什麼是 AWS Site-to-Site VPN？

根據預設，您在 Amazon VPC 中啟動的執行個體不會與您自己的 (遠端) 網路通訊。您可以透過建立 AWS Site-to-Site VPN (Site-to-Site VPN) 連接，並設定路由透過連線傳遞流量，以從 VPC 存取遠端網路。

雖然「VPN 連接」一詞很籠統，但在本文件中是指您的 VPC 和您的現場部署網路之間的連線。站台對站台 VPN 支援網際網路通訊協定安全 (IPsec) VPN 連接。

概念

以下是站台對站台 VPN 的主要概念：

VPN 連接：內部部署設備和 VPC 之間的安全連線。
VPN 通道：資料可以在客戶網路和 AWS 之間往返傳送的加密連結。

每個 VPN 連接包含兩個 VPN 通道，您可以同時使用這些通道以獲得高可用性。
客戶閘道：向 AWS 提供客戶閘道裝置相關資訊的 AWS 資源。
客戶閘道裝置：站台對站台 VPN 連接位於您這端的實體裝置或軟體應用程式。
Target gateway (目標閘道)：一個通用術語，表示站台對站台 VPN 連接中 Amazon 端的 VPN 端點。
Virtual private gateway (虛擬私有閘道)：虛擬私有閘道是站台對站台 VPN 連接之 Amazon 端的 VPN 端點，可以連接到單一 VPC。
Transit gateway (轉換閘道)：可用來互連多台 VPC 和內部部署聯網的傳輸中樞，也可用作為站台對站台 VPN 連接 Amazon 端的 VPN 端點。

僅 AWS Site-to-Site VPN 連接支援下列功能：

網際網路金鑰交換版本 2 (IKEv2)
NAT 周遊
虛擬私有閘道 (VGW) 組態適用範圍介於 1 至 2147483647 之間的 4 位數 ASN。如需詳細資訊，請參閱「站台對站台 VPN 連接的客戶閘道選項」。
客戶閘道 (CGW) 適用範圍介於 1 至 65535 之間的 2 位數 ASN。如需詳細資訊，請參閱「站台對站台 VPN 連接的客戶閘道選項」。
CloudWatch 指標
您客戶閘道可重複使用的 IP 地址
額外的加密選項，包括 AES 256 位元加密、SHA-2 雜湊，以及其他 Diffie-Hellman 群組
可設定的通道選項
BGP 工作階段的 Amazon 端自訂私有 ASN
來自之次級 CA 的私有憑證AWS Private Certificate Authority
支援傳輸閘道上的 VPN 連線之 IPv6 流量。

站台對站台 VPN 連接有下列限制。

此外，使用站台對站台 VPN 時，請考慮下列事項。

您可以使用下列任一界面來建立、存取和管理您的站台對站台 VPN 資源：

AWS Management Console – 提供可存取 Site-to-Site VPN 資源的 Web 介面。
AWS Command Line Interface (AWS CLI) – 提供包括 Amazon VPC 在內的大量 AWS 服務命令，Windows、macOS 和 Linux 都支援。如需更多詳細資訊，請參閱 AWS Command Line Interface。
AWS 開發套件 – 提供語言特定 API，並處理許多連線詳細資訊，例如計算簽章、處理請求重試和錯誤處理。如需詳細資訊，請參閱 AWS 開發套件。
查詢 API – 提供可以使用 HTTPS 請求呼叫的低層級 API 動作。使用查詢 API 是存取 Amazon VPC 最直接的方式，但這需要您的應用程式能處理低階詳細資訊，例如產生雜湊以簽署請求以及錯誤處理。如需詳細資訊，請參閱 Amazon EC2 API 參考。

系統會針對每個 VPN 連接時數 (已佈建 VPN 連接且可供使用) 來向您收取費用。如需詳細資訊，請參閱 AWS Site-to-Site VPN 和 Accelerated Site-to-Site VPN 連接定價。

系統會針對從 Amazon EC2 傳輸資料至網際網路來向您收取費用。如需詳細資訊，請參閱「Amazon EC2 隨需定價」頁面上的資料傳輸

當您建立加速 VPN 連接時，我們會代表您建立及管理兩個加速器。每個加速器會依小時費率和資料傳輸費用，向您收取費用。如需詳細資訊，請參閱 AWS Global Accelerator 定價。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

AWS Site-to-Site VPN 的運作方式