本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 聯網
<a name="networking"></a>

 Outpost 部署取決於其錨點可用區域彈性連線，以便管理、監控和服務操作正常運作。您應該佈建內部部署網路，為每個 Outpost 機架提供備援網路連線，並將可靠連線傳回 AWS 雲端的錨點。同時考慮在 Outpost 上執行的應用程式工作負載與其通訊的其他內部部署和雲端系統之間的網路路徑，您將如何在網路中路由此流量？ 

**Topics**
+ [

# 網路連接
](network-attachment.md)
+ [

# 錨點連線
](anchor-connectivity.md)
+ [

# 應用程式/工作負載路由
](applicationworkload-routing.md)

# 網路連接
<a name="network-attachment"></a>

 每個 AWS Outposts 機架都設定了稱為 Outpost Networking Devices (ONDs備援top-of-rack切換。每個機架中的運算和儲存伺服器都會同時連線到 ONDs。您應該將每個 OND 連接到資料中心稱為客戶聯網裝置 (CND) 的個別交換器，為每個 Outpost 機架提供不同的實體和邏輯路徑。ONDs使用光纖纜線和光學收發器，透過一或多個實體連線連接到 CNDs。[實體連線](https://docs.aws.amazon.com/outposts/latest/userguide/local-network-connectivity.html#physical-connectivity)是在邏輯[連結彙總群組 (LAG) 連結](https://docs.aws.amazon.com/outposts/latest/userguide/local-network-connectivity.html#link-aggregation)中設定。

![\[顯示具有備援網路附件的多機架 Outpost 圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/multi-rack-outpost.png)


 OND 到 CND 連結一律在 LAG 中設定，即使實體連線是單一光纖纜線也是一樣。將連結設定為 LAG 群組可讓您新增其他實體連線至邏輯群組，以增加連結頻寬。LAG 連結設定為 IEEE 802.1q 乙太網路幹線，以啟用 Outpost 和內部部署網路之間的隔離聯網。

 每個 Outpost 至少有兩個邏輯隔離的網路，需要與客戶網路通訊或跨客戶網路通訊：
+  **服務連結網路** – 將服務連結 IP 地址配置到 Outpost 伺服器，並促進與內部部署網路的通訊，以允許伺服器連接到區域中的 Outpost 錨點。當您在單一邏輯 Outpost 中有多個機架實作時，您需要為每個機架指派 Service Link /26 CIDR。
+  **本機閘道網路** – 透過 Outpost 本機閘道 (LGW) 啟用 Outpost 上的 VPC 子網路與內部部署網路之間的通訊。

 這些隔離的網路會透過 LAG 連結，透過一組[point-to-point IP 連線](https://docs.aws.amazon.com/outposts/latest/userguide/local-network-connectivity.html#network-layer-connectivity)連接到內部部署網路。每個 OND 到 CND LAG 連結都使用 VLAN IDs、point-to-point(/30 或 /31) IP 子網路，以及每個隔離網路的 eBGP 對等互連 （服務連結和 LGW) 進行設定。您應該將 LAG 連結及其point-to-point和子網路視為第 2 層分割的路由第 3 層連線。 VLANs 路由 IP 連線提供備援邏輯路徑，有助於 Outpost 上隔離網路與內部部署網路之間的通訊。

![\[顯示服務連結對等互連的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/service-link-peering.png)


![\[顯示本機閘道對等互連的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/page-20-local-gateway-peering.png)


 您應該終止直接連接之 CND 交換器上的 layer-2 LAG 連結 （及其 VLANs)，並在 CND 交換器上設定 IP 介面和 BGP 對等互連。您不應該在資料中心切換之間橋接 LAG VLANs。如需詳細資訊，請參閱*AWS Outposts 《 使用者指南*》中的[網路層連線](https://docs.aws.amazon.com/outposts/latest/userguide/local-network-connectivity.html#network-layer-connectivity)。

 在邏輯多機架 Outpost 內，ONDs 會以備援方式互連，在機架與伺服器上執行的工作負載之間提供高可用性的網路連線。 AWS 負責 Outpost 內的網路可用性。

## 不使用 ACE 的高可用性網路連接的建議實務
<a name="recommended-practices-for-highly-available-network-attachment-no-ace"></a>
+  將 Outpost 機架中的每個 Outpost 網路裝置 (OND) 連接到資料中心中的個別客戶網路裝置 (CND)。
+  在直接連接的客戶聯網裝置 (CND) 交換器上終止 layer-2 連結、VLANs、 layer-3 IP 子網路和 BGP 對等互連。請勿在 CND 之間或跨內部部署網路橋接 OND 至 CNDs VLANs。
+  新增連結彙總群組 (LAGs) 的連結，以增加 Outpost 和資料中心之間的可用頻寬。請勿透過這兩個 ONDs 依賴不同路徑的彙總頻寬。
+  透過備援 ONDs 使用各種路徑，在 Outpost 網路和內部部署網路之間提供彈性連線。
+ 為了實現最佳備援並允許不中斷的 OND 維護，我們建議客戶設定 BGP 公告和政策，如下所示：
  + 客戶網路設備應從 Outpost 接收 BGP 公告，而不變更 BGP 屬性，並啟用 BGP 多路徑/負載平衡，以實現最佳的傳入流量 （從客戶到 Outpost)。AS-Path 前綴用於 Outpost BGP 字首，以便在需要維護時將流量移離特定 OND/上行連結。客戶網路應該偏好從 AS-Path 長度為 1 的 Outpost 路由，而不是 AS-Path 長度為 4 的路由，也就是說，對 AS-Path 前置做出反應。
  + 客戶網路應該向 Outpost 中的所有 ONDs 公告具有相同屬性的同等 BGP 字首。根據預設，Outpost 網路負載會平衡所有上行連結之間的傳出流量 （朝向客戶）。在 Outpost 端使用路由政策，以在需要維護時將流量移離特定 OND。所有 ONDs 上客戶端的相同 BGP 字首需要執行此流量轉移，並以不中斷的方式執行維護。當客戶網路上需要維護時，我們建議您使用 AS-Path 前置，暫時移離特定上行連結或裝置的流量。

## 使用 ACE 進行高可用性網路連接的建議實務
<a name="recommended-practices-for-highly-available-network-attachment-with-ace"></a>

對於具有四個或更多運算機架的多機架部署，您必須使用彙總、核心、邊緣 (ACE) 機架，這將作為網路彙總點，以減少內部部署聯網裝置的光纖連結數量。ACE 機架提供每個 Outposts 機架中 ONDs 的連線能力，因此 AWS 將擁有 ONDs和 ACE 網路裝置之間的 VLAN 介面配置和組態。

無論是否使用 ACE 機架，Service Link 和 Local Gateway 網路的隔離網路層仍然是必要的，其目標是具有 VLAN point-to-point (/30 或 /31) IP 子網路，以及每個隔離網路的 eBGP 對等互連組態。提議的架構應遵循下列兩種架構中的任何一種：

![\[兩個客戶網路裝置\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/page-22-two-customer-networking-devices.png)

+ 透過此架構，客戶應有兩個聯網裝置 (CND) 來互連 ACE 網路裝置，以提供備援。
+ 對於每個實體連線，您必須啟用 LAG （以增加 Outpost 和資料中心之間的可用頻寬），即使它是單一實體連接埠，它也會攜帶兩個網路區段，具有 2 個point-to-point VLANs(/30 或 /31)，以及 ACEs和 CNDs 之間的 eBGP 組態。
+ 在穩定狀態中，流量會依照等成本多路徑 (ECMP) 模式，從 ACE 層往返客戶網路進行負載平衡，在 ACE 之間向客戶分配 25% 的流量。為了允許此行為，ACEs 和 CNDs 之間的 eBGP 對等互連必須啟用 BGP 多路徑/負載平衡，並在 4 個 eBGP 對等互連連線上宣告具有相同 BGP 指標的客戶字首。
+ 為了實現最佳備援並允許不中斷的 OND 維護，我們建議客戶遵循下列建議：
  + 客戶聯網裝置應該向 Outpost 中的所有 ONDs 公告具有相同屬性的同等 BGP 字首。
  + 客戶聯網裝置應從 Outpost 接收 BGP 公告，而不變更 BGP 屬性，並啟用 BGP 多路徑/負載平衡。

![\[四客戶網路裝置\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/page-23-four-customer-networking-devices.png)


透過此架構，客戶將擁有四個聯網裝置 (CND) 來互連 ACE 網路裝置，提供備援和相同的聯網邏輯，包括適用於 2 CND 架構VLANs、eBGP 和 ECMP。

# 錨點連線
<a name="anchor-connectivity"></a>

 [Outpost 服務連結](https://docs.aws.amazon.com/outposts/latest/userguide/region-connectivity.html)會連線至 Outpost 父區域中特定可用區域 (AZ) 中的公有或私有錨點 （非兩者）。Outpost 伺服器會啟動傳出服務連結 VPN 從其服務連結 IP 地址到錨點 AZ 中的錨點。這些連線使用 UDP 和 TCP 連接埠 443。 AWS 負責區域中錨點的可用性。

 您必須確保 Outpost 服務連結 IP 地址可以透過您的網路連接到錨點 AZ 中的錨點。服務連結 IP 地址不需要與內部部署網路上的其他主機通訊。

 公有錨點位於區域的[公有 IP 範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) （在 EC2 服務 CIDR 區塊中），可透過網際網路或 [AWS Direct Connect](https://aws.amazon.com/directconnect/)(DX) 公有虛擬介面 VIFs) 存取。使用公有錨點可讓選擇更靈活的路徑，因為服務連結流量可以透過任何可成功到達公有網際網路上錨點的可用路徑路由。

 私有錨點可讓您使用 IP 地址範圍進行錨點連線。使用客戶指派的 IP 地址[，在專用 VPC 內的私有子網路](https://docs.aws.amazon.com/outposts/latest/userguide/region-connectivity.html#private-connectivity)中建立私有錨點。VPC 是在擁有 Outpost 資源的 中建立 AWS 帳戶 的，而您有責任確保 VPC 可用且設定正確。使用 AWSOrigamiServiceGateway Organizations 中的安全控制政策 (SCP)，以防止使用者刪除該虛擬私有雲端 (VPC)。必須使用 [Direct Connect 私有 VIFs存取私有](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-outposts-private-connectivity/)錨點。

 您應該在 Outpost 和 區域中的錨點之間佈建備援網路路徑，並在多個位置的個別裝置上終止連線。動態路由應設定為在連線或聯網裝置失敗時，自動將流量重新路由至替代路徑。您應該佈建足夠的網路容量，以確保一個 WAN 路徑的失敗不會超過剩餘的路徑。

 下圖顯示三個 Outpost，其具有使用 的錨定 AZs 的備援網路路徑， AWS Direct Connect 以及公有網際網路連線。Outpost A 和 Outpost B 錨定到相同區域中的不同可用區域。Outpost A 連接到區域 1 AZ 1 中的私有錨點。Outpost B 連接到區域 1 AZ 2 中的公有錨點。Outpost C 連接到區域 2 AZ 1 中的公有錨點。

![\[圖表顯示與 AWS Direct Connect 和公有網際網路存取的高可用性錨點連線\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/highly-available-anchor-connectivity.png)


 Outpost A 有三個備援網路路徑，可到達其私有錨點。兩個路徑可透過單一 Direct Connect 位置的備援 Direct Connect 電路使用。第三個路徑可透過第二個 Direct Connect 位置的 Direct Connect 電路使用。此設計會保留 Outpost A 在私有網路上的服務連結流量，並提供路徑備援，允許任何一個 Direct Connect 電路故障或整個 Direct Connect 位置故障。

 Outpost B 有四個備援網路路徑，可到達其公有錨點。三個路徑可透過佈建在 Direct Connect 電路和 Outpost A 使用位置上的公有 VIFs 取得。第四個路徑可透過客戶 WAN 和公有網際網路取得。Outpost B 的服務連結流量可以透過任何可成功到達公有網際網路上錨點的可用路徑路由。使用 Direct Connect 路徑可提供更一致的延遲和更高的頻寬可用性，而公有網際網路路徑可用於災難復原 (DR) 或頻寬增強案例。

 Outpost C 有兩個備援網路路徑，可到達其公有錨點。Outpost C 部署在與 Outposts A 和 B 不同的資料中心。Outpost C 的資料中心沒有連接到客戶 WAN 的專用電路。相反地，資料中心具有兩個不同的網際網路服務供應商 (ISPs) 提供的備援網際網路連線。Outpost C 的服務連結流量可以透過任一 ISP 網路路由，以到達公有網際網路上的錨點。此設計可讓任何可用的公有網際網路連線靈活路由服務連結流量。不過，end-to-end路徑取決於頻寬可用性和網路延遲波動的公有第三方網路。

 Outpost 及其服務連結錨點之間的網路路徑必須符合下列頻寬規格：
+ 每個 Outpost 機架 500 Mbps - 1 Gbps 的可用頻寬 （例如，3 個機架：1.5 – 3 Gbps 的可用頻寬）

## 高可用性錨點連線的建議實務
<a name="recommended-practices-for-highly-available-anchor-connectivity"></a>
+  在區域中的每個 Outpost 及其錨點之間佈建備援網路路徑。
+  使用 Direct Connect (DX) 路徑來控制延遲和頻寬可用性。
+  確定 TCP 和 UDP 連接埠 443 已從 Outpost Service Link CIDR 區塊開啟 （傳出），到達父區域中的 [EC2 IP 地址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。確定所有網路路徑上的連接埠都已開啟。
+ 如果您使用區域 CIDR 範圍的子集，請追蹤防火牆上的 Amazon EC2 IP 地址範圍。
+  確保每個路徑都符合頻寬可用性和延遲要求。
+  使用動態路由來自動化網路故障的流量重新導向。
+  測試將服務連結流量路由到每個計劃的網路路徑，以確保路徑功能如預期。

# 應用程式/工作負載路由
<a name="applicationworkload-routing"></a>

Outpost 應用程式工作負載有兩個路徑：
+ 服務連結路徑：考量應用程式流量除了將 [MTU 限制為 1300 個位元組](https://docs.aws.amazon.com/outposts/latest/userguide/region-connectivity.html#service-links)之外，還會與 Outposts 控制平面流量競爭。
+ 本機閘道 (LGW) 路徑：考慮客戶的本機網路允許存取內部部署和 中的應用程式 AWS 區域。

您可以設定 Outpost 子網路路由表，以控制要採取哪些路徑才能到達目的地網路。指向 LGW 的路由會將流量導向本機閘道和內部部署網路。指向 區域的服務和資源的路由，例如網際網路閘道、NAT 閘道、虛擬私有閘道和 TGW，將使用[服務連結](https://docs.aws.amazon.com/outposts/latest/userguide/region-connectivity.html)來達到這些目標。如果您在相同的 Outpost 上具有與多個 VPCs的 VPCs 對等互連，VPC 之間的流量會保留在 Outpost 上，而且不會使用返回 區域的服務連結。如需 VPC 對等互連的相關資訊，請參閱《Amazon [ VPCs 使用者指南》中的使用 VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) VPC。 **

![\[顯示 Outpost 服務連結和 LGW 網路路徑視覺化的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/outpost-service-link-and-lgw-network-paths.png)


 在規劃應用程式路由時，您應該謹慎考慮正常操作和網路故障期間有限的路由和服務可用性。當 Outpost 從 區域中斷連線時，無法使用 Service Link 路徑。

 您應該佈建各種路徑，並設定 Outpost LGW 與關鍵現場部署應用程式、系統和使用者之間的動態路由。備援網路路徑可讓網路繞過故障的流量，並確保內部部署資源能夠在部分網路故障期間與在 Outpost 上執行的工作負載進行通訊。

 Outpost VPC 路由組態是靜態的。您可以透過 AWS 管理主控台、CLI、APIs 和其他基礎設施做為程式碼 (IaC) 工具來設定子網路路由表；不過，在中斷連線事件期間，您將無法修改子網路路由表。您必須重新建立 Outpost 與 區域之間的連線，才能更新路由表。針對您計劃在中斷連線事件期間使用的正常操作，使用相同的路由。

 Outpost 上的資源可以透過服務連結和 區域中的網際網路閘道 (IGW) 或透過本機閘道 (LGW) 路徑來連接網際網路。透過 LGW 路徑和內部部署網路路由網際網路流量，可讓您使用現有的內部部署網際網路輸入/輸出點，相較於使用服務連結路徑到 區域中的 IGW，可提供更低的延遲、更高的 MTUs 和更低 AWS 的資料輸出費用。

 如果您的應用程式必須執行內部部署，且需要從公有網際網路存取，您應該透過內部部署網際網路連線將應用程式流量路由至 LGW 以連接 Outpost 上的資源。

 雖然您可以在 Outpost 上設定子網路，例如區域中的公有子網路，但對於大多數使用案例來說，這可能是不理想的做法。傳入網際網路流量將透過 傳入， AWS 區域 並透過服務連結路由至 Outpost 上執行的資源。

 回應流量將接著透過服務連結路由，並透過 AWS 區域網際網路連線傳回。此流量模式可能會增加延遲，並會在流量離開區域前往 Outpost 時產生資料輸出費用，而傳回流量透過區域傳回，而輸出進入網際網路時產生資料輸出費用。如果您的應用程式可以在 區域中執行，則 區域是執行它的最佳位置。

 VPC 資源之間的流量 （在相同 VPC 中） 將一律遵循本機 VPC CIDR 路由，並由隱含 VPC 路由器在子網路之間路由。

 例如，在 Outpost 上執行的 EC2 執行個體與 區域中的 VPC 端點之間的流量一律會透過服務連結路由。

![\[顯示透過隱含路由器進行本機 VPC 路由的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-outposts-high-availability-design/images/local-vpc-routing-through-implicit-routers.png)


## 應用程式/工作負載路由的建議實務
<a name="recommended-practices-for-applicationworkload-routing"></a>
+  盡可能使用 Local Gateway (LGW) 路徑，而非服務連結路徑。
+  透過 LGW 路徑路由網際網路流量。
+  使用一組標準路由設定 Outpost 子網路路由表 – 它們將用於正常操作和中斷連線事件期間。
+  在 Outpost LGW 和關鍵現場部署應用程式資源之間佈建備援網路路徑。使用動態路由來自動化內部部署網路故障周圍的流量重新導向。