混合网络连接

有几种方法可以在本地设备和 AWS 之间建立连接。本白皮书重点介绍了如何将这些不同的方式结合到整体架构中，但也提供了不同选项（AWS Direct Connect、站点到站点虚拟专用网络和中转网关连接）的简要概述。

AWS Direct Connect

AWS Direct Connect 是一种从本地到 AWS 之间建立专用网络连接的服务。有关详细信息，请参阅 AWS Direct Connect。

有两种类型的 AWS Direct Connect 连接：专用连接和托管连接。专用连接是 AWS 设备与您的本地设备之间的直接链接，而托管连接则由可以为您处理连接详细信息的 AWS 合作伙伴提供支持。有关更多信息，请参阅AWS Direct Connect 连接。

Direct Connect 连接使用虚拟接口 (VIF) 来隔离不同的流量。多个 VIF 可使用同一 Direct Connect 链路，并用 VLAN (802.1q) 标签隔开。有三种类型的 VIF 可提供与 AWS 网络的连接。有关更多详细信息，请参阅AWS Direct Connect 虚拟接口。三种类型是：

• 专用 VIF：专用 VIF 是您的设备与 AWS 内部资源之间的专用连接。这些终端在 AWS 内部直接连接到虚拟专用网关 (VGW)（支持单个 VPC），或通过 Direct Connect 连接到多个 VGW。

• 公共 VIF：公共 VIF 允许连接任何公共 AWS 资源，例如 S3、DynamoDB 和公共 EC2 IP 范围。虽然公共 VIF 不能直接访问互联网，但任何 Amazon 公共资源都可以访问它（包括其他客户的公共 EC2 实例），客户在进行安全规划时应考虑到这一点。

• Transit VIF：Transit VIF 是通过 Direct Connect 网关在您的设备和 AWS Transit Gateway 之间建立的专用连接。现在，速度低于 1 Gbps 的链路也支持 Transit VIF，详情请参阅发布公告。

注意

托管虚拟接口 (Hosted VIF) 是专用 VIF 的一种类型，在这种类型中，VIF 被分配给不同的 AWS 账户 ，而不是拥有 AWS Direct Connect 连接的 AWS 账户（可以包括 AWS Direct Connect 合作伙伴）。AWS 不再允许新的合作伙伴提供这种模式。有关更多信息，请参阅创建托管虚拟接口。

图 1——AWS Direct Connect 专用和公共 VIF

Site-to-Site 虚拟专用网络 (VPN)

Site-to-Site VPN 使两个网络能够安全地通信，并且可以通过不受信任的传输方式使用，例如互联网。客户可以通过两种方式在本地站点和 Amazon Virtual Private Cloud (Amazon VPC)之间建立 VPN 连接：

• AWS 托管式 Site-to-Site VPN (AWS S2S VPN)：这是一种使用 IPsec 的完全托管且高度可用的 VPN 服务。有关更多信息，请参阅什么是 AWS Site-to-Site VPN。您可以选择为站点到站点 VPN 连接启用加速。有关更多信息，请参阅加速的 Site-to-Site VPN 连接。S2S VPN 还可以使用 Direct Connect 中转 VIF 来避免流量通过互联网，从而降低成本并允许使用专用 IP 地址。有关详细信息，请参阅带 AWS Direct Connect 的专用 IP VPN。

• 软件站 Site-to-Site VPN（客户托管的 VPN）：使用此 VPN 连接选项，您负责配置和管理整个 VPN 解决方案，通常是在 EC2 实例上运行 VPN 软件。有关更多信息，请参阅软件 Site-to-Site VPN。

这两个选项都需要客户网关设备的支持才能终止 VPN 隧道的本地端。该设备可以是物理设备，也可以是软件设备。有关经 AWS 测试的网络设备的更多信息，请参阅已测试的客户网关设备列表。

Transit Gateway Connect (TGW Connect)

Transit Gateway Connect 在 AWS Transit Gateway 和本地网关设备之间使用 GRE 隧道。在 TGW Connect 上使用 BGP 可实现动态路由选择。请注意，TGW Connect 未加密。有关更多信息，请参阅 Transit Gateway Connect。