Comment puis-je influencer le chemin du trafic réseau de ma connexion Direct Connect vers un environnement sur site sur plusieurs circuits ?

Date de la dernière mise à jour : 11/01/2022

Je souhaite influencer le chemin du trafic réseau de ma connexion AWS Direct Connect vers un environnement sur site sur plusieurs circuits.

Brève description

Vous pouvez utiliser plusieurs circuits Direct Connect dans différentes régions AWS pour augmenter la bande passante et la haute disponibilité. En fonction de la distribution des circuits entre les régions, vous pouvez influencer le trafic Direct Connect en publiant des identifications de communauté BGP (Border Gateway Protocol) avec des préfixes sur site.

Les configurations courantes pour plusieurs connexions Direct Connect incluent :

  • Interfaces virtuelles privées créées sur les connexions Direct Connect attachées aux mêmes passerelles réseau privé virtuel (VGW) dans la même région.
  • Interfaces virtuelles privées créées sur les connexions Direct Connect attachées à la même passerelle Direct Connect (DXGW) et associées à plusieurs VGW dans toute région.
  • Interfaces virtuelles de transit créées sur les connexions Direct Connect attachées au même DXGW et associées à plusieurs passerelles de transit dans toute région.

Résolution

Suivez ces instructions pour influencer le chemin de trafic réseau de votre connexion Direct Connect en fonction de votre cas d'utilisation.

Comportement par défaut pour les interfaces virtuelles privées et de transit et comment l'influencer

Pour influencer le comportement par défaut, il est recommandé d'utiliser le préfixe de chemin SA (système autonome) ainsi que les identifications de communauté BGP de préférence locale suivantes :

  • 7224:7100 – Faible préférence
  • 7224:7200 – Préférence moyenne
  • 7224:7300 – Préférence élevée

Les identifications de communauté BGP de préférence locale sont évaluées dans l'ordre de préférence la plus faible à la plus élevée (où la préférence la plus élevée est celle préférée). Pour chaque préfixe que vous publiez au cours d'une session BGP, vous pouvez appliquer une identification de communauté pour indiquer la priorité du chemin associé pour le trafic de retour.

Pour plus d'informations, voir Comment puis-je utiliser les communautés BGP pour influencer le chemin de routage préféré sur les liens Direct Connect entre AWS et mon réseau ?

Scénario 1

Vous disposez d'une connexion Direct Connect (DX1) dans la région us-east-1 et d'une autre connexion (DX2) dans la région eu-west-1. Une interface virtuelle privée (VIF) est créée sur DX1 et DX2 avec les mêmes préfixes publiés à partir d'appareils sur site. Les VIF DX1 et DX2 sont attachées à une DXGW associée à trois VGW dans les régions us-east-1, eu-west-1 et ap-southeast-1.

Si vous publiez l'identification BGP 7224:7300 sur la VIF sur DX1, le trafic provenant d'Amazon Virtual Private Cloud (Amazon VPC) de la région us-east-1 est inchangé. Le trafic en provenance des régions eu-west-1 et ap-southeast-1 préfère DX1, car la préférence relative à la même région est remplacée par la communauté BGP.

SI vous publiez l'identification BGP 7224:7300 sur des VIF sur DX1 et DX2, le trafic provenant de tous les Amazon VPC de différentes régions est équilibré en charge entre DX1 et DX2. Cela est dû au fait que la préférence relative à la même région est remplacée par la communauté BGP.

Si vous publiez l'identification BGP 7224:7300 sur les deux VIF avec préfixe AS sur DX1, le trafic provenant de tous les Amazon VPC de toutes les régions préfère DX2. Cela est dû au fait que les préférences de région sont remplacées lorsqu'elles sont égales. Ensuite, AWS effectue une validation de la longueur du chemin AS en constatant que le préfixe de chemin pour DX2 est plus court que celui pour DX1.

Si vous ne publiez qu'un AS préfixé sur VIF sur DX1 sans identification de communauté BGP, le trafic des Amazon VPC dans les régions us-east-1 et eu-west-1 reste inchangé. Le trafic en provenance de la région ap-southeast-1 préfère DX2. Cela est dû au fait que la préférence de région a une priorité supérieure à la longueur du chemin AS.

Scénario 2

Vous disposez de connexions Direct Connect DX1 et DX2 dans la région us-east-1 avec des interfaces virtuelles privées utilisant le même préfixe publié à partir d'appareils sur site. Les interfaces virtuelles privées sont attachées à la DXGW associée à trois VGW dans les régions us-east-1 et eu-west-1.

Si vous publiez une identification BGP 7224:7300 sur la VIF sur DX1, le trafic en provenance des régions us-east-1 et eu-west-1 préfère DX1, car la préférence relative à la même région est remplacée par la communauté BGP.

Si vous publiez une identification BGP 7224:7300 sur les deux VIF sur DX1 et DX2, le trafic provenant des VPC dans différentes régions reste inchangé. Cela est dû au fait que la préférence de région est remplacée par l'identification de communauté BGP pour la répartition de charge.

Si vous publiez une identification BGP 7224:7300 sur les deux VIF avec préfixe AS sur DX1, le trafic provenant des Amazon VPC de toutes les régions préfère DX2. Cela est dû au fait que la préférence de région est remplacée lorsqu'elle est égale. Ensuite, AWS effectue une validation de la longueur du chemin AS en constatant que le préfixe de chemin pour DX2 est plus court que celui pour DX1.

Si vous publiez un AS préfixé sur le VIF sur DX1 sans identification de communauté BGP, le trafic provenant des Amazon VPC dans les régions us-east-1 et eu-west-1 préfère DX2. Cela est dû au fait que les régions us-east-1 et eu-west-1 ont la même préférence de région et un chemin AS plus court pour DX2.

Scénarios 1 et 2

Si vous publiez des préfixes sur site sans facteurs d'influence, le comportement par défaut du trafic sortant est le suivant :

  • Le trafic provenant d'Amazon VPC dans la région us-east-1 préfère DX1, car elle se trouve dans la même région. Le trafic provenant d'Amazon VPC dans la région eu-ouest-1 préfère DX2, car elle se trouve dans la même région. Étant donné qu'ap-southeast-1 est une région distante, le trafic provenant d'Amazon VPC est équilibré en charge entre DX1 et DX2.
  • Le trafic provenant d'Amazon VPC dans la région us-east-1 est équilibré en charge entre DX1 et DX2, car elles se trouvent dans la même région. Le trafic provenant d'Amazon VPC dans la région eu-west-1 est à équilibrage de charge entre DX1 et DX2.

Comportement par défaut pour les interfaces virtuelles publiques et la manière de l'influencer

Dans le scénario suivant, vous disposez de deux connexions Direct Connect dans la même région qui utilisent la même interface virtuelle publique ainsi que le même préfixe annoncé à partir de périphériques sur site.

Le trafic sortant de la direction AWS est équilibré en charge entre les VIF publiques sans facteurs d'influence. Pour influencer le comportement par défaut, il est recommandé d'utiliser le préfixe Système autonome (AS) avec un ASN public. Si vous ne pouvez utiliser qu'un ASN privé, il est recommandé de publier des préfixes plus spécifiques à partir de la VIF publique préférée, de sorte que la correspondance de préfixe la plus longue détermine le chemin de routage.

Scénarios de routage asymétrique courants pour les interfaces virtuelles publiques

Vous pouvez utiliser les préfixes BGP suivants avec Direct Connect :

  • 7224:9100 : région AWS locale
  • 7224:9200 : toutes les régions AWS d'un continent
  • 7224:9300 : global (toutes les régions AWS publiques)

Pour plus d'informations, consultez les communautés BGP concernées.

Dans le scénario suivant, vous disposez d'une connexion Direct Connect dans la région us-east-1 avec une interface virtuelle publique. Vous publiez le même préfixe public sur site avec l'identification de communauté 7224:9100 sur la connexion Direct Connect et le fournisseur local de services Internet.

Si vous accédez à un compartiment Amazon Simple Storage Service (Amazon S3) dans la région us-east-1, le trafic entrant et sortant passe par la connexion Direct Connect.

Si vous accédez à un compartiment Amazon S3 dans la région eu-west-1, le trafic entrant passe par la connexion Direct Connect, et le trafic sortant par le fournisseur local de services Internet Cela est dû au fait que le préfixe n'est pas propagé à la région eu-west-1, ce qui entraîne un routage asymétrique.

Si vous accédez à un compartiment Amazon S3 dans la région us-east-1 et que le trafic entrant provenant de l'environnement sur site s'adosse sur le fournisseur local de services Internet, un routage asymétrique se produit. En effet, AWS préfère envoyer le trafic sortant via la connexion Direct Connect plutôt que via le fournisseur local de services Internet lorsque les mêmes préfixes sont reçus.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?