本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS OutpostsAWS 區域連線
AWS Outposts 透過服務連結連線支援廣域網路 (WAN) 連線。
透過服務連結的連線
服務連結是 Outposts 與 AWS 區域 (或主要區域) 之間必要的連線。它允許管理 Outposts 和往返 AWS 區域的流量交換。服務連結會利用加密的VPN連線集與主區域通訊。
建立服務連結連線後,您的 Outpost 會變成可操作,並由 管理 AWS。服務連結可促進下列流量:
-
Outpost 和任何相關聯 之間的客戶VPC流量VPCs。
-
Outposts 管理流量,例如資源管理、資源監控,以及韌體和軟體更新。
下列步驟說明服務連結設定程序和連線選項。
-
訂購 Outposts 機架後, AWS 會與您聯絡以收集 VLAN、IP、 BGP和 基礎設施子網路 IPs。如需詳細資訊,請參閱本機網路連線。
-
在安裝期間,根據您提供的資訊在 Outpost 上 AWS 設定服務連結。
-
您可以設定本機網路裝置,例如路由器,透過BGP連線連線至每個 Outpost 網路裝置。如需有關服務連結 VLAN、IP 和BGP連線的資訊,請參閱 聯網。
-
您可以設定網路裝置,例如防火牆,讓您的 Outpost 能夠存取 AWS 區域或主區域。 AWS Outposts 會使用服務連結基礎設施子網路IPs來設定與 區域的VPN連線和交換控制和資料流量。一律會從 Outpost 起始建立服務連結。您可以使用下列其中一個選項,在 Outposts 和 AWS 區域之間建立服務連結VPN連線:
-
公有網際網路
此選項需要 AWS Outposts 服務連結基礎設施子網路IPs,才能存取 AWS 區域或主要區域的公有 IP 範圍。您必須允許在防火牆等聯網裝置上公開列出 AWS 區域IPs或 0.0.0.0/0。
-
AWS Direct Connect (DX) 公有 VIFs
此選項需要 AWS Outposts 服務連結基礎設施子網路IPs,才能透過 DX 服務存取 AWS 區域或主區域的公有 IP 範圍。您必須允許在防火牆等聯網裝置上公開列出AWS區域IPs或 0.0.0.0/0。
-
私有連線
如需詳細資訊,請參閱使用 的服務連結私有連線VPC。
-
注意
-
如果您計劃僅允許列出防火牆上的 AWS 區域公有 IPs(而不是 0.0.0.0/0),則必須確保您的防火牆規則具有 up-to-date目前的 IP 地址範圍。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的 AWS IP 地址範圍。
您將無法修改在訂單程序期間提供的服務連結組態。
服務連結最大傳輸單元 (MTU) 需求
網路連線的最大傳輸單位 (MTU) 是以位元組為單位的大小,是可通過連線的最大允許封包。網路必須支援 Outpost 與父 AWS 區域中的服務連結端點MTU之間的 1500 位元組。如需 Outpost 中執行個體與 AWS 區域中執行個體MTU之間透過服務連結所需的資訊,請參閱 Amazon 使用者指南 中的 Amazon EC2執行個體的網路最大傳輸單位 (MTU)。 EC2
服務連結頻寬建議
為了獲得最佳體驗和恢復能力, AWS 要求每個運算機架使用至少 500 Mbps 的備援連線,以及服務連結連線至 AWS 區域的往返延遲上限為 175 毫秒。您可以使用 AWS Direct Connect 或網際網路連線進行服務連結。服務連結連線的最低 500 Mbps 和最長往返時間需求可讓您啟動 Amazon EC2執行個體、連接 Amazon EBS磁碟區,以及存取具有最佳效能 AWS 的服務,例如 Amazon EMR、Amazon EKS和 CloudWatch 指標。
您的 Outpost 服務連結頻寬要求會因下列特性而有所不同:
-
AWS Outposts 機架和容量組態數量
-
工作負載特性,例如AMI大小、應用程式彈性、爆量速度需求,以及 Amazon VPC流量到 區域
若要收到符合您需求的服務連結頻寬的自訂建議,請聯絡您的 AWS 銷售代表或APN合作夥伴。
防火牆和服務連結
本節討論防火牆組態和服務連結連線。
在下圖中,組態會將 Amazon VPC 從 AWS 區域延伸至 Outpost。 AWS Direct Connect 公有虛擬介面是服務連結連線。下列流量會通過服務連結和 AWS Direct Connect 連線:
-
透過服務連結傳送至 Outpost 的管理流量
-
Outpost 與任何相關聯 之間的流量 VPCs
如果您將具狀態防火牆與網際網路連線搭配使用,以限制從公有網際網路到服務連結 的連線VLAN,則可以封鎖從網際網路啟動的所有傳入連線。這是因為服務連結只會從 Outpost VPN啟動至 區域,而不是從 區域啟動至 Outpost。
如果您使用防火牆來限制來自服務連結 的連線VLAN,則可以封鎖所有傳入連線。您必須依照下表,允許傳出連線從 AWS 區域返回 Outpost。如果防火牆具狀態,則會允許來自 Outpost 的傳出連線,這表示其是從 Outpost 起始,應允許反向傳入。
| 通訊協定 | 來源連接埠 | 來源地址 | 目標連接埠 | 目的地地址 |
|---|---|---|---|---|
UDP |
443 |
AWS Outposts 服務連結 /26 |
443 |
AWS Outposts 區域的公有 IPs |
TCP |
1025-65535 |
AWS Outposts 服務連結 /26 |
443 |
AWS Outposts 區域的公有 IPs |
注意
Outpost 中的執行個體無法使用服務連結與另一個 Outpost 中的執行個體通訊。利用透過本機閘道或本機網路介面的路由在 Outpost 之間進行通訊。
AWS Outposts 機架的設計也包含備援電源和聯網設備,包括本機閘道元件。如需詳細資訊,請參閱 中的復原 AWS Outposts。
使用 的服務連結私有連線 VPC
當您建立 Outpost 時,可以在主控台中選取私有連線選項。執行此操作時,服務連結VPN連線會在使用您指定的 VPC和 子網路安裝 Outpost 之後建立。這允許透過 進行私有連線,VPC並將公有網際網路暴露降至最低。
必要條件
您必須先符合下列先決條件,才能為 Outpost 設定私有連線:
-
您必須為IAM實體 (使用者或角色) 設定許可,以允許使用者或角色建立服務連結角色以進行私有連線。IAM 實體需要存取下列動作的許可:
-
arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*的iam:CreateServiceLinkedRole -
arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*的iam:PutRolePolicy -
ec2:DescribeVpcs -
ec2:DescribeSubnets
如需詳細資訊,請參閱 的身分和存取管理 (IAM) AWS Outposts 和 的服務連結角色 AWS Outposts。
-
-
在與 Outpost 相同的 AWS 帳戶和可用區域中,建立 VPC,僅用於 Outpost 與子網路 /25 或更高版本的私有連線,而不會與 10.1.0.0/16 衝突。例如,您可以使用 10.2.0.0/16。
-
建立 AWS Direct Connect 連線、私有虛擬介面和虛擬私有閘道,以允許內部部署 Outpost 存取 VPC。如果 AWS Direct Connect 連線位於與 不同的 AWS 帳戶中VPC,請參閱 AWS Direct Connect 使用者指南 中的跨帳戶建立虛擬私有閘道的關聯。
-
將子網路公告CIDR至您的內部部署網路。您可以使用 AWS Direct Connect 來執行此操作。如需詳細資訊,請參閱《 指南》中的《AWS Direct Connect AWS Direct Connect 虛擬介面》和《使用 AWS Direct Connect 閘道》。
當您在 AWS Outposts 主控台中建立 Outpost 時,可以選取私有連線選項。如需說明,請參閱 建立 Outposts 機架的訂單。
注意
若要在 Outpost 處於 PENDING 狀態時選取私有連線選項,請從主控台選擇 Outpost,然後選取您的 Outpost。選擇 動作、新增私有連線,然後依照步驟進行。
為 Outpost 選取私有連線選項後, 會在您的帳戶中 AWS Outposts 自動建立服務連結角色,讓它代表您完成下列任務:
-
在子網路中建立VPC您指定的網路介面,並為網路介面建立安全群組。
-
准許 AWS Outposts 服務將網路介面連接至 帳戶中的服務連結端點執行個體。
-
將網路介面連接至帳戶中的服務連結端點執行個體。
如需服務連結角色的詳細資訊,請參閱的服務連結角色 AWS Outposts。
重要
安裝 Outpost 之後,請從 Outpost 確認連線至子網路IPs中的私有。
備援網際網路連線
當您從 Outpost 建置連線至 AWS 區域時,我們建議您建立多個連線,以提高可用性和彈性。如需詳細資訊,請參閱 AWS Direct Connect 彈性建議
如果您需要連線到公有網際網路,您可以使用備援網際網路連線和各種網際網路供應商,就像現有的內部部署工作負載一樣。
