如何使用傳輸閘道設定 Direct Connect 和 VPN 容錯移轉？

解決方法

1.    建立傳輸閘道。

2.    將您的 Amazon Virtual Private Clouds (Amazon VPC) 連接到您的傳輸閘道。

3.    建立 AWS Site-to-Site VPN，然後將其連接到傳輸閘道。
注意： 如果您使用靜態 VPN，請確保定義的靜態路由比 BGP 傳播路由使用的特定 CIDR 更少。根據使用相同 CIDR 的路由的路由評估順序，傳輸閘道偏好靜態路由，而不是 BGP 傳播路由。

4.    將您的 Direct Connect 閘道附加到傳輸閘道。此外，您必須在每個 Amazon VPC 附件中將 Amazon VPC CIDR 範圍新增至允許 Direct Connect 的前綴互動中。新增前綴後，會透過傳輸虛擬介面將其公告到遠端。
注意： 在傳輸虛擬介面上，您可以經由傳輸閘道從 AWS 到內部部署公告最多 200 個前綴。若要公告超過 200 個 CIDR 前綴，請根據 Service Quotas 將等於或少於 200 個 CIDR 前綴的路由匯總。匯總路由後，將它們新增到允許的前綴互動區段。如需詳細資訊，請參閱 AWS Direct Connect 配額。

5.    (選用) 與傳輸虛擬介面公告的 CIDR 相比，從與路由表相關聯的 AWS VPN 傳輸閘道公告的 VPC CIDR 更加具體。這可能會導致客戶閘道優先考慮 VPN 的優先順序而不是 AWS Direct Connect 連線，並可能導致非對稱路由。若要解決此問題，請完成下列步驟：
注意： 在「允許 Direct Connect Gateway 的前綴」欄位中為 Amazon VPC CIDR 建立匯總路由時，AWS VPN 向內部部署公告 Amazon VPC CIDR。

1. 將與 Direct Connect 閘道相關聯的匯總路由新增至與傳輸閘道路由表相關聯的 VPN 附件。對於路由表中的目標附件，選取具有 CIDR 的 Amazon VPC。CIDR 必須是 Site-to-Site VPN 附件傳輸閘道路由表中匯總路由的一部分。匯總路由和具體路由均必須透過 Site-to-Site VPN 公告。
2. 在 VPN 客戶閘道中，篩選出透過 Site-to-Site VPN 公告更具體的 CIDR 前置詞的路由。客戶閘道在兩個連線上必須具有相同的匯總路由。該閘道偏好使用 AWS Direct Connect 連線。

6.    建立傳輸閘道路由表，然後開啟所有附件的路由傳播：
注意： 在 Direct Connect 傳輸虛擬介面和 Site-to-Site VPN 中，透過 BGP 會話公告相同的前綴集。

1. 開啟 Amazon VPC 主控台。
2. 在導覽窗格中，選擇傳輸閘道。
3. 確認傳輸閘道的預設關聯路由表設定為 False。如果設定為 True，則繼續進行下一步。
4. 選擇傳輸閘道路由表。
5. 選擇建立傳輸閘道路由表。
6. 在名稱標籤中輸入路由表 A。
7. 在傳輸閘道 ID 中，為您的傳輸閘道選擇傳輸閘道 ID。
8. 選擇建立傳輸閘道路由表。
9. 選取路由表 A (或傳輸閘道的預設路由表)，然後選擇關聯。
10. 選擇建立關聯。
11. 在選擇要關聯的附件中，選擇 Amazon VPC 的關聯 ID，然後選擇建立關聯。重複此步驟，直到您的 Direct Connect 閘道、VPN 和 Amazon VPC 全部顯示在關聯下。
12. 選擇路由表傳播。
13. 選擇傳播。在選擇要傳播的附件中，選取您的 Direct Connect 閘道、VPN 和 Amazon VPC。

7.    設定與 Amazon VPC 和附件子網路相關聯的路由表：

1. 開啟 Amazon VPC 主控台。
2. 在導覽窗格中，選擇路由表。
3. 選取附加至附件子網路的路由表。
4. 選擇 路由索引標籤，然後選擇編輯路線。
5. 選擇新增路由標籤。
6. 在目的地中，選取內部部署網路的子網路。
7. 在目標中，選取您的傳輸閘道。
8. 選擇儲存路線。

注意：如需更清楚了解路由更新事件，最佳實務是開啟 Transit Gateway Network Manager。如需詳細資訊，請參閱路由更新事件。

8.    若要測試環境備援，請使用 Direct Connect 容錯轉移測試來關閉 Direct Connect 連線。如需詳細資訊，請參閱使用彈性工具組測試 AWS Direct Connect 彈性 — 容錯移轉測試。

相關資訊

AWS 傳輸閘道混合式連線