AWS Direct Connect 网关 – 跨区域 VPC 访问

阅读数:24 2019 年 11 月 7 日 08:00

AWS Direct Connect 网关 – 跨区域 VPC 访问

准备写这篇文章时,我回顾了一下 2012 年当我们推出 AWS Direct Connect 时我写过的博客文章。应企业客户的要求,我们创建了 Direct Connect 让他们建立到 AWS 区域的专用连接,以追求更高的私密性、更多数据传输带宽和更易预测的数据传输性能。从开始时的一个 AWS 区域、一个 colo,Direct Connect 现在遍布每个公有 AWS 区域,并且可从分散在全球各地的数十个 colo 进行访问 (上次统计超过 60 个位置)。我们的客户现已全心投入于 Direct Connect,我们也添加了一些功能,例如 链接聚合 Amazon EFS 支持 CloudWatch 监控 HIPAA 资格。仅在过去五周内,我们就已在休斯顿 (德克萨斯州)、温哥华 (加拿大)、曼彻斯特 (英国)、堪培拉 (澳大利亚) 和 珀斯 (澳大利亚) 增加了 Direct Connect 位置。

如今,我们通过增加 Direct Connect 网关让 Direct Connect 变得更简单但更强大。我们还在为所有区域中的 Direct Connect 客户提供创建公有虚拟接口的能力,公有虚拟接口可以接收我们的全局 IP 路由,并且可以访问我们的服务的公有终端节点和更新 Direct Connect 定价模型。

下面我们来了解一下上述每项功能。

新的 Direct Connect 网关
您可以用新的 Direct Connect 网关跨越分布在多个 AWS 区域的 Virtual Private Cloud (VPC) 建立连接,而不再需要为每个 VPC 建立多个 BGP 会话,从而减少了您的管理工作负担和网络设备负载。

使用此功能,您还可以从任意 Direct Connect 位置连接到参与连接的任何 VPC,进一步降低跨区域使用 AWS 服务所产生的成本。

下图显示了借助 Direct Connect 网关 (每个“锁”图标表示一个虚拟专用网关) 可以实现的简化。简化前:

AWS Direct Connect 网关 – 跨区域 VPC 访问

简化后:

AWS Direct Connect 网关 – 跨区域 VPC 访问

引用特定 Direct Connect 网关的 VPC 的 IP 地址范围一定不能重叠。现在,这些 VPC 必须全在同一 AWS 账户中;我们计划以后提高此要求的灵活性。

每个网关都是一个跨所有公有 AWS 区域存在的全局对象。区域间通过网关进行的所有通信都跨 AWS 骨干网进行。

创建 Direct Connect 网关
您可以通过以下方式创建 Direct Connect 网关:使用 Direct Connect 控制台或通过从代码中调用 CreateDirectConnectGateway 函数。我要使用控制台!

首先,我打开 Direct Connect 控制台并单击 Direct Connect Gateways

AWS Direct Connect 网关 – 跨区域 VPC 访问

列表是空的,因为现在还没有网关。我单击 Create Direct Connect Gateway 改变这一状况:

AWS Direct Connect 网关 – 跨区域 VPC 访问

为网关指定一个名称,输入我的网络的私有 ASN,然后单击 Create。ASN (自治系统编号) 必须位于在 RFC 6996 中定义为私有的某个范围内:

AWS Direct Connect 网关 – 跨区域 VPC 访问

我的新网关稍后会显示在其他 AWS 区域中:

AWS Direct Connect 网关 – 跨区域 VPC 访问

我在俄亥俄州有一个 Direct Connect 连接,我将用它来创建 VIF:

AWS Direct Connect 网关 – 跨区域 VPC 访问

现在我创建一个私有 VIF,它引用该网关和连接:

AWS Direct Connect 网关 – 跨区域 VPC 访问

几秒后就可以用了:

AWS Direct Connect 网关 – 跨区域 VPC 访问

我已经有了一对 CIDR 不重叠的 VPC,每个还挂载了一个虚拟专用网关。这些是 VPC (为方便演示,我会将它们显示在同一区域中):

AWS Direct Connect 网关 – 跨区域 VPC 访问

下面是虚拟专用网关:

AWS Direct Connect 网关 – 跨区域 VPC 访问

我返回 Direct Connect 控制台并导航到 Direct Connect Gateways。选择我的网关,然后从 Actions 菜单中选择 Associate Virtual Private Gateway

AWS Direct Connect 网关 – 跨区域 VPC 访问

然后选择我的两个虚拟专用网关并单击 Associate

AWS Direct Connect 网关 – 跨区域 VPC 访问

如果我的 VPC 在不同的 AWS 区域中 (通常如此),同样的过程适用。在本篇文章中,向您演示一次操作就够了。

虚拟网关关联大约在一分钟左右完成 (状态开始为 associating):

AWS Direct Connect 网关 – 跨区域 VPC 访问

当状态变为 associated 时,您的本地网络和 VPC 之间就可以通过 AWS Direct Connect 连接通信了,无论 VPC 在哪个 AWS 区域。

用于服务终端节点的公有虚拟接口
现在您可以创建公有虚拟接口,这些接口允许您通过 Direct Connect 访问在任意 AWS 区域 (AWS 中国区域除外) 运行的 AWS 服务的 AWS 公有服务终端节点。这些接口 (通过 BGP) 接收 Amazon 的全局 IP 路由。您可以在 Direct Connect 控制台中创建这些接口,第一步是选择 Public 选项:

AWS Direct Connect 网关 – 跨区域 VPC 访问

更新定价模型
鉴于 AWS 区域和 AWS Direct Connect 位置的不断增加,数据传输现在基于 Direct Connect 和源 AWS 区域的位置进行定价。与基于 AWS Direct Connect 位置的旧模型相比,新定价模型更为简单。

现在提供
这一新功能现已推出,您可以立即开始使用。您可以免费创建和使用 Direct Connect 网关;只需根据端口小时和数据传输支付日常 Direct Connect 价格

本文转载自 AWS 技术博客。

原文链接:
https://amazonaws-china.com/cn/blogs/china/new-aws-direct-connect-gateway-inter-region-vpc-access/

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布