将 VPC 扩展到本地区域、Wavelength 区域或 Outpost - Amazon Virtual Private Cloud

将 VPC 扩展到本地区域、Wavelength 区域或 Outpost

您可以在全球多个位置托管 VPC 资源(如子网)。这些位置由“区域”、“可用区”、“本地区域”和“Wavelength 区域”组成。每个区域都是一个单独的地理区域。

  • 可用区是每个区域内的多个相互隔离的位置。

  • 本地区域允许您在多个离终端用户较近的位置放置资源(如计算和存储)。

  • AWS Outposts 可将本机 AWS 服务、基础设施和运营模式引入几乎任何数据中心、主机托管空间或本地设施。

  • 利用 Wavelength 区域,开发人员可以为 5G 设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将标准 AWS 计算和存储服务部署到电信运营商的 5G 网络边缘。

AWS运行着具有高可用性的先进数据中心。数据中心有时会发生影响托管于同一位置的所有实例的可用性的故障,虽然这种故障极少发生。如果您将所有实例都托管在受故障影响的同一个位置,则您的所有实例都将不可用。

要帮助您确定哪种部署最适合您,请参阅 AWS Wavelength 常见问题解答

将您的 VPC 资源扩展到本地区域

AWS 本地区域允许您在离终端用户较近的位置放置资源,并且使用熟悉的 API 和工具集无缝连接到 AWS 区域中的所有服务。您可以通过创建具有本地区域分配的新子网来扩展 VPC 区域。当您在本地区域中创建子网时,您也会将 VPC 扩展到该本地区域。

要使用本地区域,您需要遵循以下三步流程:

  • 首先,选择加入本地区域。

  • 接下来,在本地扩展区中创建子网。

  • 最后,在本地区域子网中启动精选资源,以使您的应用程序更接近您的终端用户:

创建 VPC 时,您可以选择为 VPC 分配一组由 Amazon 提供的公有 IP 地址。您还可以为这些地址设置网络边界组,以将地址限制到该组。设置网络边界组时,IP 地址不能在网络边界组间移动。本地区域网络流量将直接进入互联网或接入网点 (PoP),无需遍历本地区域的父区域,从而能够访问低延迟计算。本地区域及其相应父区域的完整列表可在 AWS 本地区域页面上找到。

以下规则适用于本地区域:

  • 本地区域子网遵循与可用区子网相同的路由规则,包括路由表、安全组和网络 ACL。

  • 您可使用 Amazon Virtual Private Cloud Console、AWS CLI 或 API 将子网分配到本地区域。

  • 您必须预配置公有 IP 地址以便在本地区域中使用。分配地址时,您可以指定通告其中 IP 地址的位置。我们将其称为网络边界组,您可以设置此参数,将地址限制到此位置。预置 IP 地址后,您无法在本地区域与父区域之间移动这些地址(例如,从 us-west-2-lax-1aus-west-2)。

  • 您可以请求由 Amazon 提供的 IPv6 IP 地址,并将其与新 VPC 或仅适用于 us-west-2-lax-1ause-west-2-lax-1b 的现有 VPC 的网络边界组关联。所有其他本地区域不支持 IPv6。

  • 出站互联网流量从本地区域内部离开。

有关在 Linux 中使用本地区域的信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的本地区域。有关在 Windows 中使用本地区域的信息,请参阅《适用于 Windows 实例的 Amazon EC2 用户指南》中的本地区域。以上两个指南都包含可用本地区域的列表,以及您可以在每个本地区域启动的资源。

互联网网关的注意事项

在本地区域中使用(父区域中的)互联网网关时,请考虑以下信息:

  • 您可以在本地区域中使用具有弹性 IP 地址或 Amazon 自动分配的公有 IP 地址的互联网网关。您关联的弹性 IP 地址必须包括本地区域的网络边界组。有关更多信息,请参阅 将弹性 IP 地址关联到 VPC 中的资源

    您不能关联为该区域设置的弹性 IP 地址。

  • 本地区域中使用的弹性 IP 地址与区域中的弹性 IP 地址在配额上相同。有关更多信息,请参阅 弹性 IP 地址 (IPv4)

  • 您可以在与本地区域资源关联的路由表中使用互联网网关。有关更多信息,请参阅 路由到互联网网关

使用 Direct Connect 网关访问本地区域

考虑一下您希望本地数据中心访问本地扩展区中的资源的情况。您可以将虚拟私有网关用于与本地区域关联的 VPC,以连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 AWS Direct Connect 站点。本地部署数据中心拥有与该 AWS Direct Connect 位置的 AWS Direct Connect 连接。

对于此配置,可以配置以下资源:

  • 与本地扩展区子网关联的 VPC 的虚拟私有网关。您可以在 Amazon Virtual Private Cloud Console 中的子网详细信息页面上查看子网的 VPC,也可以使用 describe-subnets

    有关如何创建虚拟私有网关的信息,请参阅《AWS Site-to-Site VPN 用户指南》中的创建目标网关

  • Direct Connect 连接。为了获得最佳延迟性能,AWS 建议您使用要将子网扩展到的最靠近本地区域的 Direct Connect 站点

    有关如何订购连接的信息,请参阅《AWS Direct Connect 用户指南》中的交叉连接

  • 一个 Direct Connect 网关。有关如何创建 Direct Connect 网关的信息,请参阅《AWS Direct Connect 用户指南》中的创建 Direct Connect 网关

  • 将 VPC 连接到 Direct Connect 网关的虚拟私有网关关联。有关如何创建虚拟私有网关关联的信息,请参阅《AWS Direct Connect 用户指南》中的关联和取消关联虚拟私有网关

  • 从 AWS Direct Connect 站点到本地部署数据中心的连接上的私有虚拟接口。有关如何创建 Direct Connect 网关的信息,请参阅《AWS Direct Connect 用户指南》中的创建到 Direct Connect 网关的私有虚拟接口

将本地扩展区子网连接到中转网关

您无法为本地区域中的子网创建中转网关挂载。下图显示了如何配置网络,以便本地区域中的子网通过父可用区连接到中转网关。在本地区域中创建子网,并在父可用区中创建子网。将父可用区域中的子网连接到中转网关,然后在路由表中为每个 VPC 创建一个路由,该路由将用于其他 VPC CIDR 的流量路由到中转网关挂载的网络接口。

注意

从中转网关发往本地区域中子网的流量将首先经过父区域。


					本地扩展区到中转网关

为此场景创建以下资源:

  • 每个父可用区中的子网。有关更多信息,请参阅 在您的 VPC 中创建子网

  • 中转网关。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建中转网关

  • 使用父可用区的每个 VPC 的中转网关挂载。有关更多信息,请参阅 Amazon VPC Transit Gateway 中的创建 VPC 的中转网关挂载

  • 与中转网关挂载关联的中转网关路由表。有关更多信息,请参阅 Amazon VPC Transit Gateway中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关挂载的网络接口 ID 作为目标。要查找中转网关挂载的网络接口,请在网络接口的说明中搜索中转网关挂载的 ID。有关更多信息,请参阅 中转网关的路由

以下是 VPC 1 的示例路由表。

目标 目标

VPC 1 CIDR

本地

VPC 2 CIDR

vpc1-attachment-network-interface-id

以下是 VPC 2 的示例路由表。

目标 目标

VPC 2 CIDR

本地

VPC 1 CIDR

vpc2-attachment-network-interface-id

以下是中转网关路由表的示例。每个 VPC 的 CIDR 块将传播到中转网关路由表。

CIDR Attachment 路由类型

VPC 1 CIDR

VPC 1 的挂载

传播

VPC 2 CIDR

VPC 2 的挂载

传播

将 VPC 资源扩展到 Wavelength 区域

利用 AWS Wavelength,开发人员可以为移动设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将标准 AWS 计算和存储服务部署到电信运营商的 5G 网络边缘。开发人员可以将 Amazon Virtual Private Cloud (VPC) 扩展到一个或多个 Wavelength 区域,然后使用 Amazon Elastic Compute Cloud (EC2) 实例等 AWS 资源来运行需要超低延迟并连接到区域中的 AWS 服务的应用程序。

要使用 Wavelength 区域,必须首先选择加入区域。接下来,在 Wavelength 区域中创建子网。您可以在 Wavelength 区域中创建 Amazon EC2 实例、Amazon EBS 卷和 Amazon VPC 子集和 Carrier Gateway。此外,您还可以使用通过 EC2、EBS 和 VPC 编排或搭配使用的服务,如 Amazon EC2 Auto Scaling、Amazon EKS 集群、Amazon ECS 集群、Amazon EC2 Systems Manager、Amazon CloudWatch、AWS CloudTrail 和 AWS CloudFormation。Wavelength 中的服务是 VPC 的一部分,它通过可靠的高带宽连接至 AWS 区域,以便轻松访问包括 Amazon DynamoDB 和 Amazon RDS 在内的服务。

以下规则适用于 Wavelength 区域:

  • 当您在 VPC 中创建子网并将其与 Wavelength 区域关联时,VPC 将扩展到 Wavelength 区域。

  • 默认情况下,您在跨越某个 Wavelength 区域的 VPC 中创建的每个子网都会继承主 VPC 路由表,包括本地路由。

  • 当您在 Wavelength 区域的子网中启动 EC2 实例时,您将为其分配运营商 IP 地址。运营商网关将地址用于从接口到 Internet 或移动设备的流量。运营商网关使用 NAT 转换地址,然后将流量发送到目的地。来自电信运营商网络的流量通过运营商网关路由。

  • 您可以将 VPC 路由表或 Wavelength 区域中的子网路由表的目标设置为运营商网关,从而允许来自特定位置的运营商网络的入站流量,以及向运营商网络和 Internet 发送出站流量。有关 Wavelength 区域中的路由选项的更多信息,请参阅《AWS Wavelength 开发人员指南》中的路由

  • Wavelength 区域中的子网与可用区中的子网具有相同的网络组件,包括 IPv4 地址、DHCP 选项集和网络 ACL。

  • 您无法为 Wavelength 区域中的子网创建 Transit Gateway 挂载。但可以通过父可用区中的子网创建附件,然后通过 Transit Gateway 将流量路由到所需目的地。有关示例,请参阅下一节。

存在多个 Wavelength 区域时的注意事项

不允许位于同一 VPC 中不同 Wavelength 区域内的 EC2 实例之间相互通信。如果您需要在不同 Wavelength 区域之间进行通信,AWS 建议您使用多个 VPC,每个 Wavelength 区域一个。您可以使用中转网关连接这些 VPC。此配置允许这些 Wavelength 区域中的实例之间相互通信。

Wavelength 区域到 Wavelength 区域的流量传输会经过 AWS 区域。有关更多信息,请参阅 AWS Transit Gateway

下图显示了如何配置网络以支持两个不同 Wavelength 区域中的实例相互通信。您有两个 Wavelength 区域(Wavelength 区域 A 和 Wavelength 区域 B)。您需要创建以下资源才能支持通信:

  • 对于每个 Wavelength 区域,创建一个位于其父可用区中的子网。在示例中,您创建了子网 1 和子网 2。有关创建子网的信息,请参阅 在您的 VPC 中创建子网。使用 describe-availability-zones 查找父可用区。

  • 中转网关。中转网关连接 VPC。有关如何创建中转网关的信息,请参阅《Amazon VPC Transit Gateway 指南》中的创建中转网关

  • 对于每个 VPC,VPC 挂载到 Wavelength 区域父可用区的 Transit Gateway 中。有关更多信息,请参阅《Amazon VPC Transit Gateway 指南》中的 VPC 的 Transit Gateway 挂载

  • 中转网关路由表中每个 VPC 的条目。有关如何创建 Transit Gateway 路由的信息,请参阅《Amazon VPC Transit Gateway 指南》中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关 ID 作为目标。有关更多信息,请参阅 中转网关的路由

    在示例中,VPC 1 的路由表包含以下条目:

    目的地 目标

    10.1.0.0/24

    tgw-22222222222222222

    VPC 2 的路由表包含以下条目:

    目的地 目标

    10.0.0.0/24

    tgw-22222222222222222

					多个 Wavelength 区域

AWS Outposts 中的子网

AWS Outposts 为您提供相同的 AWS 硬件基础设施、服务、API 和工具,用于在本地和云中构建并运行您的应用程序。AWS Outposts 非常适合需要以低延迟方式访问本地应用程序或系统的工作负载,以及需要在本地存储和处理数据的工作负载。有关 AWS Outposts 的更多信息,请参阅 AWS Outposts

Amazon VPC 跨越 AWS 区域的所有可用区。将 Outposts 连接到父区域时,您账户中的所有现有和新创建的 VPC 跨所有可用区以及该区域中所有关联的 Outposts 位置。

以下规则适用于 AWS Outposts:

  • 子网必须位于一个 Outposts 位置。

  • 本地网关处理 VPC 与本地网络之间的网络连接。有关本地网关的信息,请参阅《AWS Outposts 用户指南》中的本地网关

  • 如果您的账户与 AWS Outposts 关联,则在创建子网时,您可以指定 Outposts ARN,将子网分配给 Outposts。

  • 默认情况下,您在与 Outposts 关联的 VPC 中创建的每个子网都会继承主 VPC 路由表,包括本地网关路由。您还可以将自定义路由表与 VPC 中的子网显式关联,并将本地网关作为需要路由到本地网络的所有流量的下一跳目标。