AWS Site-to-Site VPN 是什么? - AWS Site-to-Site VPN

AWS Site-to-Site VPN 是什么?

默认情况下,您在 Amazon VPC 中启动的实例无法与您自己的(远程)网络进行通信。您可以通过创建 AWS Site-to-Site VPN (Site-to-Site VPN) 连接并将路由配置为通过该连接传输流量,从 VPC 启用对远程网络的访问。

尽管 VPN 连接 术语是一个泛指术语,但是在本文档中,VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。站点到站点 VPN 支持 Internet 协议安全 (IPsec) VPN 连接。

Site-to-Site VPN 连接是 AWS Classic VPN 或 AWS VPN。有关更多信息,请参阅 站点到站点 VPN 类别

概念

以下是站点到站点 VPN 的主要概念:

  • VPN 连接:本地设备和 VPC 之间的安全连接。

  • VPN 隧道:用于在客户网络和 AWS 之间传输数据的加密链接。

    每个 VPN 连接均包括两条 VPN 隧道,可以同时使用这两条隧道来实现高可用性。

  • 客户网关:一种 AWS 资源,可向 AWS 提供有关客户网关设备的信息。

  • 客户网关设备:站点到站点 VPN 连接在您这一端的实体设备或软件应用程序。

  • 虚拟私有网关:站点到站点 VPN 连接在 Amazon 一端的 VPN 集中器。您将虚拟私有网关或中转网关用作站点到站点 VPN 连接的 Amazon 端的网关。

  • 中转网关:可用来互连 VPC 和本地网络的中转中心。您将中转网关或虚拟私有网关用作站点到站点 VPN 连接的 Amazon 端的网关。

使用站点到站点 VPN

可以使用以下任意接口创建、访问和管理站点到站点 VPN 资源:

  • AWS Management Console – 提供一个 Web 界面,您可以使用该界面访问 Site-to-Site VPN 资源。

  • AWS Command Line Interface (AWS CLI) – 提供适用于大量 AWS 服务(包括 Amazon VPC)的命令,并在 Windows、macOS 和 Linux 上受支持。有关更多信息,请参阅 AWS Command Line Interface

  • AWS 软件开发工具包 – 提供了特定于语言的 API,并关注许多连接详细信息,例如计算签名、处理请求重试和错误处理。有关更多信息,请参阅AWS开发工具包

  • 查询 API — 提供您使用 HTTPS 请求调用的低级别 API 操作。使用查询 API 是用于访问 Amazon VPC 的最直接方式,但需要您的应用程序处理低级别详细信息,例如生成哈希值以签署请求以及进行错误处理。有关更多信息,请参阅 Amazon EC2 API 参考

站点到站点 VPN 限制

站点到站点 VPN 连接有以下限制。

  • 虚拟私有网关上的 VPN 连接不支持 IPv6 流量。

  • AWS VPN 连接不支持路径 MTU 发现。

此外,在使用站点到站点 VPN 时,请注意以下事项。

  • 在将 VPC 连接到公共本地网络时,我们建议您对网络使用非重叠的 CIDR 块。

定价

有关定价的信息,请参阅 AWS VPN 定价