AWS Outposts Konnektivität zu AWS Regionen

AWS Outposts unterstützt Wide Area Network-Konnektivität (WAN) über die Service Link-Verbindung.

Konnektivität über Service Links

Der Service-Link ist eine notwendige Verbindung zwischen Ihren Outposts und der von Ihnen ausgewählten AWS Region (oder Heimatregion) und ermöglicht die Verwaltung der Outposts und den Austausch von Verkehr zu und von der AWS Region. Der Service Link nutzt einen verschlüsselten Satz von VPN Verbindungen, um mit der Heimatregion zu kommunizieren.

Um die Service Link-Konnektivität einzurichten, müssen Sie oder AWS müssen während der Outpost-Bereitstellung die physische, virtuelle LAN (VLAN) und Netzwerkebenenkonnektivität des Service Links mit Ihren lokalen Netzwerkgeräten konfigurieren. Weitere Informationen finden Sie unter Lokale Netzwerkkonnektivität für Racks und Standortanforderungen für das Outposts-Rack.

Für die Wide Area Network (WAN) -Konnektivität zur AWS Region AWS Outposts können Service VPN Link-Verbindungen über die öffentliche Konnektivität der AWS Region hergestellt werden. Dies setzt voraus, dass die Outposts Zugriff auf die öffentlichen IP-Bereiche der Region haben, was über das öffentliche Internet oder AWS Direct Connect öffentliche virtuelle Schnittstellen erfolgen kann. Die aktuellen IP-Adressbereiche finden Sie unter AWSIP-Adressbereiche im VPCAmazon-Benutzerhandbuch. Diese Konnektivität kann durch die Konfiguration spezifischer oder standardmäßiger (0.0.0.0/0) Routen im Service Link-Pfad der Netzwerkschicht aktiviert werden. Weitere Informationen finden Sie unter Service BGP Link-Konnektivität und Service Link-Infrastruktur, Subnetzankündigung und IP-Bereich.

Alternativ können Sie die private Verbindungsoption für Ihren Outpost auswählen. Weitere Informationen finden Sie unter Private Service Link-Konnektivität mithilfe von VPC.

Nachdem die Service Link-Verbindung hergestellt wurde, ist Ihr Outpost betriebsbereit und wird von AWS verwaltet. Der Service-Link wird für den folgenden Datenverkehr verwendet:

• VPCKundenverkehr zwischen dem Outpost und allen verbundenen Unternehmen. VPCs

• Outposts-Verwaltungsverkehr, wie Ressourcenverwaltung, Ressourcenüberwachung und Firmware- und Software-Updates.

Maximale Anforderungen an die Übertragungseinheit (MTU) für die Service-Verbindung

Die maximale Übertragungseinheit (MTU) einer Netzwerkverbindung entspricht der Größe des größten zulässigen Pakets, das über die Verbindung übertragen werden kann, in Byte. Das Netzwerk muss 1500 Byte MTU zwischen dem Outpost und den Service Link-Endpunkten in der übergeordneten Region unterstützen. AWS Informationen zu den Anforderungen MTU zwischen einer Instance im Outpost und einer Instance in der AWS Region über den Service-Link finden Sie unter Network maximum transmission unit (MTU) für Ihre EC2 Amazon-Instance im EC2Amazon-Benutzerhandbuch.

Empfehlungen für die Bandbreite von Service Links

Für eine optimale Benutzererfahrung und Ausfallsicherheit AWS müssen Sie redundante Konnektivität mit mindestens 500 Mbit/s (1 Gbit/s ist besser) und eine maximale Roundtrip-Latenz von 175 ms für die Service Link-Verbindung zur Region verwenden. AWS Sie können für den Service Link eine Internetverbindung verwenden AWS Direct Connect . Die Mindestanforderungen von 500 Mbit/s und die maximale Roundtrip-Zeit für die Service Link-Verbindung ermöglichen es Ihnen, EC2 Amazon-Instances zu starten, EBS Amazon-Volumes anzuhängen und auf AWS Services wie Amazon EKSEMR, Amazon und CloudWatch Metriken mit optimaler Leistung zuzugreifen.

Die Bandbreitenanforderungen für Outposts variieren aufgrund der folgenden Merkmale:

• Anzahl der AWS Outposts Racks und Kapazitätskonfigurationen

• Workload-Merkmale wie AMI Größe, Anwendungselastizität, Burst-Geschwindigkeitsanforderungen und VPC Amazon-Traffic in die Region

Wenden Sie sich an Ihren AWS Vertriebsmitarbeiter oder APN Partner, um eine individuelle Empfehlung zur für Ihre Anforderungen erforderlichen Service-Link-Bandbreite zu erhalten.

Firewalls und der Service Link

In diesem Abschnitt werden Firewallkonfigurationen und die Service-Link-Verbindung beschrieben.

In der folgenden Abbildung erweitert die Konfiguration den Amazon VPC von der AWS Region bis zum Außenposten. Eine AWS Direct Connect öffentliche virtuelle Schnittstelle ist die Service Link-Verbindung. Der folgende Datenverkehr wird über den Service Link und die AWS Direct Connect -Verbindung abgewickelt:

• Verwaltung des Datenverkehrs zum Outpost über den Service Link

• Verkehr zwischen dem Außenposten und allen damit verbundenen VPCs

Wenn Sie mit Ihrer Internetverbindung eine Stateful-Firewall verwenden, um die Konnektivität vom öffentlichen Internet zum Service Link einzuschränkenVLAN, können Sie alle eingehenden Verbindungen blockieren, die über das Internet initiiert werden. Das liegt daran, dass die Dienstverbindung nur vom Außenposten zur Region VPN initiiert wird, nicht von der Region zum Außenposten.

Wenn Sie eine Firewall verwenden, um die Konnektivität über den Service Link einzuschränkenVLAN, können Sie alle eingehenden Verbindungen blockieren. Sie müssen ausgehende Verbindungen von der AWS Region zurück zum Outpost gemäß der folgenden Tabelle zulassen. Wenn die Firewall zustandsorientiert ist, sollten ausgehende Verbindungen vom Outpost, die erlaubt sind, d. h. vom Outpost initiiert wurden, wieder zugelassen werden.

Protokoll	Quell-Port	Quelladresse	Ziel-Port	Zieladresse
UDP	443	AWS Outposts Service-Link /26	443	AWS Outposts Öffentliche Routen der Region
TCP	1025-65535	AWS Outposts Servicelink /26	443	AWS Outposts Öffentliche Routen der Region

Anmerkung

Instances in einem Outpost können den Service Link nicht verwenden, um mit Instances in anderen Outposts zu kommunizieren. Nutzen Sie das Routing über das lokale Gateway oder die lokale Netzwerkschnittstelle, um zwischen Outposts zu kommunizieren.

AWS Outposts Die Racks sind außerdem mit redundanter Stromversorgung und Netzwerkausrüstung ausgestattet, einschließlich lokaler Gateway-Komponenten. Weitere Informationen finden Sie unter Resilienz in AWS Outposts.

Private Service Link-Konnektivität mit VPC

Sie können die Option für private Konnektivität in der Konsole auswählen, wenn Sie Ihren Outpost erstellen. Wenn Sie dies tun, wird nach der Installation des Outpost eine Service VPN Link-Verbindung über ein von Ihnen VPC festgelegtes UND-Subnetz hergestellt. Dies ermöglicht private Konnektivität über das VPC und minimiert die Gefährdung durch das öffentliche Internet.

Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, bevor Sie die private Konnektivität für Ihren Outpost konfigurieren können:

• Sie müssen Berechtigungen für eine IAM Entität (Benutzer oder Rolle) konfigurieren, damit der Benutzer oder die Rolle die dienstbezogene Rolle für private Konnektivität erstellen kann. Die IAM Entität benötigt die Erlaubnis, auf die folgenden Aktionen zuzugreifen:

  • iam:CreateServiceLinkedRole auf arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

  • iam:PutRolePolicy auf arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

  • ec2:DescribeVpcs

  • ec2:DescribeSubnets

  Weitere Informationen erhalten Sie unter Identitäts- und Zugriffsmanagement () für IAM AWS Outposts und Verwenden von serviceverknüpften Rollen für AWS Outposts.

• Erstellen Sie im selben AWS Konto und in derselben Availability Zone wie Ihr Outpost eine VPC private Konnektivität mit einem Subnetz /25 oder höher, das nicht mit 10.1.0.0/16 in Konflikt steht. Beispiel: Sie könnten 10.2.0.0/16 verwenden.

• Erstellen Sie eine AWS Direct Connect Verbindung, eine private virtuelle Schnittstelle und ein virtuelles privates Gateway, damit Ihr lokaler Outpost auf die zugreifen kann. VPC Wenn die AWS Direct Connect Verbindung über ein anderes AWS Konto als Ihr Konto erfolgtVPC, finden Sie weitere Informationen unter Kontenübergreifendes Zuordnen eines virtuellen privaten Gateways im AWS Direct Connect Benutzerhandbuch.

• Machen Sie das Subnetz CIDR in Ihrem lokalen Netzwerk bekannt. Sie können es verwenden AWS Direct Connect , um dies zu tun. Weitere Informationen finden Sie unter AWS Direct Connect Virtuelle Schnittstellen und Arbeiten mit AWS Direct Connect -Gateways im AWS Direct Connect -Benutzerhandbuch.

Sie können die Option für private Konnektivität auswählen, wenn Sie Ihren Outpost in der AWS Outposts -Konsole erstellen. Detaillierte Anweisungen finden Sie unter Erstellen eines Outpost und Bestellung von Outpost-Kapazitäten.

Anmerkung

Um die private Verbindungsoption auszuwählen, wenn sich Ihr Outposts im PENDINGStatus befindet, wählen Sie in der Konsole Außenposten und dann Ihren Außenposten aus. Wählen Sie Aktionen, Private Konnektivität hinzufügen und folgen Sie den Schritten.

Nachdem Sie die private Verbindungsoption für Ihren Outpost ausgewählt haben, AWS Outposts wird automatisch eine dienstbezogene Rolle in Ihrem Konto erstellt, sodass der Outpost die folgenden Aufgaben in Ihrem Namen ausführen kann:

• Erstellt Netzwerkschnittstellen in dem von Ihnen angegebenen Subnetz und VPC erstellt eine Sicherheitsgruppe für die Netzwerkschnittstellen.

• Erteilt dem AWS Outposts Dienst die Berechtigung, die Netzwerkschnittstellen an eine Service Link-Endpunktinstanz im Konto anzuhängen.

• Hängt die Netzwerkschnittstellen vom Konto aus an die Service Link-Endpunkt-Instances an.

Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Outposts.

Wichtig

Nachdem Ihr Outpost installiert ist, bestätigen Sie von Ihrem Outpost aus die Konnektivität mit dem privaten Bereich IPs in Ihrem Subnetz.

Redundante Internetverbindungen

Wenn Sie die Konnektivität zwischen Ihrem Outpost und der AWS Region aufbauen, empfehlen wir Ihnen, mehrere Verbindungen einzurichten, um die Verfügbarkeit und Stabilität zu erhöhen. Weitere Informationen finden Sie unter AWS Direct Connect -Resiliency-Empfehlungen.

Wenn Sie Konnektivität zum öffentlichen Internet benötigen, können Sie redundante Internetverbindungen und verschiedene Internetanbieter verwenden, genau wie bei Ihren vorhandenen On-Premises-Workloads.