高弹性 - AWS Direct Connect
步骤 1:注册 AWS步骤 2:配置弹性模型步骤 3:创建您的虚拟接口步骤 4:验证您的虚拟接口弹性配置步骤 5:验证您的虚拟接口连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

高弹性

通过使用到多个位置的两个单一连接,可以为关键工作负载实现高弹性(如下图所示)。此模型可针对因光纤切断或设备故障而导致的连接故障提供弹性。它还有助于防止完整位置故障。

高弹性模型

以下过程演示如何使用AWS Direct Connect弹性工具包配置高弹性模型。

步骤 1:注册 AWS

要使用AWS Direct Connect,则需要一个AWS账户。

注册一个 AWS 账户

如果您还没有 AWS 账户,请完成以下步骤来创建一个。

注册 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

    当您注册 AWS 账户 时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户访问权限的任务

AWS注册过程完成后,会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/ 并选择 My Account (我的账户) 来查看当前的账户活动并管理您的账户。

创建管理用户

注册 AWS 账户 后,创建一个管理用户,以避免使用根用户执行日常任务。

保护您的 AWS 账户根用户

  1. 选择 Root user(根用户)并输入您的 AWS 账户 电子邮件地址,以账户拥有者身份登录 AWS Management Console。在下一页上,输入您的密码。

    要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录

  2. 对您的根用户启用多重身份验证 (MFA)。

    有关说明,请参阅《IAM 用户指南》中的为 AWS 账户根用户启用虚拟 MFA 设备(控制台)

创建管理用户

  • 对于您的日常管理任务,请在 AWS IAM Identity Center (successor to AWS Single Sign-On) 中为管理用户授予管理访问权限。

    有关说明,请参阅 AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南中的入门

作为管理用户登录

  • 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

    要获取使用 IAM Identity Center 用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的登录 AWS 访问门户

步骤 2:配置弹性模型

配置高弹性模型

  1. 通过 https://console.aws.amazon.com/directconnect/v2/home 打开AWS Direct Connect主机。

  2. AWS Direct Connect 屏幕上,在 Get started (开始使用) 下,选择 Create a connection (创建连接)

  3. Connection ordering type (连接订购类型) 下,选择 Connection wizard (连接向导)

  4. Resiliency level (弹性级别) 下,选择 High Resiliency (高弹性),然后选择 Next (下一步)

  5. Configure connections (配置连接) 窗格上,在 Connection settings (连接设置) 下,执行以下操作:

    1. 对于 bandwidth (带宽),选择连接带宽。

      此带宽适用于所有已创建的连接。

    2. 对于 First location service provider (第一位置服务提供商),选择适当的 AWS Direct Connect 位置。

    3. 如果适用,对于 First Sub location (第一子位置),选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

    4. 如果您选择 “其他” 作为 “第一地点” 服务提供商,请在 “其他提供商的名称” 中输入您使用的合作伙伴的名称。

    5. 对于 Second location service provider (第二位置服务提供商),选择适当的 AWS Direct Connect 位置。

    6. 如果适用,对于 Second Sub location (第二子位置),选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

    7. 如果您选择 “其他” 作为 “第二地点服务提供商”,请在 “其他提供商的名称” 中输入您使用的合作伙伴的名称。

    8. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于 Value(值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  6. 选择 Next(下一步)

  7. 检查您的连接,然后选择 Continue (继续)

    如果您的 LOA 已准备就绪,则可选择 Download LOA (下载 LOA),然后单击 Continue (继续)

    AWS 审核您的请求并为您的连接配置端口可能需要长达 72 小时。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。此电子邮件将发送到您在注册时使用的电子邮件地址AWS。您必须在 7 日内回复,否则将删除该连接。

步骤 3:创建您的虚拟接口

您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建公共虚拟接口来连接不在 VPC 中的公共AWS服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口连接到三个 VPC。

在您开始之前,请确保您已拥有以下信息:

资源 必填信息
Connection 您为其创建虚拟接口的AWS Direct Connect连接或链路聚合组 (LAG)。
虚拟接口名称 虚拟接口的名称。
虚拟接口所有者 如果您要为另一个账户创建虚拟接口,则需要另一个AWS账户的账户 ID。
(仅限私有虚拟接口)连接 要连接到同一AWS区域的 VPC,您需要您的 VPC 的虚拟私有网关。BGP 会话中 Amazon 端的 ASN 是虚拟专用网关继承的 ASN 创建虚拟专用网关时,可以指定自己的私有ASN。否则,亚马逊会提供默认 ASN。有关更多信息,请参阅 Amazon VPC 用户指南中的创建虚拟私有网关。要通过专线网关Connect 到 VPC,您需要直接Connect 网关。有关更多信息,请参阅 Direct Connect 网关
VLAN 唯一的虚拟局域网 (VLAN) 标签,尚未在您的连接中使用。该值必须介于 1 到 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。

如果您有托管连接,则您的AWS Direct Connect合作伙伴会提供此值。创建虚拟接口后,您无法修改该值。
对等 IP 地址 虚拟接口可以支持 IPv4、IPv6 或其中一个(双堆栈)的 BGP 对等会话。请勿使用亚马逊池中的弹性 IP (EIP) 创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配给 BGP 对等会话的虚拟接口的两端。

  • IPv4:

    • (仅限公共虚拟接口)必须指定您拥有的唯一公有 IPv4 地址。值可以是以下之一:

      • 客户拥有的 IPv4 CIDR

      • 您的AWS Direct Connect合作伙伴或 ISP 拥有的 IP 范围,以及 LOA-CFA 授权

      • AWS-提供的 /31 CIDR。联系S AWSu pport 部门申请公有 IPv4 CIDR(并在您的请求中提供用例)

        注意

        我们不能保证我们能够满足对AWS所提供的公有 IPv4 地址的所有请求。

    • (仅限私有虚拟接口)Amazon 可以为您生成私有 IPv4 地址。如果您自行指定,请确保仅为路由器接口和 AWS Direct Connect 接口指定私有 CIDR (例如,不要从本地网络中指定其他 IP 地址)。

  • IPv6:亚马逊会自动为您分配 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。
地址家庭 BGP 对等会话是通过 IPv4 还是 IPv6。
BGP 信息

  • BGP 会话中端的公共或私有边界网关协议 (BGP) 自治系统编号 (ASN)。如果您使用公共 ASN,您必须拥有它。如果您使用的是私有 ASN,则可以设置自定义 ASN 值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 0 到 2147483647 范围内。如果您将私有 ASN 用于公共虚拟接口,则自治系统 (AS) 预置不起作用。

  • AWS默认情况下启用 MD5。您不能修改此选项。

  • 一个 MD5 BGP 身份验证密钥。您可以自己提供,也可以让亚马逊为您生成一个。
(仅限公共虚拟接口)您要宣传的前缀

通过 BGP 进行通告的公共 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

  • IPv4:当以下任一条件成立AWS Direct Connect时,IPv4 CIDR 可以与宣布使用的另一个公有 IPv4 CIDR 重叠:

    • CIDR 来自不同的AWS区域。确保在公共前缀上应用 BGP 社区标签。

    • 当您在主动/被动配置中具有公共 ASN 时,您可以使用 AS_PATH。

    有关更多信息,请参阅路由策略和 BGP 社区

  • IPv6:指定 /64 或更短的前缀长度。

  • 您可以向现有的公共 VIF 添加其他前缀,并通过联系AWS支持人员宣传这些前缀。在您的支持案例中,提供您想要添加到公共 VIF 并发布的其他 CIDR 前缀列表。
(仅限私有虚拟接口)巨型帧 超传输单元 (MTU) 的最大传输单位 (MTU) 的最大传输单位AWS Direct Connect。默默默默默默默默默默默 将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 AWS Direct Connect 传播的路由。如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在AWS Direct Connect控制台中将其选中,然后在虚拟接口常规配置页面上找到支持 Jumbo fram e。
(仅限传输虚拟接口)巨型帧 超传输单元 (MTU) 的最大传输单位 (MTU) 的最大传输单位AWS Direct Connect。默默默默默默默默默默默 如果未更新虚拟接口以支持巨型帧,则将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接的更新。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在 Transit Gateway 路由表中配置的静态路由和传播路由将支持 Jumbo 帧,包括从具有 VPC 静态路由表条目的 EC2 实例到Transit Gateway 附件。要检查连接或虚拟接口是否支持巨型帧,请在AWS Direct Connect控制台中将其选中,然后在虚拟接口常规配置页面上找到支持 Jumbo fram e。

如果您的公共前缀或 ASN 属于 ISP 或网络运营商,AWS请您提供更多信息。这可以是使用公司抬头的文档,也可以是来自公司域名的用于验证该网络前缀/ASN 是否可由您使用的电子邮件。

当您创建一个公有虚拟接口时,AWS 可能需要长达 72 小时来审核和批准您的请求。

配置与非 VPC 服务间的公有虚拟接口

  1. 通过 https://console.aws.amazon.com/directconnect/v2/home 打开AWS Direct Connect主机。

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. Virtual interface type (虚拟接口类型) 下,对于 Type (类型),选择 Public (公有)

  5. Public virtual interface settings (公有虚拟接口设置) 下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    4. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

      有效值为 1-2147483647。

  6. Additional settings (其他设置) 下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于 Amazon 路由器对等 IP,输入用于将流量发送到 AWS 的 IPv4 CIDR 地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要提供您自己的 BGP 密钥,请输入您的 BGP MD5 密钥。

      如果您不输入值,我们将生成 BGP 密钥。

    3. 要将前缀公布到 Amazon,对于 Prefixes you want to advertise (您要公布的前缀),输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于 Value(值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

配置与 VPC 间的私有虚拟接口

  1. 通过 https://console.aws.amazon.com/directconnect/v2/home 打开AWS Direct Connect主机。

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. 在 “虚拟接口类型” 下,为 “类型” 选择 “私有”。

  5. 私有虚拟接口设置下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于网关类型,选择虚拟专用网关直接Connect 网关

    4. 对于虚拟接口所有者,选择其他AWS帐户,然后输入该AWS帐户。

    5. 对于虚拟专用网关,选择虚拟专用网关用于此接口。

    6. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    7. 对于 BGP ASN,输入新虚拟接口的本地对等路由器的边界网关协议自治系统编号。

      有效值为0 到 2147483647

  6. 附加设置下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于亚马逊路由器对等 IP,请输入用于向其发送流量的 IPv4 CIDR 地址AWS。

        重要

        如果你允许AWS自动分配 IPv4 地址,则将根据 RFC 3927 从 169.254.0.0/16 IPv4 Link-Local 中分配 /29 CIDR 用于 point-to-point连接。 AWS如果您打算使用客户路由器的对等 IP 地址作为 VPC 流量的来源和/或目标,则不建议使用此选项。相反,您应该使用 RFC 1918 或其他寻址,并自己指定地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要将最大传输单位 (MTU) 从 1500(默认)更改为 9001(巨型帧),请选择 Jumbo MTU(MTU 大小 9001)

    3. (可选)在 “用” 下 SiteLink,选择 “启用” 以启用 Direct Connect 接入点之间的直接连接。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于 Value(值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

步骤 4:验证您的虚拟接口弹性配置

建立AWS云或 Amazon VPC 的虚拟接口后,执行虚拟接口故障转移测试,以验证您的配置是否符合弹性要求。有关更多信息,请参阅AWS Direct Connect 故障转移测试

步骤 5:验证您的虚拟接口连接

在建立了与AWS云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的AWS Direct Connect连接。

验证您的虚拟接口与AWS云的连接

  • 运行 traceroute 并确认 AWS Direct Connect 标识符在网络追踪范围内。

验证您与 Amazon VPC 的虚拟接口连接

  1. 使用可通过 ping 操作的 AMI(例如 Amazon Linux AMI)在连接到您的虚拟私有网关的 VPC 中启动 EC2 实例。当您在 Amazon EC2 控制台中使用实例启动向导时,可以在快速启动选项卡中找到 Amazon Linux AMI。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的启动实例。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。

  2. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。

  3. Ping 私有 IPv4 地址并获得响应。