扩展您的 VPC - Amazon Virtual Private Cloud

扩展您的 VPC

您可以在全球多个位置托管 VPC 资源(如子网)。这些位置由“区域”、“可用区”、“本地扩展区”和“ Wavelength 区域”组成。每个区域 都是一个单独的地理区域。

  • 可用区是每个区域内的多个相互隔离的位置。

  • 本地扩展区让您可以在多个离最终用户较近的位置放置资源(如计算和存储)。

  • AWS Outposts 可将本地 AWS 服务、基础设施和运营模式引入绝大部分数据中心、主机托管空间或本地设施。

  • 利用 Wavelength 区域,开发人员可以为 5G 设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将 AWS 标准计算和存储服务部署到电信运营商的 5G 网络边缘。

AWS 运行着具有高可用性的先进数据中心。数据中心有时会发生影响托管于同一位置的所有实例的可用性的故障,虽然这种故障极少发生。如果您将所有实例都托管在受故障影响的同一个位置,则您的所有实例都将不可用。

要帮助您确定哪种部署最适合您,请参阅 AWS Wavelength 常见问题解答

将您的 VPC 资源扩展到本地扩展区

AWS Local Zones 允许您通过相同的 API 和工具集无缝连接到 AWS 区域中的所有服务,例如 Amazon Simple Storage Service 和 Amazon DynamoDB。您可以通过创建具有本地区域分配的新子网来扩展 VPC 区域。当您在本地区域中创建子网时,VPC 也会扩展到该本地区域。

要使用本地扩展区,您必须首先选择加入该区域。接下来,在本地扩展区中创建子网。最后,在本地扩展区子网中启动以下任意资源,以使您的应用程序更接近您的最终用户:

  • Amazon EC2 实例

  • Amazon EBS 卷

  • Amazon FSx 文件服务器

  • Application Load Balancer

  • 专用主机

网络边界组是 AWS 通告公有 IP 地址的可用区或本地区域的唯一集合。

创建具有 IPv6 地址的 VPC 时,您可以选择为 VPC 分配一组由 Amazon 提供的公有 IP 地址,还可以为这些地址设置网络边界组以将地址限制到该组。设置网络边界组时,IP 地址不能在网络边界组之间移动。us-west-2 网络边界组包含四个美国西部(俄勒冈)可用区。us-west-2-lax-1 网络边界组包含洛杉矶本地区域。

以下规则适用于本地区域:

  • 本地扩展区子网遵循与可用区子网相同的路由规则,包括路由表、安全组和网络 ACL。

  • 您可以使用 Amazon VPC 控制台、AWS CLI 或 API 将本地扩展区分配给子网。

  • 您必须预配置公有 IP 地址以便在本地区域中使用。分配地址时,您可以指定通告其中 IP 地址的位置。我们将其称为网络边界组,您可以设置此参数以将地址限制在此位置。预配置 IP 地址后,您无法在本地区域和父区域之间移动它们(例如,从 us-west-2-lax-1aus-west-2)。

  • 您可以请求 Amazon 提供的 IPv6 IP 地址,并将其与新 VPC 或现有 VPC 的网络边界组关联。

使用 Direct Connect 网关访问本地扩展区

考虑一下您希望本地数据中心访问本地扩展区中的资源的情况。您可以将虚拟私有网关用于与本地扩展区关联的 VPC 来连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 AWS Direct Connect 站点。本地数据中心与 AWS Direct Connect 站点之间具有 AWS Direct Connect 连接。

对于此配置,可以配置以下资源:

  • 与本地扩展区子网关联的 VPC 的虚拟私有网关。您可以在 Amazon VPC 控制台上的子网详细信息页面上查看子网的 VPC,也可以使用 describe-subnets

    有关如何创建虚拟私有网关的信息,请参阅 AWS 站点到站点 VPN 用户指南中的创建目标网关

  • Direct Connect 连接。AWS 建议您使用以下地点之一,以获得洛杉矶本地扩展区的最佳延迟性能:

    • T5,位于加利福尼亚州洛杉矶埃尔赛贡多(AWS 建议使用此地点以实现到洛杉矶本地扩展区的最低延迟)

    • CoreSite LA1,加利福尼亚州洛杉矶

    • Equinix LA3,加利福尼亚州埃尔塞贡多

    有关如何订购连接的信息,请参阅 AWS Direct Connect 用户指南 中的 交叉连接

  • 一个 Direct Connect 网关。有关如何创建 Direct Connect 网关的信息,请参阅 AWS Direct Connect 用户指南 中的创建 Direct Connect 网关

  • 将 VPC 连接到 Direct Connect 网关的虚拟私有网关关联。有关如何创建虚拟私有网关关联的信息,请参阅 AWS Direct Connect 用户指南中的关联和取消关联虚拟私有网关

  • 从 AWS Direct Connect 站点到本地数据中心的连接上的私有虚拟接口。

  • 有关如何创建 Direct Connect 网关的信息,请参阅 AWS Direct Connect 用户指南 中的创建到 Direct Connect 网关的私有虚拟接口

将本地扩展区子网连接到中转网关

下图显示了如何配置网络,以便本地扩展区中的子网连接到中转网关。您在本地扩展区(子网 3)中有一个子网,在父可用区(子网 2)中有一个子网。将子网 2 连接到中转网关,然后在 VPC 2 路由表中创建一个路由,该路由将 VPC 1 CIDR 的流量路由到中转网关。


					本地扩展区到中转网关

您需要创建以下资源才能支持通信:

  • 父可用区中的子网。有关创建子网的信息,请参阅在 VPC 中创建子网。使用 describe-availability-zones 查找父可用区。

  • 中转网关。有关如何创建中转网关的信息,请参阅 AWS Transit Gateway 指南 中的创建中转网关

  • 到中转网关的可用区 VPC 的 VPC 挂载。有关如何创建连接到 VPC 的 Transit Gateway 挂载的信息,请参阅 AWS Transit Gateway 指南 中的连接到 VPC 的 Transit Gateway 挂载

  • 中转网关路由表中可用区 VPC 的条目。有关如何创建中转网关路由的信息,请参阅 AWS Transit Gateway 指南 中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关 ID 作为目标。有关更多信息,请参阅 中转网关的路由

    在本例中,VPC 1 的路由表包含以下条目:

    目的地 目标

    10.1.0.0/24

    tgw-22222222222222222

    VPC 2 的路由表包含以下条目:

    目的地 目标

    10.0.0.0/24

    tgw-22222222222222222

将 VPC 资源扩展到 Wavelength 区域

利用 AWS Wavelength,开发人员可以为移动设备和最终用户打造具有超低延迟的应用程序。Wavelength 可以将 AWS 标准计算和存储服务部署到电信运营商的 5G 网络边缘。开发人员可以将 Amazon Virtual Private Cloud (VPC) 扩展到一个或多个 Wavelength 区域,然后使用 Amazon Elastic Compute Cloud (EC2) 实例等 AWS 资源来运行需要超低延迟并连接到区域中的 AWS 服务的应用程序。

要使用 Wavelength 区域,必须首先选择加入区域。接下来,在 Wavelength 区域中创建子网。您可以在 Wavelength 区域中创建 Amazon EC2 实例、Amazon EBS 卷和 Amazon VPC 子集和 Carrier Gateway。此外,您还可以使用通过 EC2、EBS 和 VPC 编排或搭配使用的服务,如 Amazon EC2 Auto Scaling、Amazon EKS 集群、Amazon ECS 集群、Amazon EC2 Systems Manager、Amazon CloudWatch、AWS CloudTrail 和 AWS CloudFormation。Wavelength 中的服务是 VPC 的一部分,它通过可靠的高带宽连接至 AWS 区域,以便轻松访问包括 Amazon DynamoDB 和 Amazon RDS 在内的服务。

以下规则适用于 Wavelength 区域:

  • 当您在 VPC 中创建子网并将其与 Wavelength 区域关联时,VPC 将扩展到 Wavelength 区域。

  • 默认情况下,您在跨越某个 Wavelength 区域的 VPC 中创建的每个子网都会继承主 VPC 路由表,包括本地路由。

  • 当您在 Wavelength 区域的子网中启动 EC2 实例时,您将为其分配运营商 IP 地址。运营商网关将地址用于从接口到 Internet 或移动设备的流量。运营商网关使用 NAT 转换地址,然后将流量发送到目的地。来自电信运营商网络的流量通过运营商网关路由。

  • 您可以将 VPC 路由表或 Wavelength 区域中的子网路由表的目标设置为运营商网关,从而允许来自特定位置的运营商网络的入站流量,以及向运营商网络和 Internet 发送出站流量。有关 Wavelength 区域中的路由选项的更多信息,请参阅 AWS Wavelength 开发人员指南 中的路由

  • 您可以使用 Amazon VPC 控制台、AWS CLI 或 API 将 Wavelength 区域分配给子网。

  • Wavelength 区域中的子网与可用区中的子网具有相同的网络组件,包括 IPv4 地址、DHCP 选项集和网络 ACL。

存在多个 Wavelength 区域时的注意事项

注意

不允许位于同一 VPC 中两个不同 Wavelength 区域内的 EC2 实例之间相互通信。如果您需要在不同 Wavelength 区域之间进行通信,AWS 建议您使用多个 VPC,每个 Wavelength 区域一个。您可以使用中转网关连接这些 VPC。此配置允许这些 Wavelength 区域中的实例之间相互通信。

Wavelength 区域到 Wavelength 区域的流量传输会经过 AWS 区域。有关更多信息,请参阅 AWS Transit Gateway

下图显示了如何配置网络以支持两个不同 Wavelength 区域中的实例相互通信。您有两个 Wavelength 区域(Wavelength 区域 A 和 Wavelength 区域 B)。您需要创建以下资源才能支持通信:

  • 对于每个 Wavelength 区域,创建一个位于其父可用区中的子网。在示例中,您创建了子网 1 和子网 2。有关创建子网的信息,请参阅在 VPC 中创建子网。使用 describe-availability-zones 查找父可用区。

  • 中转网关。中转网关连接 VPC。有关如何创建中转网关的信息,请参阅 AWS Transit Gateway 指南 中的创建中转网关

  • 对于每个 VPC,VPC 挂载到中转网关。有关如何创建连接到 VPC 的 Transit Gateway 挂载的信息,请参阅 AWS Transit Gateway 指南 中的连接到 VPC 的 Transit Gateway 挂载

  • 中转网关路由表中每个 VPC 的条目。有关如何创建中转网关路由的信息,请参阅 AWS Transit Gateway 指南 中的中转网关路由表

  • 对于每个 VPC,在 VPC 路由表中创建一个条目,该条目需将另一个 VPC CIDR 作为目的地,并将中转网关 ID 作为目标。有关更多信息,请参阅 中转网关的路由

    在示例中,VPC 1 的路由表包含以下条目:

    目的地 目标

    10.1.0.0/24

    tgw-22222222222222222

    VPC 2 的路由表包含以下条目:

    目的地 目标

    10.1.0.0/24

    tgw-22222222222222222

					多个 Wavelength 区域

AWS Outposts 中的子网

AWS Outposts 为您提供相同 AWS 硬件基础设施、服务、API 和工具,用于在本地和在云中构建并运行您的应用程序。AWS Outposts 是需要低延迟访问本地应用程序或系统的工作负载以及需要在本地存储和处理数据的工作负载的理想选择。有关 AWS Outposts 的更多信息,请参阅 AWS Outposts

Amazon VPC 跨越 AWS 区域的所有可用区。将 Outposts 连接到父区域时,您账户中的所有现有和新创建的 VPC 跨所有可用区以及该区域中所有关联的 Outposts 位置。

以下规则适用于 AWS Outposts :

  • 子网必须位于一个 Outposts 位置。

  • 本地网关处理 VPC 与本地网络之间的网络连接。有关本地网关的信息,请参阅 AWS Outposts 用户指南 中的本地网关

  • 如果您的账户与 AWS Outposts 关联,则在创建子网时,您可以通过指定 Outposts ARN 将子网分配给 Outposts。

  • 默认情况下,您在与 Outposts 关联的 VPC 中创建的每个子网都会继承主 VPC 路由表,包括本地网关路由。您还可以将自定义路由表与 VPC 中的子网显式关联,并将本地网关作为需要路由到本地网络的所有流量的下一跳目标。