AWS Direct Connect – Häufig gestellte Fragen

Allgemeine Fragen

AWS Direct Connect ist ein Netzwerk-Service, der eine Alternative zur Nutzung des Internets für die Verbindung mit AWS bietet. Mit AWS Direct Connect können Daten, die vormals über das Internet transportiert worden wären, nun über eine private Netzwerkverbindung zwischen Ihren Rechenzentrum und AWS übertragen werden. In vielen Situationen können private Netzwerkverbindungen zu einer Reduzierung der Kosten, einer Erhöhung der Bandbreite und einer konsistenteren Netzwerkfunktion als internetbasierte Verbindungen führen. Alle AWS-Services, inklusive Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) und Amazon DynamoDB, können mit AWS Direct Connect genutzt werden.

AWS Direct Connect ist ein Netzwerk-Service, der eine Alternative zur Nutzung des Internets für die Verbindung mit AWS bietet. Mit AWS Direct Connect können Daten, die vormals über das Internet transportiert worden wären, nun über eine private Netzwerkverbindung zwischen Ihren Rechenzentrum und AWS übertragen werden. In vielen Situationen können private Netzwerkverbindungen zu einer Reduzierung der Kosten, einer Erhöhung der Bandbreite und einer konsistenteren Netzwerkfunktion als internetbasierte Verbindungen führen. Alle AWS-Services, inklusive Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) und Amazon DynamoDB, können mit AWS Direct Connect genutzt werden.

Eine vollständige Liste der AWS-Direct-Connect-Standorte ist auf der AWS-Direct-Connect-Seite Standorte verfügbar. Wenn Sie AWS Direct Connect verwenden, können Sie sich mit VPCs verbinden, die in jeder AWS-Region und Availability Zone bereitgestellt sind. Sie können sich auch mit AWS Local Zones verbinden.

Eine dedizierte Verbindung wird über einen Ethernet-Port mit 1 Gbit/s, 10 Gbit/s oder 100 Gbit/s hergestellt, der für einen einzelnen Kunden bestimmt ist. Gehostete Verbindungen werden von einem Partner von AWS Direct Connect bereitgestellt, der über eine Netzwerkverknüpfung mit AWS verfügt. 

Verwenden Sie die Registerkarte AWS Direct Connect der AWS-Managementkonsole, um eine neue Verbindung zu erstellen. Wenn Sie eine Verbindung anfordern, werden Sie aufgefordert, den AWS-Direct-Connect-Standort, die Anzahl der Ports und die Portgeschwindigkeit auszuwählen. Sie arbeiten mit einem Direct-Connect-Partner zusammen, wenn Sie Unterstützung bei der Erweiterung Ihres Büro- oder Rechenzentrumsnetzwerks auf einen AWS-Direct-Connect-Standort benötigen.

Ja. AWS-Direct-Connect-Partner können Ihnen helfen, Ihr bestehendes Rechenzentrums- oder Büronetzwerk auf einen AWS-Direct-Connect-Standort auszuweiten. Weitere Informationen finden Sie unter AWS-Direct-Connect-Partner. Sie können AWS-Direct-Connect-Gateway verwenden, um von jedem AWS-Direct-Connect-Standort aus (mit Ausnahme von China) auf AWS-Regionen zuzugreifen.

Nein. Sie müssen Verbindungen zwischen den lokalen Serviceanbietern herstellen, die an Ihren On-Premises-Standorten verwendet werden, oder mit einem Bereitstellungs-Partner von AWS Direct Connect zusammenarbeiten, um eine Verbindung zu AWS-Direct-Connect-Standorten herzustellen. 

Nachdem Sie Ihr Dokument Letter of Authorization and Connecting Facility Assignment (LOA-CFA) heruntergeladen haben, müssen Sie Ihre netzwerkübergreifende Verbindung abschließen. Wenn Sie bereits über Ausrüstung an einem AWS-Direct-Connect-Standort verfügen, müssen Sie den entsprechenden Anbieter kontaktieren, damit der Cross-Connect abgeschlossen wird. Genaue Anweisungen zu jedem Anbieter und Cross-Connect-Preise finden Sie in der Dokumentation zu AWS Direct Connect: Beantragen von Cross-Connects an AWS-Direct-Connect-Standorten.

Definitionen

Ein AWS-Direct-Connect-Gateway ist eine Gruppierung Virtual Private Gateways (VGWs) und privater virtueller Schnittstellen (VIFs). Ein AWS-Direct-Connect-Gateway ist eine weltweit verfügbare Ressource. Sie können ein AWS-Direct-Connect-Gateway in jeder Region erstellen und aus allen anderen Regionen darauf zugreifen.

Eine virtuelle Schnittstelle (VIF) wird benötigt, um auf AWS-Services zuzugreifen und kann entweder öffentlich oder privat sein. Eine öffentliche virtuelle Schnittstelle ermöglicht den Zugriff auf öffentliche Services, wie zum Beispiel Amazon S3. Eine private virtuelle Schnittstelle ermöglicht den Zugriff auf Ihre VPC. Weitere Informationen finden Sie unter virtuelle Schnittstellen für AWS Direct Connect.

Ein Virtual Private Gateway (VGW) ist Teil einer VPC, der Edge-Routing für von AWS verwaltete VPN-Verbindungen und AWS-Direct-Connect-Verbindungen bietet. Sie ordnen ein AWS-Direct-Connect-Gateway dem Virtual Private Gateway für die VPC zu. Weitere Informationen finden Sie in dieser Dokumentation.

Das AWS Direct Connect Resiliency Toolkit bietet einen Verbindungsassistenten, der Ihnen dabei hilft, zwischen mehreren Modellen zur Ausfallsicherheit zu wählen. Diese Modelle unterstützen Sie dabei, die Anzahl der dedizierten Verbindungen zu bestimmen — und dann zu bestellen — um Ihr SLA-Ziel zu erreichen. Sie können ein Modell zur Ausfallsicherheit auswählen und das AWS Direct Connect Resiliency Toolkit leitet Sie dann durch den Bestellprozess für dedizierte Verbindungen. Die Modelle zur Ausfallsicherheit wurden entwickelt, um sicherzustellen, dass Sie über die richtigen Anzahl an dedizierten Verbindungen an mehreren Standorten verfügen.

Mithilfe des Features AWS Direct Connect Failover Testing können Sie die Ausfallsicherheit der Direct-Connect-Verbindung testen, indem Sie die Border-Gateway-Protocol-Sitzung zwischen Ihrem On-Premises-Netzwerk und AWS deaktivieren. Verwenden Sie hierfür die AWS-Managementkonsole oder die Programmierschnittstelle (API) von AWS Direct Connect. In diesem Dokument erfahren Sie mehr über dieses Feature. Sie wird in allen kommerziellen AWS-Regionen (außer GovCloud (US)) unterstützt.

Die Communitys mit Standortpräferenzen für private und übertragungsbasierte virtuelle Schnittstellen bieten ein Feature, mit der Sie den Antwortpfad bei Unzustellbarkeit für Datenverkehrsquellen aus VPC(s) beeinflussen können.

Die Communitys mit Standortpräferenzen für private und übertragungsbasierte virtuelle Schnittstellen bieten Ihnen ein Feature, mit der Sie den Antwortpfad bei Unzustellbarkeit für Datenverkehrsquellen aus VPC(s) beeinflussen können.

Eine konfigurierbare private autonome Systemnummer (ASN) ermöglicht es, die ASN auf der AWS-Seite der Border Gateway Protocol (BGP)-Sitzung für private oder Transit-VIFs auf jedem neu erstellten AWS-Direct-Connect-Gateway festzulegen. Dies ist in allen kommerziellen AWS-Regionen (mit Ausnahme der AWS-Region China) und das AWS GovCloud (USA) verfügbar.

Die übertragungsbasierte virtuelle Schnittstelle ist eine bestimmte Art von virtueller Schnittstelle, die Sie bei jeder AWS Direct Connect-Verbindung erstellen können. Eine übertragungsbasierte virtuelle Schnittstelle kann nur an ein AWS-Direct-Connect-Gateway angeschlossen werden. Sie können ein AWS-Direct-Connect-Gateway verwenden, das mit einer oder mehreren übertragungsbasierten virtuellen Schnittstellen verbunden ist, um eine Schnittstelle zu bis zu sechs AWS Transit Gateways in allen unterstützten AWS-Regionen herzustellen. Ähnlich wie bei der privaten virtuellen Schnittstelle können Sie eine IPv4-BGP-Sitzung und eine IPv6-BGP-Sitzung über eine einzige übertragungsbasierte virtuelle Schnittstelle einrichten.

Multi-Account-Unterstützung für AWS-Direct-Connect-Gateway ist ein Feature, mit der Sie bis zu 20 Amazon Virtual Private Clouds (Amazon VPCs) oder bis zu sechs AWS Transit Gateways aus mehreren AWS-Konten mit einem AWS-Direct-Connect-Gateway verknüpfen können.

802.1AE MAC Security (MACsec) ist ein IEEE-Standard, der Datenvertraulichkeit, Datenintegrität und Datenherkunftsauthentizität bietet. Sie können AWS-Direct-Connect-Verbindungen verwenden, die MACsec unterstützen, um Ihre Daten von Ihrem On-Premises-Netzwerk oder kollokierten Gerät an Ihren ausgewählten Präsenzpunkt von AWS Direct Connect zu verschlüsseln.

Hohe Verfügbarkeit und Ausfallsicherheit

Wir empfehlen, dass Sie zunächst die bewährte Methode für mehr Widerstandsfähigkeit in den Empfehlungen zur AWS-Direct-Connect-Ausfallsicherheit zu befolgen, um das beste Modell der Ausfallsicherheit für Ihren Anwendungsfall auszuwählen. Wenn Sie ein Modell zur Ausfallsicherheit ausgewählt haben, kann Sie das AWS Direct Connect Resiliency Toolkit durch den Bestellprozess für redundante Verbindungen führen. AWS empfiehlt außerdem die Nutzung des Resiliency Toolkit Ausfalltest-Features, um Ihre Konfigurationen zu testen, bevor Sie live gehen. 

Jede dedizierte AWS-Direct-Connect-Verbindung besteht aus einer einzigen dedizierten Verbindung zwischen den Ports Ihres Routers und einem AWS-Direct-Connect-Gerät. Wir empfehlen, eine für Redundanz eine zweite Verbindung herzustellen. Wenn Sie mehrere Ports am selben AWS-Direct-Connect-Standort anfordern, werden diese auf redundanter AWS-Ausrüstung bereitgestellt. 

Wenn Sie stattdessen eine Backup-IPsec-VPN-Verbindung konfiguriert haben, wird der gesamte VPC-Verkehr automatisch zur VPN-Verbindung umgeleitet. Verkehr zu/von öffentlichen Ressourcen wie Amazon S3 wird über das Internet weitergeleitet. Wenn Sie nicht über eine Backup-Verbindung für AWS Direct Connect oder eine IPsec-VPN-Verbindung verfügen, wird der Amazon-VPC-Datenverkehr im Falle eines Fehlers unterbrochen. Verkehr von/zu öffentlichen Ressourcen wird über das Internet weitergeleitet.

Ja. AWS Direct Connect bietet ein SLA. Details finden Sie hier.

Ja, Sie können die Testdauer konfigurieren, indem Sie die minimale und maximale Testdauer auf jeweils 1 Minute und 180 Sekunden setzen.  Sie können den Test abbrechen, während er läuft. Wenn der Test abgebrochen wird, stellen wir die Border-Gateway-Protocol-Sitzung wieder her und Ihr Testverlauf zeigt, dass der Test abgebrochen wurde.

Ja. Sie können Ihren Testverlauf über die AWS-Managementkonsole oder über AWS-CloudTrail einsehen. Der Testverlauf wird 365 Tage gespeichert. Wenn Sie die virtuelle Schnittstelle löschen, wird Ihr Testverlauf auch gelöscht.

Nach der konfigurierten Testdauer stellen wir die Border-Gateway-Protocol-Sitzung zwischen Ihren On-Premises-Netzwerken und AWS mithilfe der vor Testbeginn ausgehandelten Parameter der Border-Gateway-Protocol-Sitzung wieder her.

Nur der Besitzer des AWS-Kontos, zu dem die virtuelle Schnittstelle gehört, kann den Test starten.

Ja. Sie können die virtuelle Schnittstelle löschen, während ein Test für diese virtuelle Schnittstelle durchgeführt wird.

Ja. Sie können Tests für die Border-Gateway-Protocol-Sitzung(en) durchführen, die mit einer beliebigen virtuellen Schnittstelle erstellt wurde(n).

Ja. Sie können einen Test für eine oder beide Border-Gateway-Protocol-Sitzungen starten.

Lokale Zonen

Ja. Sie können bei der Nutzung von AWS Direct Connect eine Verbindung zu VPCs herstellen, die in AWS Local Zones bereitgestellt werden. Ihre Daten gehen von AWS Local Zones über eine AWS-Direct-Connect-Verbindung ein und aus, ohne eine AWS-Region zu durchqueren. Dadurch wird die Leistung verbessert und die Latenz kann reduziert werden.

Eine Verbindung zwischen AWS Direct Connect und AWS Local Zones funktioniert genauso wie eine Verbindung zu einer Region.

Um eine Verbindung zu einer Region herzustellen, erweitern Sie zunächst Ihre VPC von der übergeordneten Region, indem Sie ein neues Subnetz erstellen und es den AWS Local Zones zuordnen. (Weitere Informationen dazu finden Sie auf der Seite Erweitern einer VPC auf eine Local Zone, Wavelength Zone oder einen Outpost in unserer Dokumentation.) Ordnen Sie anschließend Ihre Virtual Gateway (VGW) einer privaten virtuellen Schnittstelle von AWS Direct Connect oder AWS Direct Connect Gateway zu, um die Verbindung herzustellen. (Weitere Informationen dazu finden Sie im Eintrag Zuweisungen der virtuellen privaten Gateway in unserer Dokumentation.)

Es ist auch möglich, eine Verbindung zu AWS Local Zones mit der öffentlichen virtuellen Schnittstelle von AWS Direct Connect über eine Internet-Gateway herzustellen.

Ja, es gibt Unterschiede. AWS Local Zones unterstützen AWS Transit Gateway derzeit nicht. Wenn Sie eine Verbindung zum Subnetz der AWS Local Zone über eine AWS Transit Gateway herstellen, empfängt die übergeordnete Region Ihren Datenverkehr. Der Datenverkehr wird von der AWS Transit Gateway verarbeitet, an die AWS Local Zone gesendet und kehrt dann aus der Region (über eine Haarnadel) zurück. Zweitens leiten Ingress-Routing-Zielpunkte den Datenverkehr nicht direkt an die AWS Local Zones weiter. Der Datenverkehr wird zunächst von der übergeordneten Region empfangen, bevor er eine Verbindung zurück zu Ihren AWS Local Zones herstellt. Drittens beträgt die maximale MTU-Größe des Packets, das eine Verbindung zu den Local Zones herstellt, 1 468. Das ist im Gegensatz zur Region, in der die maximale MTU-Größe 9 001 beträgt. Die Erkennung der Pfad-MTU wird unterstützt und empfohlen. Zuletzt beträgt das Single-Flow-Limit (5-Tupel) für die Konnektivität zu einer AWS Local Zone etwa 2,5 Gbit/s bei maximaler MTU (1468) im Vergleich zu 5 Gbit/s in der Region. HINWEIS: Die Begrenzungen der MTU-Größe und des einzelnen Datenstroms gelten nicht für die Konnektivität von AWS Direct Connect zur AWS Local Zone in Los Angeles.

Ja. Vorausgesetzt, dass das aktuelle AWS Direct Connect Gateway nicht einer AWS Transit Gateway zugeordnet ist. Da die AWS Transit Gateway nicht in den AWS Local Zones unterstützt wird (und eine DXGW, die einer AWS Transit Gateway zugeordnet ist, kann einer VGW nicht zugeordnet werden), ist es nicht möglich, eine DXGW zuzuordnen, die einer AWS Transit Gateway zugeordnet ist. Sie müssen eine neue DXGW erstellen und sie der VGW zuordnen.

Interoperabilität der Services

Ja. Jede AWS Direct Connect-Verbindung kann mit einer oder mehreren virtuellen Schnittstellen konfiguriert werden. Virtuelle Schnittstellen können konfiguriert werden, um auf AWS-Services wie Amazon EC2 und Amazon S3 mit öffentlichem IP-Adressraum oder auf Ressourcen in einer VPC mit privatem IP-Adressraum zuzugreifen.

Ja. Amazon CloudFront unterstützt benutzerdefinierte Ursprünge, auch solche, die außerhalb von AWS ausgeführt werden. Der Zugriff auf CloudFront-Edge-Standorte wird auf die geografisch nächste AWS-Region beschränkt, mit Ausnahme der US-amerikanischen Regionen, die derzeit Zugriff auf alle im Netz befindlichen CloudFront-Ursprünge in den US-amerikanischen Regionen erlauben. Sie können darauf mit öffentlichen virtuellen Schnittstellen bei der AWS-Direct-Connect-Verbindung zugreifen. Bei der Nutzung von AWS Direct Connect fallen AWS Direct Connect-Datenübertragungsraten für Ursprungsübertragungen an.

Nach dem Eintritt in das globale AWS-Netzwerk über einen Direct-Connect-Standort verbleibt Ihr Datenverkehr-Backbone-Netzwerk von Amazon. Präfixe von CloudFront-Standorten, die sich nicht im Backbone-Netzwerk von Amazon befinden, werden nicht über Direct Connect angekündigt. Weitere Informationen über angekündigte IP-Präfixes und die Direct-Connect-Weiterleitungsrichtlinie finden Sie hier.

Um einen Port für die Verbindung mit AWS GovCloud (USA) zu bestellen, müssen Sie die Managementkonsole von AWS GovCloud (USA) verwenden.

A: Ja. Die öffentliche virtuelle Direct-Connect-Schnittstelle wird die von den öffentlichen AGA-Endpunkten verwendeten AnyCast-Präfixe bekannt geben.

Fakturierung

Für die Einrichtung werden keine Gebühren erhoben und Sie können jederzeit kündigen. Von AWS-Direct-Connect-Partnern bereitgestellte Services unterliegen möglicherweise anderen Nutzungsbedingungen.

Für AWS Direct Connect fallen zwei getrennte Gebühren an: Portstunden und Datenübertragung. Die Preise richten sich nach genutzter Port-Stunde für jeden Port-Typ. Begonnene Port-Stunden werden als volle Stunden in Rechnung gestellt. Dem Konto, dem der Port gehört, werden die Gebühren pro Portstunde in Rechnung gestellt.

Die Datenübertragung über AWS Direct Connect wird im gleichen Monat der Inanspruchnahme in Rechnung gestellt. Sehen Sie sich folgende zusätzliche Informationen an, um zu verstehen, wie die Datenübertragung in Rechnung gestellt wird.

Nein. Die Datenübertragung zwischen Availability Zones in einer Region wird zum regulären regionalen Datenübertragungstarif im Monat der Inanspruchnahme berechnet.

Port-Stunden werden in Rechnung gestellt, sobald Sie die Hosted Connection akzeptiert haben. Port-Gebühren werden so lange in Rechnung gestellt, wie die Hosted Connection für Ihre Nutzung bereitgestellt wird. Wenn Ihnen Ihre Hosted Connection nicht mehr in Rechnung gestellt werden soll, sprechen Sie mit Ihrem AWS-Direct-Connect-Partner, um die Hosted Connection zu kündigen.

Alle Port-Stunden-Gebühren der Hosted Connection an einem AWS-Direct-Connect-Standort werden nach Kapazität gruppiert.

Betrachten Sie beispielsweise die Rechnung für einen Kunden mit zwei separaten Hosted Connections mit 200 Mbps an einem AWS-Direct-Connect-Standort und keiner sonstigen Hosted Connection an diesem Standort. Die Port-Stunden-Gebühren für die zwei getrennten Hosted Connections mit 200 Mbit/s werden unter einem einzigen Posten zusammengefasst, dessen Kennzeichnung auf „HCPortUsage:200M“ endet. Für einen Monat mit insgesamt 720 Stunden beträgt die Summe der Portstunden für diesen Posten 1.440 bzw. die Gesamtstundenzahl in dem Monat wird mit der Gesamtzahl der 200 Mbits-Hosted Connection an diesem Standort multipliziert.

Die Kapazitätskennungen der Hosted Connection, die auf Ihrer Rechnung erscheinen können, lauten wie folgt:

HCPortUsage:50M

HCPortUsage:100M

HCPortUsage:200M

HCPortUsage:300M

HCPortUsage:400M

HCPortUsage:500M

HCPortUsage:1G

HCPortUsage:2G

HCPortUsage:5G

HCPortUsage:10G

Beachten Sie, dass diese Kapazitätskennungen nach Standort gelistet werden – abhängig davon, welche Hosted-Connection-Kapazitäten Sie an dem jeweiligen Standort haben.

Bei öffentlich adressierbaren AWS-Ressourcen (z. B. Amazon-S3-Buckets, Classic-EC2-Instances oder EC2-Verkehr, der über ein Internet-Gateway läuft) wird die Datentransfer-Out-Nutzung (DTO) gegenüber dem Ressourcenbesitzer mit der AWS-Direct-Connect-Datenübertragungsrate abgerechnet, wenn der ausgehende Verkehr für öffentliche Präfixe bestimmt ist, die demselben AWS-Zahlerkonto gehören und aktiv über eine öffentliche virtuelle Schnittstelle von AWS Direct Connect beworben werden.

Weitere Details zu Preisinformationen von AWS Direct Connect finden Sie auf der Preisseite zu AWS Direct Connect. Falls Sie Ihre AWS-Direct-Connect-Verbindung über einen AWS-Direct-Connect-Partner betreiben, wenden Sie sich betreffend eventueller Gebühren an den AWS-Direct-Connect-Partner.

Mit der Einführung der granularen Zuweisungsfunktion für die Übertragung ausgehender Daten wird das AWS-Konto, welches für die Datenübertragung zuständig ist, für die über eine virtuelle übertragungsbasierte/private Schnittstelle durchgeführte Übertragung ausgehender Daten belastet. Das für Übertragung ausgehender Daten verantwortliche AWS-Konto wird, basierend auf der Nutzung der privaten/übertragungsbasierten virtuellen Schnittstelle durch den Kunden, wie folgt ermittelt:

Private virtuelle Schnittstellen werden zur Verbindung mit Amazon Virtual Private Cloud(s) mit oder ohne AWS-Direct-Connect-Gateway(s) verwendet. Im Fall der privaten virtuellen Schnittstelle wird dasjenige AWS-Konto belastet, das die AWS-Ressourcen besitzt, die für die Übertragung ausgehender Daten verantwortlich sind.

Eine oder mehrere übertragungsbasierte virtuelle Schnittstelle(n) werden für die Verbindung mit AWS Transit Gateway(s) verwendet. Im Fall der übertragungsbasierten virtuellen Schnittstelle wird dasjenige AWS-Konto belastet, welches die an das AWS Transit Gateway angeschlossene(n) Amazon Virtual Private Cloud(s) besitzt, die dem mit der übertragungsbasierten virtuellen Schnittstelle verknüpften AWS-Direct-Connect-Gateway angefügt ist/sind. Bitte beachten Sie, dass alle anwendbaren Gebühren für AWS Transit Gateway (Datenverarbeitung und Anhang) zusätzlich zu den Gebühren für die Direct-Connect-Übertragung ausgehender Daten anfallen.

Die Nutzung von AWS-Direct-Connect-Datenübertragungen wird auf Ihrem Verwaltungskonto zusammengefasst.

Sie können AWS Direct Connect kündigen, indem Sie Ihre Ports in der AWS-Managementkonsole löschen. Außerdem sollten Sie auch alle Services kündigen, die Sie von Drittanbietern beziehen. Wenden Sie sich zum Beispiel an den Co-Location-Provider, um alle Querverbindungen zu AWS Direct Connect zu kündigen, und/oder kontaktieren Sie den Netzwerk-Provider, der die Netzwerk-Konnektivität von Ihren Remote-Standorten an die AWS-Direct-Connect-Standorte bereitstellt.

Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen.

Spezifikationen

Für dedizierte Verbindungen sind Ports mit 1 Gbit/s, 10 Gbit/s und 100 Gbit/s verfügbar. Für Hosted Connections können Verbindungsgeschwindigkeiten von 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 300 Mbit/s, 400 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s und 10 Gbit/s bei zugelassenen AWS-Direct-Connect-Partnern bestellt werden. Weitere Informationen finden Sie unter AWS-Direct-Connect-Partner

Nein. Sie können jede beliebige Datenmenge bis zur Begrenzung der von Ihnen ausgewählten Port-Kapazität übertragen.

Ja, Sie können mit AWS Direct Connect bis zu 100 Routen in jeder Border-Gateway-Protocol-Sitzung bewerben. Weitere Informationen zu Limitierungen bei AWS Direct Connect.

Ihre Border-Gateway-Protocol-Sitzung wird unterbrochen, wenn Sie über eine Border-Gateway-Protocol-Sitzung mehr als 100 Routen bewerben. Dadurch wird verhindert, dass der gesamte Netzwerkverkehr über diese virtuelle Schnittstelle fließt, bis Sie die Anzahl der Routen auf weniger als 100 reduzieren.

AWS Direct Connect unterstützt 1000BASE-LX-, 10GBASE-LR- oder 100GBASE-LR4-Verbindungen über Mono-Mode-Fasern und Ethernet-Transport. Ihr Gerät muss 802.1Q-VLANs unterstützen. Im Benutzerhandbuch zu AWS Direct Connect finden Sie detailliertere Informationen zu den Anforderungen.

Nein, VLANs werden in AWS Direct Connect nur genutzt, um den Datenverkehr zwischen virtuellen Schnittstellen zu separieren.

Für diese Verbindung muss das Border Gateway Protocol (BGP) mit einer autonomen Systemnummer (ASN) und IP-Präfixen verwendet werden. Sie benötigen folgende Informationen, um die Verbindung zu vervollständigen:

Eine öffentliche oder private ASN. Wenn Sie eine öffentliche ASN nutzen, müssen Sie der Besitzer sein. Wenn Sie eine private ASN nutzen, muss diese zwischen 64512 und 65535 liegen.

Ein neues, unbenutztes VLAN-Tag Ihrer Auswahl.

Öffentliche IPs (/31 oder /30), die der BGP-Sitzung zugewiesen sind. RFC 3021 (Verwendung von 31-Bit-Präfixen auf IPv4-Punkt-zu-Punkt-Verbindungen) wird von allen virtuellen Direct-Connect-Schnittstellentypen unterstützt.

Standardmäßig wirbt Amazon für globale öffentliche IP-Präfixe über BGP. Sie müssen öffentliche IP-Präfixe (/31 oder kleiner), die Ihnen gehören oder von AWS zur Verfügung gestellt werden, über BGP bewerben. Weitere Details finden Sie im Benutzerhandbuch zu AWS Direct Connect.

Im Folgenden finden Sie weitere Information zu AWS Direct Connect, Bring Your Own ASN (Bringen Sie Ihren eigenen ASN mit).

Wenn Sie eine virtuelle Schnittstelle zur öffentlichen AWS Cloud konfigurieren, müssen die IP-Adressen beider Verbindungsenden aus Ihrem eigenen öffentlichen IP-Adressbereich zugewiesen werden. Wenn die virtuelle Schnittstelle mit einer VPC verbunden ist und Sie sich für die automatische Generierung der Peer-IP-CIDR durch AWS entscheiden, wird der IP-Adressraum für beide Enden der Verbindung von AWS zugewiesen und liegt im Bereich 169.254.0.0/16.

Sie können eine Rack-Fläche in der Einrichtung erwerben, in der das Housing des AWS-Direct-Connect-Standorts erfolgt, und Ihre Ausrüstung in der Nähe bereitstellen. Aus Gründen der Sicherheit kann Ihre Ausrüstung jedoch nicht innerhalb der Bereiche AWS Direct Connect Rack oder Cage platziert werden. Kontaktieren Sie für weiter Informationen den Betreiber Ihrer Einrichtung. Nach der Bereitstellung können Sie Ihre Ausstattung mit AWS Direct Connect mittels einer Kreuzverbindung verbinden.

Asynchrone Bidirectional Forwarding Detection (BFD, Erkennung der bidirektionalen Weiterleitung) ist für jede virtuelle AWS-Direct-Connect-Schnittstelle automatisch aktiviert, aber erst wirksam, wenn die Funktion auf Ihrem Router konfiguriert wurde. AWS hat das Mindestintervall der BFD Liveness-Erkennung auf 300 und den BFD Liveness-Erkennungsmultiplikator auf 3 festgelegt.

Im Benutzerhandbuch zu AWS GovCloud (USA) erfahren Sie detailliert, wie Sie AWS Direct Connect für die Region AWS GovCloud (USA) einrichten. 

AWS Direct Connect benötigt Border Gateway Protocol (BGP). Um die Verbindung abzuschließen, benötigen Sie:

• Eine öffentliche oder private ASN. Wenn Sie eine öffentliche ASN nutzen, müssen Sie der Besitzer sein. Wenn Sie eine private ASN nutzen, muss diese zwischen 64512 und 65535 liegen.

• Ein neues, unbenutztes VLAN-Tag, das Sie auswählen

• Die ID für das VPC Virtual Private Gateway (VGW)

• AWS weist private IPs (/30) im Bereich 169.x.x.x für die BGP-Sitzung zu und macht den VPC CIDR-Block über BGP bekannt. Sie können die Standard-Route über BGP verbreiten.

Nein, Layer-2-Verbindungen werden nicht unterstützt.

VPN-Verbindungen

VPN-Verbindungen verwenden IPsec, um eine verschlüsselte Netzwerkverbindung zwischen Ihrem Intranet und einer Amazon VPC über das öffentliche Internet herzustellen. VPN-Verbindungen können binnen Minuten konfiguriert werden und sind eine gute Lösung, wenn unmittelbarer Bedarf besteht, Sie nur geringe bis moderate Bandbreitenanforderungen haben und die Schwankungen einer internetbasierten Verbindung hinnehmen können. AWS Direct Connect umgeht das Internet; stattdessen verwendet es dedizierte, private Netzwerkverbindungen zwischen Ihrem Netzwerk und AWS.

Ja, aber nur für Failover. Sobald er eingerichtet ist, wird der AWS-Direct-Connect-Pfad immer bevorzugt – unabhängig davon, ob der AS-Pfad vorangestellt ist. Vergewissern Sie sich, dass Ihre VPN-Verbindungen den Failover-Verkehr von AWS Direct Connect verarbeiten kann.

VPN BGP funktioniert gleich wie AWS Direct Connect.

Support für AWS Transit Gateway

Support für AWS Transit Gateway ist in allen kommerziellen AWS-Regionen verfügbar.

Sie können die AWS-Managementkonsole oder ihre API Operationen verwenden, um eine übertragungsbasierte virtuelle Schnittstelle zu erstellen.

Ja, Sie können eine übertragungsbasierte virtuelle Schnittstelle in einem beliebigen AWS-Konto zuordnen.

Nein, Sie können eine übertragungsbasierte virtuelle Schnittstelle nicht an Ihr Virtual Private Gateway anfügen.

Nein, Sie können eine private virtuelle Schnittstelle nicht an Ihr AWS Transit Gateway anfügen.

Besuchen Sie die Seite Quoten für AWS Direct Connect, um mehr über die geltenden Einschränkungen für übertragungsbasierte virtuelle Schnittstellen zu erfahren.

Nein, ein AWS-Direct-Connect-Gateway kann nur einem virtuellen Schnittstellen-Typ angefügt sein.

Nein, ein AWS Transit Gateway kann nur dem AWS-Direct-Connect-Gateway zugeordnet werden, das der übertragungsbasierten virtuellen Schnittstelle angefügt ist.

Es kann bis zu 40 Minuten dauern, eine Verknüpfung zwischen einem AWS Transit Gateway und einem AWS Direct Connect Gateway herzustellen.

Sie können bis zu 51 virtuelle Schnittstellen pro 1-, 10- oder 100-Gbp/s-Verbindung, einschließlich der übertragungsbasierten virtuellen Schnittstelle, erstellen.

Ja.

Ja, eine übertragungsbasierte virtuelle Schnittstelle unterstützt Jumbo Frames. Die Größe der maximalen Übertragungseinheit (MTU) ist auf 8.500 beschränkt.

Ja, Sie können diese unterstützten BGP-Attribute (AS_PATH, Local Pref, NO_EXPORT) auch bei der übertragungsbasierten virtuellen Schnittstelle verwenden.

AWS-Direct-Connect-Gateway

Ein AWS-Direct-Connect-Gateway erfüllt mehrere Funktionen:

AWS-Direct-Connect-Gateway ermöglicht Ihnen die Verbindung mit VPCs in jeder AWS-Region (mit Ausnahme der AWS-Region China), sodass Sie über Ihre AWS-Direct-Connect-Verbindungen Zugang zu mehr als einer AWS-Regionen haben.

Sie können eine private virtuelle Schnittstelle für die Schnittstelle mit bis zu 10 VPCs freigeben, um die Anzahl der Border-Gateway-Protocol-Sitzungen zwischen Ihrem On-Premises-Netzwerk und AWS-Bereitstellungen zu reduzieren.

Indem Sie (eine) virtuelle Schnittstelle(n) (VIF) einem AWS-Direct-Connect-Gateway anfügen und AWS Transit Gateway(s) dem AWS-Direct-Connect-Gateway zuordnen, können Sie (eine) virtuelle Schnittstelle(n) teilen, um eine Verbindung mit bis zu drei AWS Transit Gateways herzustellen. Dadurch kann die Anzahl an Border-Gateway-Protocol-Sitzungen zwischen Ihrem On-Premises-Netzwerk und AWS-Bereitstellungen verringert werden. Nachdem eine übertragungsbasierte VIF mit einem AWS-Direct-Connect-Gateway verbunden wurde, kann dieser Gateway nicht noch eine andere private VIF hosten. Er ist dann speziell der übertragungsbasierten VIF zugeordnet.

Sie können mehrere Virtual Private Gateways (VGWs, einer VPC zugeordnet) einem AWS-Direct-Connect-Gateway zuordnen, solange die IP CIDR-Blöcke der dem Virtual Private Gateway zugeordneten Amazon VPC sich nicht überschneiden.

Sie können bis zu drei Transit Gateways mit einem AWS-Direct-Connect-Gateway verknüpfen, solange sich die angegebenen IP-CIDR-Blöcke Ihres Transit Gateways nicht überschneiden.

Ja, Sie können VPCs eines beliebigen AWS-Kontos mit einem AWS-Direct-Connect-Gateway eines beliebigen AWS-Kontos verknüpfen.

Ja, Sie können ein Transit Gateway, das einem beliebigen AWS-Konto gehört, mit dem AWS-Direct-Connect-Gateway eines beliebigen AWS-Kontos verknüpfen.

Nein. Wenn Sie das AWS-Direct-Connect-Gateway verwenden, nimmt Ihr Datenverkehr den kürzesten Weg von und zu Ihrem AWS-Direct-Connect-Standort zur AWS-Zielregion, unabhängig von der zugeordneten AWS-Heimatregion des AWS-Direct-Connect-Standorts, mit dem Sie verbunden sind.

Für die Nutzung eines AWS-Direct-Connect-Gateways fallen keine Gebühren an. Sie zahlen die zutreffenden Gebühren für ausgehenden Datenverkehr auf der Grundlage der entfernten AWS-Quellregion sowie Gebühren pro Port-Stunde. Weitere Informationen finden Sie auf der Preisseite zu AWS Direct Connect

Private virtuelle Schnittstellen und AWS-Direct-Connect-Gateways müssen sich im selben AWS-Konto befinden. Genauso müssen sich auch übertragungsbasierte virtuelle Schnittstellen und AWS-Direct-Connect-Gateways im selben AWS-Konto befinden. Virtual Private Gateways oder AWS Transit Gateways können sich in anderen AWS-Konten als demjenigen Konto befinden, welches das AWS-Direct-Connect-Gateway besitzt.

Netzwerkfeatures wie Elastic File System, Elastic Load Balancing, Application Load Balancer, Sicherheitsgruppen, Zugriffskontrollliste (ACL) und AWS PrivateLink funktionieren mit einem AWS-Direct-Connect-Gateway. Das AWS-Direct-Connect-Gateway unterstützt nicht die AWS-VPN-CloudHub-Funktionalität. Wenn Sie jedoch eine AWS-Site-to-Site-VPN-Verbindung mit einem virtuellen Gateway (VGW) verwenden, welches mit Ihrem AWS-Direct-Connect-Gateway verbunden ist, können Sie Ihre VPN-Verbindung für Failover verwenden.

Features, die derzeit nicht von AWS Direct Connect unterstützt werden, sind: AWS Classic VPN, AWS VPN (wie Edge-to-Edge-Routing), VPC-Peering und VPC-Endpunkte.

Ja, Sie können Ihrem AWS-Direct-Connect-Gateway eine bereitgestellte private virtuelle Schnittstelle (VIF) zuordnen, wenn Sie bestätigen, dass Sie in Ihrem AWS-Konto als privat bereitgestellt sind.

Sie können Virtual Private Gateways (VGWs) weiterhin Ihre virtuellen Schnittstellen (VIFs) anfügen. Sie haben weiterhin VPC-Konnektivität innerhalb einer Region, die Ausgaberate für verwandte geografische Regionen wird Ihnen berechnet.

Bitte beachten Sie die Seite Kontingente für AWS Direct Connect für Informationen zu diesem Thema.

Nein. Ein VGW-VPC-Paar kann nur einem AWS-Direct-Connect-Gateway zugeordnet werden.

Nein. Eine private virtuelle Schnittstelle kann nur an ein einzelnes AWS-Direct-Connect-Gateway oder an ein einzelnes Virtual Private Gateway angefügt werden. Wir empfehlen, dass Sie die Empfehlungen zur Ausfallsicherheit für AWS Direct Connect befolgen und mehr als eine private virtuelle Schnittstelle anfügen. 

Nein, AWS-Direct-Connect-Gateway unterbricht AWS VPN CloudHub nicht. AWS-Direct-Connect-Gateway ermöglicht die Konnektivität zwischen On-Premises-Netzwerken und den VPCs beliebiger AWS-Regionen. AWS VPN CloudHub ermöglicht dagegen die direkte Konnektivität zwischen On-Premises-Netzwerken mit AWS Direct Connect oder einer VPN innerhalb der gleichen Region. Die VIF wird dem VGW direkt zugeordnet. Die bestehende AWS-VPN-CloudHub-Funktionalität wird weiterhin unterstützt. Sie können eine virtuelle Schnittstelle (VIF) von AWS Direct Connect direkt einem Virtual Private Gateway (VGW) anfügen, um den AWS VPN CloudHub innerhalb der Region zu unterstützen.

Weitere Informationen zu unterstützten und nicht unterstützten Verkehrsmustern finden Sie im Benutzerhandbuch zu AWS Direct Connect

Nein, das ist mit einem AWS-Direct-Connect-Gateway nicht möglich, aber die Option zum direkten Anfügen einer VIF an ein VGW ist verfügbar, um den Anwendungsfall VPN <-> AWS Direct Connect AWS VPN CloudHub zu verwenden.

Nein, eine bestehende private virtuelle Schnittstelle, die einem VGW zugeordnet ist, kann keinem AWS-Direct-Connect-Gateway zugeordnet werden. Dazu müssen Sie eine neue private virtuelle Schnittstelle erstellen und diese zum Zeitpunkt der Erstellung Ihrem AWS-Direct-Connect-Gateway zuordnen.

Ja, so lange die VPC-Routing-Tabellen Routen über das Virtual Private Gateway (VGW) zum VPN enthalten.

Nein. Ein nicht angehängtes VGW kann keinem AWS-Direct-Connect-Gateway zugeordnet werden.

Zwischen Ihrem On-Premises-Netzwerk und der getrennten VPC kann kein Datenverkehr mehr stattfinden. Auch wird die VGW-Zuordnung zum AWS-Direct-Connect-Gateway gelöscht.

Zwischen Ihrem On-Premises-Netzwerk und dem abgehängten, einer VPC zugeordneten VGW kann kein Datenverkehr mehr stattfinden.

Nein, AWS-Direct-Connect-Gateways unterstützen nur die Weiterleitung des Routing-Datenverkehrs von AWS-Direct-Connect-VIFs zum VGW (zugeordnet zu VPC). Zur Übertragung von Daten zwischen zwei VPCs, müssen Sie eine VPC-Peering-Verbindung konfigurieren.

Nein. Ein AWS-Direct-Connect-Gateway leitet keinen Datenverkehr zwischen einem VPN und einer AWS-Direct-Connect-VIF weiter. Für diesen Anwendungsfall müssen Sie einen VPN in der AWS-Region der VIF erstellen und die VIF und das VPN an das gleiche VGW anfügen.

Ja, Sie können die Größe der VPC ändern. Wenn Sie die Größe Ihrer VPC ändern, müssen Sie den Vorschlag mit der neuen Größe des VPC-CIDR erneut an den Besitzer des AWS-Direct-Connect-Gateway senden. Sobald der Besitzer des AWS-Direct-Connect-Gateways den neuen Vorschlag genehmigt hat, wird der VPC-CIDR-Bereich mit neuer Größe in Ihrem On-Premises-Netzwerk angeboten.

Ja, das AWS-Direct-Connect-Gateway bietet die Möglichkeit, Präfixe für Ihre On-Premises-Netzwerke selektiv anzukündigen. Für Präfixe, die von Ihren lokalen Netzwerken beworben werden, empfängt jede VPC, die mit einem AWS Direct Connect-Gateway verbunden ist, alle Präfixe, die von Ihren lokalen Netzwerken angekündigt werden. Wenn Sie den Datenverkehr zu und von einer bestimmten VPC begrenzen möchten, sollten Sie die Verwendung von Zugriffskontrolllisten (ACLs) für jede VPC in Betracht ziehen.

Communitys mit lokalen Präferenzen

Ja. Alle bestehenden BGP-Sitzungen in privaten virtuellen Schnittstellen unterstützen die Verwendung von Communitys mit lokalen Präferenzen.

Nein. Derzeit ist dieses Feature nur bei privaten und übertragungsbasierten virtuellen Schnittstellen verfügbar.

Ja, dieses Feature kann in Verbindung mit privaten virtuellen Schnittstellen verwendet werden, die einem AWS-Direct-Connect-Gateway angefügt sind.

Nein. Derartige Überwachungsfunktionen werden momentan nicht bereitgestellt.

Die folgenden Communitys werden für die private virtuelle Schnittstelle unterstützt. Sie werden aufsteigend nach Präferenz ausgewertet. Communitys schließen sich gegenseitig aus. Präfixe, die mit denselben Communitys gekennzeichnet sind und identische MED*, AS_PATH-Attribute aufweisen, sind Kandidaten für Multi-Pathing.

7224:7100 – Niedrige Präferenz

7224:7200 – Mittlere Präferenz

7224:7300 – Hohe Präferenz

Wenn Sie für Ihre private VIF keine lokalen Präferenz-Communitys angeben, basiert die standardmäßige lokale Präferenz auf der Distanz zu den AWS-Direct-Connect-Standorten von der lokalen Region. In einer derartigen Situation kann das Verhalten des ausgehenden Datenverkehrs über mehrere VIFs hinweg von mehreren AWS-Direct-Connect-Standorten aus willkürlich sein.

Ja. Sie können mit dieser Funktion das Verhalten des ausgehenden Datenverkehrs zwischen zwei VIFs in derselben physischen Verbindung beeinflussen.

Ja. Dies lässt sich erreichen, indem Präfixe über die primäre/aktive virtuelle Schnittstelle mit einer Community für eine höhere lokale Präferenz angekündigt werden, statt Präfixe über die virtuelle Backup-Schnittstelle/passive virtuelle Schnittstelle anzukündigen. Dieses Feature ist abwärtskompatibel mit bereits vorhandenen Methoden für das Erzielen eines Failover; falls Ihre Verbindung momentan für ein Failover konfiguriert ist, sind keine weiteren Änderungen erforderlich.

Nein. Das AS_PATH-Attribut wird von uns nach wie vor anerkannt. Diese Funktion ist lediglich eine zusätzliche Option, mit der Sie den eingehenden Datenverkehr in AWS besser kontrollieren können. AWS Direct Connect verwendet die Standardmethode für die Pfadauswahl. Behalten Sie im Hinterkopf, dass die lokale Präferenz vor dem AS_PATH-Attribut ausgewertet wird.

Das Multi-Pathing erfolgt pro Präfix bis hin zu 16 Next-Hops, wobei jeder Next-Hop einen eindeutigen AWS-Endpunkt darstellt.

Aktuell sind nur v4-BGP-Sitzungen über einen einzelnen VPN-Tunnel mit IPv4-Adresse zulässig.

Aktuell unterstützen wir nur die IPv4-Endpunktadresse für VPN. 

Aktuell sind nur v4-BGP-Sitzungen über einen einzelnen VPN-Tunnel mit IPv4-Adresse zulässig.

AWS-Direct-Connect-Gateway – Private ASN

Dies ist eine konfigurierbare private autonome Systemnummer (Autonomous System Number, kurz ASN). Kunden können dank dieser Funktionalität die AWS-seitige ASN der BGP-Sitzung für private VIFs auf jedem neu erstellten AWS-Direct-Connect-Gateway festlegen.

Alle kommerziellen AWS-Regionen (mit Ausnahme der AWS-Region China) und AWS GovCloud (USA).

Sie können eine ASN während der Erstellung des neuen AWS-Direct-Connect-Gateways so konfigurieren bzw. zuweisen, dass sie AWS-seitig als ASN angezeigt wird. Ein AWS-Direct-Connect-Gateway können Sie über die AWS-Managementkonsole oder mittels eines CreateDirectConnectGateway-API-Aufrufs erstellen.

Sie können der AWS-Seite jede private ASN zuweisen. Öffentliche ASNs können Sie nicht selbst zuweisen.

Die Eigentumsverhältnisse der ASNs werden von AWS nicht validiert. Aus diesem Grund ist die AWS-seitige ASN auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.

Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.

Beim Versuch, das AWS-Direct-Connect-Gateway zu erstellen, werden wir Sie bitten, eine private ASN erneut einzugeben.

Wenn Sie keine ASN auswählen, teilt Ihnen AWS für das AWS-Direct-Connect-Gateway die ASN 64512 zu.

Sie können die AWS-seitige ASN in der AWS-Direct-Connect-Konsole und in der Antwort der DescribeDirectConnectGateways- oder DescribeVirtualInterfaces-API-Operationen anzeigen.

Ja, Sie können die AWS-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.

Sie müssen ein neues AWS-Direct-Connect-Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten AWS-Direct-Connect-Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.

Nein, Sie können separate AWS-seitige ASN für jedes AWS-Direct-Connect-Gateway, jedoch nicht für jede VIF zuweisen/konfigurieren. Die AWS-seitige ASN für die VIF wird aus der AWS-seitigen ASN des angehängten AWS-Direct-Connect-Gateways übernommen.

Ja. Für Ihr AWS-Direct-Connect-Gateway und Ihr Virtual Private Gateway können Sie verschiedene private ASNs verwenden. Die AWS-seitige ASN, die Sie erhalten, hängt von Ihrer privaten virtuellen Schnittstellenverbindung ab.

Ja. Für Ihr AWS-Direct-Connect-Gateway und Ihr Virtual Private Gateway können Sie die gleiche private ASN verwenden. Die AWS-seitige ASN, die Sie erhalten, hängt von Ihrer privaten virtuellen Schnittstellenverbindung ab.

Die private ASN des AWS-Direct-Connect-Gateway wird als AWS-seitige ASN für die Border Gateway Protocol (BGP)-Sitzung zwischen Ihrem Netzwerk und AWS verwendet.

Sie können Ihre eigene private ASN in der Konsole des AWS-Direct-Connect-Gateways auswählen. Sobald das AWS-Direct-Connect-Gateway mit der AWS-seitigen ASN konfiguriert ist, verwenden die dem AWS-Direct-Connect-Gateway zugeordneten privaten virtuellen Schnittstellen die von Ihnen konfigurierte ASN als AWS-seitige ASN.

Sie müssen keinerlei Änderungen vornehmen.

Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.

Nein, nach der Erstellung können Sie die AWS-seitige ASN nicht mehr modifizieren. Sie können das AWS-Direct-Connect-Gateway jedoch löschen und ein neues AWS-Direct-Connect-Gateway mit der gewünschten privaten ASN erstellen.

MACsec

MACsec ist nicht als Ersatz für eine spezifische Verschlüsselungstechnologie bestimmt. Der Einfachheit halber, und um eine tiefgehende Verteidigung zu gewährleisten, sollten Sie alle Verschlüsselungstechnologien, die Sie bereits verwenden, weiter verwenden. Wir bieten MACsec als eine Verschlüsselungsoption an, die Sie zusätzlich zu anderen Verschlüsselungstechnologien, die Sie aktuell nutzen, integrieren können.

MACsec wird auf dedizierten AWS-Direct-Connect-Verbindungen mit 10 Gbit/s und 100 Gbit/s an ausgewählten Points of Presence unterstützt. Um MACsec nutzen zu können, muss Ihre dedizierte Verbindung für den Layer-2-Datenverkehr transparent sein und das Gerät, das die Layer-2-Nachbarschaft beendet, muss MACsec unterstützen. Wenn Sie einen „Last Mile“-Konnektivitätspartner verwenden, vergewissern Sie sich, dass Ihre Last-Mile-Verbindung MACsec unterstützen kann. MACsec wird auf dedizierten 1-Gbit/s-Verbindungen oder gehosteten Verbindungen nicht unterstützt.

Ja. Sie benötigen ein MACsec-fähiges Gerät an Ihrem Ende der Ethernet-Verbindung zu einem AWS-Direct-Connect-Standort. Lesen Sie den Abschnitt MAC-Sicherheit in unserem Benutzerhandbuch, um die unterstützten Betriebsmodi und die erforderlichen MACsec-Features zu überprüfen.

Für MACsec muss Ihre Verbindung auf der AWS-Direct-Connect-Seite der Verbindung auf einem MACsec-fähigen Gerät beendet werden. Sie können über die AWS-Managementkonsole oder mittels der DescribeConnections-AWS-Direct-Connect-API überprüfen, ob Ihre bestehende Verbindung MACsec-fähig ist. Wenn Ihre bestehende MACsec-Verbindung nicht auf einem MACsec-fähigen Gerät beendet wird, können Sie über die AWS-Managementkonsole oder im CreateConnection-API eine neue, MACsec-fähige Verbindung beantragen.

Für 100Gbit/s-Verbindungen unterstützen wir die GCM-AES-XPN-256 Chiffren-Suite. Für 10Gbit/s-Verbindungen unterstützen wir GCM-AES-256 und GCM-AES-XPN-256.

Wir unterstützen nur 256-Bit-MACsec-Schlüssel, damit wir den aktuellsten modernen Datenschutz bieten können.

Wir verlangen die Verwendung von XPN für 100Gbit/s-Verbindungen. Für 10Gbit/s-Verbindungen unterstützen wir sowohl GCM-AES-256 als auch GCM-AES-XPN-256. Sehr schnelle Verbindungen, etwa dedizierte Verbindungen mit 100 Gbit/s, können sehr schnell den ursprünglichen 32-Bit-Paketnummerierungs-Space von MACsec erschöpfen. In diesem Fall müssen Sie Ihre Verschlüsselungsschlüssel alle paar Minuten rotieren, um eine neue Konnektivitätszuordnung herzustellen. Um diese Situation zu vermeiden, führte die Erweiterung IEEE Std 802.1AEbw-2013 die erweiterte Paketnummerierung ein, die den Nummerierungs-Space auf 64-Bit vergrößerte und somit die Aktualitätsanforderung für Schlüsseldrehung entspannte.

Ja. Wir verlangen, dass SCI aktiviert ist. Diese Einstellung kann nicht geändert werden.

Nein, wir unterstützen das Verschieben des VLAN-Tags außerhalb der verschlüsselten Nutzlast nicht.

Nein, für MACsec fallen keine zusätzlichen Gebühren an.

Wartung von Direct Connect

Wartung von AWS Direct Connect

Geplante Wartungsarbeiten sind geplant und wir stellen drei Benachrichtigungen bereit: 10-Werktags-Benachrichtigungen, gefolgt von 5-Werktags-Benachrichtigungen und anschließend 1-Werktags-Benachrichtigungen. Notfallwartungen können jederzeit durchgeführt werden und Sie erhalten je nach Art der Wartung bis zu 60 Minuten Benachrichtigung(en). Sie können Benachrichtigungen über die Konsole von AWS Direct Connect abonnieren. Weitere Einzelheiten finden Sie unter Benachrichtigungen zu geplanten Direct-Connect-Wartungen oder -Ereignissen.   

Um Sie bei der Verwaltung von Ereignissen zu unterstützen, zeigt das AWS Personal Health Dashboard relevante Informationen an und stellt außerdem Benachrichtigungen für Aktivitäten bereit. Sie können auch eine E-Mail-Benachrichtigung einrichten, um Benachrichtigungen über geplante Wartungsarbeiten oder Ereignisse im Zusammenhang mit Direct Connect zu erhalten.

Aufgrund der globalen Reichweite von Direct Connect können wir die Wartung nicht auf

Wochenenden beschränken. Wir verteilen unsere geplanten Wartungsarbeiten auf alle Wochentage. Die Wartung erfolgt in der Regel pro Gerät, d. h. dxcon-xxxxxx ist die Mindesteinheit, um die Auswirkungen zu begrenzen. Wir empfehlen Ihnen dringend, die Empfehlungen zur Ausfallsicherheit von AWS Direct Connect zu befolgen, damit Sie belastbare Netzwerkverbindungen zu AWS-Ressourcen auf zuverlässige, skalierbare und kostengünstige Weise einrichten können.

Wenn eine Direct-Connect-Verbindung wegen Wartungsarbeiten unterbrochen ist, kann der Ausfall dieser Verbindung zwischen einigen Minuten und einigen Stunden dauern. Um sich auf diese Ausfallzeit vorzubereiten, führen Sie eine der folgenden Maßnahmen durch:

Beantragen Sie eine redundante Direct-Connect-Verbindung.

Konfigurieren Sie eine AWS Site-to-Site-VPN-Verbindung (virtuelles privates Netzwerk) als Backup.

Es empfiehlt sich, Ihren Datenverkehr während der Direct-Connect-Wartung auf eine andere Verbindung zu verlagern. Um eine Unterbrechung des Datenverkehrs in der Produktion zu vermeiden, verwenden Sie vor dem geplanten Wartungszeitraum eine der oben genannten Optionen. Sie können auch das AWS Direct Connect Resiliency

Toolkit verwenden, um geplante Failover-Tests durchzuführen und die Ausfallsicherheit Ihrer Verbindungen zu überprüfen.

Von Zeit zu Zeit führt AWS geplante Wartungsarbeiten durch, um die Verfügbarkeit zu verbessern und unseren Kunden neue Features bereitzustellen. Unser regulärer Prozess für nicht dringende/geplante Wartungen bietet Kunden eine Vorlaufzeit von mindestens 10 Werktagen. Dadurch können sich Kunden frühzeitig vorbereiten, indem sie ihre Redundanz testen, um minimale Auswirkungen zu gewährleisten. Weitere Informationen finden Sie unter Wie kann ich ein Direct-Connect-Wartungsereignis abbrechen?

Partner werden in die geplanten Wartungsbenachrichtigungen von AWS einbezogen, damit sie entsprechend planen können. AWS hat keinen Einblick in die Wartungsaktivitäten von Partnern. Sie müssen sich bei Ihrem Partner/Anbieter über dessen geplante(n) Wartungspläne erkundigen. Kunden sollten erwägen, zwei verschiedene Partner an verschiedenen Direct-Connect-Standorten zu verwenden, um das Risiko einer Überschneidung der Wartungsfenster der Partner zu minimieren.