本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Local Zones 的连接选项
有许多方法可以将用户和应用程序连接到在本地区域中运行的资源。
在网络架构中构建 Local Zones 的方式与选择可用区域的方式相同。您的工作负载使用相同的应用程序编程接口 (APIs)、安全模型和工具集。通过创建新子网并将其分配给本地区域,您可以将任何 VPC 从父区域扩展到本地区域。当您在 L AWS ocal Zones 中创建子网时,我们会将您的 VPC 扩展到该本地区域,您的 VPC 将该子网与任何其他可用区中的任何子网一样对待,并自动调整所有相关的网关和路由表。
下图显示了一个网络,其资源在两个可用区和一个区域内的本地 AWS 区域中运行。本地区域网络可以有公共或私有子网、互联网网关和网 Direct Connect 关 (DXGW)。在本地区域中运行的工作负载可以直接访问位于任何 AWS 区域的工作负载或 AWS 服务。
![\[具有 VPC 的 AWS 区域。VPC 包含两个可用区和一个本地区域。每个区域都有一个公有子网和一个私有子网。VPC 还有一个互联网网关和一个 AWS Direct Connect 网关。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zones-direct-connect-internet-gateway.png)
以下各节说明了连接本地区域中资源的不同方法。
**Topics**
+ [互联网网关](local-zones-connectivity-igw.md)
+ [NAT 网关](local-zones-connectivity-nat.md)
+ [VPN](local-zones-connectivity-ec2-vpn.md)
+ [Direct Connect](local-zones-connectivity-direct-connect.md)
+ [Local Zones 之间的公交网关](local-zones-connectivity-transit-gateway-lzs.md)
+ [通往数据中心的传输网关](local-zones-connectivity-transit-gateway-dc.md)
# Local Zones 中的互联网网关连接
Internet 网关为在 Local Zones 中 AWS 区域 和/或在 Local Zones 中运行的应用程序提供双向公共连接。有关更多信息,请参阅《*Amazon VPC 用户指南*》中的[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。
在下图中,最终用户访问本地区域 1 中面向公众的应用程序。流量直接进入本地区域 1 中的互联网网关,无需经过父 AWS 区域。在低延迟用例中,您希望面向公众的应用程序比预期的更接近最终用户,请使用这种类型的连接。 AWS 区域
![\[具有 VPC 的 AWS 区域。VPC 包含两个可用区和一个本地区域。每个区域都有一个公有子网和一个私有子网。VPC 还有一个 Internet 网关,流量通过该网关在本地区域公有子网中的应用程序和最终用户之间传输。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zones-internet-gateway.png)
对于需要仅出站连接互联网的私有应用程序,请使用 NAT 网关。
# Local Zones 中的 NAT 网关连接
NAT 网关是一种网络地址转换 (NATI) 服务。它允许您的私有子网中的 Amazon VPC 资源安全地访问子网以外的服务,包括互联网,同时使任何未经请求的流量都无法访问这些私有资源。有关支持 NAT 网关的本地区域列表,请参阅[AWS 本地区域功能](https://aws.amazon.com/about-aws/global-infrastructure/localzones/features/)。
要使用 NAT 网关从您的私有资源访问互联网,请在公有子网中实例化 NAT 网关,然后将您的互联网流量(`0.0.0.0/0`或`::/0`)从私有子网路由到 NAT 网关。NAT 网关将来自您的私有子网的流量的私有 IP 地址转换为与其关联的 EIP,以便您的私有资源可以安全地访问互联网。
NAT 网关仅接受来自被访问目的地的响应流量,并丢弃任何未经请求的入站连接。这会使您的私人资源无法通过互联网访问。
有关更多信息,请参阅*《Amazon VPC 用户指南》*中的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。
下图显示了流量从本地区域的私有子网流向同一本地区域中公有子网中的 NAT 网关,然后流向 Internet 网关和互联网。
![\[具有 VPC 的 AWS 区域。VPC 包含两个可用区和一个本地区域。每个区域都有一个公有子网和一个私有子网。本地区域中的公有子网显示 NAT 网关。流量从本地区域的私有子网流向 NAT 网关,然后流向互联网网关,然后流向互联网。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/nat-gateway.png)
# Local Zones 中的 VPN 连接
VPN 连接可以在本地数据中心和本地区域中运行的工作负载之间提供安全的双向通信。对于 Local Zones,您必须在 Amazon EC2 实例上部署基于软件的 VPN 解决方案。访问 [AWS Marketplace](https://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn),查找可在亚马逊 EC2 实例上运行的 VPN 解决方案。您还需要部署互联网网关,以便建立 VPN 连接。
下图显示了通过在本地区域 1 的 Amazon EC2 实例上运行的基于软件的 VPN 解决方案连接到本地区域 1 的数据中心。这允许从数据中心直接连接到本地区域的加密连接,而无需流量通过父区域。
![\[具有 VPC 的 AWS 区域。VPC 包含两个可用区和一个本地区域。每个区域都有一个公有子网和一个私有子网。该图还显示了一个本地数据中心,其客户网关位于该 AWS 区域之外。本地区域中的公有子网包括基于软件的 VPN 解决方案。VPC 有一个 Internet 网关,流量通过该网关在本地区域的公有子网之间流向客户数据中心。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zone-on-premise-vpn.png)
# Local Zones 中的 Direct Connect
使用 Direct Connect,您可以使用公共虚拟接口 (VIF) 或专用 VIF 私密地将数据直接从您的数据中心传入和传出 Local Zones。Direct Connect 提供的好处与在 Amazon EC2 上使用基于软件的 VPN 类似,但它绕过了公共互联网,减少了管理与 Local Zones 的连接所需的无意中听见。
有关更多信息,请参阅 [Direct Connect 《用户指南》](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)。
下图显示了 Local Zones 和数据中心之间的 Direct Connect 连接。
![\[具有 VPC 的 AWS 区域。VPC 包含一个可用区和一个本地区域。每个区域都有一个私有子网。该图还显示了一个本地数据中心,其客户网关位于该 AWS 区域之外。Direct Connect 连接可促进本地区域和数据中心之间的流量。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zones-direct-connect.png)
在混合云迁移期间,您可以将应用程序迁移到 Local Zones,同时使用 Direct Connect 与数据中心应用程序的其他部分进行通信。例如,将应用程序的前端迁移到本地区域中的 Amazon EC2、Amazon ECS 或 Amazon EKS,并将后端数据库保留在数据中心。最终,您可以将数据库迁移到本地区域,将整个应用程序迁移到本地区域 AWS 区域。
# Local Zones 之间的公交网关连接
传输网关可用于将一个本地区域连接到同一父区域内的另一个本地区域。有关中转网关的更多信息,请参阅 *Amazon VPC 用户指南中的使用中转网关将您的 VPC* [连接到其他 VPCs 和网络](https://docs.aws.amazon.com/vpc/latest/userguide/extend-tgw.html)。
当工作负载位于不同的本地区域并且需要它们之间的网络连接时,本地区域之间的传输网关连接非常有用。
下图显示了同一区域中两个 Local Zones 之间的传输网关连接。
![\[一个有两个 AWS 的地区 VPCs。每个 VPC 都包含一个可用区和一个本地区域。每个区域都有一个私有子网。传输网关连接便于两个 Local Zones 之间的流量。\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zones-same-region.png)
**注意事项**
+ 您必须在父区域中创建公交网关附件。
+ 您无法将本地区域连接到同一 VPC 内的其他本地区域或前哨站。
**家长专区**
您可以使用 AWS 全局视图控制台或命令行界面来获取本地区域的父区域详细信息。
------
#### [ AWS Global View console ]
**获取本地区域的父区域详细信息**
1. 登录 [AWS 全局视图控制台](https://console.aws.amazon.com/ec2globalview/home#RegionsAndZones)。
1. 在导航窗格中,选择**区域和区域**。
1. 选择 L **ocal Zones** 选项卡。
1. 找到本地区域。
1. 滚动查看本地**区域的父区域名称****和父区域 ID**。
------
#### [ AWS CLI ]
**获取本地区域的父区域详细信息**
使用 [describe-availability-zones](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-availability-zones.html) 命令。以下示例使用洛杉矶的本地区域。
```
aws ec2 describe-availability-zones \
--zone-names us-west-2-lax-1a \
--query 'AvailabilityZones[0].ParentZoneName' \
--region us-west-2 \
--output text
```
------
# Local Zones 中的公交网关连接
传输网关通过中央枢纽连接您的 Amazon Virtual Private Cloud 和本地网络。中转网关已启用 AWS 区域。虽然您可以使用传输网关将数据中心连接到本地区域,但这不是直接连接。
有关中转网关的更多信息,请参阅 *Amazon VPC 用户指南中的使用中转网关将您的 VPC* [连接到其他 VPCs 和网络](https://docs.aws.amazon.com/vpc/latest/userguide/extend-tgw.html)。
下图显示了 AWS 区域 使用公交 VIF 从客户网关通过 Direct Connect 连接到中转网关的情况。它从那里连接到 VPC,以启用流向本地区域的流量。
![\[具有 VPC 的 AWS 区域。VPC 包含一个可用区和一个本地区域。每个区域都有一个私有子网。该图还显示了一个本地数据中心,其客户网关位于该 AWS 区域之外。本地区域的私有子网和客户网关之间的流量通过该 AWS 区域的传输网关、Transit VIF 和连接进行传输。 Direct Connect\]](http://docs.aws.amazon.com/zh_cn/local-zones/latest/ug/images/local-zones-internet-gateway2.png)
当您将此连接选项用于 Local Zones 时,从数据中心到本地区域的所有流量将首先流向目标本地区域的父区域(也称为 “hairpinning”),然后到达本地区域。使用传输网关从您的场所连接到本地区域并不是理想的路径,因为您的数据必须先传输到该区域,这会增加延迟。