本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 连接模型
<a name="connectivity-models"></a>

## 定义
<a name="definition-con"></a>

 连接模型是指本地网络与 AWS中的云资源之间的通信模式。您可以在 Amazon VPC 内VPCs跨多个区域部署单个 AWS 区域 或多个云资源，也可以在单个或多个区域中部署公有终端节点的 AWS 服务 AWS 区域，例如 Amazon S3 和 DynamoDB。

## 关键问题
<a name="key-questions-con"></a>
+  是否需要在区域内和跨区域之间进行VPC交流？ 
+  是否需要直接从本地访问 AWS 公共端点？ 
+  是否需要使用本地VPC端点访问 AWS 服务？ 

## 需要考虑的功能
<a name="capabilities-to-consider-con"></a>

 以下是一些最常见的连接模型方案。每种连接模型都包括要求、属性和注意事项。

 注意：如前所述，本白皮书重点介绍本地网络和 AWS之间的混合连接。有关互连设计的更多详细信息VPCs，请参阅《[构建可扩展且安全的多VPC AWS 网络基础架构](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html)》白皮书。

**Topics**
+ [定义](#definition-con)
+ [关键问题](#key-questions-con)
+ [需要考虑的功能](#capabilities-to-consider-con)
+ [AWS 加速 Site-to-Site VPN — AWS Transit Gateway，单曲 AWS 区域](aws-accelerated-site-to-site-vpn-aws-transit-gateway-single-aws-region.md)
+ [AWS DX — DXGW 带VGW单区域](aws-dx-dxgw-with-vgw-single-region.md)
+ [AWS DX — 支持DXGWVGW、多区域和公共对等互连 AWS](aws-dx-dxgw-with-vgw-multi-regions-and-aws-public-peering.md)
+ [AWS DX — 支持DXGW AWS Transit Gateway、多区域和公共对等互连 AWS](aws-dx-dxgw-with-aws-transit-gateway-multi-regions-and-aws-public-peering.md)
+ [AWS DX — 包DXGW含 AWS Transit Gateway、多区域（超过 3 个）](aws-dx-dxgw-with-aws-transit-gateway-multi-regions-more-than-3.md)

# AWS 加速 Site-to-Site VPN — AWS Transit Gateway，单曲 AWS 区域
<a name="aws-accelerated-site-to-site-vpn-aws-transit-gateway-single-aws-region"></a>

 **该模型由以下部分组成：**
+  单曲 AWS 区域。
+  AWS 与的托管 Site-to-SiteVPN连接 AWS Transit Gateway。
+  VPN已启用加速。

![\[显示 AWS 托管 VPN — AWS Transit Gateway、单一的示意图 AWS 区域\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/managed-vpn-tg-single-region.png)


 **连接模型属性：**
+  提供使用[AWS 加速VPN连接通过公共互联网建立优化的 Site-to-SiteVPN连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html)的能力。
+  通过使用配置多VPN条隧道，提供实现更高的VPN连接带宽的能力ECMP。
+  可用于连接多个远程站点。
+  通过动态路由 (BGP) 提供自动故障转移。
+  AWS Transit Gateway 连接到VPCs，所有连接的用户都VPCs可以使用相同的VPN连接。您还可以在其中控制所需的通信模式，有关更多信息VPCs，请参阅[公交网关的工作原理](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html)。
+  提供灵活的设计选项，可将第三方安全和SD-WAN 虚拟设备与之集成 AWS Transit Gateway。请参阅[集中式网络安全保护 VPC-to-VPC和本地VPC流量](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-network-security-for-vpc-to-vpc-and-on-premises-to-vpc-traffic.html)安全。

 **规模注意事项：**
+  配置了多IPsec条隧道并ECMP配置了高达 50 Gbps 的带宽（每个流量将限制为每VPN条隧道的最大带宽）。
+  每个VPCs可以连接@@ [成千上万](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html)个 AWS Transit Gateway.
+  请参阅其他比例限制的[Site-to-Site VPN配额](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html)，例如路径数量。

 **其他注意事项：**
+  在本地数据中心和之间传输数据的额外 AWS Transit Gateway 处理成本 AWS。
+  VPC无法在中 AWS Transit Gateway 引用远程服务器的安全组，但VPC对等互连支持这一点。

# AWS DX — DXGW 带VGW单区域
<a name="aws-dx-dxgw-with-vgw-single-region"></a>

 **该模型由以下部分组成：**
+  单曲 AWS 区域。
+  与独立的 DX 位置的双重 AWS Direct Connect 连接。
+  AWS DXGW直接连接到VPCs使用VGW。
+  可选用以 AWS Transit Gateway 进行内部VPC通信。

![\[显示 AWS DX 的示意图 — with VGW、DXGW Single AWS 区域\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/dxgw-with-vgw-single-region.png)


 **连接模型属性：**
+  提供将来连接其他地区VPCs和 DX 连接的功能。
+  通过动态路由 (BGP) 提供自动故障转移。
+  通过 AWS Transit Gateway 它，您可以控制所需的通信模式VPCs。有关更多信息，请参阅[中转网关的工作原理](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html)。

 **规模注意事项：**

 有关其他规模限制的更多信息，例如支持的前缀数量、VIFs每种 DX 连接类型（专用、托管）的数量，请参阅[AWS Direct Connect 配额](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)。一些重要注意事项：
+  私有会BGP话最多VIF可以为IPv4和发布每条路由 100 条路由IPv6。
+  在单个会话中，每个DXGWBGP会话最多VPCs可以连接 20 个。如果需要超过 20 VPCs 个，DXGWs可以添加更多以促进大规模连接，或者考虑使用 Transit Gateway 集成。
+  可以根据需要添加其他 AWS Direct Connect s。

 **其他注意事项：**
+  与本地网络之间的 AWS 数据传输不会产生 AWS Transit Gateway 相关的处理成本。
+  VPC无法引用远程服务器的安全组 AWS Transit Gateway （需要VPC对等）。
+  VPC可以使用对等互连 AWS Transit Gateway 来代替它们之间的通信VPCs，但是，这增加了大规模构建和管理大量对VPC point-to-point等互连的操作复杂性。
+  如果不需要内部VPC通信，则在此连接模式中不需要 AWS Transit Gateway 也不需要VPC对等。

# AWS DX — 支持DXGWVGW、多区域和公共对等互连 AWS
<a name="aws-dx-dxgw-with-vgw-multi-regions-and-aws-public-peering"></a>

**该模型由以下部分组成：**
+ 多个本地数据中心具有双重连接 AWS。
+  与独立的 DX 位置的双重 AWS Direct Connect 连接。
+  AWS DXGWVPCs使用时直接连接到 10 个以上VGW，最多VPCs使用 20 个VGW。
+  可选使用区域间VPC和区域间通信。 AWS Transit Gateway 

![\[该图显示了 AWS DX — DXGW 包含VGW、多区域和公共 VIF\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/dxgw-with-vgw-multi-region-public-vif.png)


 **连接模型属性：**
+ AWS DXGW直接连接到 10 个以上，VGW最多VPCsVPCs使用 20 个VGW。
+  AWS DX pub VIF lic 用于直接通过 AWS DX 连接访问 AWS 公共服务，例如 Amazon S3。
+  将来能够在其他地区连接VPCs和 DX 连接。
+  Transi VPC t Gateway 对等互连促进了区域间 AWS Transit Gateway 和区域间VPC通信。

 **规模注意事项：**

 有关其他规模限制的更多信息，例如支持的前缀数量、VIFs每种 DX 连接类型（专用、托管）的数量，请参阅[AWS Direct Connect 配额](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)。一些重要注意事项：
+  私有会BGP话最多VIF可以为IPv4和通告 100 条路由IPv6。
+  在每个私密会话DXGW中，每个私密BGP会话最多VPCs可以连接 20 个VIF，每个私密会话最多可以连接 30 个私密VIFs会话DXGW。
+  可以根据需要添加其他 AWS Direct Connect s。

 **其他注意事项：**
+  与本地网络之间的 AWS 数据传输不会产生 AWS Transit Gateway 相关的处理成本。
+  远程的安全组VPC无法被引用 AWS Transit Gateway （需要VPC对等）。
+  VPC可以使用对等互连 AWS Transit Gateway 来代替它们之间的通信VPCs，但是，这将增加大规模构建和管理大量对VPC point-to-point等互连的操作复杂性。
+  如果不需要内部VPC通信，则在此连接模式中不需要 AWS Transit Gateway 也不需要VPC对等。

# AWS DX — 支持DXGW AWS Transit Gateway、多区域和公共对等互连 AWS
<a name="aws-dx-dxgw-with-aws-transit-gateway-multi-regions-and-aws-public-peering"></a>

**该模型由以下部分组成：**
+  多个 AWS 区域。
+  与独立的 DX 位置的双重 AWS Direct Connect 连接。
+  单个本地数据中心，具有双重连接 AWS。
+  AWS DXGW和 AWS Transit Gateway。
+  VPCs每个区域的规模都很高。

![\[该图显示了 AWS DX — DXGW 包含 AWS Transit Gateway、多区域和公共 AWS VIF\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/dxgw-with-tg-multi-region-public-peering.png)


 **连接模型属性：**
+  AWS DX VIF public 用于直接通过 AWS DX 连接访问 S3 等 AWS 公共资源。
+  将来能够在其他地区连接VPCs和/或 DX 连接。
+  通过 AWS Transit Gateway 连接到VPCs，可以在两者之间实现全部或部分网状连接VPCs。
+  通过对等互 AWS Transit Gateway 连促进区域间VPC和区域间VPC通信。
+  提供灵活的设计选项，可将第三方安全和SDWAN虚拟设备与之集成 AWS Transit Gateway。请参阅：[集中网络安全保护 VPC-to-VPC和本地VPC流量](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-network-security-for-vpc-to-vpc-and-on-premises-to-vpc-traffic.html)安全。

 **规模注意事项：**
+  往返路线的数量限制 AWS Transit Gateway 为公交支持的最大路线数VIF（入站和出站数量各不相同）。有关比例限制和支持的路线数量的更多信息，请参阅[AWS Direct Connect 配额](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)VIFs。
+  在单个会话 AWS Transit Gateway 中，VPCs每个BGP会话最多可扩展到数千个。
+  VIF每个 AWS DX 只能进行一次运输。
+  可以根据需要添加其他 AWS DX 连接。

 **其他注意事项：**
+  与本地站点之间的 AWS 数据传输会产生额外的 AWS Transit Gateway 处理成本。
+  远程的安全组VPC无法被引用 AWS Transit Gateway （需要VPC对等）。
+  VPC可以使用对等互连 AWS Transit Gateway 来代替它们之间的通信VPCs，但是，这将增加大规模构建和管理大量对VPC point-to-point等互连的操作复杂性。

# AWS DX — 包DXGW含 AWS Transit Gateway、多区域（超过 3 个）
<a name="aws-dx-dxgw-with-aws-transit-gateway-multi-regions-more-than-3"></a>

 **该模型由以下部分组成：**
+  多个 AWS 区域 （大于 3）。
+  双重本地数据中心。
+  每个地区的独立DX位置都有双 AWS Direct Connect 连接。
+  AWS DXGW和 AWS Transit Gateway。
+  VPCs每个区域的规模都很高。
+  AWS Transit Gateway s 之间的完整对等网格。

![\[该图显示了 AWS DX — DXGW 含多区域 AWS Transit Gateway、多区域（超过三个）\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/dxgw-with-tg-multi-region.png)




 **连接模型属性：**
+  最低的运行开销。
+  AWS DX VIF public 用于直接通过 AWS DX 连接访问 AWS 公共资源，例如 S3。
+  将来能够在其他地区连接VPCs和 DX 连接。
+  通过 AWS Transit Gateway 连接到VPCs，可以在两者之间实现全部或部分网状连接VPCs。
+  通过对等互 AWS Transit Gateway 连促进了区域间VPC通信。
+  提供灵活的设计选项，可将第三方安全和SDWAN虚拟设备与之集成 AWS Transit Gateway。请参阅：[集中网络安全保护 VPC-to-VPC和本地VPC流量](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-network-security-for-vpc-to-vpc-and-on-premises-to-vpc-traffic.html)安全。

 **规模注意事项：**
+  往返路线的数量限制 AWS Transit Gateway 为公交支持的最大路线数VIF（入站和出站数量各不相同）。有关规模限制的更多信息，请参阅 [AWS Direct Connect 配额](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)。如有必要，可考虑路由汇总，以减少路由数量。
+  在单个BGP会话 AWS Transit Gateway 中，VPCs每个会话最多可扩展到数千个DXGW（假设配置的 AWS DX 连接提供的性能足够）。
+  每次最多可以连接六 AWS Transit Gateway秒DXGW。
+  如果需要使用连接三个以上的区域 AWS Transit Gateway，DXGWs则需要其他区域。
+  VIF每个 AWS DX 只能进行一次运输。
+  可以根据需要添加其他 AWS DX 连接。

 **其他注意事项：**
+  在本地站点和 AWS之间传输数据会产生额外的 AWS Transit Gateway 处理成本。
+  远程的安全组VPC无法被引用 AWS Transit Gateway （需要VPC对等）。
+  VPC可以使用对等互连 AWS Transit Gateway 来代替它们之间的通信VPCs，但是，这将增加大规模构建和管理大量对VPC point-to-point等互连的操作复杂性。

 以下决策树介绍了可扩展性和通信模型的注意事项：

![\[该图显示了可扩展性和通信模型决策树\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/scalability-communication-model-decision-tree.png)


**注意**  
如果所选连接类型是VPN（通常出于性能考虑），则应决定VPN终止点是 S2S 连接还是 AWS VGW AWS Transit Gateway AWS S2S VPN 连接。如果尚未制定，则可以考虑两者之间所需的通信模式VPC以及需要VPC连接到VPN连接的数量，以帮助您做出决定。