AWS Outposts konektivitas ke AWS Wilayah - AWS Outposts
Konektivitas melalui tautan layananTautan layanan konektivitas pribadi menggunakan VPCKoneksi internet redundan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Outposts konektivitas ke AWS Wilayah

AWS Outposts mendukung konektivitas jaringan area luas (WAN) melalui koneksi tautan layanan.

Tautan layanan adalah koneksi yang diperlukan antara Outposts Anda dan AWS Wilayah pilihan Anda (atau Wilayah asal) dan memungkinkan pengelolaan Outposts dan pertukaran lalu lintas ke dan dari Wilayah. AWS Tautan layanan memanfaatkan serangkaian VPN koneksi terenkripsi untuk berkomunikasi dengan Wilayah asal.

Untuk mengatur konektivitas tautan layanan, Anda atau AWS harus mengonfigurasi konektivitas lapisan fisik, virtual LAN (VLAN), dan jaringan tautan layanan dengan perangkat jaringan lokal Anda selama penyediaan Outpost. Untuk informasi selengkapnya, lihat Konektivitas jaringan lokal untuk rak dan persyaratan Situs untuk rak Outposts.

Untuk konektivitas jaringan area luas (WAN) ke AWS Wilayah, AWS Outposts dapat membangun VPN koneksi link layanan melalui konektivitas publik AWS Region. Hal ini mengharuskan Outposts untuk memiliki akses ke rentang IP publik Wilayah, yang dapat melalui internet publik atau antarmuka virtual AWS Direct Connect publik. Untuk rentang alamat IP saat ini, lihat rentang alamat AWS IP di panduan VPC pengguna Amazon. Konektivitas ini dapat diaktifkan dengan mengonfigurasi rute spesifik atau default (0.0.0.0/0) di jalur lapisan jaringan tautan layanan. Untuk informasi selengkapnya, lihat BGPKonektivitas tautan layanan dan iklan subnet infrastruktur tautan layanan dan rentang IP.

Atau, Anda dapat memilih opsi konektivitas pribadi untuk Outpost Anda. Untuk informasi selengkapnya, lihat Konektivitas pribadi tautan layanan menggunakan VPC.

Setelah koneksi link layanan dibuat, Outpost Anda menjadi operasional dan dikelola oleh AWS. Tautan layanan digunakan untuk lalu lintas berikut:

  • VPCLalu lintas pelanggan antara Outpost dan yang terkaitVPCs.

  • Lalu lintas manajemen Outposts, seperti manajemen sumber daya, pemantauan sumber daya, dan pembaruan firmware dan perangkat lunak.

Persyaratan unit transmisi maksimum tautan layanan (MTU)

Unit transmisi maksimum (MTU) dari koneksi jaringan adalah ukuran, dalam byte, dari paket terbesar yang diizinkan yang dapat dilewatkan melalui koneksi. Jaringan harus mendukung 1500-byte MTU antara Outpost dan titik akhir tautan layanan di Wilayah induk. AWS Untuk informasi tentang persyaratan MTU antara instans di Pos Luar dan instans di AWS Wilayah melalui tautan layanan, lihat Unit transmisi maksimum jaringan (MTU) untuk EC2 instans Amazon Anda di Panduan EC2 Pengguna Amazon.

Rekomendasi bandwidth tautan layanan

Untuk pengalaman dan ketahanan yang optimal, AWS mengharuskan Anda menggunakan konektivitas redundan minimal 500 Mbps (1 Gbps lebih baik) dan latensi pulang-pergi maksimum 175 ms untuk koneksi tautan layanan ke Wilayah. AWS Anda dapat menggunakan AWS Direct Connect atau koneksi internet untuk tautan layanan. Persyaratan minimum 500 Mbps dan waktu pulang pergi maksimum untuk koneksi tautan layanan memungkinkan Anda meluncurkan EC2 instans Amazon, melampirkan EBS volume Amazon, dan mengakses AWS layanan, seperti Amazon, EKS AmazonEMR, dan CloudWatch metrik dengan kinerja optimal.

Persyaratan bandwidth tautan layanan Outposts Anda bervariasi tergantung pada karakteristik berikut:

  • Jumlah AWS Outposts rak dan konfigurasi kapasitas

  • Karakteristik beban kerja, seperti AMI ukuran, elastisitas aplikasi, kebutuhan kecepatan burst, dan VPC lalu lintas Amazon ke Wilayah

Untuk menerima rekomendasi khusus tentang bandwidth tautan layanan yang diperlukan untuk kebutuhan Anda, hubungi perwakilan AWS penjualan atau APN mitra Anda.

Firewall dan tautan layanan

Bagian ini membahas konfigurasi firewall dan koneksi link layanan.

Dalam diagram berikut, konfigurasi memperluas Amazon VPC dari AWS Wilayah ke Pos Luar. Antarmuka virtual AWS Direct Connect publik adalah koneksi tautan layanan. Lalu lintas berikut melewati tautan layanan dan AWS Direct Connect koneksi:

  • Manajemen lalu lintas ke Outpost melalui tautan layanan

  • Lalu lintas antara Outpost dan yang terkait VPCs

AWS Direct Connect koneksi ke AWS

Jika Anda menggunakan firewall stateful dengan koneksi internet Anda untuk membatasi konektivitas dari internet publik ke tautan layananVLAN, Anda dapat memblokir semua koneksi masuk yang dimulai dari internet. Hal ini karena link layanan VPN dimulai hanya dari Outpost ke Region, bukan dari Region ke Outpost.

Koneksi gateway internet ke AWS

Jika Anda menggunakan firewall untuk membatasi konektivitas dari tautan layananVLAN, Anda dapat memblokir semua koneksi masuk. Anda harus mengizinkan koneksi keluar kembali ke Pos Luar dari AWS Wilayah sesuai tabel berikut. Jika firewall stateful, koneksi keluar dari Outpost yang diizinkan, yang berarti bahwa mereka dimulai dari Outpost, harus diizinkan kembali masuk.

Protokol Port Sumber Alamat Sumber Pelabuhan Tujuan Alamat Tujuan

UDP

443

AWS Outposts tautan layanan /26

443

AWS Outposts Rute umum wilayah

TCP

1025-65535

AWS Outposts tautan layanan /26

443

AWS Outposts Rute umum wilayah
catatan

Instance di Outpost tidak dapat menggunakan tautan layanan untuk berkomunikasi dengan instans di Outposts lain. Manfaatkan routing melalui gateway lokal atau antarmuka jaringan lokal untuk berkomunikasi antara Outposts.

AWS Outposts Rak juga dirancang dengan daya redundan dan peralatan jaringan, termasuk komponen gateway lokal. Untuk informasi lebih lanjut, lihat Ketahanan di. AWS Outposts

Tautan layanan konektivitas pribadi menggunakan VPC

Anda dapat memilih opsi konektivitas pribadi di konsol saat membuat Outpost. Ketika Anda melakukannya, VPN koneksi link layanan dibuat setelah Outpost diinstal menggunakan subnet VPC dan yang Anda tentukan. Hal ini memungkinkan konektivitas pribadi melalui VPC dan meminimalkan eksposur internet publik.

Prasyarat

Prasyarat berikut diperlukan sebelum Anda dapat mengonfigurasi konektivitas pribadi untuk Outpost Anda:

  • Anda harus mengonfigurasi izin untuk IAM entitas (pengguna atau peran) untuk memungkinkan pengguna atau peran membuat peran terkait layanan untuk konektivitas pribadi. IAMEntitas memerlukan izin untuk mengakses tindakan berikut:

    • iam:CreateServiceLinkedRole pada arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy pada arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Untuk informasi selengkapnya, silakan lihat Manajemen identitas dan akses (IAM) untuk AWS Outposts dan Menggunakan peran terkait layanan untuk AWS Outposts.

  • Di AWS akun dan Availability Zone yang sama dengan Outpost Anda, buat VPC untuk tujuan tunggal konektivitas pribadi Outpost dengan subnet /25 atau lebih besar yang tidak bertentangan dengan 10.1.0.0/16. Misalnya, Anda mungkin menggunakan 10.2.0.0/16.

  • Buat AWS Direct Connect koneksi, antarmuka virtual pribadi, dan gateway pribadi virtual untuk memungkinkan Outpost lokal Anda mengakses. VPC Jika AWS Direct Connect koneksi berada di akun yang berbeda dari AWS akun AndaVPC, lihat Mengaitkan gateway pribadi virtual di seluruh akun di Panduan AWS Direct Connect Pengguna.

  • Iklankan subnet CIDR ke jaringan lokal Anda. Anda dapat menggunakannya AWS Direct Connect untuk melakukannya. Untuk informasi selengkapnya, lihat antarmuka AWS Direct Connect virtual dan Bekerja dengan AWS Direct Connect gateway di Panduan Pengguna.AWS Direct Connect

Anda dapat memilih opsi konektivitas pribadi saat membuat Outpost di AWS Outposts konsol. Untuk petunjuk, silakan lihat Buat Outpost dan pesan kapasitas Outpost.

catatan

Untuk memilih opsi konektivitas pribadi saat Outpost Anda dalam PENDINGstatus, pilih Outposts dari konsol dan pilih Outpost Anda. Pilih Tindakan, Tambahkan konektivitas pribadi dan ikuti langkah-langkahnya.

Setelah Anda memilih opsi konektivitas pribadi untuk Outpost Anda, AWS Outposts secara otomatis membuat peran terkait layanan di akun Anda yang memungkinkannya menyelesaikan tugas-tugas berikut atas nama Anda:

  • Membuat antarmuka jaringan di subnet dan VPC yang Anda tentukan, dan membuat grup keamanan untuk antarmuka jaringan.

  • Memberikan izin ke AWS Outposts layanan untuk melampirkan antarmuka jaringan ke instance titik akhir tautan layanan di akun.

  • Melampirkan antarmuka jaringan ke instance titik akhir tautan layanan dari akun.

Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Menggunakan peran terkait layanan untuk AWS Outposts.

penting

Setelah Outpost Anda diinstal, konfirmasikan konektivitas ke pribadi IPs di subnet Anda dari Outpost Anda.

Koneksi internet redundan

Saat Anda membangun konektivitas dari Pos Luar ke AWS Wilayah, kami sarankan Anda membuat beberapa koneksi untuk ketersediaan dan ketahanan yang lebih tinggi. Untuk informasi lebih lanjut, lihat Rekomendasi AWS Direct Connect Ketahanan.

Jika Anda memerlukan konektivitas ke internet publik, Anda dapat menggunakan koneksi internet yang berlebihan dan beragam penyedia internet, seperti yang Anda lakukan dengan beban kerja lokal yang ada.