Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Direct Connect
Sebbene la VPN su Internet sia un'ottima opzione per iniziare, la connettività Internet potrebbe non essere affidabile per il traffico di produzione. A causa di questa inaffidabilità, molti clienti scelgono AWS Direct Connect
Metodi per connettere i data center locali utilizzando AWS Direct Connect
-
Opzione 1: creazione di un'interfaccia virtuale privata (VIF) a un VGW collegato a un VPC: è possibile creare 50 VIF per connessione Direct Connect, che consentono di connettersi a un massimo di 50 VPC (un VIF fornisce la connettività a un VPC). Esiste un peering BGP per VPC. La connettività in questa configurazione è limitata alla regione AWS in cui è ospitata la sede Direct Connect. La one-to-one mappatura di VIF su VPC (e la mancanza di accesso globale) rendono questo il modo meno preferito per accedere ai VPC nella Landing Zone.
-
Opzione 2: creare un VIF privato su un gateway Direct Connect associato a più VGW (ogni VGW è collegato a un VPC) — Un gateway Direct Connect è una risorsa disponibile a livello globale. Puoi creare il gateway Direct Connect in qualsiasi regione e accedervi da tutte le altre regioni, inclusa GovCloud (esclusa la Cina). Un gateway Direct Connect può connettersi a un massimo di 20 VPC (tramite VGW) a livello globale in qualsiasi account AWS tramite un'unica VIF privata. Questa è un'ottima opzione se una Landing Zone è composta da un numero limitato di VPC (dieci o meno VPC) e/o è necessario un accesso globale. Esiste una sessione di peering BGP per Direct Connect Gateway per connessione Direct Connect. Il gateway Direct Connect è destinato esclusivamente al flusso di traffico nord/sud e non consente la connettività da VPC a VPC. Per maggiori dettagli, consulta Virtual Private Gateway Associations nella documentazione. AWS Direct Connect Con questa opzione, la connettività non è limitata alla regione AWS in cui si trova la sede Direct Connect. AWS Direct Connect il gateway è solo per il flusso di traffico nord/sud e non consente la connettività da VPC a VPC. Un'eccezione a questa regola è quando una supernet viene pubblicizzata su due o più VPC i cui VGW collegati sono associati allo stesso gateway e sulla stessa interfaccia virtuale. AWS Direct Connect In questo caso, i VPC possono comunicare tra loro tramite l'endpoint. AWS Direct Connect Per maggiori dettagli, consulta la documentazione dei AWS Direct Connect gateway.
-
Opzione 3: creazione di un transito VIF a un gateway Direct Connect associato a Transit Gateway: è possibile associare un'istanza Transit Gateway a un gateway Direct Connect utilizzando un Transit VIF. AWS Direct Connect ora supporta le connessioni a Transit Gateway per tutte le velocità di porta, offrendo una scelta più economica per gli utenti di Transit Gateway quando non sono richieste connessioni ad alta velocità (superiori a 1 Gbps). Ciò consente di utilizzare Direct Connect a velocità di 50, 100, 200, 300, 400 e 500 Mbps connettendosi al Transit Gateway. Transit VIF ti consente di connettere il tuo data center locale a un massimo di sei istanze Transit Gateway per AWS Direct Connect gateway (che possono connettersi a migliaia di VPC) tra diverse regioni AWS e account AWS tramite peering VIF e BGP a transito singolo. Questa è la configurazione più semplice tra le opzioni per connettere più VPC su larga scala, ma dovresti prestare attenzione alle quote Transit Gateway. Un limite fondamentale da tenere presente è che è possibile pubblicizzare solo 200 prefissi da un Transit Gateway a un router locale tramite il Transit VIF. Con le opzioni precedenti, paghi i prezzi di Direct Connect. Per questa opzione, paghi anche i costi per gli allegati e l'elaborazione dei dati del Transit Gateway. Per ulteriori informazioni, consulta la documentazione Transit Gateway Associations on Direct Connect.
-
Opzione 4: creare una connessione VPN a Transit Gateway tramite DIRECT Connect public VIF: un VIF pubblico consente di accedere a tutti i servizi pubblici e gli endpoint AWS utilizzando gli indirizzi IP pubblici. Quando crei un allegato VPN su un Transit Gateway, ottieni due indirizzi IP pubblici per gli endpoint VPN sul lato AWS. Questi IP pubblici sono raggiungibili tramite il VIF pubblico. Puoi creare tutte le connessioni VPN a tutte le istanze Transit Gateway che desideri tramite Public VIF. Quando crei un peering BGP sul VIF pubblico, AWS pubblicizza l'intero intervallo di IP pubblici di AWS sul tuo router. Per assicurarti di consentire solo un determinato traffico (ad esempio, consentire il traffico solo verso gli endpoint di terminazione VPN), ti consigliamo di utilizzare un firewall locale. Questa opzione può essere utilizzata per crittografare Direct Connect a livello di rete.
-
Opzione 5: creazione di una connessione VPN a Transit Gateway AWS Direct Connect tramite VPN IP privata — Private IP VPN è una funzionalità che offre ai clienti la possibilità di distribuire connessioni VPN da sito a sito AWS tramite Direct Connect utilizzando indirizzi IP privati. Con questa funzionalità, puoi crittografare il traffico tra le tue reti locali e AWS tramite connessioni Direct Connect senza la necessità di indirizzi IP pubblici, migliorando così la sicurezza e la privacy della rete allo stesso tempo. Private IP VPN viene implementata in aggiunta ai Transit VIF, quindi consente di utilizzare Transit Gateway per la gestione centralizzata dei VPC dei clienti e delle connessioni alle reti locali in modo più sicuro, privato e scalabile.
-
Opzione 6: creazione di tunnel GRE verso Transit Gateway tramite un VIF di transito: il tipo di allegato Transit Gateway Connect supporta GRE. Con Transit Gateway Connect, l'infrastruttura SD-WAN può essere connessa nativamente ad AWS senza dover configurare VPN IPSec tra le appliance virtuali di rete SD-WAN e Transit Gateway. I tunnel GRE possono essere stabiliti su un VIF di transito, con Transit Gateway Connect come tipo di allegato, che offre prestazioni di larghezza di banda più elevate rispetto a una connessione VPN. Per ulteriori informazioni, consulta il post sul blog Simplify SD-WAN connectivity with AWS Transit Gateway Connect
.
L'opzione «transit VIF to Direct Connect gateway» potrebbe sembrare l'opzione migliore perché consente di consolidare tutta la connettività locale per un determinato Regione AWS punto (Transit Gateway) utilizzando una singola sessione BGP per connessione Direct Connect; tuttavia, alcuni limiti e considerazioni relativi a questa opzione potrebbero indurvi a utilizzare sia i VIF privati che quelli di transito in combinazione per i requisiti di connettività della Landing Zone.
La figura seguente illustra una configurazione di esempio in cui Transit VIF viene utilizzato come metodo predefinito per la connessione ai VPC e un VIF privato viene utilizzato per un caso d'uso periferico in cui è necessario trasferire quantità eccezionalmente elevate di dati da un data center locale al VPC multimediale. Il formato VIF privato viene utilizzato per evitare i costi di elaborazione dei dati del Transit Gateway. È consigliabile disporre di almeno due connessioni in due diverse postazioni Direct Connect per la massima ridondanza
Con l'opzione «Create GRE tunnels to Transit Gateway over a transit VIF», ottieni la capacità di connettere nativamente la tua infrastruttura SD-WAN con AWS. Elimina la necessità di configurare VPN IPSec tra le appliance virtuali di rete SD-WAN e Transit Gateway.
Architettura di riferimento di esempio per la connettività ibrida
Utilizzate l'account Network Services per creare risorse Direct Connect che consentano la demarcazione dei confini amministrativi della rete. Le connessioni Direct Connect, i gateway Direct Connect e i gateway di transito possono risiedere tutti in un account di servizi di rete. Per condividere la AWS Direct Connect connettività con la tua Landing Zone, condividi semplicemente il Transit Gateway AWS RAM con altri account.
Sicurezza MacSec sulle connessioni Direct Connect
I clienti possono utilizzare la crittografia MAC Security Standard (MACSec) (IEEE 802.1AE) con le loro connessioni Direct Connect per connessioni dedicate da 10 Gbps e 100 Gbps in località selezionate.
AWS Direct Connect raccomandazioni sulla resilienza
Con AWS Direct Connect, i clienti possono ottenere una connettività altamente resiliente nelle loro risorse Amazon VPC e AWS dalle loro reti locali. È buona prassi che i clienti si connettano da più data center per eliminare eventuali guasti alle ubicazioni fisiche a singolo punto. Si consiglia inoltre che, a seconda del tipo di carico di lavoro, i clienti utilizzino più di una connessione Direct Connect per la ridondanza.
AWS offre anche il AWS Direct Connect Resiliency Toolkit, che fornisce ai clienti una procedura guidata di connessione con più modelli di ridondanza, per aiutarli a determinare quale modello funziona meglio per i loro requisiti di accordo sul livello di servizio (SLA) e a progettare di conseguenza la loro connettività ibrida utilizzando le connessioni Direct Connect. Per ulteriori informazioni, consulta la sezione Raccomandazioni sulla resilienza.AWS Direct Connect
AWS Direct Connect SiteLink
In precedenza, la configurazione dei site-to-site collegamenti per le reti locali era possibile solo utilizzando la tecnologia Direct Circuit Buildout tramite Dark Fiber o altre tecnologie, VPN IPSEC o utilizzando fornitori di circuiti di terze parti con tecnologie come MPLS o circuiti T1 legacy. MetroEthernet Con l'avvento di SiteLink, i clienti possono ora abilitare la connettività diretta per le proprie sedi locali che terminano in una località. site-to-site AWS Direct Connect Usa il tuo circuito Direct Connect per fornire site-to-site connettività senza dover instradare il traffico attraverso i tuoi VPC, aggirando completamente la regione AWS.
Ora puoi creare pay-as-you-go connessioni globali, affidabili e affidabili tra gli uffici e i data center della tua rete globale inviando i dati lungo il percorso più veloce tra AWS Direct Connect le sedi.
Architettura di riferimento di esempio per AWS Direct Connect SiteLink
Al momento dell'utilizzo SiteLink, devi prima connettere le tue reti locali ad AWS in una delle oltre 100 AWS Direct Connect sedi in tutto il mondo. Quindi, crei interfacce virtuali (VIF) su tali connessioni e abiliti. SiteLink Una volta che tutti i VIF sono collegati allo stesso AWS Direct Connect gateway (DXGW), puoi iniziare a inviare dati tra di loro. I tuoi dati seguono il percorso più breve tra le AWS Direct Connect ubicazioni e la destinazione, utilizzando la rete globale AWS veloce, sicura e affidabile. Non è necessario disporre di alcuna risorsa Regione AWS da utilizzare SiteLink.
Con SiteLink, il DXGW impara i prefissi IPv4/IPv6 dai router tramite VIF SiteLink abilitati, esegue l'algoritmo BGP best path, aggiorna attributi come NextHop e AS_Path e pubblicizza nuovamente questi prefissi BGP sul resto dei file VIF abilitati a quel DXGW. SiteLink Se si disattiva SiteLink su un VIF, DXGW non pubblicizzerà i prefissi locali appresi su questo VIF SiteLink agli altri VIF abilitati. I prefissi locali di un VIF SiteLink disabilitato vengono pubblicizzati solo alle associazioni DXGW Gateway, come le istanze AWS Virtual Private Gateways (VGWS) o Transit Gateway (TGW) associate a DXGW.
Sitelink consente un esempio di flussi di traffico
SiteLink consente ai clienti di utilizzare la rete globale AWS per funzionare come connessione primaria o secondaria/di backup tra le loro postazioni remote, con larghezza di banda elevata e bassa latenza, con routing dinamico per controllare quali postazioni possono comunicare tra loro e con le risorse regionali AWS.
Per ulteriori informazioni, consulta Introducing. AWS Direct Connect SiteLink
