Site-to-Site VPN 单一和多个 VPN 连接示例

下图展示的是单一和多个站点到站点 VPN 连接。

单一站点到站点 VPN 连接

VPC 具有挂载的虚拟私有网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至虚拟私有网关。

有关设置此方案的步骤，请参阅AWS Site-to-Site VPN 入门。

使用中转网关的单一站点到站点 VPN 连接

VPC 具有挂载的中转网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至中转网关。

有关设置此方案的步骤，请参阅AWS Site-to-Site VPN 入门。

多个站点到站点 VPN 连接

VPC 具有附加的虚拟私有网关，并且您有多个站点到站点 VPN 连接连到多个本地位置。您可以设置路由，以使从您的 VPC 通向您的网络的数据流可以被路由到虚拟专用网关中。

当您创建到单个 VPC 的多个站点到站点 VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。有关更多信息，请参阅使用冗余站点到站点 VPN 连接以提供故障转移。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。有关更多信息，请参阅使用 VPN CloudHub 在各个站点之间建立安全通信。

使用中转网关的多个站点到站点 VPN 连接

VPC 具有附加的中转网关，并且您有多个站点到站点 VPN 连接连到多个本地位置。您可以设置路由，以使从 VPC 发往您的网络的任何流量都路由到中转网关中。

当您创建到单个中转网关的多个站点到站点 VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。

与 AWS Direct Connect 之间的 Site-to-Site VPN 连接

VPC 具有附加的虚拟私有网关，并通过 AWS Direct Connect 连接到您的本地（远程）网络。您可以配置 AWS Direct Connect 公有虚拟接口，以便通过虚拟私有网关在您的网络与公有 AWS 资源之间建立专用网络连接。您可以设置路由，以使从 VPC 通向您的网络的任何流量都可路由到虚拟私有网关和 AWS Direct Connect 连接。

当 AWS Direct Connect 和 VPN 连接在同一个虚拟私有网关上设置时，添加或删除对象可能会导致虚拟私有网关进入“正在连接”状态。这表示正在对内部路由进行更改，该更改将在 AWS Direct Connect 和 VPN 连接之间切换，以最大限度地减少中断和数据包丢失。此操作完成后，虚拟私有网关将返回到“已附加”状态。

与 AWS Direct Connect 之间的私有 IP 站点到站点 VPN 连接

使用私有 IP 站点到站点 VPN，您可以加密本地网络和 AWS 之间的 AWS Direct Connect 流量，而无需使用公有 IP 地址。AWS Direct Connect 上的私有 IP VPN 可确保 AWS 和本地网络之间的流量既安全又是私有的，并可让客户遵守法规和安全要求。

有关更多信息，请参阅以下博客文章：AWS Site-to-Site VPN 私有 IP VPN 简介。