我想使用 AWS 傳輸閘道來設定 AWS Direct Connect 和 VPN 容錯移轉。
解決方法
1. 建立傳輸閘道。
2. 將您的 Amazon Virtual Private Clouds (Amazon VPC) 連接到您的傳輸閘道。
3. 建立 AWS Site-to-Site VPN,然後將其連接到傳輸閘道。
注意: 如果您使用靜態 VPN,請確保定義的靜態路由比 BGP 傳播路由使用的特定 CIDR 更少。根據使用相同 CIDR 的路由的路由評估順序,傳輸閘道偏好靜態路由,而不是 BGP 傳播路由。
4. 將您的 Direct Connect 閘道附加到傳輸閘道。此外,您必須在每個 Amazon VPC 附件中將 Amazon VPC CIDR 範圍新增至允許 Direct Connect 的前綴互動中。新增前綴後,會透過傳輸虛擬介面將其公告到遠端。
注意: 在傳輸虛擬介面上,您可以經由傳輸閘道從 AWS 到內部部署公告最多 200 個前綴。若要公告超過 200 個 CIDR 前綴,請根據 Service Quotas 將等於或少於 200 個 CIDR 前綴的路由匯總。匯總路由後,將它們新增到允許的前綴互動區段。如需詳細資訊,請參閱 AWS Direct Connect 配額。
5. (選用) 與傳輸虛擬介面公告的 CIDR 相比,從與路由表相關聯的 AWS VPN 傳輸閘道公告的 VPC CIDR 更加具體。這可能會導致客戶閘道優先考慮 VPN 的優先順序而不是 AWS Direct Connect 連線,並可能導致非對稱路由。若要解決此問題,請完成下列步驟:
注意: 在「允許 Direct Connect Gateway 的前綴」欄位中為 Amazon VPC CIDR 建立匯總路由時,AWS VPN 向內部部署公告 Amazon VPC CIDR。
- 將與 Direct Connect 閘道相關聯的匯總路由新增至與傳輸閘道路由表相關聯的 VPN 附件。對於路由表中的目標附件,選取具有 CIDR 的 Amazon VPC。CIDR 必須是 Site-to-Site VPN 附件傳輸閘道路由表中匯總路由的一部分。匯總路由和具體路由均必須透過 Site-to-Site VPN 公告。
- 在 VPN 客戶閘道中,篩選出透過 Site-to-Site VPN 公告更具體的 CIDR 前置詞的路由。客戶閘道在兩個連線上必須具有相同的匯總路由。該閘道偏好使用 AWS Direct Connect 連線。
6. 建立傳輸閘道路由表,然後開啟所有附件的路由傳播:
注意: 在 Direct Connect 傳輸虛擬介面和 Site-to-Site VPN 中,透過 BGP 會話公告相同的前綴集。
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇傳輸閘道。
- 確認傳輸閘道的預設關聯路由表設定為 False。如果設定為 True,則繼續進行下一步。
- 選擇傳輸閘道路由表。
- 選擇建立傳輸閘道路由表。
- 在名稱標籤中輸入路由表 A。
- 在傳輸閘道 ID 中,為您的傳輸閘道選擇傳輸閘道 ID。
- 選擇建立傳輸閘道路由表。
- 選取路由表 A (或傳輸閘道的預設路由表),然後選擇關聯。
- 選擇建立關聯。
- 在選擇要關聯的附件中,選擇 Amazon VPC 的關聯 ID,然後選擇建立關聯。重複此步驟,直到您的 Direct Connect 閘道、VPN 和 Amazon VPC 全部顯示在關聯下。
- 選擇路由表傳播。
- 選擇傳播。在選擇要傳播的附件中,選取您的 Direct Connect 閘道、VPN 和 Amazon VPC。
7. 設定與 Amazon VPC 和附件子網路相關聯的路由表:
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇路由表。
- 選取附加至附件子網路的路由表。
- 選擇 路由索引標籤,然後選擇編輯路線。
- 選擇新增路由標籤。
- 在目的地中,選取內部部署網路的子網路。
- 在目標中,選取您的傳輸閘道。
- 選擇儲存路線。
注意:如需更清楚了解路由更新事件,最佳實務是開啟 Transit Gateway Network Manager。如需詳細資訊,請參閱路由更新事件。
8. 若要測試環境備援,請使用 Direct Connect 容錯轉移測試來關閉 Direct Connect 連線。如需詳細資訊,請參閱使用彈性工具組測試 AWS Direct Connect 彈性 — 容錯移轉測試。
相關資訊
AWS 傳輸閘道混合式連線