混合式網路連線

有幾種方式可在內部部署設備和AWS. 本白皮書著重於如何將這些不同的方式結合到整體架構中，但提供了不同選項（AWS Direct Connect站對站虛擬私人網路和 Transit Gateway Connect）的簡要概述。

AWS Direct Connect

AWS Direct Connect是建立從您的場所到的專用網路連線的服務AWS。如需詳細資訊，請參閱 AWS Direct Connect。

有兩種類型的AWS Direct Connect連接：專用和託管連接。專用連線是裝置與內部部署AWS裝置之間的直接連結，而代管連線則由可為您處理連線詳細資料的AWS合作夥伴支援。如需詳細資訊，請參閱AWS Direct Connect連線。

直 Connect 連線連線使用虛擬介面 (VIF) 來隔離不同的流量流量。多個 VIF 可以使用相同的直 Connect 結，並以 VLAN (802.1q) 標籤隔開。提供AWS網路連線的 VIF 有三種類型。如需詳細資訊，請參閱AWS Direct Connect虛擬介面。這三種類型如下：

• 私有 VIF：私有 VIF 是裝置與內部資源之間的私人連線。AWS這些會直接AWS在虛擬私有閘道 (VGW) 上終止 (支援單一 VPC)，或透過直接連 Connect 閘道 (然後連線至多個 VGW) 終止。

• 公用 VIF：公用 VIF 可連線至任何公用AWS資源，例如 S3、DynamoDB 和公有 EC2 IP 範圍。雖然公有 VIF 無法直接存取網際網路，但任何 Amazon 公有資源都可以存取該資源 (包括其他客戶的公有 EC2 執行個體)，客戶在安全規劃期間應考慮這些資源。

• 傳輸 VIF：傳輸 VIF 是您的裝置與透過直 Connect 連線閘道之間的私人連線。AWS Transit Gateway速度小於 1 Gbps 的連結現在支援傳輸 VIF-如需詳細資訊，請參閱上市公告。

注意

託管虛擬界面（託管 VIF）是一種私有 VIF 類型，其中 VIF 被指定給與擁有AWS Direct Connect連接的AWS 帳戶AWS 帳戶不同（可以包括合作夥伴）。AWS Direct Connect AWS不再允許新的合作夥伴提供此模型。如需詳細資訊，請參閱建立託管虛擬介面。

圖 1 — AWS Direct Connect 私人和公共 VIF

網站對站台虛擬私人網路 (VPN)

site-to-site VPN 可讓兩個網路安全通訊，而且可透過不受信任的傳輸 (例如網際網路) 使用。客戶可以透過兩個選項，在現場部署網站和 Amazon 虛擬私人雲端 (Amazon VPC) 之間建立 VPN 連線：

• AWS託管 Site-to-Site VPN（AWSS2S VPN）：這是一種使用 IPSec 的全受管和高可用性 VPN 服務。AWS Site-to-Site VPN如需詳細資訊，請參閱「什麼」。您可以選擇為站台對站台 VPN 連接啟用加速。如需詳細資訊，請參閱加速 Site-to-Site VPN 連線。S2S VPN 還可以使用直接 Connect 傳輸 VIF，以避免流量遍歷互聯網，從而降低成本並允許使用私有 IP 地址。如需詳細資訊，請參閱使用 AWS Direct Connect.

• 軟體 Site-to-Site VPN (客戶管理 VPN)：使用此 VPN 連線選項，您必須負責佈建和管理整個 VPN 解決方案，通常是在 EC2 執行個體上執行 VPN 軟體。如需詳細資訊，請參閱軟體 Site-to-Site VPN。

這兩種選項都需要客戶閘道裝置的支援，才能終止 VPN 通道的內部部署結束。這個裝置可以是實體裝置或軟體設備。如需有關所測試之網路裝置的詳細資訊AWS，請參閱已測試的客戶閘道裝置清單。

Transit Gateway Connect（TGW Connect）

Transit Gateway 道 Connect 會使用內部部署閘道裝置AWS Transit Gateway與內部部署閘道裝置之間的 BGP 用於 TGW Connect 之上以啟用動態路由。請注意，TGW Connect 未加密。如需詳細資訊，請參閱 Transit Gateway Connect。