。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建到 Direct Connect 网关的私有虚拟接口

将本地扩展区子网连接到中转网关

您无法为本地区域中的子网创建中转网关连接。下图显示了如何配置网络,以便本地区域中的子网通过父可用区连接到中转网关。在本地区域中创建子网,并在父可用区中创建子网。将父可用区域中的子网连接到中转网关,然后在路由表中为每个 VPC 创建一个路由,该路由将用于其他 VPC CIDR 的流量路由到中转网关连接的网络接口。

注意

从中转网关发往本地区域中子网的流量将首先遍历父区域。

本地扩展区到中转网关

为此场景创建以下资源:

  • 每个父可用区中的子网。有关更多信息,请参阅 创建子网

  • 中转网关。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建中转网关

  • 使用父可用区的每个 VPC 的中转网关连接。有关更多信息,请参阅《Amazon VPC Transit Gateway》中的 Create a transit gateway attachment to a VPC

  • 与中转网关连接关联的中转网关路由表。有关更多信息,请参阅 Amazon VPC Transit Gateway中的中转网关路由表

  • 对于每个 VPC,在本地区域子网的子网路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关连接的网络接口 ID 作为目标。要查找中转网关连接的网络接口,请在网络接口的说明中搜索中转网关连接的 ID。有关更多信息,请参阅 中转网关的路由

以下是 VPC 1 的示例路由表。

目标位置 目标

VPC 1 CIDR

本地

VPC 2 CIDR

vpc1-attachment-network-interface-id

以下是 VPC 2 的示例路由表。

目标位置 目标

VPC 2 CIDR

本地

VPC 1 CIDR

vpc2-attachment-network-interface-id

以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。

CIDR 附件 路由类型

VPC 1 CIDR

VPC 1 的挂载

传播

VPC 2 CIDR

VPC 2 的挂载

传播