Direct Connect Gateway 是什么,能做什么
您可以使用新的 Direct Connect Gateway 功能建立跨越多个 AWS 区域的虚拟私有云(VPC)的连接。 您不再需要为每个 VPC 建立多个 BGP 会话 ; 这可以减少您的管理工作量以及网络设备的负载。
此功能还允许您从任何直接连接位置连接到任何绑定的 VPC,从而进一步降低跨区域使用 AWS 服务的成本。
为了使您可以有更直观的区别体验,我们可以通过下面的对比图来更好的体会一下
在没有 DX Gateway 之前:
需要互联 VPC 的话,每个 VIF 需要和对应 VPC 的 VGW 绑定。也就是说,有多少希望互联的 VPC,就需要维护多少 VIF 到 VGW 的链路。并且如果需要互联的 VPC 是跨 region 的,那么就需要多条 AWS DX 链路。这就意味着更多的 DX 代理商,更多的沟通时间,更多的维护成本。
下图标注出了,有两个不同的 region 资源 (us-west-1 和 us-east-1) 的客户 Account-0 希望通过 DX 来给其下面的子账号 Account-1 和 Account-2 分别分配 DX VIF,使其可以更快的访问放在 us-west-1 和 us-east-1 的 VPC 资源。这就需要用户分别在这两个 region 找 DX partner 开启 DX 服务,并且针对每个 VPC 创建一个 VIF 连接。
有 DX Gateway 之后:
每个 DX Gateway 都是跨所有公共 AWS 区域存在的全局对象。这就使得所有的 AWS 全球区域之间可以通过网关进行的所有通信,而这类全球通信是通过 AWS 网络骨干进行保障的。
和上述同样的需求,我们来看看有 DX Partner 的情况会怎么样。Account-0 账户只需要在最近的 region,比如 us-west-1 申请一个 DX 专线。再创建一个 AWS Global 全局的 DX Gateway。分别分配给 account-1 和 account-2 账户一个 VIF 连接 DX Gateway,再将希望访问的 VPC 直接和 DX Gateway 绑定就解决了。
总结一下 DX Gateway 的作用: 在只需要拉一条 DX 专线的情况下,可以通过 DX Gateway 和全球 region 的 VPC 进行互通。就是这么简单。下面就让我们来亲手搭建一个互通全球 region 的 DX Gateway,享受 AWS 给我们带来的网络便捷
使用 DX Gateway 实现不同 region 内的 VPC 互通
0. 网络架构图
通过创建 DX Gateway 并绑定至 VIF 来做到多个 region 的 VPC 互通的步骤如下:
- 创建 DX Gateway 并同步到所有 region
- 绑定 VIF 到 DX Gateway
- 配置本地路由器和 DX Gateway 形成 BGP 邻居
- 将其他 region 的 VPC 绑定的 VGW 和 DX Gateway 进行绑定,并打开路由汇聚
- 测试本地路由器和各个 region 的 VPC 中的 EC2 的连通性
1. 实际创建 DX Gateway
在日本 region 创建 DX Gateway
日本区域出现 DX Gateway
一段时间之后在其他 region,比如 Singapore 也会出现 DX Gateway。因为 DX Gateway 是一个全球的资源,所以当一个 Region 申请 DX Gateway 时,其他区域也会自动创建 DX Gateway
2. 绑定 Private VIF 到 DX Gateway
2.1 直接申请 1G/10G 的情况,从 DX connection 开始创建
因为 DX Connection 无法在测试时申请,所以我这里截屏的是 blog 上的链接图片: https://amazonaws-china.com/cn/blogs/aws/new-aws-direct-connect-gateway-inter-region-vpc-access/
创建 Private VIF,绑定到特定的 DX Gateway 上。
创建 Private VIF,可以选择绑定特定的 VGW 或者 DX Gateway。并且还是需要绑定 VLAN 和 BGP ASN
2.2 申请 sub 1G/10G 的情况,从 VIF 配置界面更改
最终用户点击接受上层用户给予的 VIF,并且选择绑定到 DX Gateway
绑定之后,查看 VIF 的状态,发现其 Amazon Side 的 ASN 号和 DX Gateway 的一致
VIF 信息:
DX Gateway 信息:
3. 配置本地路由器和 AWS 侧建立 BGP 邻居
按照 VIF 的 VLAN 和 IP 地址信息,配置本地路由器的接口。注意接口的 VLAN 号码需要和 VIF 接口的一致才能连接。 做完配置之后,先确定链路级别可以 ping 通。
在可以 ping 通对端 AWS 接口 IP 之后,配置 BGP,注意本地 AS 号是对应 VIF 的 BGP ASN,而 remote-as 号是对应 Amazon Side ASN。配置完毕之后,BGP 邻居就会 up
在本地路由器上查看 BGP 邻居信息,检查 BGP 邻居是否建立
4. 在各个 region 将希望互通的 VPC 对应的 VGW 绑定到 DX Gateway 上
本地 Region 的 DX Gateway 可以绑定本地的 VGW
各个 Region 只能添加自己 Region 下的 VGW
当状态转换为 associated 时,无论您的 VPC 驻留在哪个 AWS 区域,流量都可以通过 AWS Direct Connect 连接在您的本地网络和 VPC 之间流动。
在 DX Gateway 的总界面下,可以看见 Global 体系下所有加入这个 DX Gateway 的来自不同 region 的 VGW 信息
查看 BGP 路由表,发现 VPC 的路由已经传递到本地路由器,其中 172.16.0.0/16 来自 Tokyo,而 172.31.0.0/16 来自于 Singapore
打开 Tokyo 和 Singapore 路由表的路由汇聚,让本地数据中心路由可以从 VGW 灌入 VPC 本地路由表
查看 Tokyo 的路由表,有来自 VGW 的本地数据中心路由
查看 Singapore 的路由表,有来自 VGW 的本地数据中心路由
5. 测试本地数据中心到 Tokyo 和到 Singapore 的连通性
本地数据中心到 Tokyo
本地数据中心到 Singapore
至此可以看到,用户可以仅通过创建一个 private VIF 接口就可以同时访问东京和新加坡的 VPC 内的 EC2 主机。
绑定 Public VIF 到 DX Gateway
您现在可以创建公共虚拟接口 (Public VIF),通过该接口,您可以通过直接连接访问任何 AWS 区域(AWS 中国区域除外)中运行的 AWS 服务的公共服务终端 (Public Endpoint)。 这些接口通过 BGP 接收亚马逊的全球 IP 路由。 您可以在直接连接控制台中创建这些接口,如下图所示:
作者介绍
姚远,AWS 解决方案架构师,负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。现致力于网络和 DevOps 相关领域的研究。在加入 AWS 之前,在思科中国担任系统工程师,负责方案咨询和架构设计,在企业私有云和基础网络方面有丰富经验。
本文转载自 AWS 技术博客。
原文链接:
https://amazonaws-china.com/cn/blogs/china/dx-gateway-build-global-architecture/
评论