- 联网和内容分发›
- AWS Direct Connect›
- 常见问题
AWS Direct Connect 常见问题
一般性问题
什么是 AWS Direct Connect?
AWS Direct Connect 是一种联网服务,提供了通过互联网连接到 AWS 的替代方案。使用 AWS Direct Connect ,以前通过 Internet 传输的数据将可以借助您的设施和 AWS 之间的私有网络连接进行传输。在许多情况下,私有网络连接可以降低成本、增加带宽,提供比基于 internet 的连接更为一致的网络体验。所有 AWS 服务都可与 AWS Direct Connect 一起使用,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB。
什么是 AWS Direct Connect?
AWS Direct Connect 是一种联网服务,提供了通过互联网连接到 AWS 的替代方案。使用 AWS Direct Connect ,以前通过 Internet 传输的数据将可以借助您的设施和 AWS 之间的私有网络连接进行传输。在许多情况下,私有网络连接可以降低成本、增加带宽,提供比基于 internet 的连接更为一致的网络体验。所有 AWS 服务都可与 AWS Direct Connect 一起使用,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB。
AWS Direct Connect 可在何处使用?
AWS Direct Connect 站点的完整列表详见 AWS Direct Connect 站点页面。使用 AWS Direct Connect 时,您可以连接到在任何 AWS 区域和可用区中部署的 VPC。您还可以连接到 AWS Local Zones。
专用连接和托管连接之间有哪些区别?
专用连接通过单个客户专用的 1 Gbps、10 Gbps 或 100 Gbps 以太网端口提供。托管连接来自其自身和 AWS 之间具有网络链路的 AWS Direct Connect 合作伙伴。
如何开始使用 AWS Direct Connect?
使用 AWS 管理控制台中的 AWS Direct Connect 选项卡新建一个连接。请求连接时,系统将提示您选择 AWS Direct Connect 站点、端口数量和端口速度。如果需要有关将办公室或数据中心网络扩展到 AWS Direct Connect 站点的帮助,可以联系 Direct Connect 合作伙伴。
如果我的网络不在 AWS Direct Connect 节点,可否使用 AWS Direct Connect?
符合。AWS Direct Connect 合作伙伴可以帮助您将先前存在的数据中心或办公室网络扩展到 AWS Direct Connect 站点。有关更多信息,请参阅 AWS Direct Connect 合作伙伴。 利用 AWS Direct Connect 网关,您可以从任何 AWS Direct Connect 站点(中国除外)访问任何 AWS 区域。
在将我的本地站点连接到 AWS 时,AWS 是否扮演我的“第一英里”或“最后一英里”的角色?
否,您需要在本地站点所使用的本地服务提供商之间进行连接,或者与 AWS Direct Connect 交付合作伙伴合作,以连接到 AWS Direct Connect 站点。
如何在 AWS Direct Connect 站点请求交叉连接?
下载授权书和连接设施分配 (LOA-CFA) 后,必须完成交叉网络连接。如果您的设备已经位于 AWS Direct Connect 站点,请联系相应的提供商完成交叉连接。有关每个提供商和交叉连接定价的具体说明,请参阅 AWS Direct Connect 文档:在 AWS Direct Connect 站点请求交叉连接。
定义
什么是 AWS Direct Connect 网关?
AWS Direct Connect 网关是虚拟私有网关 (VGW) 和私有虚拟接口 (VIF) 的组合。AWS Direct Connect 网关是全球可用的资源。您可以在任何区域中创建 AWS Direct Connect 网关,并从所有其他区域进行访问。
什么是虚拟接口(VIF)?
虚拟接口 (VIF) 是访问 AWS 服务的必要条件,它可以是公有,也可以是私有。公有虚拟接口支持访问公有服务,如 Amazon S3。私有虚拟接口支持访问 VPC。有关更多信息,请参阅 AWS Direct Connect 虚拟接口。
什么是虚拟专用网关(VGW)?
虚拟私有网关 (VGW) 是 VPC 的一部分,可为 AWS 托管的 VPN 连接和 AWS Direct Connect 连接提供边缘路由。您可以将 AWS Direct Connect 网关与 VPC 的虚拟私有网关关联。有关更多详细信息,请参阅本文档。
什么是链路汇聚组(LAG)?
链路汇聚组 (LAG) 是一种逻辑接口,使用链路汇聚控制协议 (LACP) 在单个 AWS Direct Connect 终端节点汇聚多个专用连接,允许您将其视为单个托管连接。LAG 之所以能够简化配置,原因在于 LAG 配置适用于组中的所有连接。有关创建、更新、关联/解除关联和删除 LAG 的详细信息,请参阅 AWS Direct Connect 文档:链路汇聚组 - AWS Direct Connect。
使用 LAG 无需额外付费。
支持动态 LACP 捆绑包;但不支持静态 LACP 捆绑包。
位于两个不同 LAG 上的 VIF 可以被连接到同一个 VGW。支持双向转发检测 (BFD),以在使用多个 LAG 时缩短路径之间的故障转移时间。
什么是 AWS Direct Connect 弹性工具包?
AWS Direct Connect 弹性工具包提供了一种连接向导,可帮助您在多个弹性模式之间进行选择。这些模式可帮助您确定专用连接的数量,然后下订单,以实现 SLA 目标。选择一个弹性模式,然后 AWS Direct Connect 弹性工具包将引导您完成专用连接订购过程。弹性模式旨在确保您能够在多个站点拥有适当数量的专用连接。
什么是 AWS Direct Connect 失效转移测试功能?
AWS Direct Connect 故障转移测试功能让您可以通过禁用本地网络和 AWS 之间的边界网关协议会话来测试您的 AWS Direct Connect 连接的弹性。您可以使用 AWS 管理控制台或 AWS Direct Connect 应用程序编程接口 (API)。要详细了解此功能,请参阅本文档。所有商用 AWS 区域(GovCloud (US) 除外)都支持这一功能。
什么是针对私有虚拟接口(VIF)的本地优先团体?
私有和中转虚拟接口的站点首选项社区提供了一项功能,可以让您影响源自 VPC 的流量的退回路径。
什么是针对私有和中转虚拟接口(VIF)的本地优先团体?
私有和中转虚拟接口的站点首选项社区为您提供了一项功能,可以让您影响源自 VPC 的流量的退回路径。
什么是 AWS Direct Connect 网关 – 自带私有 ASN?
借助可配置的私有自治系统编号 (ASN),您可以在边界网关协议 (BGP) 会话的 AWS 端为任何新创建的 AWS Direct Connect 网关上的私有或中转 VIF 设置 ASN。所有商用 AWS 区域(AWS 中国区域除外)和 AWS GovCloud(美国)区域都提供这一功能。
什么是中转虚拟接口?
中转虚拟接口指的是可以通过任何 AWS Direct Connect 连接创建的一种虚拟接口。中转虚拟接口只能附加到 AWS Direct Connect 网关。您可以使用附加了一个或多个中转虚拟接口的 AWS Direct Connect 网关来在任何支持的 AWS 区域中最多与六个 AWS Transit Gateway 交互。与私有虚拟接口类似,您可以通过单个中转虚拟接口建立一个 IPv4 BGP 会话和一个 IPv6 BGP 会话。
什么是 AWS Direct Connect 网关的多账户支持?
提供 AWS Direct Connect 网关的多账户支持功能,您可以将来自多个 AWS 账户的最多 20 个 Amazon Virtual Private Cloud(Amazon VPC)或六个 AWS Transit Gateway 关联到一个 AWS Direct Connect 网关。
什么是 MACsec?
802.1AE MAC 安全性(MACsec)是一项 IEEE 标准,用于确保数据保密性、数据完整性和数据源真实性。您可以使用支持 MACsec 的 AWS Direct Connect 连接对从本地网络或托管设备到所选 AWS Direct Connect 存在点的数据进行加密。
什么是 AWS Direct Connect SiteLink?
当在两个或更多 AWS Direct Connect 站点启用 AWS Direct Connect SiteLink 功能时,您可以在这些站点之间发送数据,而绕过 AWS 区域。AWS Direct Connect SiteLink 兼容托管和专用连接。
高可用性和弹性
拥有链路聚合组(LAG)能否提高我的连接的弹性?
不能,LAG 并不能提高您的 AWS 连接的弹性。如果您的 LAG 中包含多个链路,并将最少链路数设置为 1 时,您的 LAG 可使您不会发生单链路故障。但是,当 LAG 终止时,它不能防止在 AWS 中出现单一设备故障。
为确保 AWS 连接的高度可用,我们建议您在多个 AWS Direct Connect 站点上建立连接。您可以参阅 AWS Direct Connect 弹性建议,详细了解如何实现高度可用的网络连接。
如何订购 AWS Direct Connect 连接以获得高可用性?
我们建议按照 AWS Direct Connect 弹性建议页面详细介绍的弹性最佳实践,来确定适合您的使用场景的最佳弹性模式。选择弹性模型后,AWS Direct Connect 弹性工具包将指导您完成订购冗余连接的过程。AWS 还建议您使用弹性工具包故障转移测试功能,在上线前对您的配置进行测试。
每个专用的 AWS Direct Connect 连接由您的路由器端口和 AWS Direct Connect 设备端口之间的一个专用连接组成。我们建议您建立第二个连接来实现冗余。如果您在同一个 AWS Direct Connect 站点请求多个端口,它们将被预置在冗余的 AWS 设备上。
如果您配置了备用 IPsec VPN 连接,则所有的 VPC 流量将自动失效转移到该 VPN 连接。传入/传出 Amazon S3 等公有资源的流量将通过互联网路由。如果您没有备用的 AWS Direct Connect 链路或 IPsec VPN 链路,则出现故障时会丢失 Amazon VPC 流量。传入/传出公有资源的流量将通过互联网路由。
AWS Direct Connect 是否提供服务等级协议(SLA)?
是,AWS Direct Connect 提供 SLA。详细信息请参阅此处。
使用失效转移测试功能时,能否配置测试持续时间或在运行时取消测试?
是,您可以配置测试的持续时间。您可以将测试的最短和最长持续时间分别设为 1 分钟和 180 分钟。 您可以在运行测试过程中取消测试。取消测试时,我们将会恢复边界网关协议会话,并在您的测试历史记录中记录测试已取消。
在使用故障转移测试功能时,是否可以查看我过去的测试历史记录? 测试历史记录会保留多长时间?
可以,您可以通过 AWS 管理控制台或 AWS CloudTrail 查看测试历史记录。我们会将测试历史记录保留 365 天。如果删除虚拟接口,测试历史记录也将会删除。
失效转移测试完成之后将会出现什么情况?
在配置测试持续时间以后,我们将使用测试启动前协商的边界网关协议会话参数,恢复本地网络和 AWS 之间的边界网关协议会话。
谁可以使用 AWS Direct Connect 弹性工具包启动失效转移测试?
只有包含虚拟接口的 AWS 账户的拥有者可以启动测试。
能否在虚拟接口的失效转移测试进行过程中删除该虚拟接口?
可以,您可以在虚拟接口测试进行过程中删除该虚拟接口。
能否为任何类型的虚拟接口运行失效转移测试?
可以,您可以对使用任何类型的虚拟接口建立的边界网关协议会话运行测试。
如果我建立了 IPv4 和 IPv6 边界网关协议会话,是否可以为每个边界网关协议会话执行此测试?
可以,您可以为其中一个边界网关协议会话或者同时为这两个会话启动测试。
AWS Direct Connect SiteLink AWS
是否需要新的 AWS Direct Connect 连接以使用 AWS Direct Connect SiteLink,以及它们是否需为相同类型?
您可以搭配使用 AWS Direct Connect SiteLink 和您的现有 AWS Direct Connect 连接。它与任何类型的 AWS Direct Connect 连接兼容(专用或托管)。
我要在哪里以及如何配置 AWS Direct Connect SiteLink?
您要在配置虚拟接口 (VIF) 时启用和禁用 AWS Direct Connect SiteLink。要使用 AWS Direct Connect SiteLink 建立连接,您必须在两个或更多 AWS Direct Connect 站点的两个或更多 VIF 上启用 AWS Direct Connect SiteLink。您必须将全部站点附加到相同的 AWS Direct Connect 网关。您可以使用 AWS 管理控制台、AWS 命令行界面或 API 配置您的 VIF,以启用或禁用 AWS Direct Connect SiteLink。AWS Direct Connect SiteLink 与 AWS CloudWatch 集成,因此您可以监控通过此链路发送的流量。
AWS Direct Connect SiteLink 是否需要 AWS Direct Connect 网关连接?
符合。要使用 AWS Direct Connect SiteLink,您必须将启用 AWS Direct Connect SiteLink 的虚拟接口 (VIF) 连接到 AWS Direct Connect 网关。VIF 类型可以是私有或中转的。
如何知道自己要为 AWS Direct Connect SiteLink 的哪些服务付费?
在账单中,与 AWS Direct Connect SiteLink 有关的费用将在有别于其他 AWS Direct Connect 相关费用的独立行上显示。
简单的 AWS Direct Connect SiteLink 双站点网络架构看起来是什么样子的?
要构建简单的网络,请配置私有虚拟接口 (VIF),并在每个站点的该 VIF 上启用 AWS Direct Connect SiteLink。然后创建 AWS Direct Connect 网关,将其关联到每个已启用 AWS Direct Connect SiteLink 的 VIF,以便创建一个网络。
如何使用 AWS Direct Connect SiteLink 实现辐射状架构?
要创建辐射状架构,请创建 AWS Direct Connect 网关,并将其关联到全部已启用 AWS Direct Connect SiteLink 的私有 VIF。
如何使用 AWS Direct Connect SiteLink 创建分段网络架构?
启动多个 AWS Direct Connect 网关,将每个关联到已启用 AWS Direct Connect SiteLink 的私有接口 (VIF) 子集。某个 AWS Direct Connect 网关上已启用 AWS Direct Connect SiteLink 的 VIF 无法和另一个 AWS Direct Connect 上已启用 AWS Direct Connect SiteLink 的 VIF 通信,从而形成一个分段网络。
AWS Direct Connect SiteLink 支持哪些类型的虚拟接口(VIF)?
私有和中转 VIF 均支持 AWS Direct Connect SiteLink。不过,当 AWS Direct Connect 网关之前和虚拟私有网关关联,或者被附加到私有虚拟接口时,您无法附加 AWS Direct Connect 网关 (DXGW) 到 AWS Transit Gateway。
AWS Direct Connect SiteLink 是否需要 BGP?
符合。AWS Direct Connect SiteLink 需要 BGP。
AWS Direct Connect SiteLink 是否支持 IPv6?
符合。AWS Direct Connect SiteLink 支持 IPv6。
AWS Direct Connect SiteLink 是否支持 MACsec?
符合。只要端口和 PoP 站点支持 MACsec 加密,那么 AWS Direct Connect SiteLink 就支持 MACsec。
已启用 AWS Direct Connect SiteLink 的虚拟接口(VIF)是否支持服务质量(QoS)?
AWS Direct Connect 不提供托管式 QoS 功能。当您在通过 AWS Direct Connect SiteLink 连接的设备上配置 QoS,DSCP 标记将在转发流量上保留。
AWS Direct Connect SiteLink 是否支持本地首选项 BGP 社区?
符合。您可以搭配使用现有的 AWS Direct Connect 本地首选项标签和 AWS Direct Connect SiteLink。支持以下本地首选项 BGP 社区标签:
7224:7100 - 低首选项
7224:7200 - 中首选项
7224:7300 - 高首选项
我应该在何时使用 AWS Direct Connect SiteLink 以及在何时使用 AWS 云 WAN?
根据使用场景,您可能会使用其中一种,或同时使用两种。Cloud WAN 可以跨多个区域创建与管理 VPC 网络。另一方面,AWS Direct Connect SiteLink 会将 DX 站点连接在一起,绕过 AWS 区域以提高性能。AWS Direct Connect 是未来您将可以与 Cloud WAN 网络搭配使用的多种连接选项之一。
本地扩展区
是否可以使用 AWS Direct Connect 来连接在 AWS Local Zones 中运行的资源?
可以,当使用 AWS Direct Connect 时,您可以连接到部署在 AWS Local Zones 中的 VPC。您的数据将通过 AWS Direct Connect 连接直接传送到 AWS Local Zones 以及从其中传出,而不会遍历整个 AWS 区域。这将会提高性能并且可以缩短延迟。
如何配置 AWS Local Zones 以便搭配使用 AWS Direct Connect?
不管是链接到 AWS Local Zones 还是连接到某个区域的 AWS Direct Connect,它们都以相同的方式运行。
要连接到某个区域,首先您要创建新的子网并将其分配到 AWS 本地扩展区,以便将您的 VPC 从父级区域扩展到 AWS Local Zones。(有关此流程的详细信息,请见我们文档中的将 VPC 扩展到 Local Zone、Wavelength Zone 或 Outpost页面。) 然后,将您的 Virtual Gateway(VGW)关联到 AWS Direct Connect 私有虚拟接口,或 AWS Direct Connect 网关,以进行连接。(有关详细信息,请见我们的文档中的虚拟私有网关关联条目。)
您还可以通过互联网网关(IGW)连接到采用 AWS Direct Connect 公有虚拟接口的 AWS Local Zones。
AWS Direct Connect 连接到 AWS Local Zone 的方式和连接到某个区域相比是否有差异?
是的,它们之间存在差异。AWS Local Zones 尚不支持 AWS Transit Gateway。如果通过 AWS Transit Gateway 连接到 AWS 本地扩展区子网,您的流量会传入父级区域,由您的 AWS Transit Gateway 进行处理并被发送到 AWS 本地扩展区,然后从该区域(或发夹弯道)返回。接着,入口路由目标位置不会直接路由到 AWS Local Zones。流量将首先传入父级区域,然后回连到您的 AWS Local Zones。再接下来,有别于最大 MTU 大小为 9001 的区域,连接到 Local Zones 的数据包的最大 MTU 大小是 1468。此时支持并建议使用路径 MTU 发现。最后,与区域的 5 Gbps 相比,连接到 AWS 本地扩展区的单个流的限制(5 个元组)在 MTU 达到最大时(1468)大约为 2.5 Gbps。注:MTU 大小和单个流的限制不适用于 AWS Direct Connect 连接到位于洛杉矶的 AWS 本地扩展区的情况。
是否可以使用 AWS Site-to-Site VPN 备份链接到 AWS Local Zone 的 AWS Direct Connect?
不可以。与连接到某个区域不同,您不能使用 AWS Site-to-Site VPN 备份与 AWS 本地扩展区的 AWS Direct Connect 连接。对于冗余,您必须使用两个或更多 AWS Direct Connect 连接。
是否可以使用当前的 AWS Direct Connect 网关(DXGW)来关联 Virtual Gateway(VGW)?
可以,只要当前的 AWS Direct Connect 网关未与 AWS Transit Gateway 关联。因为 AWS Local Zones 不支持 AWS Transit Gateway,而且与 AWS Transit Gateway 关联的 DXGW 无法与 VGW 关联,因此您不能将 DXGW 关联到 AWS Transit Gateway。您必须创建新的 DXGW 并将它和 VGW 关联。
服务互操作性
是否可以将同一私有网络连接同时用于 Amazon 虚拟私有云(VPC)和其他 AWS 服务?
符合。每个 AWS Direct Connect 连接都可以配置一个或多个虚拟接口。虚拟接口可以配置为访问 Amazon EC2 和 Amazon S3 等使用公有 IP 空间的 AWS 服务,或者使用私有 IP 空间的 VPC 中的资源。
如果我在使用 Amazon CloudFront,并且我的原始服务器是自有的数据中心,可否使用 AWS Direct Connect 传输自有数据中心中存储的数据元?
符合。Amazon CloudFront 支持自定义源服务器,包括您在 AWS 外部运行的源服务器。对 CloudFront 边缘站点的访问将被限制在地理位置最接近的 AWS 区域,但位于北美的 AWS 区域除外,这些区域目前允许对所有北美区域的联网 CloudFront 源的访问。您可以在 AWS Direct Connect 连接上使用公有虚拟接口访问它。使用 AWS Direct Connect 时,您将按照 AWS Direct Connect 数据传输费率支付原始服务器数据传输费。
通过 Direct Connect 站点进入 AWS 全球网络后,您的流量仍然位于 Amazon 骨干网络内。属于不在 Amazon 骨干网络内的 CloudFront 站点的前缀将不会通过 Direct Connect 公布。 您可以在此处找到有关已公布的 IP 前缀和 Direct Connect 路由策略的更多详细信息。
能否在 AWS 管理控制台中为 AWS GovCloud(美国)订购端口?
要订购连接到 AWS GovCloud(美国)的端口,必须使用 AWS GovCloud(美国)管理控制台。
AWS Global Accelerator (AGA) 公共端点前缀是否通过 Direct Connect 公有虚拟接口从 AWS 公布到现场?
答:可以。Direct Connect 公有虚拟接口会公布 AGA 公共端点使用的 AnyCast 前缀。
链路汇聚组
一个 LAG 组中最多可以拥有几条链路?
一个 LAG 组中最多可以拥有 4 条链路。
链路汇聚组(LAG)处于主动/主动还是主动/被动模式?
它们处于主动/主动模式。换句话说,AWS 端口会持续发送链路汇聚控制协议数据单元 (LACPDU)。
LAG 的最大传输单位是否可以改变?
LAG 的最大传输单位可被变更。要了解详情,请参阅此处的巨型帧文档。
是否可以将我的端口配置为主动/被动模式,而不是主动/主动模式?
终端节点处的 LAG 可以配置为 LACP 主动或被动模式。AWS 侧始终配置为主动模式 LACP。
是否可以在同一 LAG 中混合使用接口类型,配置一些 1 G 端口和一些 10 G 端口?
否,您可以使用同一类型的端口(1 G 或 10 G)创建 LAG。
此项功能适用于哪些类型的端口?
它适用于 1 G、10 G 和 100 G 的专用连接端口。
是否可以将此项功能用于 LAG 托管连接?
否。此项功能仅适用于 1 G、10 G 和 100 G 的专用连接,而不适用于托管连接。
能否使用现有端口以外的其他端口创建 LAG?
是,只要您的端口都在同一个 AWS Direct Connect 设备上。请注意,在您的端口重新配置为 LAG 的过程中,它们的运行速度将会下降。直到 LAG 在您所在的一端配置完毕后,它们的运行速度才会恢复正常。
是否可以创建一个跨越多个 AWS Direct Connect 设备的 LAG?
LAG 将仅包含同一 AWS Direct Connect 设备上的端口。我们不支持多机架 LAG。
在 LAG 设置完毕后,如何向其添加链路?
您必须为 LAG 请求其他端口。如果同一设备中没有可用的端口,则必须订购新的 LAG 并迁移连接。例如,假设您有 3 条 1 G 的链路,并且希望增加一条,而该设备上没有可用端口,那么您需要订购一个拥有 4 条 1 G 链路的新 LAG。
你们没有可用端口,因此我订购了新 LAG,但已经配置了虚拟接口 (VIF)。如何转移这些 VIF?
您可以一次性将多个 VIF 附加到某个 VGW,还可以在连接上配置 VIF,即使该连接出现故障也是如此。建议您在新 LAG 上创建新的 VIF,并在创建好所有 VIF 后将连接转移到新 LAG。请务必删除旧的连接,以使我们停止计费。
是否可以删除 LAG 中的某个端口?
是,但前提是您设置的最少链路数必须低于剩余的端口数量。例如,假设您有 4 个端口,并将最少链路数设置为 4,那么您将不能删除该 LAG 中的端口。如果将最少链路数设置为 3,那么您就可以删除该 LAG 中的一个端口。我们将返回一条通知和一条提醒,前者将告知您已删除的特定面板/端口,后者将提醒您断开与 AWS 的交叉连接和线路。
是否可以一次性彻底删除我的 LAG?
可以,但与常规连接类似,如果您配置了 VIF,那么您就不能删除 LAG。
如果我的 LAG 中只有 2 个端口,我是否仍然可以删除其中一个端口?
可以,LAG 中可以只有一个端口。
是否可以订购只有一个端口的 LAG?
符合。但请注意,如果未来您需要增加端口,我们将无法承诺会在同一机架上提供端口。
是否可以将一个 LAG 转换回各个端口?
符合。您可以通过 DisassociateConnectionWithLag API 调用来执行这一操作。
是否可以为我创建一款用于转移虚拟接口(VIF)的工具?
您可以使用 AssociateVirtualInterface API 或控制台来执行这一操作。
LAG 会显示为单个连接还是一组连接?
它将显示为单个 dxlag,我们将列出其下的连接 ID。
最少链路数量是什么意思?在订购捆绑包时,为什么会看到最少链路数量复选框?
最少链路数是 LACP 中的一项功能,您可以借助此功能设置捆绑包中需要处于活动状态的链路的最少数量,以使该捆绑包处于活动状态并能传输流量。例如,假设您有 4 个端口并将最少链路数设置为 3,但您只有 2 个处于活动状态的端口,那么您的捆绑包不会处于活动状态。如果您有 3 个或更多端口处于活动状态,并配置了 VIF,那么您的捆绑包将处于活动状态并能传输流量。
如果您没有勾选“最少链路数”,则系统会默认将其设置为零。在设置好捆绑包后,您可以通过 AWS 管理控制台或 API 更改最少链路数的值。
将现有的 AWS Direct Connect 连接关联到 LAG 后,已经通过某个连接创建的现有虚拟接口(VIF)将会怎么样?
将具有现有虚拟接口 (VIF) 的 AWS Direct Connect 连接关联到 LAG 后,这些虚拟接口会迁移到该 LAG 中。请注意,与 VIF 关联的某些参数(例如要迁移到 LAG 的 VLAN 编号)也必须唯一。
是否可以在某个特定链路上设置链路优先级?
我们对所有链路一视同仁,因此不会在任何链路上设置“链路优先级”。
我所在的一端是否可以拥有一个连接至 AWS 一端的 4 个 10 GE 接口的 40 GE 接口?
要做到这一点,您的路由器上需要有 4 个 10 GE 接口用于连接到 AWS。我们不支持将单个 40 GE 接口连接到具有 4 个 10 GE 接口的 LACP。
计费
使用 AWS Direct Connect 是否需要任何设置费用或最短使用期限承诺?
使用此服务无需任何设置费用,且您可以随时取消此服务。AWS Direct Connect 合作伙伴提供的服务可能有其他适用的条款或限制。
使用 AWS Direct Connect 时,此服务将如何收费和计费?
AWS Direct Connect 有两项单独的费用:端口小时费和数据传输费。每个端口类型按所耗用的端口小时数收费。未满一小时的按一小时计费。拥有该端口的账户也会产生端口小时费。
通过 AWS Direct Connect 传输数据的费用将计入使用本服务传输数据当月的账单。请参阅下面的额外信息,以了解数据传输如何计费。
区域数据传输是否以 AWS Direct Connect 费率计费?
否,同一地区域不同可用区之间的数据传输将按照常规的区域数据转移费率计费,费用计入使用该服务的当月账单中。
决定托管连接的可计费端口小时数的因素有哪些?
端口小时数将从您接受托管连接之时起计算。只要预置了托管连接以供您使用,都将持续产生端口费。如果您不希望继续支付托管连接费,请联系 AWS Direct Connect 合作伙伴取消托管连接。
托管连接的端口小时费采用什么形式?
对于一个 AWS Direct Connect 站点的所有托管连接,端口小时费用均按容量分组。
例如,假设一个客户在某个 AWS Direct Connect 站点有两个独立的 200 Mbps 托管连接,并且在该站点无其他托管连接,则这两个独立 200 Mbps 托管连接的端口小时费将使用以 “HCPortUsage:200M” 结尾的标签,汇总为一个项目。假设一个月总运行时间为 720 小时,则此项目的端口小时数为 1,440,也就是该月的总小时数乘以该站点的 200Mbps 托管连接总数。
在您的账单中,可能显示如下托管连接容量标识符:
HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G
请注意,这些容量识别符将根据您在各个站点拥有的托管连接容量,按站点分别显示。
哪个 AWS 账户需要为在公有虚拟接口上执行的数据传出付费?
对于可公开寻址的 AWS 资源(例如,Amazon S3 存储桶、Classic EC2 实例或通过互联网网关的 EC2 流量),如果出站流量的目的地是同一 AWS 付款人账户拥有的公有前缀,并通过 AWS Direct Connect 公有虚拟接口主动发布给 AWS,那么将按照 AWS Direct Connect 数据传输速率向资源拥有者计量数据传出 (DTO) 使用量。
有关 AWS Direct Connect 定价的信息,请参阅 AWS Direct Connect 定价页面。如果使用 AWS Direct Connect 合作伙伴来协助建立 AWS Direct Connect 连接,请联系 AWS Direct Connect 合作伙伴了解相关费用。
通过中转/私有虚拟接口执行的数据传出需要向哪个 AWS 账户收费?
随着精细数据传出分配功能的引入,负责数据传出的 AWS 账户将为通过中转/私有虚拟接口执行的数据传出付费。负责数据传出的 AWS 账户将根据客户对私有/中转虚拟接口的使用情况来确定,如下所示:
私有虚拟接口用于与具有或不具有 AWS Direct Connect 网关的 Amazon Virtual Private Cloud 交互。对于私有虚拟接口,将由拥有对数据传出负责的 AWS 资源的 AWS 账户付费。
中转虚拟接口用于与 AWS Transit Gateway 交互。对于中转虚拟接口,将由拥有与附加到该中转虚拟接口的 AWS Direct Connect 网关关联的 AWS Transit Gateway 附加的 Amazon Virtual Private Cloud 的 AWS 账户付费。请注意,所有适用的 AWS Transit Gateway 特定费用(数据处理和附件)都将在 Direct Connect 数据传出费用之外另行收取。
如何将 AWS Direct Connect 与整合账单结合使用?
AWS Direct Connect 数据传输使用量将汇总到您的管理账户中。
如何取消 AWS Direct Connect 服务?
您可以从 AWS 管理控制台删除端口,从而取消 AWS Direct Connect 服务。您还应取消通过第三方购买的所有服务。例如,您应联系主机托管提供商断开与 AWS Direct Connect 的所有交叉连接,以及/或者联系为您的远程站点与 AWS Direct Connect 站点之间提供网络连接的网络服务提供商。
定价中包含税费了吗?
除非另行说明,否则我们的价格不包含适用的税费和关税(包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS,则需缴纳日本消费税。了解详情。
规格
可使用哪些连接速度?
对于专用连接,可以使用 1 Gbps、10 Gbps 和 100 Gbps 端口。对于托管连接,可以向经批准的 AWS Direct Connect 合作伙伴订购 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps 和 10 Gbps 的连接速度。有关更多信息,请参阅 AWS Direct Connect 合作伙伴。
可使用 AWS Direct Connect 传输的数据量是否有限制?
否。您可以传输任意数量的数据,最大传输量为您选用的端口容量。
使用 AWS Direct Connect 时,向 AWS 公布的路由数量是否有限制?
是,使用 AWS Direct Connect 时,每个边界网关协议会话最多可公布 100 个路由。了解 AWS Direct Connect 限制的更多信息。
如果针对一个边界网关协议会话,我播发了超过 100 个路由,会发生什么?
如果针对一个边界网关协议会话,您公布了超过 100 个路由,则您的边界网关协议会话将关闭。如此一来,将会阻止所有网络流量流经虚拟接口,直至您将路由数量降至 100 以下。
连接有什么技术要求?
AWS Direct Connect 支持在使用以太网传输的单模光纤上进行 1000BASE-LX、10GBASE-LR 或 100GBASE-LR4 连接。您的设备必须支持 802.1Q VLAN。有关详细的要求信息,请参阅 AWS Direct Connect 用户指南。
能否使用 AWS Direct Connect 将我的一个 VLAN 扩展到 AWS Cloud?
不能。在 AWS Direct Connect 中,VLAN 仅用于在虚拟接口之间分隔流量。
通过虚拟接口连接 Amazon EC2 和 Amazon S3 等公有 AWS 服务有什么技术要求?
此连接要求使用带有自治系统编码 (ASN) 和 IP 前缀的边界网关协议 (BGP)。您需要以下信息才能完成连接:
公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
您所选择的未被使用的新 VLAN 标签。
分配给 BGP 会话的公有 IP(/31 或 /30)。 所有 Direct Connect 虚拟接口类型均支持 RFC 3021(在 IPv4 点对点链路上使用 31 位前缀)。
默认情况下,Amazon 将通过 BGP 公布全球公有 IP 前缀。您必须通过 BGP 公布您拥有的或由 AWS 提供的公有 IP 前缀(/31 或更小)。更多详细信息,请参阅 AWS Direct Connect 用户指南。
有关 AWS Direct Connect 自带 ASN 的更多详细信息,请详见下文。
虚拟接口的两端应分配什么 IP 地址?
如果要连接公有 AWS 云的虚拟接口,则必须从您所拥有的公有 IP 空间向该连接的两端分配 IP 地址。如果该虚拟接口将连接到某个 VPC,且您选择让 AWS 自动生成对等 IP CIDR,则该连接两端的 IP 地址空间将由 AWS 分配,其范围为 169.254.0.0/16。
能否将我的硬件部署在提供 AWS Direct Connect 支持的设备附近?
您可以购买 AWS Direct Connect 站点所在场址中的机架空间,并在附近部署您的设备。但是,出于安全考虑,您的设备不能放置在 AWS Direct Connect 机架或机笼区域内。有关更多信息,请联系负责相关设施的运营方。部署后,您可以通过交叉连接将此设备连接到 AWS Direct Connect。
如何为 AWS Direct Connect 连接启用 BFD?
AWS 会为每个 AWS Direct Connect 虚拟接口自动启用异步 BFD,但要等到在您的路由器上对其进行配置之后才会生效。AWS 已将 BFD 连线检测最小间隔设置为 300,并将 BFD 连线检测乘数设置为 3。
如何为 AWS GovCloud(美国)区域设置 AWS Direct Connect?
有关如何设置 AWS Direct Connect 以在 AWS GovCloud(美国)区域使用的详细说明,请参阅 AWS GovCloud(美国)用户指南。
虚拟接口(VIF)连接 VPC 有什么技术要求?
AWS Direct Connect 需要使用边界网关协议 (BGP)。要完成连接,您需要具备下列信息:
• 公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
• 您所选用的未使用的新 VLAN 标签。
• VPC 虚拟私有网关 (VGW) ID
• AWS 将在 169.x.x.x 范围内为 BGP 会话分配私有 IP (/30),并将通过 BGP 公布 VPC CIDR 数据块。您可以通过 BGP 公布默认路由。
能否在 VPC 和我的网络之间建立 Layer 2 连接?
不能。Layer 2 连接不受支持。
VPN 连接
AWS Direct Connect 与 IPsec VPN 连接有什么区别?
VPC VPN 连接通过公共互联网,利用 IPsec 在您的内网与 Amazon VPC 之间建立加密网络连接。VPN 连接可在几分钟内完成配置。如果您急需连接、带宽要求不高且可以承受互联网连接固有的易变性,则这种连接是不错的解决方案。相反,AWS Direct Connect 不涉及互联网;它在您的网络和 AWS 之间使用专用的私有网络连接。
可否同时使用 AWS Direct Connect 和 VPN 来连接到同一 VPC?
是,但仅限用于故障转移。AWS Direct Connect 路径一旦建立,就始终是首选路径,且与追加的 AS 路径无关。请确保您的 VPN 连接能够处理来自 AWS Direct Connect 的故障转移流量。
为 AWS Direct Connect 列出的 BGP 配置/设置详细信息是否有任何不同?
VPN BGP 的运行方式与 AWS Direct Connect 相同。
AWS Transit Gateway 支持
哪些 AWS 区域为 AWS Transit Gateway 提供 AWS Direct Connect 支持?
所有商业 AWS 区域均为 AWS Transit Gateway 提供支持。
如何创建中转虚拟接口?
您可以通过 AWS 管理控制台或 API 操作来创建中转虚拟接口。
能否分配其他 AWS 账户中的中转虚拟接口?
是,我可以将中转虚拟接口分配到任何 AWS 账户中。
能否将中转虚拟接口附加到我的虚拟专用网关?
不能,您不能将中转虚拟接口附加到您的虚拟私有网关。
能否将私有虚拟接口附加到我的 AWS Transit Gateway?
不能,您不能将虚拟私有接口附加到您的 AWS Transit Gateway。
中转虚拟接口有哪些相关限制?
要详细了解与中转虚拟接口有关的限制,请参阅 AWS Direct Connect 配额页面。
我有一个现有 AWS Direct Connect 网关附加在私有虚拟接口上,能否附加一个中转虚拟接口到此 AWS Direct Connect 网关?
不能,AWS Direct Connect 网关只能附加一种类型的虚拟接口。
能否将我的 AWS Transit Gateway 与附加在私有虚拟接口上的 AWS Direct Connect 网关关联?
不能,AWS Transit Gateway 只能与附加在中转虚拟接口上的 AWS Direct Connect 网关关联。
在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联需要多久?
在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联最多需要 40 分钟。
对于每个 1Gbps、10Gbps 或 100Gbps 专用连接,我总共可以创建多少个虚拟接口?
对于每个 1Gbps、10Gbps 或 100Gbps 专用连接,您最多可以创建 51 个虚拟接口,包括中转虚拟接口。
能否在任何速度的托管连接上创建中转虚拟接口?
符合。
我有 4x10 Gbps LAG,我可以在此链路汇聚组(LAG)上创建多少中转虚拟接口?
您可以在 4x10G LAG 上创建一个中转虚拟接口。
中转虚拟接口是否支持巨型帧?
是,中转虚拟接口将支持巨型帧。最大传输单位(MTU)大小限制为 8,500。
对于中转虚拟接口,是否支持在私有虚拟接口上支持的所有边界网关协议(BGP)属性?
支持,您可以在中转虚拟接口上继续使用支持的 BGP 属性(AS_PATH、Local Pref、NO_EXPORT)。
AWS Direct Connect 网关
为什么需要使用 AWS Direct Connect 网关?
AWS Direct Connect 网关具有多个功能:
AWS Direct Connect 网关使您能够连接任何 AWS 区域(AWS 中国区域除外)中的 VPC,因而能够使用 AWS Direct Connect 连接来连接多个 AWS 区域。
您可以共享一个私有虚拟接口以与最多 10 个 VPC 进行交互,以减少本地网络与 AWS 部署之间的边界网关协议会话数量。
将中转虚拟接口 (VIF) 附加到某个 AWS Direct Connect 网关,并将 AWS Transit Gateway 关联到该 Direct Connect 网关后,您可以共享这些中转虚拟接口,以连接到最多三个 AWS Transit Gateway,从而减少本地网络和 AWS 部署之间的边界网关协议会话数量。将中转 VIF 连接到 AWS Direct Connect 网关后,该网关将无法同时承载其他私有 VIF,因此将由该中转 VIF 专用。
一个 AWS Direct Connect 网关可以关联多个虚拟私有网关(VGW,与某个 VPC 关联),但前提是与虚拟私有网关关联的 Amazon VPC 的 IP CIDR 块不重叠。
能否将多个 AWS Transit Gateway 关联到一个 AWS Direct Connect 网关?
一个 AWS Direct Connect 网关最多可以关联三个 Transit Gateway,但前提是 Transit Gateway 发布的 IP CIDR 块不重叠。
能否将任何 AWS 账户拥有的 VPC 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关?
是,您可以将任何 AWS 账户拥有的 VPC 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关。
能否将任何 AWS 账户拥有的 AWS Transit Gateway 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关?
是,您可以将任何 AWS 账户拥有的 Transit Gateway 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关。
如果使用 AWS Direct Connect 网关,传输到所需 AWS 区域的流量是否会通过关联的主 AWS 区域?
否,使用 AWS Direct Connect 网关时,无论您连接的 AWS Direct Connect 站点关联哪个主 AWS 区域,您的流量将通过最短路径从您的 AWS Direct Connect 站点到达目标 AWS 区域。
使用 AWS Direct Connect 网关连接远程 AWS 区域是否需要额外付费?
使用 AWS Direct Connect 网关不会产生任何费用。您需要根据源远程 AWS 区域支付适当的数据传出费,此外还需支付端口小时费。请参阅 AWS Direct Connect 定价页面,以了解详细信息。
为了使用 AWS Direct Connect 网关,我的私有/中转虚拟接口、AWS Direct Connect 网关、虚拟专用网关或 AWS Transit Gateway 是否需要来自同一 AWS 账户?
私有虚拟接口和 AWS Direct Connect 网关必须来自同一 AWS 账户。同样,中转虚拟接口和 AWS Direct Connect 网关也必须来自同一 AWS 账户。拥有虚拟私有网关和 AWS Transit Gateway 的账户可以与拥有 AWS Direct Connect 网关的 AWS 账户不同。
如果我将虚拟专用网关 (VGW) 关联到某个 AWS Direct Connect 网关,能否继续使用所有 VPC 功能?
Elastic File System、Elastic Load Balancing、Application Load Balancer、安全组、访问控制列表和 AWS PrivateLink 等联网功能仍受 AWS Direct Connect 网关支持。AWS Direct Connect 网关不支持 AWS VPN CloudHub 功能。.但如果使用 AWS Site-to-Site VPN 来连接与您的 AWS Direct Connect 网关关联的虚拟网关 (VGW),那么您将可以使用 VPN 连接进行故障转移。
目前 AWS Direct Connect 不支持的功能包括:AWS Classic VPN、AWS VPN(例如边缘到边缘路由)、VPC 对等连接和 VPC 端点。
我请一家 AWS Direct Connect 合作伙伴为我的账户预置了私有虚拟接口(VIF),我能否使用 AWS Direct Connect 网关?
是。当您在 AWS 账户中确认预置的私有虚拟接口(VIF)后,即可以将预置的私有虚拟接口关联到您的 AWS Direct Connect 网关。
能否连接到我本地区域中的 VPC?
您可以继续将虚拟接口 (VIF) 连接到虚拟私有网关 (VGW)。您仍将拥有区域内 VPC 连接,并将收取相关地理区域的出口费用。
与 AWS Direct Connect 网关有关的配额有哪些?
要了解此主题的信息,请参阅 AWS Direct Connect 配额。
虚拟专用网关(VGW,与 VPC 关联)是否可以成为多个 AWS Direct Connect 网关的一部分?
否,一个 VGW-VPC 对不能属于多个 AWS Direct Connect 网关。
是否可以将一个私有虚拟接口(VIF)附加到多个 AWS Direct Connect 网关?
否,一个私有虚拟接口只能附加到一个 AWS Direct Connect 网关或一个虚拟私有网关。我们建议您遵循 AWS Direct Connect 弹性建议并附加多个私有虚拟接口。
AWS Direct Connect 网关是否会破坏已有的 AWS VPN CloudHub 功能?
否,AWS Direct Connect 网关不会破坏已有的 AWS VPN CloudHub。AWS Direct Connect 网关支持本地网络与任何 AWS 区域的 VPC 之间的连接。AWS VPN CloudHub 支持同一区域内使用 AWS Direct Connect 或 VPN 的本地网络之间的连接。VIF 与 VGW 直接关联。已有的 AWS VPN CloudHub 功能不受影响。您可以将 AWS Direct Connect 虚拟接口 (VIF) 直接附加到虚拟私有网关 (VGW),以支持区域内的 AWS VPN CloudHub。
AWS Direct Connect 网关支持哪种类型的流量?不支持哪种类型的流量?
请参阅 AWS Direct Connect 用户指南,查看受支持和不受支持的流量模式。
我目前在 us-east-1 区域有一个 VPN 已附加到某个虚拟私有网关(VGW)。我想在 us-east-1 区域在该 VPN 和某个新的 VIF 之间使用 AWS VPN CloudHub。能否用 AWS Direct Connect 网关来实现这一点?
不能。您不能通过 AWS Direct Connect 网关来实现这一点,但可以选择将一个 VIF 直接附加到一个 VGW 以使用该 VPN <-> AWS Direct Connect AWS VPN CloudHub 使用场景。
我有一个与虚拟专用网关(VGW)关联的现有私有虚拟接口,是否可以将我现有的私有虚拟接口关联到 AWS Direct Connect 网关?
否,与 VGW 关联的现有私有虚拟接口不能与 AWS Direct Connect 网关关联。要做到这一点,您必须创建一个新的私有虚拟接口,并在创建时将其关联到您的 AWS Direct Connect 网关。
如果我有一个附加到某个 VPN 和某个 AWS Direct Connect 网关的虚拟专用网关(VGW),当我的 AWS Direct Connect 线路断开时,VPC 流量是否会被路由到该 VPN 之外?
是,但前提是 VPC 路由表中具有指向该 VPN 的虚拟私有网关(VGW)路由。
是否可以将未附加到 VPC 的虚拟专用网关(VGW)附加到某个 AWS Direct Connect 网关?
否,您不能将未附加到 VPC 的 VGW 关联到 AWS Direct Connect 网关。
我创建了一个 AWS Direct Connect 网关,它具有一个 AWS Direct Connect 私有 VIF 和三个不重叠的虚拟私有网关(VGW,每个 VGW 都关联一个 VPC)。如果我将一个 VGW 与 VPC 分离,会发生什么情况?
从您的本地网络传输到分离的 VPC 的流量会停止,并且 VGW 与 AWS Direct Connect 网关之间的关联会被删除。
我创建了一个 AWS Direct Connect 网关,它具有一个 AWS Direct Connect VIF 和三个不重叠的 VGW-VPC 对,如果我将一个虚拟专用网关(VGW)与 AWS Direct Connect 网关分离,会发生什么情况?
从您的本地网络传输到分离的 VGW(关联一个 VPC)的流量会停止。
是否可以将流量从关联到某个 AWS Direct Connect 网关的一个 VPC 发送到与同一 AWS Direct Connect 网关关联的另一个 VPC?
否,AWS Direct Connect 网关仅支持从 AWS Direct Connect VIF 路由到 VGW(与 VPC 关联)的流量。要在 2 个 VPC 之间发送流量,您必须配置一个 VPC 对等连接。
我目前在 us-east-1 区域有一个附加到某个虚拟专用网关(VGW)的 VPN。如果将此 VGW 关联到一个 AWS Direct Connect 网关,是否能够将来自我的 VPN 的流量发送到其他 AWS 区域中附加到该 AWS Direct Connect 网关的 VIF?
否,AWS Direct Connect 网关不支持在 VPN 和 AWS Direct Connect VIF 之间路由流量。要支持这一使用场景,您需要在该 VIF 所在的 AWS 区域创建一个 VPN,并将该 VIF 和该 VPN 附加到同一 VGW。
是否可以调整关联到 AWS Direct Connect 网关的 VPC 的大小?
是,您可以调整 VPC 的大小。如果您调整了 VPC 的大小,则必须将包含调整大小后 VPC 的 CIDR 的提案重新发送给 AWS Direct Connect 网关拥有者。AWS Direct Connect 网关拥有者批准新提案后,将向本地网络公开调整大小后的 VPC CIDR。
有没有一种方法可以配置 AWS Direct Connect 网关,从而有选择地向/从 VPC 公布前缀?
有,AWS Direct Connect 网关提供了有选择地向本地网络公布前缀的方法。对于从您的本地网络公布的前缀,关联到 AWS Direct Connect 网关的每个 VPC 都将收到您的本地网络公布的所有前缀。要限制进出任何特定 Amazon VPC 的流量,则应考虑为每个 VPC 使用访问控制列表 (ACL)。
本地优先社区
能否将这一功能用于我现有的 EBGP 会话?
可以,私有虚拟接口上的所有现有 BGP 会话都支持使用本地优先团体。
这一功能是否同时适用于公有虚拟接口和私有虚拟接口?
否,这一功能目前只适用于私有和中转虚拟接口。
此功能是否支持 AWS Direct Connect 网关?
是,此功能支持附加到 AWS Direct Connect 网关的私有虚拟接口。
是否可以验证 AWS 收到的社区?
不能,目前我们不提供此类监控功能。
AWS Direct Connect 私有虚拟接口支持哪些本地优先社区?
私有虚拟接口支持以下社区,其优先级按从低到高的顺序排列。不同团体互相排斥。标有同一团体并且带有相同的 MED*, AS_PATH 属性的前缀适合多路径传输。
7224:7100 – 低优先级
7224:7200 – 中优先级
7224:7300 – 高优先级
如果我不使用支持的社区,默认会出现什么情况?
如果您没有为私有 VIF 指定本地优先社区,则默认本地首选项将根据从本地区域到 AWS Direct Connect 站点的距离而定。在这种情况下,跨来自多个 AWS Direct Connect 站点的多个 VIF 的出口行为可能是随机的。
我在位于某个 AWS Direct Connect 站点的一个物理连接上有两个私有 VIF,是否可以使用支持的社区来影响通过这两个私有 VIF 的出口行为?
是的,您可以使用这一功能来影响同一物理连接上的两个 VIF 之间的出口流量行为。
本地优先社区功能是否支持失效转移?
符合。要实现这一目的,您可以通过使用具有更高本地优先级的社群的主要/主动虚拟接口来公布前缀,而非通过辅助/被动虚拟接口公布前缀;此项功能可向后兼容用于实现故障转移的既有方法;如果您的连接当前已配置为可用于故障转移,则不需要进行其他更改。
我已经将路由器属性配置为 AS_PATH,我是否需要更改配置才能使用团体标签?是否需要中断我的网络?
不需要,我们会继续支持 AS_PATH 属性。这一功能可以为您提供额外的帮助,让您更好地控制来自 AWS 的传入流量。AWS Direct Connect 采用标准方法进行路径选择。请注意,本地优先级先于 AS_PATH 属性接受评估。
传输到我的网络的流量的 AWS 多路径宽度是多少?
每个前缀的多路径宽度最大为 16 个下一跳,而每个下一跳都是一个唯一的 AWS 终端节点。
是否可以在单个 VPN 隧道上运行 v4 和 v6 BGP 会话?
目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。
是否可以终止指向具有 IPv6 地址的端点的隧道?
目前,我们仅支持具有 IPv4 端点地址的 VPN。
是否可以终止指向某个 IPv4 地址的隧道并通过该隧道运行 IPv6 BGP 会话?
目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。
AWS Direct Connect 网关 – 私有 ASN
这是什么功能?
可配置的私有自治系统编号 (ASN)。利用这一功能,客户可以针对任何新创建的 AWS Direct Connect 网关上的私有 VIF,在 BGP 会话的 AWS 端设置 ASN。
可以在哪里使用这些功能?
所有商用 AWS 区域(AWS 中国区域除外)和 AWS GovCloud(美国)区域都支持这些功能。
如何将要公布的 ASN 配置/分配为 AWS 端 ASN?
您可以在创建新的 AWS Direct Connect 网关期间将某个要公布的 ASN 配置/分配为 AWS 端 ASN。您可以通过 AWS 管理控制台或 CreateDirectConnectGateway API 操作来创建 AWS Direct Connect 网关。
是否可以使用任何公有和私有 ASN?
您可以将任何私有 ASN 分配到 AWS 端。您无法分配任何其他公有 ASN。
为什么不能为 BGP 会话的 AWS 端分配公有 ASN?
AWS 不会验证 ASN 的所有权,因此我们将 AWS 端 ASN 限定为私有 ASN。我们要保护客户免受欺诈。
我可以选择什么 ASN?
您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。
如果我尝试为 BGP 会话的 AWS 端分配某个公有 ASN,会出现什么情况?
我们会在您尝试创建 AWS Direct Connect 网关时要求您重新输入一个私有 ASN。
如果我没有为 BGP 会话的 AWS 端提供 ASN,AWS 会如何分配该 ASN?
如果您没有提供 ASN,AWS 会为该 AWS Direct Connect 网关提供编号为 64512 的 ASN。
我可以在哪里查看 AWS 端 ASN?
您可以在 AWS Direct Connect 控制台以及 DescribeDirectConnectGateways 或 DescribeVirtualInterfaces API 操作的响应中查看 AWS 端 ASN。
如果我有一个公有 ASN,它是否能够与 AWS 端的私有 ASN 结合使用?
是,您可以为 BGP 会话的 AWS 端配置一个私有 ASN,并为您所在端配置一个公有 ASN。
我已经配置了私有 VIF,并且想要为现有 VIF 上的 BGP 会话设置一个不同的 AWS 端 ASN。我应如何进行此项更改?
您需要使用所需 ASN 创建一个新的 AWS Direct Connect 网关,然后使用新建的 AWS Direct Connect 网关创建一个新的 VIF。您的设备配置也必须相应更改。
我要将多个私有 VIF 附加到单个 AWS Direct Connect 网关。每个 VIF 是否可以具有单独的 AWS 端 ASN?
不可以,您可以为每个 AWS Direct Connect 网关分配/配置单独的 AWS 端 ASN,但不能为每个 VIF 这样做。VIF 的 AWS 端 ASN 将会集成所附加的 AWS Direct Connect 网关的 AWS 端 ASN。
AWS Direct Connect 网关和虚拟私有网关是否可以使用不同的私有 ASN?
是,AWS Direct Connect 网关和虚拟私有网关可以使用不同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。
AWS Direct Connect 网关和虚拟私有网关是否可以使用相同的私有 ASN?
可以,AWS Direct Connect 网关和虚拟私有网关可以使用相同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。
我要将多个虚拟私有网关附加到一个 AWS Direct Connect 网关,并且这些网关都具有/配置了自己的私有 ASN。系统会优先使用哪个私有 ASN?是 VGW 的还是 AWS Direct Connect 网关的私有 ASN?
对于您的网络与 AWS 之间的边界网关协议 (BGP) 会话,AWS 端 ASN 将会使用 AWS Direct Connect 网关的私有 ASN。
我可以在哪里选择自己的私有 ASN?
您可以在 AWS Direct Connect 网关控制台中选择自己的私有 ASN。为 AWS Direct Connect 网关配置好 AWS 端 ASN 之后,关联到该 AWS Direct Connect 网关的私有虚拟接口会将您配置的 ASN 用作 AWS 端 ASN。
我今天使用了 AWS VPN CloudHub,以后是否必须要调整配置?
您不需要进行任何更改。
我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?
我们支持从 4200000000 到 4294967294 的 32 位 ASN。
创建 AWS Direct Connect 网关后,是否可以更改或修改 AWS 端 ASN?
不可以,AWS 端 ASN 创建后将不能修改。但您可以删除该 AWS Direct Connect 网关,然后重新创建一个具有所需私有 ASN 的新 AWS Direct Connect 网关。
MACsec
MACsec 是否取代了我目前在网络中使用的其他加密技术?
MACsec 并非旨在取代任何特定的加密技术。为了简单起见,也为了加深防御,您应该继续使用您已经使用的任何加密技术。除了您当前使用的其他加密技术之外,我们提供的 MACsec 作为一种加密选项,您也可以将其集成到您的网络中。
哪些类型的 AWS Direct Connect 连接支持 MACsec?
选定入网点的 10 Gbps 和 100 Gbps 专用 AWS Direct Connect 连接支持 MACsec。要使 MACsec 正常工作,您的专用连接必须对第 2 层流量透明,且终止第 2 层邻接的设备必须支持 MACsec。如果您使用的是最后一英里连接合作伙伴,请检查您的最后一英里连接是否支持 MACsec。1 Gbps 专用连接和所有托管连接都不支持 MACsec。
是否需要任何特殊硬件才能使用 MACsec 吗?
符合。对于到 AWS Direct Connect 站点的以太网连接,您所在一端的设备需要支持 MACsec。请参阅我们用户指南的 MAC 安全性部分,以确定支持的运行模式和需要的 MACsec 功能。
是否需要新的 AWS Direct Connect 连接才能将 MACsec 用于支持 MACsec 的设备?
MACsec 要求您的连接在连接的 AWS Direct Connect 端上支持 MACsec 的设备上终止。您可以通过 AWS 管理控制台或 DescribeConnections AWS Direct Connect API 来检查现有的连接是否支持 MACsec。如果现有的 MACsec 连接未连接到支持 MACsec 的设备上,则可以使用 AWS 管理控制台或 CreateConnection API 来请求新的支持 MACsec 的连接。
您支持哪些 MACsec 密码套件?
对于 100Gbps 连接,我们支持 GCM-AES-XPN-256 密码套件。 对于 10Gbps 连接,我们支持 GCM-AES-256 和 GCM-AES-XPN-256。
为何仅支持 256 位密钥?
我们仅支持 256 位 MACsec 密钥是为了提供最先进的数据保护。
您要求使用扩展包编号(XPN)吗?
我们要求使用 XPN 进行 100Gbps 连接。对于 10Gbps 连接,我们支持 GCM-AES-256 和 GCM-AES-XPN-256。高速连接(如 100Gbps 专用连接)会很快耗尽 MACsec 原来的 32 位数据包编号空间,这需要您每隔几分钟轮换一次加密密钥,以建立新的连接关联。为了避免这种情况,IEEE Std 802.1AEbw-2013 修正案引入了扩展数据包编号,将编号空间增加到 64 位,从而缓解了密钥轮换的及时性要求。
您是否支持使用安全通道标识符(SCI)?
符合。我们要求 SCI 必须打开。此设置无法更改。
您是否支持 IEEE 802.1Q(Dot1q/VLAN)标签偏移/dot1q-in-clear?
否,我们不支持将 VLAN 标签移到加密负载之外。
MACsec 是否会产生额外费用?
AWS Batch 不会产额外费用。
Direct Connect 维护
AWS Direct Connect 维护
我何时会收到有关 Direct Connect 维护事件的通知?
对于计划维护,我们发送 3 次通知,分别是提前 10 个工作日时,提前 5 个工作日时和提前 1 个工作日时。可以随时进行紧急维护,根据维护的性质,您最多可能在 60 分钟前收到通知。您可以在 AWS Direct Connect 控制台上订阅通知。有关更多详情,请参阅 Direct Connect 计划维护或事件的通知。
如何获取 Direct Connect 计划维护或事件的通知?
为了帮助您管理事件,AWS Personal Health Dashboard 将显示相关信息,并提供活动通知。您还可以设置电子邮件通知,以接收有关计划维护或影响 Direct Connect 的事件的通知。
为什么不能只在夜间和周末进行维护?
由于 Direct Connect 的全球规模,我们无法限定只在
周末进行维护。我们将计划维护工作分散到一周中的所有日子。维护通常按设备进行,例如 dxcon-xxxxxx,这是限制影响的最小单位,我们强烈建议您遵循 AWS Direct Connect 弹性建议,以可靠、可扩展且经济实惠的方式建立与 AWS 资源的弹性网络连接。
我收到通知,说 Direct Connect 将在会影响我们的业务的时间进行维护。如何做好 Direct Connect 连接维护准备?
当 Direct Connect 连接断开以进行维护时,该连接的断开时间可以从几分钟到几小时不等。要为此停机时间做好准备,请采取以下任一操作:
请求一个冗余的 Direct Connect 连接。
将 AWS Site-to-Site VPN(虚拟专用网络)连接配置为备份。
最佳做法是在 Direct Connect 维护期间将流量转移到其他电路。为防止任何生产流量中断,请在计划的维护期之前使用上述选项之一。您也可以使用 AWS Direct Connect 弹性
工具包执行定期失效转移测试并验证连接的弹性。
能否将维护时间改为其他日期/时间?
AWS 会不时进行计划维护,以提高可用性并为我们的客户提供新功能。我们的正常非紧急/计划维护流程至少提前 10 个工作日向客户发送通知,让我们的客户能够通过测试冗余性来提前做好准备,以确保最大程度地降低影响。有关更多信息,请参阅如何取消 Direct Connect 维护事件?
合作伙伴是否会与 AWS 协调维护计划?
合作伙伴包含在 AWS 的计划维护通知中,以便他们可以做出相应的计划。AWS 无法查看合作伙伴的维护活动。您需要向您的合作伙伴/提供商查询他们的计划维护时间表。客户可能需要考虑在不同的 Direct Connect 地点使用两个不同的合作伙伴,以最大限度地减少合作伙伴维护时段重叠的风险。