Was ist AWS Site-to-Site VPN? - AWS Site-to-Site VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Site-to-Site VPN?

Standardmäßig können Instances, die Sie in einer Amazon VPC starten, nicht mit Ihrem eigenen (entfernten) Netzwerk kommunizieren. Sie können den Zugriff auf Ihr entferntes Netzwerk von Ihrer VPC aus ermöglichen, indem Sie eine AWS Site-to-Site VPN -Verbindung (Site-to-Site-VPN-Verbindung) herstellen und das Routing so konfigurieren, dass der Datenverkehr über die Verbindung geleitet wird.

Auch wenn es sich bei dem Begriff VPN-Verbindung um eine allgemeine Bezeichnung handelt, bezieht er sich in dieser Dokumentation auf die Verbindung zwischen Ihrer VPC und Ihrem On-Premise-Netzwerk. Site-to-Site-VPN unterstützt IPsec-VPN-Verbindungen.

Konzepte

Im Folgenden sind die wichtigsten Konzepte für Site-to-Site-VPN aufgeführt:

  • VPN-Verbindung: Eine sichere Verbindung zwischen Ihren On-Premise-Geräten und Ihren VPCs.

  • VPN-Tunnel: Eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder von AWS gelangen können.

    Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie für eine hohe Verfügbarkeit gleichzeitig verwenden können.

  • Kunden-Gateway: Eine AWS Ressource, die AWS Informationen zu Ihrem Kunden-Gateway-Gerät bereitstellt.

  • Ein Kunden-Gateway-Gerät ist ein physisches Gerät oder eine Software-Anwendung auf Ihrer Seite der Site-to-Site-VPN-Verbindung.

  • Ziel-Gateway: Ein Oberbegriff für den VPN-Endpunkt auf der Amazon-Seite der Site-to-Site-VPN-Verbindung.

  • Virtual Private Gateway: Ein Virtual Private Gateway ist der VPN-Endpunkt auf der Amazon-Seite Ihrer Site-to-Site-VPN-Verbindung, der an eine einzelne VPC angefügt werden kann.

  • Transit-Gateway: Ein Transit-Hub, mit dem Sie mehrere VPCs und On-Premise-Netzwerke miteinander verbinden können und das Sie als VPN-Endpunkt für die Amazon-Seite der Site-to-Site-VPN-Verbindung verwenden können.

Site-to-Site-VPN-Funktionen

Die folgenden Funktionen werden bei AWS Site-to-Site VPN Verbindungen unterstützt:

  • Internet Key Exchange (IKEv2) Version 2

  • NAT-Traversierung

  • Konfiguration der 4-Byte-ASN im Bereich von 1 bis 2147483647 für Virtual Private Gateway (VGW). Weitere Informationen finden Sie unter Optionen für das Kunden-Gateway für Ihre Site-to-Site-VPN-Verbindung.

  • 2-Byte-ASN für Customer Gateway (CGW) im Bereich von 1 bis 65535. Weitere Informationen finden Sie unter Optionen für das Kunden-Gateway für Ihre Site-to-Site-VPN-Verbindung.

  • CloudWatch Metriken

  • Wiederverwendbare IP-Adressen für Ihre Kunden-Gateways

  • Zusätzliche Verschlüsselungsoptionen; einschließlich AES 256-Bit-Verschlüsselung, SHA-2-Hash-Funktionen und zusätzliche Diffie-Hellman-Gruppen

  • Konfigurierbare Tunnel-Optionen

  • Benutzerdefinierte private ASN für die Amazon-Seite einer BGP-Sitzung

  • Privates Zertifikat von einer untergeordneten Zertifizierungsstelle von AWS Private Certificate Authority

  • Unterstützung für IPv6-Datenverkehr für VPN-Verbindungen auf einem Transit-Gateway

Einschränkungen bei Site-to-Site-VPN

Eine Site-to-Site-VPN-Verbindung hat die folgenden Einschränkungen.

  • IPv6-Datenverkehr wird für VPN-Verbindungen bei einem Virtual Private Gateway nicht unterstützt.

  • Eine AWS VPN Verbindung unterstützt Path MTU Discovery nicht.

Berücksichtigen Sie außerdem Folgendes, wenn Sie Site-to-Site-VPN verwenden:

  • Wenn Sie Ihre VPCs mit einem gemeinsamen Vor-Ort-Netzwerk verbinden, empfehlen wir, dass Sie nicht überlappende CIDR-Blöcke für Ihre Netzwerke verwenden.

Arbeiten mit Site-to-Site-VPN

Sie können Ihre Site-to-Site-VPN-Ressourcen über die folgenden Schnittstellen erstellen und zur Verwaltung darauf zugreifen:

  • AWS Management Console – Bietet ein Webinterface, mit dem Sie auf Ihre Site-to-Site-VPN-Ressourcen zugreifen können.

  • AWS Command Line Interface (AWS CLI) — Stellt Befehle für eine Vielzahl von AWS Diensten bereit, darunter Amazon VPC, und wird unter Windows, macOS und Linux unterstützt. Weitere Informationen finden Sie unter AWS Command Line Interface.

  • AWS SDKs — Stellen sprachspezifische APIs bereit und kümmern sich um viele Verbindungsdetails, wie z. B. die Berechnung von Signaturen, die Bearbeitung von Wiederholungsversuchen von Anfragen und die Fehlerbehandlung. Weitere Informationen finden Sie unter AWS -SDKs.

  • Abfrage-API – Bietet API-Aktionen auf niedriger Ebene, die Sie mithilfe von HTTPS-Anforderungen aufrufen. Die Verwendung der Abfrage-API ist die direkteste Möglichkeit für den Zugriff auf die Amazon VPC. Allerdings müssen dann viele technische Abläufe, wie beispielsweise das Erzeugen des Hashwerts zum Signieren der Anforderung und die Fehlerbehandlung in der Anwendung durchgeführt werden. Weitere Informationen finden Sie in der Amazon EC2 API-Referenz.

Preisgestaltung

Sie werden für jede VPN-Verbindungsstunde berechnet, in der Ihre VPN-Verbindung bereitgestellt und verfügbar ist. Weitere Informationen finden Sie unter AWS Site-to-Site VPN und Beschleunigte Site-to-Site-VPN-Verbindungen – Preise.

Die Datenübertragung von Amazon EC2 ins Internet wird Ihnen in Rechnung gestellt. Weitere Informationen finden Sie im Abschnitt Datenübertragung (Data Transfer) auf der Seite Amazon EC2 On-Demand-Preise.

Wenn Sie eine beschleunigte VPN-Verbindung erstellen, erstellen und verwalten wir zwei Beschleuniger in Ihrem Namen. Ihnen werden ein Stundensatz und Datenübertragungskosten für jeden Beschleuniger in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Global Accelerator Preise.