使用 AWS Direct Connect 弹性工具包进行配置以 AWS Direct Connect 实现高弹性

在本示例中， AWS Direct Connect 弹性工具包用于配置高弹性模型

第 1 步：注册 AWS

要使用 AWS Direct Connect，如果您还没有 AWS 帐户，则需要一个帐户。

注册获取 AWS 账户

如果您没有 AWS 账户，请完成以下步骤来创建一个。

报名参加 AWS 账户

1. 打开https://portal.aws.amazon.com/billing/注册。

2. 按照屏幕上的说明进行操作。

   在注册时，将接到一通电话，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践，请为用户分配管理访问权限，并且只使用根用户来执行需要根用户访问权限的任务。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/并选择 “我的账户”，查看您当前的账户活动并管理您的账户。

创建具有管理访问权限的用户

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

保护你的 AWS 账户根用户

1. 选择 Root 用户并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。AWS Management Console在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》中的以根用户身份登录。

2. 为您的 root 用户开启多重身份验证 (MFA)。

   有关说明，请参阅《用户指南》中的 “为 AWS 账户 root 用户（控制台）启用虚拟MFA设备” IAM。

创建具有管理访问权限的用户

1. 启用 “IAM身份中心”。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。

2. 在 IAM Identity Center 中，向用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。

以具有管理访问权限的用户身份登录

• 要使用您的 Ident IAM ity Center 用户登录URL，请使用您在创建 Ident IAM ity Center 用户时发送到您的电子邮件地址的登录信息。

  有关使用 Ident IAM ity Center 用户登录的帮助，请参阅《AWS 登录 用户指南》中的登录 AWS 访问门户。

将访问权限分配给其他用户

1. 在 IAM Identity Center 中，创建一个遵循应用最低权限权限的最佳实践的权限集。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的创建权限集。

2. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的添加组。

步骤 2：配置弹性模型

配置高弹性模型

1. 在 https://console.aws.amazon.com/directconnect/v2/ home 中打开AWS Direct Connect主机。

2. 在导航窗格中，选择连接，然后选择创建连接。

3. 在 Connection ordering type (连接订购类型) 下，选择 Connection wizard (连接向导)。

4. 在 Resiliency level (弹性级别) 下，选择 High Resiliency (高弹性)，然后选择 Next (下一步)。

5. 在 Configure connections (配置连接) 窗格上，在 Connection settings (连接设置) 下，执行以下操作：

   1. 对于 bandwidth (带宽)，选择连接带宽。

      此带宽适用于所有已创建的连接。

   2. 对于第一定位服务提供商，请选择相应 AWS Direct Connect 的地点。

   3. 如果适用，对于 First Sub location (第一子位置)，选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时，此选项才可用。

   4. 如果您为第一位置服务提供商选择了其他，则对于其他提供商的名称，请输入您使用的合作伙伴的名称。

   5. 对于第二位置服务提供商，请选择相应 AWS Direct Connect 的地点。

   6. 如果适用，对于 Second Sub location (第二子位置)，选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时，此选项才可用。

   7. 如果您为第二位置服务提供商选择了其他，则对于其他提供商的名称，请输入您使用的合作伙伴的名称。

   8. （可选）添加或删除标签。

      [添加标签] 选择 Add tag（添加标签），然后执行以下操作：

      • 对于 Key（键），输入键名称。

      • 对于值，输入键值。

      [删除标签] 在标签旁，选择 Remove tag (删除标签)。

6. 选择下一步。

7. 检查您的连接，然后选择 Continue (继续)。

   如果您已LOAs准备就绪，则可以选择 “下载”LOA，然后单击 “继续”。

   最多可能需要 72 小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间，您可能会收到一封电子邮件，其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复，否则将删除该连接。

步骤 3：创建您的虚拟接口

您可以创建私有虚拟接口来连接到您的VPC。或者，您可以创建一个公共虚拟接口来连接到不在中的公共 AWS 服务VPC。在为创建私有虚拟接口时VPC，需要为要连接的每个接口创建一个私VPC有虚拟接口。例如，您需要三个私有虚拟接口才能连接到三个私有虚拟接口VPCs。

在您开始之前，请确保您已拥有以下信息：

资源	所需信息
Connection	要为其创建虚拟接口的 AWS Direct Connect 连接或链路聚合组 (LAG)。
虚拟接口名称	虚拟接口的名称。
虚拟接口所有者	如果您要为另一个账户创建虚拟界面，则需要另一个 AWS 账户的账户 ID。
（仅限私有虚拟接口）连接	要连接到同一VPC AWS 区域的，您需要为其提供虚拟专用网关VPC。BGP会话ASN的 Amazon 端继承自虚拟私有网关。创建虚拟专用网关时，可以指定自己的私有网关ASN。否则，Amazon 会提供默认值ASN。有关更多信息，请参阅 Amazon VPC 用户指南中的创建虚拟专用网关。要VPC通过 Direct Connect 网关连接到，则需要 Direct Connect 网关。有关更多信息，请参阅 Direct Connect 网关。
VLAN	您的连接中尚未使用的唯一虚拟局域网 (VLAN) 标签。该值必须介于 1 和 4094 之间，并且必须符合以太网 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。 如果您有托管连接，则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后，无法修改此值。
对等 IP 地址	虚拟接口可以支持、或BGP其中一个的对IPv4IPv6等会话（双堆栈）。请勿使用 Amazon Pool 中的 Elastic IPs (EIPsBYOIP) 或自带自己的 IP 地址 () 来创建公共虚拟接口。您不能在同一个虚拟接口上为同一 IP 地址系列创建多个BGP会话。IP 地址范围分配给对BGP等会话的虚拟接口的两端。 IPv4: （仅限公共虚拟接口）您必须指定自己拥有的唯一公有IPv4地址。值可以是以下之一： 由客户拥有 IPv4 CIDR 它们可以是任何公用IPs（客户拥有或由提供 AWS），但是对等 IP 和 AWS 路由器对等 IP 必须使用相同的子网掩码。例如，如果您分配了一个/31范围，例如203.0.113.0/31，则可以将其203.0.113.0用于对等 IP 和203.0.113.1对 AWS 等 IP。或者，如果您分配了一个/24范围，例如198.51.100.0/24，则可以将其198.51.100.10用于对等 IP 和198.51.100.20对 AWS 等 IP。 您的 AWS Direct Connect 合作伙伴拥有的 IP 范围ISP，或者连同 LOA-CFA 授权 AWS-提供的/CIDR31。联系AWS Support 申请公开 IPv4CIDR（并在请求中提供用例） 注意 我们不能保证我们能够满足所有关于 AWS提供公共IPv4地址的请求。 （仅限私有虚拟接口）Amazon 可以为您生成私有IPv4地址。如果您自己指定，请确保CIDRs为路由器接口指定私有接口，并且仅为 Di AWS rect Connect 接口指定私有接口。例如，请勿指定本地网络中的其他 IP 地址。与公共虚拟接口类似，对等 IP 和 AWS 路由器对等 IP 必须使用相同的子网掩码。例如，如果您分配了一个/30范围，例如192.168.0.0/30，则可以将其192.168.0.1用于对等 IP 和192.168.0.2对 AWS 等 IP。 IPv6: 亚马逊会自动为您分配/IPv6CIDR125。您不能指定自己的对等IPv6地址。
地址系列	对BGP等互连会话是否会结束IPv4还是. IPv6
BGP信息	会BGP话中您一方的公共或私有边界网关协议 (BGPASN) 自治系统编号 ()。如果您使用的是公共的ASN，则必须拥有它。如果您使用的是私有值ASN，则可以设置自定义ASN值。对于 16 位ASN，该值必须在 64512 到 65534 的范围内。对于 32 位ASN，该值必须在 1 到 2147483647 的范围内。如果您使用私ASN有系统作为公共虚拟接口，则自治系统 (AS) 预置不起作用。 AWS MD5默认情况下启用。您无法修改此选项。 身份MD5BGP验证密钥。您可以提供自己的身份验证密钥，也可以让 Amazon 为您生成一个密钥。
（仅限公有虚拟接口）您要公布的前缀	要发布广告的公共IPv4IPv6路线或路由BGP。您必须使用至少一个前缀进行广告宣传BGP，最多 1,000 个前缀。 IPv4: 当以下任一条件为真 AWS Direct Connect 时，IPv4CIDR可以与另一个公开IPv4CIDR宣布的使用重叠： CIDRs他们来自不同 AWS 的地区。确保在公共前缀上应用BGP社区标签。 当您在主动/被动配置ASN中拥有公共资源PATH时，可以使用 AS_。 有关更多信息，请参阅路由策略和BGP社区。 IPv6：将前缀长度指定为 /64 或更短。 您可以向现有公众添加其他前缀，VIF并通过联系AWS 支持人员来宣传这些前缀。在您的支持案例中，请提供您要向公众添加VIF并宣传的其他CIDR前缀的列表。 您可以通过 Direct Connect 公有虚拟接口指定任何前缀长度。IPv4应该支持 /1-/32 中的任何内容，并且IPv6应该支持 /1-/64 之间的任何内容。
（仅限私有虚拟接口）巨型帧	数据包的最大传输单位 (MTU) AWS Direct Connect。默认为 1500。如果未将MTU虚拟接口更新为支持巨型帧，则将虚拟接口设置为 9001（巨型帧）可能会导致底层物理连接更新。更新连接会中断与连接关联的所有虚拟接口的网络连接，最长可达 30 秒。巨型帧仅适用于来自的传播路由。 AWS Direct Connect如果您向路由表中添加指向您的虚拟专用网关的静态路由，则通过静态路由路由的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧，请在 AWS Direct Connect 控制台中将其选中，然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。
（仅限中转虚拟接口）巨型帧	数据包的最大传输单位 (MTU) AWS Direct Connect。默认为 1500。如果未将MTU虚拟接口更新为支持巨型帧，则将虚拟接口设置为 8500（巨型帧）可能会导致底层物理连接更新。更新连接会中断与连接关联的所有虚拟接口的网络连接，最长可达 30 秒。Direct Connect 最多支持 8500 个巨型帧MTU。在 Transit Gateway 路由表中配置的静态路由和传播路由将支持巨型帧，包括从具有VPC静态路由表条目的EC2实例到 Transit Gateway 附件。要检查连接或虚拟接口是否支持巨型帧，请在 AWS Direct Connect 控制台中将其选中，然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。

如果您的公共前缀或ASNs属于ISP或网络运营商， AWS 请要求您提供更多信息。这可以是使用公司官方信头的文档，也可以是来自公司域名的电子邮件，确认ASN您可以使用网络前缀/。

创建公共虚拟接口时，最多可能需要 72 小时 AWS 才能审核和批准您的请求。

为非VPC服务提供公共虚拟接口

1. 在 https://console.aws.amazon.com/directconnect/v2/ home 中打开AWS Direct Connect主机。

2. 在导航窗格中，选择 Virtual Interfaces。

3. 选择 Create virtual interface (创建虚拟接口)。

4. 在 Virtual interface type (虚拟接口类型) 下，对于 Type (类型)，选择 Public (公有)。

5. 在 Public virtual interface settings (公有虚拟接口设置) 下，执行以下操作：

   1. 对于 Virtual interface name (虚拟接口名称)，输入虚拟接口名称。

   2. 对于 Connection (连接)，选择要用于此接口的 Direct Connect 连接。

   3. 对于 VLAN，请输入您的虚拟局域网的 ID 号 (VLAN)。

   4. 对于 BGPASN，请输入网关的边界网关协议 (BGPASN) 自治系统编号 ()。

      有效值为 1-2147483647。

6. 在 Additional settings (其他设置) 下，执行以下操作：

   1. 要配置IPv4BGP或对IPv6等体，请执行以下操作：

      [IPv4] 要配置对IPv4BGP等体，请选择IPv4并执行以下任一操作：

      • 要自己指定这些 IP 地址，请在您的路由器对等 IP 中，输入 Amazon 应向其发送流量的目标IPv4CIDR地址。

      • 对于 Amazon 路由器对等 IP，请输入用于向其发送流量IPv4CIDR的地址 AWS。

      [IPv6] 要配置对IPv6BGP等体，请选择IPv6。对等IPv6地址是从亚马逊的地址池中自动分配IPv6的。您不能指定自定义IPv6地址。

   2. 要提供自己的BGP密钥，请输入您的BGPMD5密钥。

      如果您不输入值，我们会生成一个BGP密钥。

   3. 要向 Amazon 宣传前缀，对于要宣传的前缀，请输入应通过虚拟接口将流量路由到的IPv4CIDR目标地址（用逗号分隔）。

   4. （可选）添加或删除标签。

      [添加标签] 选择 Add tag（添加标签），然后执行以下操作：

      • 对于 Key（键），输入键名称。

      • 对于值，输入键值。

      [删除标签] 在标签旁，选择 Remove tag (删除标签)。

7. 选择 Create virtual interface (创建虚拟接口)。

为配置私有虚拟接口 VPC

1. 在 https://console.aws.amazon.com/directconnect/v2/ home 中打开AWS Direct Connect主机。

2. 在导航窗格中，选择 Virtual Interfaces。

3. 选择 Create virtual interface (创建虚拟接口)。

4. 在虚拟接口类型下，对于类型，选择私有。

5. 在私有虚拟接口设置下，执行以下操作：

   1. 对于 Virtual interface name (虚拟接口名称)，输入虚拟接口名称。

   2. 对于 Connection (连接)，选择要用于此接口的 Direct Connect 连接。

   3. 对于网关类型，选择虚拟私有网关或 Direct Connect 网关。

   4. 对于虚拟接口所有者，选择其他 AWS 帐户，然后输入该 AWS 帐户。

   5. 对于虚拟私有网关，选择要用于此接口的虚拟私有网关。

   6. 对于 VLAN，请输入您的虚拟局域网的 ID 号 (VLAN)。

   7. 对于 BGPASN，输入新虚拟接口的本地对等路由器的边界网关协议自治系统编号。

      有效值为 1 到 2147483647。

6. 在附加设置下，执行以下操作：

   1. 要配置IPv4BGP或对IPv6等体，请执行以下操作：

      [IPv4] 要配置对IPv4BGP等体，请选择IPv4并执行以下任一操作：

      • 要自己指定这些 IP 地址，请在您的路由器对等 IP 中，输入 Amazon 应向其发送流量的目标IPv4CIDR地址。

      • 对于 Amazon 路由器对等 IP，请输入用于向其发送流量IPv4CIDR的地址 AWS。

        重要

        如果允许 AWS 自动分配IPv4地址，则CIDR将根据 3927 从 169.254.0.0/16 Link-Local 中分配/IPv429 以进行连接。RFC point-to-point AWS 如果您打算使用客户路由器对等 IP 地址作为VPC流量的源和/或目的地，则不建议使用此选项。相反，您应该使用 RFC 1918 或其他地址，并自己指定地址。

        • 有关 RFC 1918 的更多信息，请参阅私有互联网的地址分配。

        • 有关 RFC 3927 的更多信息，请参阅IPv4链路本地地址的动态配置。

      [IPv6] 要配置对IPv6BGP等体，请选择IPv6。对等IPv6地址是从亚马逊的地址池中自动分配IPv6的。您不能指定自定义IPv6地址。

   2. 要将最大传输单位 (MTU) 从 1500（默认）更改为 9001（巨型帧），请选择 “巨型”MTU（MTU大小 9001）。

   3. （可选）在 “启用” 下 SiteLink，选择 “启用” 以启用 Direct Connect 接入点之间的直接连接。

   4. （可选）添加或删除标签。

      [添加标签] 选择 Add tag（添加标签），然后执行以下操作：

      • 对于 Key（键），输入键名称。

      • 对于值，输入键值。

      [删除标签] 在标签旁，选择 Remove tag (删除标签)。

7. 选择 Create virtual interface (创建虚拟接口)。

步骤 4：验证您的虚拟接口弹性配置

在建立通往 AWS Cloud 或 Amazon 的虚拟接口后VPC，请执行虚拟接口故障转移测试，以验证您的配置是否符合您的弹性要求。有关更多信息，请参阅 AWS Direct Connect 故障转移测试。

步骤 5：验证您的虚拟接口连接

建立与 AWS 云端或 Amazon 的虚拟接口后VPC，您可以使用以下步骤验证您的 AWS Direct Connect 连接。

验证您的虚拟接口与 AWS 云端的连接

• 运行traceroute并验证标 AWS Direct Connect 识符是否在网络跟踪中。

验证您与 Amazon 的虚拟接口连接 VPC

1. 使用 PingableAMI（例如 Amazon Linux）AMI，在连接到您的虚拟私VPC有网关的EC2实例中启动实例。当您在亚马逊EC2控制台中使用实例启动向导时，Amazon Linux AMIs 可在快速入门选项卡中找到。有关更多信息，请参阅 Amazon EC2 用户指南中的启动实例。确保与实例关联的安全组包含允许入站ICMP流量（用于 ping 请求）的规则。

2. 实例运行后，获取其私有IPv4地址（例如 10.0.0.4）。Amazon EC2 控制台将地址显示为实例详情的一部分。

3. ping 私有IPv4地址并获得回复。