AWS Outposts connettività verso AWS le regioni - AWS Outposts
Connettività tramite collegamento al servizioService Link: connettività privata tramite VPCConnessioni Internet ridondanti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Outposts connettività verso AWS le regioni

AWS Outposts supporta la connettività Wide Area Network (WAN) tramite la connessione service link.

Indice

Il link al servizio è una connessione necessaria tra i tuoi Outposts e la AWS regione (o la regione d'origine). Consente la gestione degli Outposts e lo scambio di traffico da e verso la AWS Regione. Il collegamento di servizio sfrutta un set crittografato di VPN connessioni per comunicare con la regione d'origine.

Una volta stabilita la connessione al service link, Outpost diventa operativo e viene gestito da. AWS Il link al servizio facilita il seguente traffico:

  • VPCTraffico di clienti tra Outpost e tutti i siti associati. VPCs

  • Outposts gestisce il traffico, ad esempio la gestione delle risorse, il monitoraggio delle risorse e gli aggiornamenti firmware e software.

I passaggi seguenti spiegano il processo di configurazione del collegamento di servizio e le opzioni di connessione.

  1. Dopo aver ordinato i rack Outposts, ti AWS contatta alla sottorete di raccolta VLANBGP, IP e infrastruttura. IPs Per ulteriori informazioni, consulta Connettività di rete locale.

  2. Durante l'installazione, AWS configura il collegamento al servizio su Outpost in base alle informazioni fornite.

  3. L'utente configura i dispositivi di rete locali, come i router, per connettersi a ciascun dispositivo di rete Outpost tramite la connettività. BGP Per informazioni sul collegamento al servizioVLAN, sull'IP e sulla BGP connettività, vedere. Rete

  4. È possibile configurare i dispositivi di rete, come i firewall, per consentire agli Outposts di accedere alla regione o AWS alla regione di residenza. AWS Outposts utilizza la sottorete Service Link Infrastructure IPs per configurare VPN connessioni e scambiare controllo e traffico dati con la Regione. La creazione del collegamento al servizio viene sempre avviata dall'Outpost. Puoi stabilire VPN connessioni di collegamento di servizio tra i tuoi Outposts e la AWS regione utilizzando una delle seguenti opzioni:

Nota

  • Se prevedi di inserire nei firewall solo l'elenco AWS delle aree consentite IPs (anziché 0.0.0.0/0), devi assicurarti che le regole del firewall corrispondano up-to-date agli intervalli di indirizzi IP correnti. Per ulteriori informazioni, consulta gli intervalli di indirizzi AWS IP nella Amazon VPC User Guide.

  • Non sarai in grado di modificare la configurazione del link di servizio fornita durante il processo di ordine.

Requisiti relativi all'unità di trasmissione massima di Service Link (MTU)

L'unità di trasmissione massima (MTU) di una connessione di rete è la dimensione, in byte, del pacchetto più grande consentito che può essere passato sulla connessione. La rete deve supportare 1500 byte MTU tra Outpost e gli endpoint service link nella regione principale. AWS Per informazioni sulla MTU distanza richiesta tra un'istanza in Outpost e un'istanza nella AWS regione tramite il collegamento al servizio, consulta Network maximum transmission unit (MTU) per la tua EC2 istanza Amazon nella Amazon EC2 User Guide.

Raccomandazioni sulla larghezza di banda dei collegamenti al servizio

Per un'esperienza e una resilienza ottimali, è AWS necessario utilizzare una connettività ridondante di almeno 500 Mbps per ogni rack di elaborazione e una latenza massima di 175 ms di andata e ritorno per la connessione del service link alla regione. AWS Per il collegamento al servizio puoi utilizzare AWS Direct Connect o una connessione Internet. I requisiti minimi di 500 Mbps e il tempo massimo di andata e ritorno per la connessione service link consentono di avviare EC2 istanze Amazon, collegare EBS volumi Amazon e accedere a AWS servizi come AmazonEMR, EKS Amazon e CloudWatch metriche con prestazioni ottimali.

I requisiti di larghezza di banda del collegamento al servizio degli Outpost variano a seconda delle caratteristiche seguenti:

  • Numero di AWS Outposts rack e configurazioni di capacità

  • Caratteristiche del carico di lavoro, come AMI dimensioni, elasticità delle applicazioni, esigenze di velocità di burst e VPC traffico Amazon verso la regione

Per ricevere un consiglio personalizzato sulla larghezza di banda del service link necessaria per le tue esigenze, contatta il tuo rappresentante di AWS vendita o partner. APN

Firewall e il collegamento al servizio

Questa sezione illustra le configurazioni del firewall e la connessione del collegamento al servizio.

Nel diagramma seguente, la configurazione estende l'Amazzonia VPC dalla AWS regione all'avamposto. Un'interfaccia virtuale AWS Direct Connect pubblica è la connessione di collegamento al servizio. Il seguente traffico passa attraverso il collegamento al servizio e la connessione AWS Direct Connect :

  • Gestione del traffico verso Outpost attraverso il collegamento al servizio

  • Traffico tra l'Outpost e tutti i siti associati VPCs

AWS Direct Connect connessione a AWS

Se si utilizza un firewall stateful con la connessione Internet per limitare la connettività dalla rete Internet pubblica al collegamento di servizioVLAN, è possibile bloccare tutte le connessioni in entrata che partono da Internet. Questo perché il collegamento di servizio VPN inizia solo dall'avamposto alla regione, non dalla regione all'avamposto.

Connessione gateway Internet a AWS

Se si utilizza un firewall per limitare la connettività dal collegamento di servizioVLAN, è possibile bloccare tutte le connessioni in entrata. È necessario consentire le connessioni in uscita verso Outpost dalla AWS regione secondo la tabella seguente. Se utilizzi un firewall stateful, le connessioni in uscita dall'Outpost che sono consentite, ossia avviate dall'Outpost, devono essere consentite nuovamente in entrata.

Protocollo Porta di origine Indirizzo di origine Porta di destinazione Indirizzo di destinazione

UDP

443

AWS Outposts collegamento di servizio /26

443

AWS Outposts Il pubblico della regione IPs

TCP

1025-65535

AWS Outposts collegamento di servizio /26

443

AWS Outposts Il pubblico della regione IPs
Nota

Le istanze in un Outpost non possono utilizzare il link di servizio per comunicare con le istanze di un altro Outpost. Sfrutta il routing attraverso il gateway locale o l'interfaccia di rete locale per comunicare tra gli Outpost.

AWS Outposts i rack sono inoltre progettati con apparecchiature di alimentazione e rete ridondanti, inclusi componenti gateway locali. Per ulteriori informazioni, vedere Resilience in. AWS Outposts

Service Link: connettività privata tramite VPC

Puoi selezionare l'opzione di connettività privata nella console quando crei il tuo Outpost. In tal caso, viene stabilita una VPN connessione di collegamento al servizio dopo l'installazione di Outpost utilizzando una sottorete VPC and specificata dall'utente. Ciò consente la connettività privata tramite VPC e riduce al minimo l'esposizione pubblica a Internet.

Prerequisiti

Prima di poter configurare la connettività privata per l'Outpost è necessario verificare i seguenti prerequisiti:

  • È necessario configurare le autorizzazioni per un'IAMentità (utente o ruolo) per consentire all'utente o al ruolo di creare il ruolo collegato al servizio per la connettività privata. L'IAMentità necessita dell'autorizzazione per accedere alle seguenti azioni:

    • iam:CreateServiceLinkedRole - arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy - arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Per ulteriori informazioni, consulta Gestione delle identità e degli accessi () per IAM AWS Outposts e Ruoli collegati ai servizi per AWS Outposts.

  • Nello stesso AWS account e nella stessa zona di disponibilità del tuo Outpost, crea una VPC connettività privata di Outpost con una sottorete /25 o superiore che non sia in conflitto con 10.1.0.0/16. Ad esempio, potresti usare 10.2.0.0/16.

  • Crea una AWS Direct Connect connessione, un'interfaccia virtuale privata e un gateway privato virtuale per consentire al tuo Outpost locale di accedere a. VPC Se la AWS Direct Connect connessione è in un AWS account diverso dal tuoVPC, vedi Associare un gateway privato virtuale tra account nella Guida per l'AWS Direct Connect utente.

  • Pubblicizza la sottorete nella rete CIDR locale. Puoi usare AWS Direct Connect per farlo. Per ulteriori informazioni, consulta le interfacce virtuali AWS Direct Connect e Utilizzo di gateway AWS Direct Connect nella Guida per l'utente di AWS Direct Connect .

Puoi selezionare l'opzione di connettività privata quando crei il tuo Outpost nella console AWS Outposts . Per istruzioni, consulta Crea un ordine per un rack Outposts.

Nota

Per selezionare l'opzione di connettività privata quando Outpost è attivo PENDING, scegli Outposts dalla console e seleziona Outpost. Scegli Operazioni, Aggiungi connettività privata e segui i passaggi.

Dopo aver selezionato l'opzione di connettività privata per Outpost, crea AWS Outposts automaticamente nel tuo account un ruolo collegato ai servizi che gli consente di completare le seguenti attività per tuo conto:

  • Crea interfacce di rete nella sottorete e VPC quelle specificate dall'utente e crea un gruppo di sicurezza per le interfacce di rete.

  • Concede l'autorizzazione al AWS Outposts servizio per collegare le interfacce di rete a un'istanza dell'endpoint service link nell'account.

  • Collega le interfacce di rete alle istanze dell'endpoint del collegamento al servizio a partire dall'account.

Per ulteriori informazioni sul ruolo collegato al servizio, consulta Ruoli collegati ai servizi per AWS Outposts.

Importante

Dopo aver installato Outpost, conferma la connettività alla rete privata IPs nella sottorete da Outpost.

Connessioni Internet ridondanti

Quando crei connettività da Outpost alla AWS regione, ti consigliamo di creare più connessioni per una maggiore disponibilità e resilienza. Per ulteriori informazioni, consulta Raccomandazioni per la resilienza di AWS Direct Connect.

Se necessiti di connettività alla rete Internet pubblica, puoi utilizzare connessioni Internet ridondanti e diversi provider Internet, proprio come faresti con i carichi di lavoro on-premise esistenti.