本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络到亚马逊 VPC 连接选项
本节提供了将远程网络与您的 Amazon VPC 环境连接起来的设计模式。这些选项可用于通过将您的内部网络扩展到 AWS 云来将 AWS 资源与您现有的现场服务(例如监控、身份验证、安全、数据或其他系统)集成。此网络扩展还允许您的内部用户无缝连接到 AWS 上托管的资源,就像任何其他面向内部的资源一样。
为每个连接的网络使用非重叠的 IP 范围时,最好实现 VPC 与远程客户网络的连接。例如,如果您想将一个或多个 VPC 连接到公司网络,请确保它们配置了唯一的无类域间路由 (CIDR) 范围。我们建议为每个 VPC 分配一个连续、不重叠的 CIDR 块。有关 Amazon VPC 路由和限制的更多信息,请参阅亚马逊 VPC 常见问题解答
| 选项 | 使用场景 | 优点 | 限制 |
|---|---|---|---|
| AWS 通过互联网管理到单个 VPC 的 IPsec VPN 连接 |
重复使用现有的 VPN 设备和流程 重复使用现有的互联网连接 AWS 托管的高可用性 VPN 服务 支持静态路由或动态边界网关协议 (BGP) 对等和路由策略 |
网络延迟、可变性和可用性取决于互联网条件 您负责实现冗余和故障转移(如果需要) 远程设备必须支持单跳 BGP(利用 BGP 进行动态路由时) |
|
|
AWS 托管 IPsec VPN 通过互联网连接到多个 VPC 的区域路由器 |
与上一个选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 |
与上一个选项相同 |
|
|
通过专线连接专用网络 |
更可预测的网络性能 降低带宽成本 支持 BGP 对等和路由策略 |
可能需要额外的电信和托管服务提供商关系或配置新的网络线路 |
|
|
通过专线连接到多个 VPC 的区域路由器的专用网络连接 |
与上一个选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 |
与之前的选项相同 |
|
|
通过专用线路进行的 IPsec VPN 连接 |
更可预测的网络性能 降低带宽成本 支持 BGP 对等和路由策略 AWS Direct Connect 重复使用现有的 VPN 设备和流程 AWS 托管的高可用性 VPN 服务 在 VPN 连接上支持静态路由或动态边界网关协议 (BGP) 对等和路由策略 |
可能需要额外的电信和托管服务提供商关系或配置新的网络电路 您负责实现冗余和故障转移(如果需要) 远程设备必须支持单跳 BGP(利用 BGP 进行动态路由时) |
|
| AWS Direct ConnectAWS Transit Gateway + AWS 站点到站点 VPN |
通过专线连接到多个 VPC 的区域路由器的 IPsec VPN |
与之前的选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 |
与之前的选项相同 |
|
Connect 以主连接或备份连接 hub-and-spoke 模式连接远程分支机构 |
重复使用现有的互联网连接和 AWS VPN 连接 AWS 托管的高可用性 VPN 服务 支持 BGP 用于交换路由和路由优先级 |
网络延迟、可变性和可用性取决于互联网 用户管理的分支机构端点负责实现冗余和故障转移(如果需要) |
|
|
使用 AWS 主干网或互联网作为传输网络,将远程分支机构和办公室与软件定义的广域网连接起来。 |
支持更多的 SD-WAN 供应商、产品和协议 一些供应商解决方案已与 AWS 原生服务集成。 |
如果将 SD-WAN 设备放置在 Amazon VPC 中,则您有责任实现高可用性(高可用性)。 |
|
|
通过互联网进行基于软件设备的 VPN 连接 |
支持更多的 VPN 供应商、产品和协议 完全由客户管理的解决方案 |
您负责为所有 VPN 端点实施 HA(高可用性)解决方案(如果需要) |
