AWS OutpostsAWS 區域連線 - AWS Outposts
透過服務連結的連線更新和服務連結備援網際網路連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS OutpostsAWS 區域連線

AWS Outposts 透過服務連結連線支援廣域網路 (WAN) 連線。

注意

您無法針對將 Outposts 伺服器連線至 AWS 區域或 AWS Outposts 主區域的服務連結連線使用私有連線。

在 AWS Outposts 佈建期間,您 或 會 AWS 建立服務連結連線,將 Outposts 伺服器連線至您選擇的 AWS 區域或主區域。服務連結是一組加密的VPN連線,每當 Outpost 與您選擇的主區域通訊時都會使用。您可以使用虛擬 LAN(VLAN) 來分割服務連結上的流量。服務連結VLAN可啟用 Outpost 與 AWS 區域之間的通訊,以管理 Outpost 和 AWS 區域與 Outpost 之間的內部VPC流量。

Outpost 能夠透過公有區域連線建立服務 AWS 連結VPN回 區域。若要這麼做,Outpost 需要透過公有網際網路或 AWS Direct Connect 公有虛擬介面連線至 AWS 區域的公有 IP 範圍。此連線可以透過服務連結 中的特定路由VLAN,或透過預設路由 0.0.0.0/0。如需 AWS公有範圍的詳細資訊,請參閱《AWS IP 地址範圍》。

建立服務連結後,Outpost 即處於服務狀態,並由 管理 AWS。服務連結用於下列流量:

  • 透過服務連結傳送至 Outpost 的管理流量,包括內部控制平面流量、內部資源監控,以及韌體和軟體的更新。

  • Outpost 和任何相關聯 之間的流量VPCs,包括客戶資料平面流量。

服務連結最大傳輸單元 (MTU) 需求

網路連線的最大傳輸單位 (MTU) 是以位元組為單位的大小,是可通過連線的最大允許封包。網路必須支援 Outpost 和父 AWS 區域中的服務連結端點MTU之間的 1500 位元組。如需 Outpost 中執行個體與 AWS 區域中執行個體MTU之間透過服務連結所需的資訊,請參閱 Amazon 使用者指南 中的 Amazon EC2執行個體的網路最大傳輸單位 (MTU) EC2

服務連結頻寬建議

為了獲得最佳體驗和恢復能力, AWS 需要您使用至少 500 Mbps 的備援連線,以及最多 175 ms 的往返延遲,才能將服務連結連線至 AWS 區域。每個 Outposts 伺服器的最大使用率為 500 Mbps。若要提高連線速度,請使用多個 Outposts 伺服器。例如,如果您有三個 AWS Outposts 伺服器,最大連線速度會提高到 1.5 Gbps (1,500 Mbps)。如需詳細資訊,請參閱伺服器 的服務連結流量

您的 AWS Outposts 服務連結頻寬需求會根據工作負載特性而有所不同,例如AMI大小、應用程式彈性、爆量速度需求,以及 Amazon VPC流量到 區域。請注意, AWS Outposts 伺服器不會快取 AMIs。AMIs 會在每次執行個體啟動時從 區域下載。

若要收到符合您需求的服務連結頻寬的自訂建議,請聯絡您的 AWS 銷售代表或APN合作夥伴。

防火牆和服務連結

本節討論防火牆組態和服務連結連線。

在下圖中,組態會將 Amazon VPC 從 AWS 區域延伸至 Outpost。 AWS Direct Connect 公有虛擬介面是服務連結連線。下列流量會通過服務連結和 AWS Direct Connect 連線:

  • 透過服務連結傳送至 Outpost 的管理流量

  • Outpost 和任何相關聯 之間的流量 VPCs

AWS Direct Connect 連線至 AWS

如果您將具狀態防火牆與網際網路連線搭配使用,以限制從公有網際網路到服務連結 的連線VLAN,則可以封鎖從網際網路啟動的所有傳入連線。這是因為服務連結只會從 Outpost VPN啟動至 區域,而不是從 區域啟動至 Outpost。

網際網路閘道連線至 AWS

如果您使用防火牆來限制來自服務連結 的連線VLAN,則可以封鎖所有傳入連線。您必須依照下表,允許傳出連線從 AWS 區域返回 Outpost。如果防火牆具狀態,則會允許來自 Outpost 的傳出連線,這表示其是從 Outpost 起始,應允許反向傳入。

通訊協定 來源連接埠 來源地址 目標連接埠 目的地地址

UDP

1024-65535

服務連結 IP

53

DHCP 提供的DNS伺服器

UDP

443、1024-65535

服務連結 IP

443

AWS Outposts Service Link 端點

TCP

1024-65535

服務連結 IP

443

AWS Outposts 註冊端點
注意

Outpost 中的執行個體無法使用服務連結與另一個 Outpost 中的執行個體通訊。利用透過本機閘道或本機網路介面的路由在 Outpost 之間進行通訊。

AWS 會在 Outposts 伺服器與其父 AWS 區域之間維持安全網路連線。此網路連線稱為服務連結,對於透過在 Outpost 和 AWS 區域之間提供內部VPC流量來管理 Outpost 至關重要。AWS 精心建構的最佳實務建議在兩個 Outpost 之間部署應用程式,這些 Outpost 以主動主動設計傳遞至不同的可用區域。如需詳細資訊,請參閱AWS Outposts 高可用性設計和架構考量

服務連結會定期更新,以維持操作品質和效能。在維護期間,您可能會在此網路上觀察到短暫的延遲和封包遺失,進而影響依賴於區域內託管資源VPC連線的工作負載。不過,周遊本機網路介面 (LNI) 的流量不會受到影響。您可以遵循 AWS Well-Architected 最佳實務,並確保您的應用程式對影響單一 Outposts 伺服器的故障或維護活動具有彈性,以避免影響您的應用程式。

備援網際網路連線

當您從 Outpost 建置連線至 AWS 區域時,我們建議您建立多個連線,以提高可用性和彈性。如需詳細資訊,請參閱 AWS Direct Connect 彈性建議

如果您需要連線到公有網際網路,您可以使用備援網際網路連線和各種網際網路供應商,就像現有的內部部署工作負載一樣。