本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 混合网络连接
<a name="hybrid-network-connections"></a>

 有几种方法可以在本地设备和 AWS 之间建立连接。本白皮书重点介绍了如何将这些不同的方式结合到整体架构中，但也提供了不同选项（AWS Direct Connect、站点到站点虚拟专用网络和中转网关连接）的简要概述。

## AWS Direct Connect
<a name="aws-direct-connect"></a>

 AWS Direct Connect 是一种从本地到 AWS 之间建立专用网络连接的服务。有关详细信息，请参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/)。

 有两种类型的 AWS Direct Connect 连接：专用连接和托管连接。专用连接是 AWS 设备与您的本地设备之间的直接链接，而托管连接则由可以为您处理连接详细信息的 AWS 合作伙伴提供支持。有关更多信息，请参阅[AWS Direct Connect 连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)。

 Direct Connect 连接使用虚拟接口 (VIF) 来隔离不同的流量。多个 VIF 可使用同一 Direct Connect 链路，并用 VLAN (802.1q) 标签隔开。有三种类型的 VIF 可提供与 AWS 网络的连接。有关更多详细信息，请参阅[AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。三种类型是：
+  **专用 VIF：**专用 VIF 是您的设备与 AWS 内部资源之间的专用连接。这些终端在 AWS 内部直接连接到虚拟专用网关 (VGW)（支持单个 VPC），或通过 Direct Connect 连接到多个 VGW。
+  **公共 VIF：**公共 VIF 允许连接任何公共 AWS 资源，例如 S3、DynamoDB 和公共 EC2 IP 范围。虽然公共 VIF 不能直接访问互联网，但任何 Amazon 公共资源都可以访问它（包括其他客户的公共 EC2 实例），客户在进行安全规划时应考虑到这一点。
+  **Transit VIF：**Transit VIF 是通过 Direct Connect 网关在您的设备和 AWS Transit Gateway 之间建立的专用连接。现在，速度低于 1 Gbps 的链路也支持 Transit VIF，详情请参阅[发布公告](https://aws.amazon.com/about-aws/whats-new/2022/08/aws-direct-connect-expands-transit-gateway-support-connection-speeds/)。

**注意**  
托管虚拟接口 (Hosted VIF) 是专用 VIF 的一种类型，在这种类型中，VIF 被分配给不同的 AWS 账户 ，而不是拥有 AWS Direct Connect 连接的 AWS 账户（可以包括 AWS Direct Connect 合作伙伴）。AWS 不再允许新的合作伙伴提供这种模式。有关更多信息，请参阅[创建托管虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/createhostedvirtualinterface.html)。

![\[该图显示了 AWS Direct Connect 专用和公共 VIF\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/hybrid-connectivity/images/private-public-vifs.png)


## Site-to-Site 虚拟专用网络 (VPN)
<a name="site-to-site-virtual-private-network-vpn"></a>

 Site-to-Site VPN 使两个网络能够安全地通信，并且可以通过不受信任的传输方式使用，例如互联网。客户可以通过两种方式在本地站点和 Amazon Virtual Private Cloud (Amazon VPC)之间建立 VPN 连接：
+  **AWS 托管式 Site-to-Site VPN (AWS S2S VPN)：**这是一种使用 IPsec 的完全托管且高度可用的 VPN 服务。有关更多信息，请参阅[什么是 AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。您可以选择为站点到站点 VPN 连接启用加速。有关更多信息，请参阅[加速的 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html)。S2S VPN 还可以使用 Direct Connect 中转 VIF 来避免流量通过互联网，从而降低成本并允许使用专用 IP 地址。有关详细信息，请参阅[带 AWS Direct Connect 的专用 IP VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html)。
+  **软件站 Site-to-Site VPN（客户托管的 VPN）：**使用此 VPN 连接选项，您负责配置和管理整个 VPN 解决方案，通常是在 EC2 实例上运行 VPN 软件。有关更多信息，请参阅[软件 Site-to-Site VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/software-site-to-site-vpn.html)。

 这两个选项都需要客户网关设备的支持才能终止 VPN 隧道的本地端。该设备可以是物理设备，也可以是软件设备。有关经 AWS 测试的网络设备的更多信息，请参阅[已测试的客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)列表。

## Transit Gateway Connect (TGW Connect)
<a name="transit-gateway-connect"></a>

 Transit Gateway Connect 在 AWS Transit Gateway 和本地网关设备之间使用 GRE 隧道。在 TGW Connect 上使用 BGP 可实现动态路由选择。请注意，TGW Connect 未加密。有关更多信息，请参阅 [Transit Gateway Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)。