我想配置一个备用 VPN 连接,以作为我的 AWS Direct Connect 连接的故障转移目标。需要注意哪些建议和最佳实践?
要将硬件 VPN 配置为 Direct Connect 连接的备份,请执行如下操作:
- 确保到 VPC 的 Direct Connect 连接和 VPN 连接都使用同一个虚拟私有网关。
- 如果您配置的是边界网关协议 (BGP) VPN,则需要为您 Direct Connect 和 VPN 连接广播相同的前缀。
- 如果您配置的是静态 VPN,则需将同样的静态前缀添加到您使用 Direct Connect 虚拟接口宣布的 VPN 连接。
- 如果您向 AWS VPC 广播相同的路由,则会始终首选 Direct Connect 路径,而不论 AS 路径的前缀是什么。
重要提示:请检查确保在 Direct Connect 虚拟接口可用时,您的首选路由是 Direct Connect,不是通过 VPN,从而避免非对称路由;因为这可能会导致流量被丢弃。相比 VPN 路由,我们始终首选 Direct Connect 连接。有关路由优先级和路由选项的信息,请参阅路由优先级。
注意:如果您需要短期或更低成本的解决方案,可以考虑将 Direct Connect 连接的故障转移选项配置为硬件 VPN。VPN 连接的设计目的不是为了提供与大多数 Direct Connect 连接相同的带宽水平。如果您要将 VPN 配置为某个 Direct Connect 连接的备份,请首选确保您的使用案例或应用程序能够容忍较低的带宽。