本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加速AWS Site-to-Site VPN连接
您可以选择为 Site-to-Site VPN 连接启用加速。加速 Site-to-Site VPN 连接(加速 VPN 连接)用于AWS Global Accelerator将流量从您的本地网络路由到离您的客户网关设备最近的AWS边缘站点。AWS Global Accelerator优化网络路径,使用无拥塞的AWS全球网络将流量路由到提供最佳应用程序性能的端点(有关更多信息,请参阅)。AWS Global Accelerator
当您创建加速 VPN 连接时,我们将代表您创建和管理两个加速器(每个 VPN 隧道一个)。您无法使用AWS Global Accelerator控制台或自己查看或 APIs管理这些加速器。
有关支持加速 VPN 连接的AWS区域的信息,请参阅AWS加速 Site-to-Site VPN FAQs
启用加速
默认情况下,当您创建 Site-to-Site VPN 连接时,加速处于禁用状态。在传输网关上创建新的 Site-to-Site VPN 连接时,您可以选择启用加速。有关更多信息和步骤,请参阅创建AWS Site-to-Site VPN连接。
加速 VPN 连接使用单独的 IP 地址池作为隧道端点 IP 地址。两个 VPN 隧道的 IP 地址选自两个独立的网络区域。
规则和限制
要使用加速的 VPN 连接,应遵循以下规则:
-
只有连接到传输网关的 Site-to-Site VPN 连接才支持加速。虚拟私有网关不支持加速 VPN 连接。
-
加速 Site-to-Site VPN 连接不能与AWS Direct Connect公共虚拟接口一起使用。
-
您无法为现有 Site-to-Site VPN 连接开启或关闭加速。相反,您可以根据需要创建开启或关闭加速功能的新 Site-to-Site VPN 连接。然后,将您的客户网关设备配置为使用新的 Site-to-Site VPN 连接并删除旧的 Site-to-Site VPN 连接。
-
NAT-遍历 (NAT-T) 是加速 VPN 连接所需的,并且默认情况下处于启用状态。如果您从 Amazon VPC 控制台下载了配置文件,请检查 NAT-T 设置并根据需要对其进行调整。
-
必须从客户网关设备启动加速 VPN 隧道的 IKE 协商。影响此行为的两个隧道选项是
Startup Action和DPD Timeout Action。有关更多信息,请参阅 VPN 隧道选项 和 VPN 隧道启动选项。 -
Site-to-Site 由于全球加速器中对数据包分段的支持有限AWS Global Accelerator,因此使用基于证书的身份验证的 VPN 连接可能与不兼容。有关更多信息,请参阅 AWS Global Accelerator的工作原理。如果您需要使用基于证书的身份验证的加速 VPN 连接,您的客户网关设备必须支持 IKE 分段。否则,请勿启用 VPN 加速。
