本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 混合连接
<a name="hybrid-connectivity"></a>

 本节重点介绍如何安全地将您的云资源与本地数据中心连接起来。启用混合连接的方法有三种：
+  **One-to-one 连接** — 在此设置中，将为每个 VPC 创建 VPN 连接和/或 Direct Connect 私有 VIF。这是通过使用虚拟专用网关 (VGW) 来实现的。此选项非常适合少数客户 VPCs，但是随着客户的扩展 VPCs，管理每个 VPC 的混合连接可能会变得困难。
+  **边缘整合** — 在这种设置中，客户 VPCs 可以在单个端点整合多个混合 IT 连接。所有人 VPCs 共享这些混合连接。这是通过使用 AWS Transit Gateway 和 Direct Connect 网关来完成的。
+  **全网状混合整合** — 在此设置中，客户使用基于此基础的 CloudWAN VPCs 在单个端点整合多个端点的 AWS Transit Gateway连接。这是一种基于策略的完整方法，用于在一个或多个 AWS 账户中进行联网，用代码表示。目前，使用 Direct Connect 边缘连接需要将 Transit Gateway 对等连接到 CloudWAN。

# VPN 
<a name="vpn"></a>

 有多种方法可以设置到 AWS 的 VPN：

![\[描述 Site-to-Site VPN 选项的图表\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-vpn-options.png)

+  **选项 1：在公交网关上整合 VPN 连接** — 此选项利用 Transit Gateway 上的 Transit Gateway VPN 附件。Transit Gateway 支持 IPsec 终止 site-to-site VPN。客户可以创建通往 Transit Gateway 的 VPN 隧道，并可以访问与之 VPCs连接的。Transit Gateway 支持静态和基于 BGP 的动态 VPN 连接。Transit Gatew [ay 还支持 VPN 连接上的等价多路径](https://en.wikipedia.org/wiki/Equal-cost_multi-path_routing) (ECMP)。每个 VPN 连接的每个隧道的最大吞吐量为 1.25 Gbps。启用 ECMP 允许您汇总各个 VPN 连接的吞吐量，从而允许扩展到超出默认的最大限制 1.25 Gbps。在此选项中，您需要为 T [ransit Gateway 的定](https://aws.amazon.com/transit-gateway/pricing/)价和定[Site-to-Site VPN 价](https://aws.amazon.com/vpn/pricing/)付费。AWS 建议使用此选项进行 VPN 连接。有关更多信息，请参阅[使用 AWS Transit Gateway 扩展 VPN 吞吐量](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)博客文章。
+  **选项 2：终止 Amazon EC2 实例上的 VPN** — 在边缘情况下，客户需要特定的供应商软件功能集（例如 [Cisco DMVPN](https://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html) 或通用路由封装 (GRE)），或者他们希望在各种 VPN 部署之间保持操作一致性时，可以利用此选项。您可以使用传输 VPC 设计进行边缘整合，但请务必记住，中转 VPC [VPC 到 VPC 的连接](vpc-to-vpc-connectivity.md) 部分中的所有关键注意事项都适用于混合 VPN 连接。您负责管理高可用性，并支付 EC2 任何供应商的软件许可和支持费用。
+  **选项 3：在虚拟专用网关 (VGW) 上终止** **V** PN — 此 AWS Site-to-Site VPN 服务选项支持 one-to-one连接设计，即每个 VPC 创建一个 VPN 连接（由一对冗余 VPN 隧道组成）。这是开始使用 VPN 连接到 AWS 的好方法，但是随着数量的扩展 VPCs，管理越来越多的 VPN 连接可能会变得具有挑战性。因此，利用 Transit Gateway 的边缘整合设计最终将是一个更好的选择。VGW 的 VPN 吞吐量限制为每条隧道 1.25 Gbps，并且不支持 ECMP 负载平衡。从定价角度来看，您只需为 AWS VPN 定价付费，运行 VGW 不收取任何费用。有关更多信息，请参阅定[Site-to-Site VPN 价](https://aws.amazon.com/vpn/pricing/)和[Site-to-Site VPN 虚拟专用网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html)。
+ **选项 4：终止客户端 VPN 终端节点上的 VPN 连接** — AWS Client VPN 是一项基于客户端的托管 VPN 服务，可让您安全地访问本地网络中的 AWS 资源和资源。借助 Client VPN，您可以使用 OpenVPN 或 AWS 提供的 VPN 客户端从任何位置访问您的资源。通过设置 Client VPN 端点，客户端和用户可以进行连接以建立传输层安全 (TLS) VPN 连接。有关更多信息，请参阅 [AWS Client VPN 文档](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html)。
+  **选项 5：在 AWS Cloud WAN 上整合 VPN 连接** — 此选项与此列表中的第一个选项类似，但它使用 CloudWAN 架构通过网络策略文档以编程方式配置 VPN 连接。

# Direct Connect 
<a name="direct-connect"></a>

虽然互联网上的VPN是一个不错的入门选择，但对于生产流量，互联网连接可能不可靠。由于这种不可靠性，许多客户选择[Direct Connect](https://aws.amazon.com/directconnect/)。 Direct Connect 是一项网络服务，除了使用互联网连接到 AWS 之外，它还提供了一种替代方案。使用 Direct Connect，以前本应通过 Internet 传输的数据通过您的设施与 AWS 之间的私有网络连接传输。在许多情况下，与基于互联网的连接相比，专用网络连接可以降低成本、增加带宽并提供更稳定的网络体验。有几种方法可以 Direct Connect 用来连接 VPCs：

![\[描述使用以下方法连接本地数据中心的示意图 Direct Connect\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/connect-on-premises.png)

+  **选项 1：为连接到 VPC 的 VGW 创建私有虚拟接口 (VIF)** — 您可以为每个 Di VIFs rect Connect 连接创建 50 个私有虚拟接口，允许您最多连接 50 个 VPCs （一个 VIF 提供与一个 VPC 的连接）。每个 VPC 有一个 BGP 对等互连。此设置中的连接仅限于 Direct Connect 位置所在的 AWS 区域。VIF 与 VPC 的 one-to-one映射（以及缺乏全球访问权限）使其成为登陆区域 VPCs 中最不受欢迎的访问方式。
+ **选项 2：为与多个关联的 Direct Connect 网关 VGWs （每个 VGW 都连接到一个 VPC）创建私有 VIF** — Direct Connect 网关是一种全球可用的资源。您可以在任何地区创建 Direct Connect 网关，然后从所有其他区域访问该网关，包括 GovCloud （不包括中国）。Direct Connect Gateway 可以通过单个私有 VIF 连接到任何 AWS 账户中的全球多达 20 个 VPCs （通过 VGWs）。如果着陆区由少量 VPCs （十个或更少 VPCs）的and/or you need global access. There is one BGP peering session per Direct Connect Gateway per Direct Connect connection. Direct Connect gateway is only for north/south交通流组成，并且不允许 VPC-to-VPC连接，那么这是一个不错的选择。有关更多详细信息，请参阅 Direct Connect 文档中的[虚拟专用网关关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)。使用此选项，连接将不限于 Direct Connect 地点所在的 AWS 区域。 Direct Connect 网关仅适用于南北流量，不允许连接。 VPC-to-VPC此规则的一个例外情况是，当超网在两个或多个 VPCs 网关与同一个 Direct Connect 网关 VGWs 关联且位于同一个虚拟接口上进行通告时。在这种情况下， VPCs 可以通过 Direct Connect 端点相互通信。有关更多详细信息，请参阅[Direct Connect 网关文档](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。
+  **选项 3：为与 Transit Gateway 关联的 Direct Connect 网关创建公交 VIF** — 您可以使用公交 VIF 将 Transit Gateway 实例关联到 Direct Connect 网关。 Direct Connect 现在支持以所有端口速度连接到 Transit Gateway，在不需要高速连接（大于 1Gbps）时，这为 Transit Gateway 用户提供了更具成本效益的选择。这使您能够以 50、100、200、300、400 和 500 Mbps 的速度使用 Direct Connect，连接到 Transit Gateway。Transit VIF 允许您通过单一传输 VIF 和 BGP 对等互联，将本地数据中心连接到每个 Direct Connect 网关最多六个 Transit Gateway 实例（可以连接到数千个 VPCs），跨不同 AWS 地区和 AWS 账户。这是大规模连接多个选项中最简单的设置，但您应该注意 T [ransi VPCs t Gateway 的配额](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-limits.html)。需要注意的一个关键限制是，您只能通过中转 VIF 将来自 Transit Gateway 的 [200 个前缀](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)通告到本地路由器。使用之前的选项，您需要按照 Direct Connect 的定价付费。对于此选项，您还需要支付 Transit Gateway 的附件和数据处理费用。有关更多信息，请参阅 Di [rect Connect 上的 Transit Gateway 关联文档](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。
+  **选项 4：通过 Direct Connect 公共 VIF 创建与 Transit Gateway 的 VPN 连接** — 公有 VIF 允许您使用公有 IP 地址访问所有 AWS 公共服务和终端节点。当你在 Transit Gateway 上创建 VPN 附件时，你会在 AWS 端获得两个用于 VPN 终端节点的公有 IP 地址。 IPs 这些公众可以通过公共 VIF 进行联系。您可以通过公共 VIF 创建任意数量的 Transit Gateway 实例的 VPN 连接。当您通过公有 VIF 创建 BGP 对等互连时，AWS 会向您的路由器通告整个 AW [S 公有 IP 范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。为确保仅允许某些流量（例如，仅允许流量流向 VPN 终端节点），建议您使用防火墙本地设施。此选项可用于在网络层对您的 Direct Connect 进行加密。
+  **选项 5： Direct Connect 使用私有 IP VPN 创建与 Transit Gateway 的 VPN 连接** — 私有 IP VPN 是一项功能，可让客户使用私有 IP 地址通过 Direct Connect 部署 AWS Site-to-Site VPN 连接。借助此功能，您无需使用公有 IP 地址即可通过 Direct Connect 连接加密本地网络与 AWS 之间的流量，从而同时增强安全性和网络隐私。私有 IP VPN 部署在 Transit 之上 VIFs，因此它允许您使用 Transit Gateway 以更安全、更私密和可扩展的方式集中管理客户 VPCs 和与本地网络的连接。
+ **选项 6：通过公交 VIF 创建通往 Transit Gateway 的 GRE 隧道 — Transi** t Gateway Connect 连接类型支持 GRE。借助 Transit Gateway Connect，软件定义广域网基础设施可以原生连接到 AWS，而无需在 SD-WAN 网络虚拟设备和 Transit Gateway IPsec VPNs 之间进行设置。GRE 隧道可以通过传输 VIF 建立，将 Transit Gateway Connect 作为连接类型，与 VPN 连接相比，可提供更高的带宽性能。有关更多信息，请参阅使用 Connect [简化 SD-WAN AWS Transit Gateway 连接](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)博客文章。

“将 VIF 传输到 Direct Connect 网关” 选项似乎是最佳选择，因为它允许您使用每个 Direct Connect 连接的单个 BGP 会话 AWS 区域 在单个点（Transit Gateway）上整合给定的所有本地连接；但是，围绕此选项的一些限制和注意事项可能会导致您同时使用私有和公交来满足着陆 VIFs 区连接要求。

下图说明了一个示例设置，其中使用 Transit VIF 作为连接的默认方法， VPCs 而私有 VIF 用于必须将大量数据从本地数据中心传输到媒体 VPC 的边缘用例。私有 VIF 用于避免 Transit Gateway 的数据处理费用。作为最佳实践，您应该在两个不同的 Direct Connect 位置至少有两个连接，以[实现最大冗余](https://aws.amazon.com/directconnect/resiliency-recommendation/)，即总共四个连接。您可以为每个连接创建一个 VIF，总共创建四个私有连接 VIFs 和四个传输 VIFs。您也可以创建 VPN 作为连接的备用 Direct Connect 连接。

使用 “通过公交 VIF 创建通往 Transit Gateway 的 GRE 隧道” 选项，您可以将软件定义广域网基础设施与 AWS 进行本地连接。它无需在 SD-WAN 网络虚拟设备和 Transit Gateway IPsec VPNs 之间进行设置。

![\[描绘混合连接参考架构示例的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hybrid-connectivity-ra.png)


使用网络服务帐户创建 Direct Connect 资源，从而划定网络管理边界。Direct Connect 连接、Direct Connect 网关和传输网关都可以位于网络服务帐户中。要与您的着陆区共享 Direct Connect 连接，只需 AWS RAM 与其他账户共享 Transit Gateway 即可。

## MACsec Direct Connect 连接的安全性
<a name="macsec-security-dc"></a>



[客户可以将 MAC 安全标准 (MACsec) 加密 (IEEE 802.1AE) 与 Direct Connect 连接一起使用 10 Gbps，在特定地点使用 100 Gbps 的专用连接。](https://aws.amazon.com/directconnect/locations/)借助[此功能](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)，客户可以在第 2 层保护其数据，而 Direct Connect 可提供 point-to-point加密功能。要启用 Direct Connect MACsec 功能，请确保满足[MACsec 先决条件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-mac-sec-getting-started.html#mac-sec-prerequisites)。由于在 hop-by-hop基础上 MACsec 保护链路，因此您的设备必须与我们的 Direct Connect 设备建立直接的第 2 层邻接关系。您的最后一英里提供商可以帮助您验证您的连接是否可以正常工作。 MACsec有关更多信息，请参阅为 [AWS Direct Connect 连接增加 MACsec 安全性](https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/)。

## Direct Connect 弹性建议
<a name="resiliency-recommendations"></a>

借助 Direct Connect，客户可以从本地网络实现与 Amazon VPCs 和 AWS 资源的高度弹性连接。最佳做法是客户从多个数据中心进行连接，以消除任何单点物理位置故障。还建议客户根据工作负载的类型使用多个 Direct Connect 连接来实现冗余。

AWS 还提供 Direct Connect 弹性工具包，该工具包为客户提供具有多种冗余模型的连接向导；帮助他们确定哪种模式最适合其服务级别协议 (SLA) 要求，并相应地使用 Direct Connect 连接设计混合连接。有关更多信息，请参阅[Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

## Direct Connect SiteLink
<a name="direct-connect-sitelink"></a>

 以前，只有通过暗光纤或其他技术、IPSEC VPNs 或使用具有 MPLS 等技术的第三方电路提供商或传统 T1 电路等技术 MetroEthernet，才能为本地网络配置 site-to-site链路。随着的出现 SiteLink，客户现在可以为终止于某个 Direct Connect 位置的本地位置启用直接 site-to-site连接。使用您的 Direct Connect 电路提供 site-to-site连接，而无需将流量路由到您的 VPCs，完全绕过 AWS 区域。

 现在，通过在不同 Direct Connect 地点之间以最快的路径发送数据，您可以在全球网络中的办公室和数据中心之间建立全球性、可靠的 pay-as-you-go连接。

![\[一张图表 Direct Connect SiteLink\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/direct-connect-sitelink.png)


 使用时 SiteLink，您首先要在全球 100 多个 Direct Connect 地点将本地网络连接到 AWS。然后，在这些连接上创建虚拟接口 (VIFs) 并启用 SiteLink。一旦所有网关 VIFs 都连接到同一个 Direct Connect 网关 (DXGW)，就可以开始在它们之间发送数据了。使用快速、安全和可靠的 AWS 全球网络，您的数据沿着 Direct Connect 各个位置之间到达目的地的最短路径行驶。您无需拥有任何资源 AWS 区域 即可使用 SiteLink。

 使用后 SiteLink，DXGW 会从您的路由器那里获知 IPv4/IPv6 前缀，运行 BGP 最佳路径算法 VIFs，更新诸如 NextHop 和 as\$1Path 之类的属性，并将这些 BGP 前缀重新通告给与该 DXGW 关联的其余 SiteLink 已启用 BGP 前缀。 SiteLink VIFs 如果您 SiteLink 在某个 VIF 上禁用，DXGW 将不会通过此 VIF 将学习到的本地前缀通告给另一个启用的 VIF。 SiteLink VIFs来自 SiteLink 已禁用 VIF 的本地前缀仅会通告给 DXGW 网关协会，例如与 DXGW 关联的 AWS 虚拟私有网关 () 或 T VGWs ransit Gateway (TGW) 实例。

![\[显示 Sitelink 流量示例的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/full-mesh-connectivity.png)


 SiteLink 允许客户使用 AWS 全球网络充当远程位置之间的主连接或辅助/备用连接，具有高带宽和低延迟，并通过动态路由来控制哪些地点可以相互通信以及与您的 AWS 区域资源进行通信。

 有关更多信息，请参阅简[介 Direct Connect SiteLink](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-direct-connect-sitelink/)。