AWS Direct Connect portali

Usa il AWS Direct Connect gateway per connettere il tuoVPCs. È possibile associare un gateway AWS Direct Connect con uno dei seguenti gateway:

• Un gateway di transito quando ne hai più di uno VPCs nella stessa regione

• Un gateway virtuale privato

Puoi anche utilizzare un gateway privato virtuale per estendere la tua zona locale. Questa configurazione consente VPC a chi è associato alla zona locale di connettersi a un gateway Direct Connect. Il gateway Direct Connect si connette a una posizione Direct Connect in una regione. Il data center on-premise dispone di una connessione Direct Connect alla posizione Direct Connect. Per ulteriori informazioni, consulta Accedere alle Local Zones utilizzando un gateway Direct Connect nella Amazon VPC User Guide.

Un gateway Direct Connect è una risorsa disponibile in tutto il mondo. Puoi connetterti a qualsiasi regione a livello globale utilizzando un gateway Direct Connect. Ciò include AWS GovCloud (US) ma non include le regioni della AWS Cina.

I clienti che utilizzano Direct Connect e VPCs che attualmente ignorano una zona di disponibilità principale non saranno in grado di migrare le connessioni Direct Connect o le interfacce virtuali.

Il gateway Direct Connect può essere utilizzato nei seguenti scenari.

Un gateway Direct Connect non consente alle associazioni gateway che si trovano nello stesso gateway Direct Connect di inviare traffico reciproco (ad esempio, da un gateway privato virtuale a un altro gateway privato virtuale). Un'eccezione a questa regola, implementata nel novembre 2021, è quando una supernet viene pubblicizzata su due o più VPCs gateway privati virtuali collegati (VGWs) associati allo stesso gateway Direct Connect e sulla stessa interfaccia virtuale. In questo caso, VPCs possono comunicare tra loro tramite l'endpoint Direct Connect. Ad esempio, se pubblicizzi una supernet (ad esempio 10.0.0.0/8 o 0.0.0.0/0) che si sovrappone a quella collegata VPCs a un gateway Direct Connect (ad esempio 10.0.0.0/24 e 10.0.1.0/24) e sulla stessa interfaccia virtuale, dalla rete locale possono comunicare tra loro. VPCs

Se desideri bloccare la VPC comunicazione VPC -to- all'interno di un gateway Direct Connect, procedi come segue:

1. Configura i gruppi di sicurezza sulle istanze e sulle altre risorse in VPC modo da bloccare il traffico tra le istanze e le altre risorseVPCs, utilizzandoli anche come parte del gruppo di sicurezza predefinito in. VPC

2. Evita di pubblicizzare una supernet dalla tua rete locale che si sovrappone alla tua. VPCs Puoi invece pubblicizzare percorsi più specifici dalla tua rete locale che non si sovrappongano al tuo. VPCs

3. Effettua il provisioning di un singolo gateway Direct Connect per ogni gateway VPC che desideri connettere alla tua rete locale invece di utilizzare lo stesso Direct Connect Gateway per più VPCs di un gateway. Ad esempio, invece di utilizzare un unico Direct Connect Gateway per lo sviluppo e la produzioneVPCs, utilizzate gateway Direct Connect separati per ognuno di questiVPCs.

Un gateway Direct Connect non impedisce di inviare del traffico da un'associazione gateway all'associazione gateway stessa (ad esempio quando disponi di una route supernet on-premise che contiene i prefissi dell'associazione gateway). Se si dispone di una configurazione con più gateway VPCs connessi a transito associati allo stesso gateway Direct Connect, VPCs potrebbero comunicare. Per evitare che comunichino, associate una tabella di routing VPC agli allegati su cui è impostata l'opzione blackhole. VPCs

Argomenti

• Scenari
• Creare un gateway Direct Connect
• Migrazione da un gateway privato virtuale a un gateway Direct Connect
• Eliminare un gateway Direct Connect

Scenari

Di seguito vengono descritti solo alcuni scenari per l'utilizzo dei gateway Direct Connect.

Scenario: associazioni di gateway privati virtuali

Nel diagramma seguente, il gateway Direct Connect consente di utilizzare la AWS Direct Connect connessione nella regione Stati Uniti orientali (Virginia settentrionale) per accedere al proprio account VPCs nelle regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti occidentali (California settentrionale).

Ciascuno VPC dispone di un gateway privato virtuale che si connette al gateway Direct Connect utilizzando un'associazione di gateway privati virtuali. Il gateway Direct Connect utilizza un'interfaccia virtuale privata per la connessione alla AWS Direct Connect posizione. È disponibile una connessione AWS Direct Connect dalla posizione al data center del cliente.

Scenario: associazioni di gateway privati virtuali tra account

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L'Account A e l'Account B vogliono utilizzare il gateway Direct Connect, quindi ciascuno di essi invia una proposta di associazione all'Account Z. Quest'ultimo accetta le proposte di associazione e ha la possibilità di aggiornare i prefissi consentiti dal gateway privato virtuale dell'Account A o dell'Account B. Una volta che l'Account Z avrà accettato le proposte, l'Account A e l'Account B potranno instradare il traffico dal loro gateway privato virtuale al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.

Scenario: associazioni di gateway di transito

Il diagramma seguente illustra come il gateway Direct Connect consente di creare una singola connessione alla connessione Direct Connect VPCs utilizzabile da tutti.

La soluzione prevede i seguenti componenti:

• Un gateway di transito con VPC allegati.

• Un gateway Direct Connect.

• Un'associazione tra il gateway Direct Connect e il gateway di transito.

• Un'interfaccia virtuale di transito collegata al gateway Direct Connect.

Questa configurazione offre i seguenti vantaggi. È possibile:

• Gestisci una singola connessione per più connessioni VPCs o VPNs che si trovano nella stessa regione.

• Pubblicizza i prefissi dall'ambiente locale a quello locale AWS e viceversa. AWS

Per informazioni sulla configurazione dei gateway di transito, consulta Working with Transit Gateways nella Amazon VPC Transit Gateways Guide.

Scenario: associazioni di gateway di transito tra account

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L’Account A è proprietario del gateway di transito e desidera utilizzare il gateway Direct Connect. L’Account Z accetta le proposte di associazione e può facoltativamente aggiornare i prefissi che sono consentiti dal gateway di transito dell’Account A. Dopo che l'Account Z ha accettato le proposte, il gateway di transito VPCs collegato al gateway di transito può instradare il traffico dal gateway di transito al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.