本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 VPN CloudHub 在各个站点之间建立安全通信
如果您有多个 AWS Site-to-Site VPN 连接,则可以使用 AWS VPN CloudHub 在各个站点之间提供安全的通信。这可使您的站点彼此进行通信,而不只是与 VPC 中的资源进行通信。VPN CloudHub 在简单的星型拓扑连接模型上操作,您可以在使用或不使用 VPC 的情况下操作 VPN CloudHub。如果您有多间分公司和现有互联网连接,并且想实施方便、潜在低成本的星型拓扑连接模型,以便在这些站点之间建立主要或备用连接,则该设计会很适用。
概览
下图演示了 VPN CloudHub 架构。虚线显示远程站点之间通过 VPN 连接路由的网络流量。站点的 IP 范围不得重叠。
对于此场景,请执行以下操作:
-
创建单个虚拟私有网关。
-
创建多个客户网关,每个网关都使用该网关的公有 IP 地址。您必须为每个客户网关使用唯一的边界网关协议 (BGP) 自治系统编号 (ASN)。
-
创建从每个客户网关到通用虚拟私有网关的动态路由的站点到站点 VPN 连接。
-
配置客户网关设备以向虚拟私有网关通告特定于站点的前缀(例如 10.0.0.0/24、10.0.1.0/24)。路由通告会被每个 BGP 对等体接收并重新通告,使每个站点都可以向其他站点发送或接受数据。可以使用站点到站点 VPN 连接的 VPN 配置文件内的网络声明完成此操作。根据您使用的路由类型,网络声明可能会有稍许不同。
-
在子网路由表中配置路由以使 VPC 中的实例能够与站点通信。有关更多信息,请参阅 (虚拟私有网关)在路由表中启用路由传播。您可以在路由表中配置聚合路由(例如,10.0.0.0/16)。在客户网关设备和虚拟私有网关之间使用更具体的前缀。
使用 AWS Direct Connect 连接来连接虚拟私有网关的站点也可以是 AWS VPN CloudHub 的一部分。例如,您在纽约的公司总部有到 VPC 的 AWS Direct Connect 连接,您的分支办事处可以使用 Site-to-Site VPN 连接以连接 VPC。洛杉矶和迈阿密的分公司可以使用 AWS VPN CloudHub 在彼此以及您的公司总部之间发送和接收数据。
定价
要使用 AWS VPN CloudHub,您需要支付常规 Amazon VPC Site-to-Site VPN 连接费用。您需要按小时承担 VPN 与虚拟专用网关的连接费用。当您使用 AWS VPN CloudHub 从一个站点向另一个站点发送数据,从您的站点向虚拟私有网关发送数据不会产生任何费用。对于从虚拟私有网关转继到您的终端节点的数据,您仅需支付标准 AWS 数据传输费用即可。
例如,如果您在洛杉矶设有一个站点、在纽约设有第二个站点,并且两个站点都有通向虚拟私有网关的站点到站点 VPN 连接,您应按小时为每个站点到站点 VPN 连接付费(如果小时费率为 0.05 美元,则总费用为每小时 0.10 美元)。您还需为从洛杉矶发送到纽约(反之亦然)且遍历每个 Site-to-Site VPN 连接的所有数据支付标准 AWS 数据传输费。通过 Site-to-Site VPN 连接发送到虚拟私有网关的网络流量是免费的,但通过从虚拟私有网关到终端节点的 Site-to-Site VPN 连接发送的网络流量将按标准 AWS 数据传输费率计费。
有关更多信息,请参阅站点到站点 VPN 连接定价
