本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Site-to-Site VPN 架構案例
在以下情況,您可能會與一或多個客戶閘道裝置建立多個 VPN 連接。
**使用相同客戶閘道裝置進行多重 VPN 連接**
您可以使用相同的客戶閘道裝置,從內部部署位置建立連往其他 VPC 的額外 VPN 連接。您可以針對每個 VPN 連接重複使用相同的客戶閘道 IP 地址。
**多個客戶閘道裝置到單一虛擬私有閘道 (Site-to-Site VPN CloudHub)**
您可以從多個客戶閘道裝置建立對單一虛擬私有閘道的多個 VPN 連接。這可讓您將多個位置連接到 AWS VPN CloudHub。如需詳細資訊,請參閱[使用 VPN CloudHub 保護 AWS Site-to-Site VPN 連線之間的通訊](VPN_CloudHub.md)。當您在多個地理位置中具有客戶閘道裝置時,每個裝置都應公告位置專屬的唯一 IP 範圍集。
**使用第二個客戶閘道裝置進行備援 VPN 連接**
為了避免在客戶閘道裝置無法使用時失去連線,您可以使用第二個客戶閘道裝置來設定第二個 VPN 連接。如需詳細資訊,請參閱[容錯移轉的備援 AWS Site-to-Site VPN 連線](vpn-redundant-connection.md)。當您在單一位置中建立備援客戶閘道裝置時,這兩個裝置都應公告相同的 IP 範圍。
以下是常見的站台對站台 VPN 架構:
+ [單一和多重 VPN 連接](Examples.md)
+ [容錯移轉的備援 AWS Site-to-Site VPN 連線](vpn-redundant-connection.md)
+ [使用 VPN CloudHub 保護 VPN 連線之間的通訊](VPN_CloudHub.md)
# AWS Site-to-Site VPN 單一和多個 VPN 連線範例
下圖說明單一及多條站台對站台 VPN 連接。
**Topics**
+ [單一站台對站台 VPN 連接](#SingleVPN)
+ [具有傳輸閘道的單一站台對站台 VPN 連接](#SingleVPN-transit-gateway)
+ [多條站台對站台 VPN 連接](#MultipleVPN)
+ [具有轉輸閘道的多條站台對站台 VPN 連接](#MultipleVPN-transit-gateway)
+ [使用 Site-to-Site連接 Direct Connect](#vpn-direct-connect)
+ [使用 的私有 IP Site-to-Site連接 Direct Connect](#private-ip-direct-connect)
## 單一站台對站台 VPN 連接
VPC 有連接的虛擬私有閘道,而您的內部部署 (遠端) 網路包括客戶閘道裝置,您必須加以設定以啟用 VPN 連線。您必須更新 VPC 路由表,所以任何來自您網路的 VPC 繫結流量都會前往虛擬私有閘道。
![\[具有連接虛擬私有閘道的 VPC 以及連接至您內部部署網路的 VPC。\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
如需設定此案例的步驟,請參閱[開始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。
## 具有傳輸閘道的單一站台對站台 VPN 連接
VPC 有連接的傳輸閘道,而您的內部部署 (遠端) 網路則包括客戶閘道裝置,您必須加以設定以啟用 VPN 連接。您必須更新 VPC 路由表,所以任何來自您網路的 VPC 繫結流量都會前往傳輸閘道。
![\[具有傳輸閘道的單一站台對站台 VPN 連接。\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
如需設定此案例的步驟,請參閱[開始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。
## 多條站台對站台 VPN 連接
VPC 有連接的虛擬私有閘道,而您有多個現場部署位置的多條站台對站台 VPN 連接。您已設定路由,所以任何來自您網路的 VPC 繫結流量都會路由傳送至虛擬私有閘道。
![\[多重站台對站台 VPN 配置\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/branch-offices-vgw.png)
當您建立單一 VPC 的多條站台對站台 VPN 連接時,您可以設定第二個客戶閘道,建立同一外部位置的備援連線。如需詳細資訊,請參閱[容錯移轉的備援 AWS Site-to-Site VPN 連線](vpn-redundant-connection.md)。
您也可以使用此案例建立多個地理位置的站台對站台 VPN 連接,提供站台間的安全通訊。如需詳細資訊,請參閱[使用 VPN CloudHub 保護 AWS Site-to-Site VPN 連線之間的通訊](VPN_CloudHub.md)。
## 具有轉輸閘道的多條站台對站台 VPN 連接
VPC 有連接的傳輸閘道,而您有多個現場部署位置的多條站台對站台 VPN 連接。您設定路由,以便所有前往您網路的 VPC 流量都會路由至傳輸閘道。
![\[具有轉輸閘道的多條站台對站台 VPN 連接\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/branch-offices-tgw.png)
當您建立單一傳輸閘道的多條站台對站台 VPN 連接時,您可以設定第二個客戶閘道,建立同一外部位置的備援連線。
您也可以使用此案例建立多個地理位置的站台對站台 VPN 連接,提供站台間的安全通訊。
## 使用 Site-to-Site連接 Direct Connect
VPC 具有連接的虛擬私有閘道,並透過 連線到您的內部部署 (遠端) 網路 AWS Direct Connect。您可以設定 Direct Connect 公有虛擬介面,透過虛擬私有閘道在網路與公有 AWS 資源之間建立專用網路連線。您可以設定路由,以便從網路的 VPC 繫結到虛擬私有閘道和 Direct Connect 連線的任何流量。
![\[使用 Site-to-Site連接 Direct Connect\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/vpn-direct-connect.png)
在同一個虛擬私有閘道上同時設定 Direct Connect 和 VPN 連接時,新增或移除物件可能會導致虛擬私有閘道進入「連接」狀態。這表示正對內部路由進行變更,將在 Direct Connect 和 VPN 連接之間切換,以將中斷和封包遺失降到最低。完成此操作後,虛擬私有閘道會回到「已附加」狀態。
## 使用 的私有 IP Site-to-Site連接 Direct Connect
透過私有 IP Site-to-Site VPN,您可以加密內部部署網路之間的 Direct Connect 流量, AWS 無需使用公有 IP 地址。透過 的私有 IP VPN Direct Connect 可確保 AWS 和內部部署網路之間的流量既安全又私密,讓客戶能夠遵守法規和安全要求。
![\[使用 的私有 IP Site-to-Site連接 Direct Connect\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/private-ip-dx.png)
如需詳細資訊,請參閱下列部落格文章:[介紹 AWS Site-to-Site VPN 私有 IP VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)。
# 使用 VPN CloudHub 保護 AWS Site-to-Site VPN 連線之間的通訊
如果您有多個 AWS Site-to-Site VPN 連線,您可以使用 AWS VPN CloudHub 在網站之間提供安全通訊。這可讓您的站台彼此通訊,不只與 VPC 中的資源通訊。VPN CloudHub 在簡易的軸輻式模型中操作,可搭配或不搭配 VPC 使用。如果您有多個分公司及網際網路連線的客戶,且想要為這些站台的主要或備份連線實作方便、盡可能低成本的軸輻式模型,則此設計適合您。
## 概觀
下圖顯示 VPN CloudHub 架構。虛線顯示透過 VPN 連線路由之遠端站台間的網路流量。這些站台絕不能有重疊的 IP 範圍。
![\[CloudHub 架構圖\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
對於此案例,請執行下列動作:
1. 建立單一虛擬私有閘道。
1. 建立多個客戶閘道,每個閘道都具有閘道的公有 IP 地址。針對每個客戶閘道,您必須使用唯一的邊界閘道協定 (BGP) 自發系統編號 (ASN)。
1. 建立從每個客戶閘道到通用虛擬私有閘道的動態路由站台對站台 VPN 連接。
1. 將客戶閘道裝置設定為向虛擬私有閘道公告網站特定字首 (例如 10.0.0.0/24、10.0.1.0/24)。這些路由公告在收到後會重新公告到每個 BGP 對等,讓每個站台彼此傳送及接收資料。在站台對站台 VPN 連接的 VPN 組態檔案中使用網路陳述式,即可完成此作業。網路陳述式各有些微差異,視您使用的路由器類型而定。
1. 在子網路路由表中設定路由,讓 VPC 中的執行個體能與您的網站進行通訊。如需詳細資訊,請參閱[(虛擬私有閘道) 在路由表中啟用路由傳播](SetUpVPNConnections.md#vpn-configure-routing)。您可以在路由表中設定彙總路由 (例如 10.0.0.0/16)。在客戶閘道裝置及虛擬私有閘道之間使用更具體的字首。
使用虛擬私有閘道 Direct Connect 連線的站台也可以成為 AWS VPN CloudHub 的一部分。例如,您位於紐約的企業總部有 VPC 的 Direct Connect 連線,而分公司可使用 Site-to-Site VPN 連接到 VPC。洛杉磯和邁阿密的分支辦公室可以使用 AWS VPN CloudHub,彼此和公司總部傳送和接收資料。
## 定價
若要使用 AWS VPN CloudHub,您需要支付一般的 Amazon VPC Site-to-Site連接費率。每個 VPN 連線到虛擬私有閘道的每小時,都會向您收取連線費用。當您使用 AWS VPN CloudHub 從一個網站將資料傳送至另一個網站時,從網站將資料傳送至虛擬私有閘道無需付費。您只需支付將資料從虛擬私有閘道轉送到您端點的標準 AWS 資料傳輸費用。
例如,如果您在洛杉磯有一個站台,在紐約有第二個站台,而這兩個站台都有連往虛擬私有閘道的站台對站台 VPN 連接,則每條站台對站台 VPN 連接要按每小時費率支付費用 (所以,如果費率是每小時 .05 USD,總計為每小時 .10 USD)。您也需要為從洛杉磯傳送到紐約 (反之亦然) 的所有資料支付標準 AWS 資料傳輸率,這些資料會周遊每個Site-to-Site連接。透過Site-to-Site連接傳送至虛擬私有閘道的網路流量是免費的,但透過Site-to-Site連接從虛擬私有閘道傳送至端點的網路流量會依標準 AWS 資料傳輸率計費。
如需詳細資訊,請參閱 [站台對站台 VPN 連接定價](https://aws.amazon.com/vpn/pricing/)。
# 容錯移轉的備援 AWS Site-to-Site VPN 連線
為免在無法使用客戶閘道裝置時失去連線,您可以新增第二部客戶閘道裝置來設定 VPC 和虛擬私有閘道的第二條站台對站台 VPN 連接。使用備援 VPN 連接和客戶閘道裝置,您可在您其中裝置上執行維護,同時讓流量繼續流經第二個 VPN 連接。
下圖顯示兩個 VPN 連接。每個 VPN 連接都有專屬通道和客戶閘道。
![\[備援 VPN 連線至相同內部部署網路的兩個客戶閘道。\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
對於此案例,請執行下列動作:
+ 使用相同的虛擬私有閘道並建立新的客戶閘道,藉以設定第二條站台對站台 VPN 連接。第二個站台對站台 VPN 連接的客戶閘道 IP 地址必須可供公開存取。
+ 設定第二個客戶閘道裝置。這兩個裝置都應該向虛擬私有閘道公告相同的 IP 範圍。我們會使用 BGP 路由來判斷流量的路徑。如果其中一個客戶閘道裝置失敗,虛擬私有閘道會將所有流量引導到運作中的客戶閘道裝置。
動態路由的站台對站台 VPN 連接使用邊界閘道協定 (BGP),在客戶閘道和虛擬私有閘道之間交換路由資訊。靜態路由的站台對站台 VPN 連接需要您輸入客戶閘道位於您這端的遠端網路靜態路由。BGP 公告且靜態輸入的路由資訊可讓兩端的閘道判斷哪個通道可用,並在發生故障時重新路由流量。建議您設定您的網路使用 BGP 提供之路由資訊 (如可用) 以選取可用的路徑。確切的組態取決於您的網路架構。
如需建立及設定客戶閘道和站台對站台 VPN 連接的詳細資訊,請參閱[開始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。