本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
交通 VPC 解決方案
傳輸 VPC 可以透過與 VPC 對等不同的方式在 VPC 之間建立連線,方法是針對 VPC 間連線引入集線器和支點設計。在傳輸虛擬私人雲端網路中,一個中央虛擬私人雲端 (集線器 VPC) 透過 VPN 連線,通常透過 IPsec 利用 BGP 連線與其他所有 VPC (支點虛擬私人雲端) 連線。
-
使用覆蓋 VPN 網路啟用傳遞路由,允許集線器和支點設計。
-
在集線器傳輸 VPC 中的 EC2 執行個體上使用第三方廠商軟體時,可以使用圍繞進階安全性 (第 7 層防火牆/入侵防禦系統 (IPS)/入侵偵測系統 (IDS)) 的廠商功能。如果客戶在內部部署使用相同的軟體,他們將受益於統一的操作/監控體驗。
-
傳輸 VPC 架構可提供某些使用案例所需的連線能力。例如,您可以將 AWS GovCloud 執行個體和商業區域 VPC 或 Transit Gateway 執行個體連接到傳輸 VPC,並啟用兩個區域之間的 VPC 間連線。考慮此選項時,請評估您的安全性和合規性需求。為了提高安全性,您可以使用本白皮書稍後所述的設計模式來部署集中式檢查模型。
Transit VPC 面臨各自的挑戰,例如根據執行個體大小/系列在 EC2 上執行第三方廠商虛擬設備的成本較高、每個 VPN 連線的輸送量有限 (每個 VPN 通道最高 1.25 Gbps),以及額外的設定、管理和彈性開銷 (客戶負責管理執行第三方廠商虛擬設備的 EC2 執行個體的 HA 和 EC2 執行個體備援)。
VPC 對等互連與傳輸 VPC 與 Transit Gateway
表 1 — 連線能力比較
條件 | VPC 對等互連 | 交通 VPC | 轉換閘道 | PrivateLink | 雲端廣域網 | VPC Lattice |
---|---|---|---|---|---|---|
範圍 |
區域/全球 | 區域性 | 區域性 | 區域性 | 全球服務 | 區域性 |
架構 | 全網格 | 基於 VPN 的 hub-and-spoke | 以附件為基礎 hub-and-spoke | 提供者或消費者模型 | 以附件為基礎,多區域 | 應用程式對應用連線 |
擴展 |
125 個主動同行器/虛VPC | 取決於虛擬路由器/EC2 | 每個區域 5000 個附件 | 沒有限制 | 每個核心網路 5000 個附件 | 每項服務 500 個 VPC 關聯 |
區隔 |
安全群組 | 客戶管理 | Transit Gateway 路由表 | 無分割 | 客群 | 服務和服務網絡政策 |
Latency (延遲) |
最低 | 額外的,由於 VPN 加密開銷 | 其他 Transit Gateway 躍點 | 流量停留在 AWS 骨幹上,客戶應進行測試 | 使用與交通網關相同的數據 Transit Gateway | 流量停留在 AWS 骨幹上,客戶應進行測試 |
頻寬限制 |
每個執行個體限制,無彙總限制 | 依據大小/系列而定的 EC2 執行個體頻寬限制 | 最高可達 100 Gbps (爆發)/附件 | 每個可用區域 10 Gbps,可自動擴充高達 100 Gbps | 最高可達 100 Gbps (爆發)/附件 | 每個可用區域 10 Gbps |
Visibility |
VPC 流量日誌 | VPC 流程記錄和 CloudWatch 指標 | Transit Gateway 網路管理員、VPC 流程記錄、 CloudWatch 指標 | CloudWatch 度量 | 網路管理員、VPC 流程記錄、 CloudWatch 指標 | CloudWatch 存取記錄 |
安全群組 交互參考 |
支援 | 不支援 | 不支援 | 不支援 | 不支援 | 不適用 |
IPv6 支援 | 支援 | 取決於虛擬應用裝置 | 支援 | 支援 | 支援 | 支援 |