View a markdown version of this page

Direct Connect portali - AWS Direct Connect
Scenari

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Direct Connect portali

Usa il Direct Connect gateway per connettere i tuoi VPC. È possibile associare un Direct Connect gateway a uno dei seguenti elementi:

  • Un gateway di transito quando si dispone di più VPC nella stessa regione

  • Un gateway virtuale privato

  • Una rete centrale AWS Cloud WAN

Puoi anche utilizzare un gateway privato virtuale per estendere la tua zona locale. Questa configurazione consente al VPC associato alla zona locale di connettersi a un gateway Direct Connect. Il gateway Direct Connect si connette a una posizione Direct Connect in una regione. Il data center on-premise dispone di una connessione Direct Connect alla posizione Direct Connect. Per ulteriori informazioni, consulta Accedere alle zone locali usando un gateway Direct Connect nella Guida per l'utente di Amazon VPC.

Un gateway Direct Connect è una risorsa disponibile in tutto il mondo. Puoi connetterti a qualsiasi regione a livello globale utilizzando un gateway Direct Connect. Ciò include AWS GovCloud (US), ma non include, le regioni della AWS Cina. Un gateway Direct Connect è un componente virtuale di Direct Connect progettato per fungere da set distribuito di riflettori di percorso BGP. Poiché opera al di fuori del percorso del traffico dati, evita la creazione di un singolo punto di errore o l'introduzione di dipendenze da fattori specifici. Regioni AWS L'elevata disponibilità è intrinsecamente integrata nel suo design, eliminando la necessità di più gateway Direct Connect.

I clienti che utilizzano Direct Connect con VPC che attualmente bypassano una zona di disponibilità principale non saranno in grado di migrare le proprie connessioni Direct Connect o le interfacce virtuali.

Il gateway Direct Connect può essere utilizzato nei seguenti scenari.

Un gateway Direct Connect non consente alle associazioni gateway che si trovano nello stesso gateway Direct Connect di inviare traffico reciproco (ad esempio, da un gateway privato virtuale a un altro gateway privato virtuale). Un'eccezione a questa regola, implementata a novembre 2021, è quando una supernet viene pubblicizzata su due o più VPC, i cui gateway privati virtuali (VGW) collegati sono associati allo stesso gateway Direct Connect e sulla stessa interfaccia virtuale. In questo caso, i VPC possono comunicare tra loro tramite l'endpoint Direct Connect. Ad esempio, se pubblicizzi una supernet (ad esempio, 10.0.0. 0/8 o 0.0.0. 0/0) che si sovrappone ai VPC collegati a un gateway Direct Connect (ad esempio, 10.0.0. 0/24 e 10.0.1. 0/24) e sulla stessa interfaccia virtuale, quindi dalla rete locale, i VPC possono comunicare tra loro.

Se desideri bloccare la VPC-to-VPC comunicazione all'interno di un gateway Direct Connect, procedi come segue:

  1. Configura gruppi di sicurezza sulle istanze e altre risorse nel VPC per bloccare il traffico tra i VPC, utilizzandoli anche come parte del gruppo di sicurezza predefinito nel VPC.

  2. Evita di pubblicizzare una supernet dalla tua rete on-premise che si sovrappone ai VPC. Puoi invece pubblicizzare percorsi più specifici dalla tua rete on-premise che non si sovrappongano ai tuoi VPC.

  3. Effettua il provisioning di un singolo gateway Direct Connect per ogni VPC che desideri connettere alla tua rete on-premise invece di utilizzare lo stesso gateway Direct Connect per più VPC. Ad esempio, anziché utilizzare un singolo gateway Direct Connect per i VPC di sviluppo e produzione, utilizza gateway Direct Connect separati per ciascuno di questi VPC.

Un gateway Direct Connect non impedisce di inviare del traffico da un'associazione gateway all'associazione gateway stessa (ad esempio quando disponi di una route supernet on-premise che contiene i prefissi dell'associazione gateway). Se disponi di una configurazione con più VPC collegati a gateway di transito associati allo stesso gateway Direct Connect, i VPC potrebbero comunicare. Per evitare che i VPC comunichino, associa una tabella di routing agli allegati VPC su cui è impostata l'opzione blackhole.

Argomenti

Scenari

Di seguito vengono descritti solo alcuni scenari per l'utilizzo dei gateway Direct Connect.

Nel diagramma seguente, il gateway Direct Connect consente di utilizzare la connessione Direct Connect nella regione Stati Uniti orientali (Virginia settentrionale) per accedere ai VPC del proprio account nelle regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti occidentali (California settentrionale).

Ogni VPC dispone di un gateway privato virtuale che si connette al gateway Direct Connect utilizzando un'associazione di gateway privati virtuali. Il gateway Direct Connect utilizza un'interfaccia virtuale privata per la connessione alla Direct Connect posizione. È disponibile una connessione Direct Connect dalla posizione al data center del cliente.

Un gateway Direct Connect che collega i VPC in due AWS regioni e il tuo data center.

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L'Account A e l'Account B vogliono utilizzare il gateway Direct Connect, quindi ciascuno di essi invia una proposta di associazione all'Account Z. Quest'ultimo accetta le proposte di associazione e ha la possibilità di aggiornare i prefissi consentiti dal gateway privato virtuale dell'Account A o dell'Account B. Una volta che l'Account Z avrà accettato le proposte, l'Account A e l'Account B potranno instradare il traffico dal loro gateway privato virtuale al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.

Un gateway Direct Connect che collega tre Account AWS persone e il tuo data center.

Il seguente diagramma illustra il modo in cui il gateway Direct Connect consente di creare un'unica connessione alla connessione Direct Connect che può essere utilizzata da tutti i VPC.

Un gateway Direct Connect associato a un gateway di transito con più allegati VPC.

La soluzione prevede i seguenti componenti:

  • Un gateway di transito che dispone di allegati VPC.

  • Un gateway Direct Connect.

  • Un'associazione tra il gateway Direct Connect e il gateway di transito.

  • Un'interfaccia virtuale di transito collegata al gateway Direct Connect.

Questa configurazione offre i seguenti vantaggi. È possibile:

  • Gestire un'unica connessione per più VPC o VPN che si trovano nella stessa regione.

  • Pubblicizza i prefissi dall'ambiente locale a quello locale e viceversa. AWS AWS

Per ulteriori informazioni su come configurare i gateway di transito, consulta Lavorare con i gateway di transito nella Guida di gateway di transito per Amazon VPC.

Prendiamo ad esempio uno scenario in cui il proprietario del gateway Direct Connect è l'Account Z. L’Account A è proprietario del gateway di transito e desidera utilizzare il gateway Direct Connect. L’Account Z accetta le proposte di associazione e può facoltativamente aggiornare i prefissi che sono consentiti dal gateway di transito dell’Account A. Una volta che l’Account Z ha accettato le proposte, i VPC collegati al possono instradare il traffico dal gateway di transito al gateway Direct Connect. Poiché è il proprietario del gateway, l'Account Z è anche il titolare dell'instradamento ai clienti.

Un gateway Direct Connect Account AWS associato a un gateway di transito di un altro Account AWS.