本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 Direct Connect 以获得最大的弹性 Amazon Direct Connect 弹性工具包
<a name="max-resiliency-set-up"></a>

在本示例中， Amazon Direct Connect 弹性工具包用于配置最大弹性模型

**Topics**
+ [第 1 步：注册 Amazon](#max-resiliency-signup)
+ [步骤 2：配置弹性模型](#max-resiliency-select-model)
+ [步骤 3：创建您的虚拟接口](#max-resiliency-createvirtualinterface)
+ [步骤 4：验证您的虚拟接口弹性配置](#max-resiliency-failover)
+ [步骤 5：验证您的虚拟接口连接](#max-resiliency-connected)

## 第 1 步：注册 Amazon
<a name="max-resiliency-signup"></a>

要使用 Amazon Direct Connect，如果您还没有 Amazon 帐户，则需要一个帐户。

### 注册获取 Amazon Web Services 账户
<a name="sign-up-for-aws"></a>

如果您没有 Amazon Web Services 账户，请完成以下步骤来创建一个。

**要注册 Amazon Web Services 账户**

1. 打开 [https://portal.aws.amazon.com/billing/signup](https://portal.amazonaws.cn/billing/signup)。

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 Amazon Web Services 账户，就会创建*Amazon Web Services 账户根用户*一个。根用户有权访问该账户中的所有 Amazon Web Services 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

Amazon 注册过程完成后会向您发送一封确认电子邮件。在任何时候，您都可以通过转至 [https://aws.amazon.com/](https://www.amazonaws.cn/) 并选择 **My Account (我的账户)** 来查看当前的账户活动并管理您的账户。

### 保护 IAM 用户
<a name="secure-an-admin"></a>

注册后 Amazon Web Services 账户，开启多重身份验证 (MFA)，保护您的管理用户。有关说明，请参阅《IAM 用户指南》**中的 [为 IAM 用户启用虚拟 MFA 设备（控制台）](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-iam-user)。

要允许其他用户访问您的 Amazon Web Services 账户 资源，请创建 IAM 用户。为了保护您的 IAM 用户，请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息，请参阅《IAM 用户指南》中的以下主题：**
+ [在你的 IAM 用户中创建 Amazon Web Services 账户](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_create.html)
+ [适用于 Amazon 资源的访问权限管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)
+ [基于 IAM 身份的策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_examples.html)

## 步骤 2：配置弹性模型
<a name="max-resiliency-select-model"></a>

**配置最大弹性模型**

1. 打开 [https://console.aws.amazon.com/directconnect/v2/home](https://console.amazonaws.cn/directconnect/v2/home) 控制台，网址为 **Amazon Direct Connect**。

1. 在导航窗格中，选择**连接**，然后选择**创建连接**。

1. 在 **Connection ordering type (连接订购类型)** 下，选择 **Connection wizard (连接向导)**。

1. 在 **Resiliency level (弹性级别)** 下，选择 **Maximum Resiliency (最大弹性)**，然后选择 **Next (下一步)**。

1. 在 **Configure connections (配置连接)** 窗格上，在 **Connection settings (连接设置)** 下，执行以下操作：

   1. 对于 **Bandwidth (带宽)**，选择专用连接带宽。

      此带宽适用于所有已创建的连接。

   1. 对于**第一定位服务提供商**，请为专用连接选择适当 Amazon Direct Connect 的位置。

   1. 如果适用，对于 **First Sub location (第一子位置)**，选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

   1. 如果您为**第一位置服务提供商**选择了**其他**，则对于**其他提供商的名称**，请输入您使用的合作伙伴的名称。

   1. 对于**第二位置服务提供商**，请选择相应 Amazon Direct Connect 的地点。

   1. 如果适用，对于 **Second Sub location (第二子位置)**，选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

   1. 如果您为**第二位置服务提供商**选择了**其他**，则对于**其他提供商的名称**，请输入您使用的合作伙伴的名称。

   1. （可选）添加或删除标签。

      [添加标签] 选择 **Add tag**（添加标签），然后执行以下操作：
      + 对于 **Key**（键），输入键名称。
      + 对于**值**，输入键值。

      [删除标签] 在标签旁，选择**删除标签**。

1. 选择**下一步**。

1. 检查您的连接，然后选择 **Continue (继续)**。

   如果您的 LOA 已准备就绪，则可选择 **Download LOA (下载 LOA)**，然后单击 **Continue (继续)**。

   最多可能需要 72 个工作小时 Amazon 才能审核您的请求并为您的连接配置端口。在此期间，您可能会收到一封电子邮件，其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 Amazon。您必须在 7 日内回复，否则将删除该连接。

## 步骤 3：创建您的虚拟接口
<a name="max-resiliency-createvirtualinterface"></a>

您可以创建一个私有虚拟接口来连接到您的 VPC。或者，您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 Amazon 服务。在创建与 VPC 的私有虚拟接口时，您需要将连接到的每个 VPC 的私有虚拟接口。例如，您需要三个私有虚拟接口连接到三个 VPC。

在您开始之前，请确保您已拥有以下信息：


| 资源 | 所需信息 | 
| --- | --- | 
| Connection | 您要为其创建虚拟接口的 Amazon Direct Connect 连接或链路聚合组 (LAG)。 | 
| 虚拟接口名称 | 虚拟接口的名称。 | 
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面，则需要另一个 Amazon 账户的账户 ID。 | 
| （仅限私有虚拟接口）连接 | 要连接到同一 Amazon 区域的 VPC，您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时，您可以指定自己的私有 ASN。否则，Amazon 会提供默认 ASN。有关更多信息，请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.amazonaws.cn/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC，您需要 Direct Connect 网关。有关更多信息，请参阅 [Direct Connect 网关](https://docs.amazonaws.cn/directconnect/latest/UserGuide/direct-connect-gateways.html)。 | 
| VLAN | 您的连接上尚未使用的唯一虚拟局域网（VLAN）标签。该值必须介于 1 和 4094 之间，并且必须符合以太网 802.1Q 标准。任何经过 Amazon Direct Connect 连接的流量都必须有此标签。如果您有托管连接，则您的 Amazon Direct Connect 合作伙伴会提供此值。创建虚拟接口后，无法修改此值。 | 
| 对等 IP 地址 |  虚拟接口支持 IPv4、IPv6 或其中一个（双堆栈）的 BGP 对等会话。请勿使用 Amazon 池中的弹性 IP（EIP）或自带 IP 地址（BYOIP）来创建公有虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[See the AWS documentation website for more details](http://docs.amazonaws.cn/directconnect/latest/UserGuide/max-resiliency-set-up.html)  | 
| 地址系列 | BGP 对等会话是通过 IPv4 还是 IPv6 进行。 | 
| BGP 信息 | [See the AWS documentation website for more details](http://docs.amazonaws.cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) | 
| （仅限公有虚拟接口）您要公布的前缀 |  通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀，最多 1000 个前缀。[See the AWS documentation website for more details](http://docs.amazonaws.cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) | 
| （仅限私有和中转虚拟接口）巨型帧 | 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001（巨型帧）可能会导致更新底层物理连接（如果它之前未更新以支持巨型帧）。更新连接会中断与连接关联的所有虚拟接口的网络连接，最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Amazon Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由，则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧，请在 Amazon Direct Connect 控制台中将其选中，然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 | 

如果您的公有前缀或 ASN 属于某个 ISP 或网络运营商，我们会请求您提供其他信息。这可以是使用公司官方信头的文档，也可以是来自公司域名的电子邮件，确认 prefix/ASN 您可以使用该网络。

创建公共虚拟接口时，最多可能需要 72 个工作小时 Amazon 才能审核和批准您的请求。

**配置与非 VPC 服务间的公有虚拟接口**

1. 打开 [https://console.aws.amazon.com/directconnect/v2/home](https://console.amazonaws.cn/directconnect/v2/home) 控制台，网址为 **Amazon Direct Connect**。

1. 在导航窗格中，选择 **Virtual Interfaces**。

1. 选择 **Create virtual interface (创建虚拟接口)**。

1. 在 **Virtual interface type (虚拟接口类型)** 下，对于 **Type (类型)**，选择 **Public (公有)**。

1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下，执行以下操作：

   1. 对于 **Virtual interface name (虚拟接口名称)**，输入虚拟接口名称。

   1. 对于 **Connection (连接)**，选择要用于此接口的 Direct Connect 连接。

   1. 对于 **VLAN**，输入您的虚拟局域网 (VLAN) 的 ID 号。

   1. 对于 **BGP ASN**，输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

      有效值为 1 到 4294967294。这包括对 ASN (1-2147483647) 和长 ASN (1-4294967294) 的支持。有关 ASN 和长 ASN 的更多信息，请参阅 [长期支持 ASN Amazon Direct Connect](long-asn-support.md)。

1. 在 **Additional settings (其他设置)** 下，执行以下操作：

   1. 要配置 IPv4 BGP 或 IPv6 对等，请执行以下操作：

      [IPv4] 要配置 IPv4 BGP 对等，请选择 **IPv4**，然后执行下列操作之一：
      + 要自行指定这些 IP 地址，对于 **Your router peer IP (您的路由器对等 IP)**，输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。
      + 对于 **Amazon 路由器对等 IP**，输入用于将流量发送到 Amazon的 IPv4 CIDR 地址。

      [IPv6] 要配置 IPv6 BGP 对等，请选择 **IPv6**。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

   1. 要提供您自己的 BGP 密钥，请输入您的 BGP MD5 密钥。

      如果您不输入值，我们将生成一个 BGP 密钥。

   1. 要将前缀公布到 Amazon，对于 **Prefixes you want to advertise (您要公布的前缀)**，输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址（用逗号分隔）。

   1. （可选）添加或删除标签。

      [添加标签] 选择 **Add tag**（添加标签），然后执行以下操作：
      + 对于 **Key**（键），输入键名称。
      + 对于**值**，输入键值。

      [删除标签] 在标签旁，选择**删除标签**。

1. 选择 **Create virtual interface (创建虚拟接口)**。

**配置与 VPC 间的私有虚拟接口**

1. 打开 [https://console.aws.amazon.com/directconnect/v2/home](https://console.amazonaws.cn/directconnect/v2/home) 控制台，网址为 **Amazon Direct Connect**。

1. 在导航窗格中，选择 **Virtual Interfaces**。

1. 选择 **Create virtual interface (创建虚拟接口)**。

1. 在**虚拟接口类型**下，对于**类型**，选择**私有**。

1. 在**私有虚拟接口设置**下，执行以下操作：

   1. 对于 **Virtual interface name (虚拟接口名称)**，输入虚拟接口名称。

   1. 对于 **Connection (连接)**，选择要用于此接口的 Direct Connect 连接。

   1. 对于**网关类型**，选择**虚拟私有网关**或 **Direct Connect 网关**。

   1. 对于**虚拟接口所有者**，选择**其他 Amazon 帐户**，然后输入该 Amazon 帐户。

   1. 对于**虚拟私有网关**，选择要用于此接口的虚拟私有网关。

   1. 对于 **VLAN**，输入您的虚拟局域网 (VLAN) 的 ID 号。

   1. 对于 **BGP ASN**，输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。

      有效值为 1 到 4294967294。这包括对 ASN (1-2147483647) 和长 ASN (1-4294967294) 的支持。有关 ASN 和长 ASN 的更多信息，请参阅 [长期支持 ASN Amazon Direct Connect](long-asn-support.md)。

1. 在**附加设置**下，执行以下操作：

   1. 要配置 IPv4 BGP 或 IPv6 对等，请执行以下操作：

      [IPv4] 要配置 IPv4 BGP 对等，请选择 **IPv4**，然后执行下列操作之一：
      + 要自行指定这些 IP 地址，对于 **Your router peer IP (您的路由器对等 IP)**，输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。
      + 对于 **Amazon 路由器对等 IP**，输入用于将流量发送到 Amazon的 IPv4 CIDR 地址。
**重要**  
在配置 Amazon Direct Connect 虚拟接口时，您可以使用 RFC 1918 指定自己的 IP 地址，使用其他寻址方案，或者选择从 RFC 3927 169.254.0 Amazon 分配的分配的 IPv4 /29 CIDR 地址。 0/16 用于点对点连接的 IPv4 Link-Local 范围。这些点对点连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等连接。对于 VPC 流量或隧道传输目的，例如 Amazon Site-to-Site 私有 IP VPN 或 Transit Gateway Connect， Amazon 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址，而不是点对点连接。  
有关 RFC 1918 的更多信息，请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息，请参阅 [IPv4 地址 Link-Local的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)

      [IPv6] 要配置 IPv6 BGP 对等，请选择 **IPv6**。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

   1. 要将最大传输单元（MTU）从 1500（默认）更改为 9001（巨型帧），请选择**巨型帧 MTU（MTU 大小 9001）**。

   1. （可选）在 “**启**用” 下 SiteLink，选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。

   1. （可选）添加或删除标签。

      [添加标签] 选择 **Add tag**（添加标签），然后执行以下操作：
      + 对于 **Key**（键），输入键名称。
      + 对于**值**，输入键值。

      [删除标签] 在标签旁，选择**删除标签**。

1. 选择 **Create virtual interface (创建虚拟接口)**。

## 步骤 4：验证您的虚拟接口弹性配置
<a name="max-resiliency-failover"></a>

建立通往 Amazon 云或 Amazon VPC 的虚拟接口后，请执行虚拟接口故障转移测试，以验证您的配置是否符合您的弹性要求。有关更多信息，请参阅 [Amazon Direct Connect 故障转移测试](resiliency_failover.md)。

## 步骤 5：验证您的虚拟接口连接
<a name="max-resiliency-connected"></a>

建立与 Amazon 云或 Amazon VPC 的虚拟接口后，您可以使用以下步骤验证您的 Amazon Direct Connect 连接。

**验证您的虚拟接口与 Amazon 云**
+ 运行`traceroute`并验证标 Amazon Direct Connect 识符是否在网络跟踪中。

**要验证您的虚拟接口是否连接到 Amazon VPC**

1. 使用可执行 ping 操作的 AMI（比如 Amazon Linux AMI），在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在 Amazon EC2 控制台中使用实例启动向导时，**快速启动**选项卡中提供 Amazon Linux AMI。有关更多信息，请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则（用于检测请求）。

1. 当实例开始运行后，获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。

1. Ping 私有 IPv4 地址并获得响应。