Amazon Local Zones 中的子网
Amazon Local Zones 允许您在靠近用户的位置放置资源,并且使用熟悉的 API 和工具集无缝连接到 Amazon 区域中的各种服务。当您在本地区域中创建子网时,您也会将 VPC 扩展到该本地区域。
要使用 Local Zone,您需要遵循以下流程:
-
选择加入 Local Zone。
-
在本地扩展区中创建子网。
-
在 Local Zone 子网中启动资源,以确保您的应用程序靠近用户。
下图演示的 VPC 位于美国西部(俄勒冈州)(us-west-2
) 区域,横跨多个可用区和一个 Local Zone。

创建 VPC 时,您可以选择为 VPC 分配一组由 Amazon 提供的公有 IP 地址。您还可以为这些地址设置网络边界组,以将地址限制到该组。设置网络边界组时,IP 地址不能在网络边界组间移动。本地区域网络流量将直接进入互联网或接入网点 (PoP),无需遍历本地区域的父区域,从而能够访问低延迟计算。对于 Local Zones 及其相应父区域的完整列表,请参阅 Amazon Local Zones 用户指南中的可用的 Local Zones。
以下规则适用于本地区域:
-
本地区域子网遵循与可用区子网相同的路由规则,包括路由表、安全组和网络 ACL。
-
出站互联网流量从本地区域内部离开。
-
您必须预配置公有 IP 地址以便在本地区域中使用。分配地址时,您可以指定通告其中 IP 地址的位置。我们将其称为网络边界组,您可以设置此参数,将地址限制到此位置。预置 IP 地址后,您无法在本地区域与父区域之间移动这些地址(例如,从
us-west-2-lax-1a
到us-west-2
)。 -
如果 Local Zone 支持 IPv6,您可以请求 Amazon 提供的 IPv6 IP 地址,并将其与新 VPC 或现有 VPC 的网络边界组关联。有关支持 IPv6 的 Local Zones 列表,请参阅 Amazon Local Zones 用户指南中的注意事项
-
您无法在 Local Zone 子网内创建 VPC 端点。
有关使用 Local Zones 的更多信息,请参阅 Amazon Local Zones 用户指南。
互联网网关的注意事项
在本地区域中使用(父区域中的)互联网网关时,请考虑以下信息:
-
您可以在本地区域中使用具有弹性 IP 地址或 Amazon 自动分配的公有 IP 地址的互联网网关。您关联的弹性 IP 地址必须包括本地区域的网络边界组。有关更多信息,请参阅 将弹性 IP 地址关联到 VPC 中的资源。
您不能关联为该区域设置的弹性 IP 地址。
-
本地区域中使用的弹性 IP 地址与区域中的弹性 IP 地址在配额上相同。有关更多信息,请参阅 弹性 IP 地址。
-
您可以在与本地区域资源关联的路由表中使用互联网网关。有关更多信息,请参阅 路由到互联网网关。
使用 Direct Connect 网关访问本地区域
考虑一下您希望本地数据中心访问本地扩展区中的资源的情况。您可以将虚拟私有网关用于与本地区域关联的 VPC,以连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Amazon Direct Connect 站点。本地部署数据中心拥有与该 Amazon Direct Connect 位置的 Amazon Direct Connect 连接。
注意
在美国境内,使用 Direct Connect 发往本地区域子网的流量不会通过本地区域的父区域。相反,流量会采用最短路径到达本地区域。这可以减少延迟,并有助于提高应用程序的响应速度。
对于此配置,可以配置以下资源:
-
与本地扩展区子网关联的 VPC 的虚拟私有网关。您可以在 Amazon Virtual Private Cloud Console 中的子网详细信息页面上查看子网的 VPC,也可以使用 describe-subnets
命令。 有关如何创建虚拟私有网关的信息,请参阅《Amazon Site-to-Site VPN 用户指南》中的创建目标网关。
-
Direct Connect 连接。为了获得最佳延迟性能,Amazon 建议您使用要将子网扩展到的最靠近本地区域的 Direct Connect 站点。
有关如何订购连接的信息,请参阅《Amazon Direct Connect 用户指南》中的交叉连接。
-
一个 Direct Connect 网关。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建 Direct Connect 网关。
-
将 VPC 连接到 Direct Connect 网关的虚拟私有网关关联。有关如何创建虚拟私有网关关联的信息,请参阅《Amazon Direct Connect 用户指南》中的关联和取消关联虚拟私有网关。
-
从 Amazon Direct Connect 站点到本地部署数据中心的连接上的私有虚拟接口。有关如何创建 Direct Connect 网关的信息,请参阅《Amazon Direct Connect 用户指南》中的创建到 Direct Connect 网关的私有虚拟接口。
将本地扩展区子网连接到中转网关
您无法为本地区域中的子网创建中转网关连接。下图显示了如何配置网络,以便本地区域中的子网通过父可用区连接到中转网关。在本地区域中创建子网,并在父可用区中创建子网。将父可用区域中的子网连接到中转网关,然后在路由表中为每个 VPC 创建一个路由,该路由将用于其他 VPC CIDR 的流量路由到中转网关连接的网络接口。
注意
从中转网关发往本地区域中子网的流量将首先遍历父区域。

为此场景创建以下资源:
-
每个父可用区中的子网。有关更多信息,请参阅 创建子网。
-
中转网关。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建中转网关。
-
使用父可用区的每个 VPC 的中转网关连接。有关更多信息,请参阅《Amazon VPC Transit Gateway》中的 Create a transit gateway attachment to a VPC。
-
与中转网关连接关联的中转网关路由表。有关更多信息,请参阅 Amazon VPC Transit Gateway中的中转网关路由表。
-
对于每个 VPC,在本地区域子网的子网路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关连接的网络接口 ID 作为目标。要查找中转网关连接的网络接口,请在网络接口的说明中搜索中转网关连接的 ID。有关更多信息,请参阅 中转网关的路由。
以下是 VPC 1 的示例路由表。
目标位置 | 目标 |
---|---|
|
|
|
|
以下是 VPC 2 的示例路由表。
目标位置 | 目标 |
---|---|
|
|
|
vpc2-attachment-network-interface-id |
以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。
CIDR | 附件 | 路由类型 |
---|---|---|
|
|
传播 |
|
|
传播 |