本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 混合連線
<a name="hybrid-connectivity"></a>

 本節著重於將雲端資源與內部部署資料中心安全地連線。啟用混合連線的方法有三種：
+  **One-to-one連線**：在此設定中，會為每個 VPC 建立 VPN 連線和/或 Direct Connect 私有 VIF。這是使用虛擬私有閘道 (VGW) 來完成的。此選項適用於少量 VPCs，但隨著客戶擴展其 VPCs，管理每個 VPC 的混合連線可能會變得困難。
+  **邊緣整合**：在此設定中，客戶會將多個 VPCs的混合 IT 連線整合在單一端點。所有 VPCs共用這些混合連線。這是使用 AWS Transit Gateway 和 Direct Connect 閘道來完成的。
+  **全網格混合整合**：在此設定中，客戶使用建置於 的 CloudWAN，在單一端點整合多個 VPCs 的連線 AWS Transit Gateway。這是在一或多個 AWS 帳戶中聯網的完整政策型方法，以程式碼表示。目前，使用 Direct Connect 進行邊緣連線需要將 Transit Gateway 互連至 CloudWAN。

# VPN 
<a name="vpn"></a>

 設定 VPN 到 AWS 的方式有多種：

![\[描述 Site-to-Site VPN 選項的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-vpn-options.png)

+  **選項 1：整合 Transit Gateway 上的 VPN 連線** — 此選項利用 Transit Gateway 上的 Transit Gateway VPN 連接。Transit Gateway 支援site-to-site的 IPsec 終止。客戶可以建立連至 Transit Gateway 的 VPN 通道，並可以存取連到它的 VPCs。Transit Gateway 支援靜態和 BGP 型動態 VPN 連線。Transit Gateway 也支援 VPN 連接上的[等價多路徑 ](https://en.wikipedia.org/wiki/Equal-cost_multi-path_routing)(ECMP)。每個 VPN 連線每個通道的輸送量上限為 1.25 Gbps。啟用 ECMP 可讓您彙總 VPN 連線的輸送量，進而擴展到超過預設的 1.25 Gbps 上限。在此選項中，您需要支付 [Transit Gateway 定價](https://aws.amazon.com/transit-gateway/pricing/)和[Site-to-Site VPN 定價](https://aws.amazon.com/vpn/pricing/)的費用。AWS 建議使用此選項進行 VPN 連線。如需詳細資訊，請參閱[使用 AWS Transit Gateway 部落格文章擴展 VPN 輸送量](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)。
+  **選項 2：在 Amazon EC2 執行個體上終止 VPN** — 當客戶想要特定廠商軟體功能集 （例如 [Cisco DMVPN](https://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html) 或一般路由封裝 (GRE))，或想要跨各種 VPN 部署運作一致性時，客戶會利用此選項。您可以使用傳輸 VPC 設計進行邊緣整合，但請務必記住，傳輸 VPC [VPC 到 VPC 連線](vpc-to-vpc-connectivity.md)區段中的所有關鍵考量事項都適用於混合 VPN 連線。您負責管理高可用性，並支付 EC2 執行個體以及任何廠商軟體授權和支援成本的費用。
+  **選項 3：在虛擬私有閘道 (VGW) 上終止 VPN** — 此 AWS Site-to-Site VPN 服務選項可啟用one-to-one連線設計，您可以在其中為每個 VPC 建立一個 VPN 連線 （由一對備援 VPN 通道組成）。 ****這是開始使用 VPN 連線至 AWS 的好方法，但隨著您擴展 VPCs 數量，管理不斷增加的 VPN 連線數量可能會變得具有挑戰性。因此，利用 Transit Gateway 的邊緣整合設計最終將成為更好的選項。VGW 的 VPN 輸送量限制為每個通道 1.25 Gbps，不支援 ECMP 負載平衡。從定價角度來看，您只需支付 AWS VPN 定價，執行 VGW 無需付費。如需詳細資訊，請參閱 [Site-to-Site VPN 定價](https://aws.amazon.com/vpn/pricing/)和[Site-to-Site VPN 虛擬私有閘道上的](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html) 。
+ **選項 4：終止用戶端 VPN 端點上的 VPN 連線** — AWS Client VPN 是一種受管的用戶端型 VPN 服務，可讓您安全地存取內部部署網路中的 AWS 資源和資源。透過 Client VPN，您可以使用 OpenVPN 或 AWS 提供的 VPN 用戶端，從任何位置存取您的資源。透過設定 Client VPN 端點，用戶端和使用者可以連線以建立 Transport Layer Security (TLS) VPN 連線。如需詳細資訊，請參閱 [AWS Client VPN 文件](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html)。
+  **選項 5：在 AWS Cloud WAN 上合併 VPN 連線** — 此選項類似於此清單中的第一個選項，但它使用 CloudWAN 結構透過網路政策文件以程式設計方式設定 VPN 連線。

# Direct Connect 
<a name="direct-connect"></a>

雖然透過網際網路的 VPN 是入門的絕佳選擇，但網際網路連線對於生產流量可能不可靠。由於這種不可靠性，許多客戶選擇 [Direct Connect](https://aws.amazon.com/directconnect/)。 Direct Connect 是一種聯網服務，提供使用網際網路連線到 AWS 的替代方案。使用 時 Direct Connect，先前透過網際網路傳輸的資料會透過設施和 AWS 之間的私有網路連線來傳遞。在許多情況下，私有網路連線可以降低成本、增加頻寬，並提供比網際網路連線更一致的網路體驗。有幾種方法可以使用 Direct Connect 連線到 VPCs：

![\[描述如何使用 連線現場部署資料中心的圖表 Direct Connect\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/connect-on-premises.png)

+  **選項 1：建立連接到 VPC 之 VGW 的私有虛擬介面 (VIF)**：每個 Direct Connect 連線可以建立 50 VIFs，讓您最多連接到 50 VPCs（一個 VIF 提供與一個 VPC 的連線）。每個 VPC 有一個 BGP 對等互連。此設定中的連線僅限於 Direct Connect 位置所在的 AWS 區域。VIF 對 VPC 的one-to-one映射 （且缺乏全域存取） 使得存取登陸區域中VPCs 成為最不理想的方法。
+ **選項 2：建立私有 VIF 到與多個 VGWs相關聯的 Direct Connect 閘道 （每個 VGW 都連接到 VPC) **— Direct Connect 閘道是全球可用的資源。您可以在任何區域中建立 Direct Connect 閘道，並從所有其他區域存取，包括 GovCloud （中國除外）。Direct Connect Gateway 可透過單一私有 VPCs （透過 VGWs)。如果登陸區域包含少量 VPCs（十個或更少VPCs) 和/或您需要全域存取，這是很好的選擇。每個 Direct Connect 連線的每個 Direct Connect Gateway 都有一個 BGP 對等互連工作階段。Direct Connect 閘道僅適用於北/南流量流程，不允許 VPC-to-VPC連線。如需詳細資訊，請參閱 Direct Connect 文件中的[虛擬私有閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)。使用此選項時，連線不限於 Direct Connect 位置所在的 AWS 區域。 Direct Connect gateway 僅適用於北/南流量流程，不允許 VPC-to-VPC的連線。此規則的例外狀況是，當超級網路在兩個或多個 VPCs 之間進行公告，而這兩個 VPC 的連接 VGWs與相同 Direct Connect 閘道相關聯，且位於相同的虛擬介面上。在這種情況下，VPCs 可以透過 Direct Connect 端點彼此通訊。如需詳細資訊，請參閱[Direct Connect 閘道文件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。
+  **選項 3：建立傳輸 VIF 至與 Transit Gateway 相關聯的 Direct Connect 閘道 **— 您可以使用 Transit VIF 將 Transit Gateway 執行個體與 Direct Connect 閘道建立關聯。 Direct Connect 現在支援所有連接埠速度的 Transit Gateway 連線，在不需要高速連線 （大於 1Gbps) 時為 Transit Gateway 使用者提供更具成本效益的選擇。這可讓您以 50、100、200、300、400 和 500 Mbps 的速度使用 Direct Connect 連線至 Transit Gateway。Transit VIF 可讓您透過單一傳輸 VIF 和 BGP 對等互連，將內部部署資料中心連接至每個 Direct Connect 閘道最多六個 Transit Gateway 執行個體 （可連接至數千個 VPCs)，跨不同 AWS 區域和 AWS 帳戶。這是大規模連接多個 VPCs的選項中最簡單的設定，但您應該注意 [Transit Gateway 配額](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-limits.html)。要注意的一個關鍵限制是，您只能透過傳輸 VIF，將 [200 個字首](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)從 Transit Gateway 公告到內部部署路由器。使用先前的選項，您需為 Direct Connect 定價付費。對於此選項，您還需要支付 Transit Gateway 連接和資料處理費用。如需詳細資訊，請參閱 [Direct Connect 上的 Transit Gateway Associations 文件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。
+  **選項 4：透過 Direct Connect 公有 VIF 建立與 Transit Gateway 的 VPN 連線 **— 公有 VIF 可讓您使用公有 IP 地址存取所有 AWS 公有服務和端點。當您在 Transit Gateway 上建立 VPN 連接時，您會在 AWS 端取得兩個 VPN 端點的公有 IP 地址。這些公有 IPs可透過公有 VIF 存取。您可以透過公有 VIF 建立任意數目的 VPN 連線至任意數目的 Transit Gateway 執行個體。當您透過公有 VIF 建立 BGP 對等互連時，AWS 會將整個 [AWS 公有 IP 範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)公告至您的路由器。為了確保您只允許特定流量 （例如，只允許流向 VPN 終止端點的流量），建議您使用防火牆內部部署設施。此選項可用於在網路層加密 Direct Connect。
+  **選項 5： Direct Connect 使用私有 IP VPN 建立對 Transit Gateway 的 VPN 連線** — 私有 IP VPN 是一項功能，可讓客戶使用私有 IP 地址透過 Direct Connect 部署 AWS Site-to-Site VPN 連線。使用此功能，您可以透過 Direct Connect 連線來加密內部部署網路與 AWS 之間的流量，而不需要公有 IP 地址，因此可同時提高安全性和網路隱私權。私有 IP VPN 部署在 Transit VIFs之上，因此可讓您使用 Transit Gateway 以更安全、私密和可擴展的方式，集中管理客戶的 VPCs 和內部部署網路的連線。
+ **選項 6：透過傳輸 VIF 建立 GRE 通道至 Transit Gateway** – Transit Gateway Connect 連接類型支援 GRE。透過 Transit Gateway Connect，SD-WAN 基礎設施可以原生連接到 AWS，而無需在 SD-WAN 網路虛擬設備與 Transit Gateway 之間設定 IPsec VPNs。GRE 通道可透過傳輸 VIF 建立，以 Transit Gateway Connect 做為連接類型，提供比 VPN 連線更高的頻寬效能。如需詳細資訊，請參閱[使用 AWS Transit Gateway Connect 簡化 SD-WAN 連線](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)部落格文章。

「將 VIF 傳輸到 Direct Connect 閘道」選項似乎是最佳選項，因為它可讓您使用每個 Direct Connect 連線的單一 BGP 工作階段，在 AWS 區域 單一點 （傳輸閘道） 整合給定的所有內部部署連線；不過，此選項的一些限制和考量可能會導致您使用私有和傳輸 VIFs，以符合您的登陸區域連線需求。

下圖說明的範例設定，其中 Transit VIF 用作連線至 VPCs的預設方法，而私有 VIF 用於邊緣使用案例，其中必須從現場部署資料中心將非常大量的資料傳輸到媒體 VPC。私有 VIF 用於避免 Transit Gateway 資料處理費用。最佳實務是，您應該在兩個不同的 Direct Connect 位置有至少兩個連線，才能[達到最大備援](https://aws.amazon.com/directconnect/resiliency-recommendation/)，總共四個連線。您為每個連線建立一個 VIF，總共四個私有 VIFs和四個傳輸 VIFs。您也可以建立 VPN 做為 Direct Connect 連線的備份連線。

使用「透過傳輸 VIF 建立 GRE 通道到傳輸閘道」選項，您可以原生連接 SD-WAN 基礎設施與 AWS。它不需要在 SD-WAN 網路虛擬設備與 Transit Gateway 之間設定 IPsec VPNs。

![\[描述混合連線的範例參考架構的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hybrid-connectivity-ra.png)


使用 Network Services 帳戶來建立 Direct Connect 資源，以分隔網路管理界限。Direct Connect 連線、Direct Connect 閘道和 Transit Gateways 都可以位於 Network Services 帳戶中。若要與您的登陸區域共用 Direct Connect 連線，只需透過 AWS RAM 與其他帳戶共用 Transit Gateway。

## Direct Connect 連線上的 MACsec 安全性
<a name="macsec-security-dc"></a>



客戶可以在[特定位置](https://aws.amazon.com/directconnect/locations/)使用 MAC 安全標準 (MACsec) 加密 (IEEE 802.1AE) 搭配 10 Gbps 和 100 Gbps 專用連線的 Direct Connect 連線。透過[此功能](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)，客戶可以在第 2 層保護其資料，而 Direct Connect 則提供point-to-point加密。若要啟用 Direct Connect MACsec 功能，請確定符合 [MACsec 先決條件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-mac-sec-getting-started.html#mac-sec-prerequisites)。由於 MACsec 會hop-by-hop連結，因此您的裝置必須具有我們的 Direct Connect 裝置的直接第 2 層相鄰。您的最後一哩提供者可協助您驗證連線是否適用於 MACsec。如需詳細資訊，請參閱[將 MACsec 安全性新增至 AWS Direct Connect 連線](https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/)。

## Direct Connect 彈性建議
<a name="resiliency-recommendations"></a>

使用 Direct Connect，客戶可以從內部部署網路實現對 Amazon VPCs和 AWS 資源的高度彈性連線。最佳實務是客戶從多個資料中心連線，以消除任何單點實體位置故障。建議客戶根據工作負載類型，使用多個 Direct Connect 連線進行備援。

AWS 也提供 Direct Connect 彈性工具組，可為客戶提供具有多個備援模型的連線精靈；協助他們判斷哪個模型最適合其服務層級協議 (SLA) 需求，並使用 Direct Connect 連線相應地設計其混合連線。如需詳細資訊，請參閱[Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

## Direct Connect SiteLink
<a name="direct-connect-sitelink"></a>

 先前，只有透過深色光纖或其他技術、IPSEC VPNs 使用直接電路建置，或使用第三方電路供應商搭配 MPLS、MetroEthernet 或舊版 T1 電路等技術，才能為您的內部部署網路設定site-to-site站台連結。隨著 SiteLink 的到來，客戶現在可以為其內部部署位置啟用直接site-to-site連線，而這些連線會在某個 Direct Connect 位置終止。使用您的 Direct Connect 電路提供site-to-site的連線，而無需透過 VPCs路由流量，完全繞過 AWS 區域。

 現在，您可以透過 Direct Connect 位置之間的最快路徑傳送資料，在 全球網路的辦公室和資料中心之間建立全球、可靠且pay-as-you-go的連線。

![\[圖表 Direct Connect SiteLink\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/direct-connect-sitelink.png)


 使用 SiteLink 時，您首先會將內部部署網路連接到全球超過 100 個 Direct Connect 位置的 AWS。然後，您可以在這些連線上建立虛擬介面 VIFs)，並啟用 SiteLink。一旦所有 VIFs都連接到相同的 Direct Connect 閘道 (DXGW)，您就可以開始在它們之間傳送資料。您的資料使用快速、安全且可靠的 AWS 全球網路，遵循 Direct Connect 位置到目的地之間的最短路徑。您不需要有任何資源 AWS 區域 ，即可使用 SiteLink。

 使用 SiteLink，DXGW 會透過啟用 SiteLink VIFs 從您的路由器學習 IPv4/IPv6 字首、執行 BGP 最佳路徑演算法、更新 NextHop 和 AS\$1Path 等屬性，並將這些 BGP 字首重新公告至與該 DXGW 相關聯的其他啟用 SiteLink VIFs。如果您在 VIF 上停用 SiteLink，DXGW 不會將此 VIF 上學到的內部部署字首公告給其他已啟用 SiteLink VIFs。SiteLink 停用 VIF 的內部部署字首只會公告至 DXGW Gateway 關聯，例如與 DXGW 相關聯的 AWS Virtual Private Gateways (VGWs) 或 Transit Gateway (TGW) 執行個體。

![\[顯示 Sitelink 流量流程範例的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/full-mesh-connectivity.png)


 SiteLink 可讓客戶使用 AWS 全域網路，做為遠端位置之間的主要或次要/備份連線，具有高頻寬和低延遲，並搭配動態路由來控制哪些位置可以彼此通訊，以及與 AWS 區域資源通訊。

 如需詳細資訊，請參閱 [Introducing Direct Connect SiteLink](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-direct-connect-sitelink/)。