使用 VPN CloudHub 提供網站間的安全通訊

如果您有多個 AWS Site-to-Site VPN 連接，您可使用 AWS VPN CloudHub 來提供網站間的安全通訊。這可讓您的站台彼此通訊，不只與 VPC 中的資源通訊。VPN CloudHub 在簡易的軸輻式模型中操作，可搭配或不搭配 VPC 使用。如果您有多個分公司及網際網路連線的客戶，且想要為這些站台的主要或備份連線實作方便、盡可能低成本的軸輻式模型，則此設計適合您。

概要

下圖顯示 VPN CloudHub 架構。虛線顯示透過 VPN 連線路由之遠端站台間的網路流量。這些站台絕不能有重疊的 IP 範圍。

對於此案例，請執行下列動作：

1. 建立單一虛擬私有閘道。

2. 建立多個客戶閘道，每個閘道都具有閘道的公有 IP 地址。針對每個客戶閘道，您必須使用唯一的邊界閘道協定 (BGP) 自發系統編號 (ASN)。

3. 建立從每個客戶閘道到通用虛擬私有閘道的動態路由站台對站台 VPN 連接。

4. 將客戶閘道裝置設定為向虛擬私有閘道公告網站特定字首 (例如 10.0.0.0/24、10.0.1.0/24)。這些路由公告在收到後會重新公告到每個 BGP 對等，讓每個站台彼此傳送及接收資料。在站台對站台 VPN 連接的 VPN 組態檔案中使用網路陳述式，即可完成此作業。網路陳述式各有些微差異，視您使用的路由器類型而定。

5. 在子網路路由表中設定路由，讓 VPC 中的執行個體能與您的網站進行通訊。如需更多詳細資訊，請參閱 (虛擬私有閘道) 在路由表中啟用路由傳播。您可以在路由表中設定彙總路由 (例如 10.0.0.0/16)。在客戶閘道裝置及虛擬私有閘道之間使用更具體的字首。

使用 AWS Direct Connect 連線到虛擬私有閘道的站台，也可以是 AWS VPN CloudHub 的一部分。例如，您位於紐約的企業總部有 VPC 的 AWS Direct Connect 連線，而分公司可使用 Site-to-Site VPN 連接到 VPC。在洛杉磯和邁阿密的分公司可互相傳送和接收資料，也可以和企業總部互相傳送和接收資料，全都使用 AWS VPN CloudHub。

定價

使用 AWS VPN CloudHub 需要按一般 Amazon VPC Site-to-Site VPN 連接費率支付費用。每個 VPN 連線到虛擬私有閘道的每小時，都會向您收取連線費用。當您使用 AWS VPN CloudHub 從某個站台向另一個站台傳送資料時，從您的站台向虛擬私有閘道傳送資料不會產生費用。您只需支付將資料從虛擬私有閘道轉送到您端點的標準 AWS 資料傳輸費用。

例如，如果您在洛杉磯有一個站台，在紐約有第二個站台，而這兩個站台都有連往虛擬私有閘道的站台對站台 VPN 連接，則每條站台對站台 VPN 連接要按每小時費率支付費用 (所以，如果費率是每小時 .05 USD，總計為每小時 .10 USD)。您也需要按標準 AWS 資料傳輸費率，支付所有資料從洛杉磯傳送到紐約 (以及相反方向) 周遊每條 Site-to-Site VPN 連接的費用。透過 Site-to-Site VPN 連接傳送到虛擬私有閘道的網路流量是免費的，但透過 Site-to-Site VPN 連接從虛擬私有閘道傳送到端點的網路流量則需按照標準 AWS 資料傳輸費率計費。

如需詳細資訊，請參閱 站台對站台 VPN 連接定價。