如何使用 BGP 社群透過 Direct Connect 的 AWS 公有虛擬介面控制公告和接收的路由?

1 分的閱讀內容
0

我想要透過 AWS 公有虛擬介面公告和接收的路由控制在特定 AWS 區域、洲或全球。

簡短說明

AWS 區域或 AWS GovCloud (美國) 中的 AWS Direct Connect 位置可存取任何 AWS 區域 (中國 (北京) 區域除外) 中的公共服務。Direct Connect 會在可用時公告所有本機和遠端 AWS 區域字首。Direct Connect 包含來自其他 AWS 非區域連接點 (POP) 的可用連網字首,例如 Amazon CloudFront。如需詳細資訊,請參閱路由政策和邊界閘道協定 (BGP) 社群

解決方法

Direct Connect 支援多種 BGP 社群標籤,可協助控制透過公有虛擬介面公告和接收路由的範圍。例如,BGP 社群標籤可以位於區域、洲或全球層級。

AWS 透過公有虛擬介面將下列 Direct Connect BGP 社群標籤公告至您客戶閘道裝置:

  • 7224:8100: 來自 Direct Connect 連接點所在 AWS 區域的路由
  • 7224:820: 來自 Direct Connect 連接點所在洲的路由
  • 無標籤: 全球 (所有公有 AWS 區域)

對於位於 us-east-1 AWS 區域中的公有虛擬介面,AWS 會透過 7224:8100 社群標籤公告與 us-east-1 AWS 區域內公用資源相關聯的路由。針對北美地區公用資源的路由,AWS 會公告使用 7224:8100 社群標籤的路由。其他所有字首則沒有標籤。

使用下列 Direct Connect BGP 社群標籤選取 AWS 字首範圍:

  • 7224:9100: Direct Connect 連接點所在的本機 AWS 區域
  • 7224:9200: Direct Connect 連接點所在洲 (例如:北美) 的所有 AWS 區域
  • 7224:9300 或無標籤: 全球或所有公用 AWS 區域

如果您在 us-east-1 AWS 區域中有公用虛擬介面,請限制您向 us-east-1 AWS 區域公告的路由範圍。若要限制範圍,請使用 7224:9100 社群標籤。如果您使用 7224:9200 社群標籤標記路由,系統會將您的字首公告至所有美國 AWS 區域。如果您使用 7224:9300 社群標籤標記路由,系統會將您的字首公告至所有 AWS 區域。如果您沒有使用社群標籤標記字首,系統會將您的字首公告至所有 AWS 區域。

例如,您可以將透過公有虛擬介面接收和公告的路由限制至特定本機 AWS 區域。首先,設定字首篩選條件和路由圖 (與從使用 7224:8100 社群標籤的 AWS 接收的路由相符)。然後,僅安裝這些路由。您也必須將您的字首公告至使用 7224:9100 社群標籤的 AWS。透過公有虛擬介面接收和公告的路由會限制在本機區域。

您可以使用任何社群標籤組合來控制透過 AWS 公有虛擬介面公告和接收的路由。AWS Direct Connect 會公告所有使用 NO_EXPORT BGP 社群標籤的公用字首。如需詳細資訊或下載 AWS 公告的目前字首清單,請參閱 AWS IP 位址範圍

AWS 官方
AWS 官方已更新 1 年前