亚马逊AWS官方博客

利用 AWS Direct Connect 网关轻松接入 AWS 中国区域

云上和云下的混合部署是目前大量用户进行实际业务部署的常见方式。为了实现高速、稳定、安全的数据交互,用户都会有专线接入的需求,即通过 Direct Connect 专有连接将自建机房的网络和 AWS 区域中的 VPC 进行网络连通,实现业务混合部署或者数据传输。其中时间和成本是用户考虑专线建设的重要考量因素。

在 Direct Connect 网关发布之前,国内用户在接入北京和宁夏区域的 VPC 时,可以通过两个区域的 Direct Connect 服务接入点(如表1)分别接入区域中的 VPC,每个 VPC 中的 VGW 都通过一个 Virtual Interface 进行绑定,和用户的网关建立 BGP 邻居。

AWS 区域

AWS Direct Connect 站点

中国(北京)

北京光环新网酒仙桥数据中心

中国(北京)

国富瑞北京嘉创数据中心

中国(北京)

万国数据上海3号数据中心

中国(北京)

万国数据深圳3号数据中心

中国(宁夏)

宁夏工业园数据中心

中国(宁夏)

宁夏沙坡头数据中心

表1  AWS 区域连接选项

例如,用户要接入北京区域的 VPC,只能通过表1中的北京区域对应的四个接入点接入专线,要接入宁夏区域的 VPC,只能通过宁夏区域对应的两个接入点接入专线。网络拓扑示意图如下:

 

在2019.11.25日发布了 Direct Connect 网关后,我们可以利用国内的任何一个 Direct Connect站点接入到宁夏、北京区域中的多个 VPC 中,并且用户网关只需要通过 Virtual Interface 和 Direct Connect 网关建立 BGP 邻居,而无需和每个 VGW 建立 BGP 邻居。这大大简化了用户的接入和组网方案,降低了同时使用 AWS 中国宁夏和北京区域的成本,带来更高的业务可用性和灵活性。示意图如下。

 

配置演示

下面的演示所模拟的网络拓扑如下,在本地机房中的 CIDR 是192.168.0.0/16,在北京区域和宁夏区域分别部署了两个 VPC,通过在宁夏的工业园数据中心机房实现专线接入,将本地机房和 AWS 上的四个 VPC 连通。

 

进入 Console 界面,选择 AWS Direct Connect 服务,该配置页面不区分区域,可以从任意一个区域进入配置页面,创建 Direct Connect 网关。

 

如上图配置界面,点击“创建 Direct Connect 网关”按钮进入创建页面。输入 AWS 侧网络的私有 ASN,然后单击“创建 Direct Connect 网关”完成网关创建。ASN (自治系统编号) 必须位于在 RFC 6996 中定义为私有的范围内。

 

本示例中采用托管连接的方式,由专线合作伙伴创建 connection 到本账号下。

 

点击连接的 ID,在连接页面中选择“接受”该连接。

 

在该 connection 上建立虚拟端口,点击下面页面中“创建虚拟端口”按钮。

 

选择“私有”接口类型。

 

专线绑定网关选择“Direct Connect”网关,选择刚才创建的 Direct Connect 网关,VLAN ID、 BGP ASN 和接口 IP 等根据专线合作伙伴给定配置进行设置。

 

绑定完成后,等待几分钟接口状态变为 available ,BGP 邻居状态变为 UP。

 

本例中的四个 VPC 已经提前创建完成,需要将四个 VPC 的 VGW 关联到 Direct Connect 网关。在 Direct Connect 网关页面关联 VGW,点击“关联网关”按钮。

 

下面以 VPC1 为例,在网关中选择 VPC1 的 VGW ID,在前缀中配置发布到IDC的路由前缀,本例中 VPC1 的CIDR 为10.100.0.0/16。其他三个 VPC 配置类似,按顺序完成。

 

等待几分钟后,所有 VGW 状态变为 associated.

 

在各个 VPC 的路由表中,打开路由自动传播,将 VGW 学习到的路由自动发布到各子网路由表中。


 

 

保存配置后,可以看到IDC机房的路由前缀已经学习到。

 

为验证本地机房到 VPC 的连通性,已经在四个 VPC 中各创建了一台 EC2 ,安全组中允许来自192.168.0.0/16的 ICMP 请求。从 IDC 机房主机 ping 这四台 EC2 的 IP,确认都可以连通。


 

根据相关法规要求,专线会有合规审核流程,用户如果在配置过程中遇到任何问题或者有状态显示为 approving,请联系AWS 相关人员或者通过提交 support case 寻求帮助。

 

成本计算

专线成本分为端口小时费率(分专用连接和托管连接)和数据传输(只有出方向收费,入方向免费)两部分。以上面的演示为例,若在宁夏工业园区使用一个 100M 的托管连接,宁夏两个 VPC 每月传出数据共为 450G,北京两个 VPC 传出数据共为 600G 的话,月度费用计算如下(未包含第三方专线 partner 费用)。

0.37*24*30+450*0.28+600*0.84 =¥896.4

 

 

高可用

上面的配置示例仅为展示基本配置流程,并未考虑专线自身的高可用,实际使用中建议对可用性要求较高的业务从不同专线接入点双线接入,提高可用性。以下面拓扑为例,通过在两个专线接入点接入,可以实现专线的 HA ,利用 AS-Path 或者 community 属性实现线路的优先级控制,详情可以参考如下链接:

https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/routing-and-bgp.html

 

小结

通过上面的示例我们可以看到,利用 Direct Connect 网关,可以通过 AWS 就近的接入点连接北京和宁夏区域的多个 VPC,实现更加便捷简单的网络拓扑,减小运维的工作量,降低专线接入成本。

 

本篇作者

叶江荣

AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有多年外企售前经验,在传统网络架构的性能和安全方面有丰富的实践经验。