Come faccio a configurare un'interfaccia virtuale pubblica Direct Connect?

Ultimo aggiornamento: 12/01/2022

Voglio configurare un'interfaccia virtuale pubblica di AWS Direct Connect.

Breve descrizione

Un'interfaccia virtuale pubblica utilizza un indirizzo IP pubblico per accedere a tutti i servizi pubblici AWS come Amazon Elastic Compute Cloud (Amazon EC2).

Nota: Le interfacce virtuali pubbliche non possono essere utilizzate per accedere a Internet.

Risoluzione

Segui queste istruzioni per configurare un'interfaccia virtuale pubblica di AWS Direct Connect in base al tuo scenario.

Allocazione e indirizzamento degli indirizzi IPv4 e numero di sistema autonomo (ASN) del Border Gateway Protocol (BGP)

Per gli indirizzi IPv4, utilizzare una delle seguenti opzioni:

  • Utilizza un blocco CIDR IPv4 pubblico di tua proprietà.
  • Se non possiedi un blocco IPv4 pubblico, contatta il tuo partner nel Programma partner AWS Direct Connect o ISP per verificare se è in grado di fornirti un CIDR IPv4 pubblico. Assicurati di includere il modulo di autorizzazione LOA-CFA che indica che sei autorizzato ad utilizzare quei prefissi IP pubblici.
  • Puoi anche contattare AWS Support per richiedere un CIDR IPv4 pubblico. Assicurati di fornire il tuo caso d'uso. Tieni presente che AWS non può garantire l'approvazione per tutte le richieste CIDR IPv4 pubbliche. Per ulteriori informazioni, consulta la sezione Prerequisites for virtual interfaces (Prerequisiti per le interfacce virtuali).
  • Un BGP ASN pubblico o privato per il tuo lato della sessione BGP. Se utilizzi un numero ASN pubblico, deve essere di tua proprietà. Se utilizzi un numero ASN privato, deve essere compreso tra 1 e 2147483647. Il sistema autonomo (AS) non funziona se si utilizza un ASN privato per un'interfaccia virtuale pubblica.

Nota: Per gli indirizzi IPv6, AWS assegna automaticamente un CIDR IPv6 /125. Non è possibile specificare i propri indirizzi IPv6 peer.

Approvazione di prefissi e BGP ASN su interfaccia virtuale pubblica

Quando si crea un'interfaccia virtuale pubblica, le seguenti informazioni sono soggette all'approvazione da parte del team Direct Connect:

  • Il numero di sistema autonomo BGP (solo se si tratta di un ASN pubblico)
  • Gli indirizzi IP peer pubblici
  • I prefissi pubblici che intendi pubblicizzare sull'interfaccia virtuale

Se hai pubblicizzato i prefissi prima che siano stati approvati, potrebbe essere necessario cancellare la sessione BGP e pubblicizzare nuovamente i prefissi dopo l'approvazione.

Per ulteriori informazioni, consulta la pagina L'interfaccia virtuale pubblica My Direct Connect è bloccata in stato "Verifica". In che modo posso farla approvare?

Prefissi pubblicitari su interfaccia virtuale pubblica

È necessario pubblicizzare almeno un prefisso pubblico utilizzando BGP.

Gli indirizzi IP pubblici utilizzati per il peering e gli indirizzi IP pubblici pubblicizzati non possono sovrapporsi ad altri indirizzi IP pubblici annunciati o utilizzati in Direct Connect. È possibile verificare la proprietà dei prefissi di indirizzi IP e BGP ASN utilizzando una query WHOIS.

Output di esempio:

AS    | IP        | BGP Prefix   | CC | Registry | Allocated  | AS Name
12345 | 192.0.2.0 | 192.0.2.0/24 | US | arin     | 1991-12-19 | EXAMPLE-02, US

Prefissi AWS ricevuti on-premise tramite interfaccia virtuale pubblica

Una volta stabilito il BGP sulla tua interfaccia virtuale pubblica, dovresti ricevere tutti i prefissi delle regioni AWS locali e remote disponibili. Per verificare i prefissi disponibili, controlla le comunità BGP sui prefissi ricevuti da AWS. Per saperne di più, consulta la sezione How can I control the routes advertised and received over the AWS public virtual interface with Direct Connect (In che modo posso controllare i routing pubblicizzati e ricevuti sull'interfaccia virtuale pubblica AWS con Direct Connect?)

AWS Direct Connect applica le seguenti comunità BGP ai routing pubblicizzati:

  • 7224:8100 - Routing che hanno origine dalla regione AWS in cui si trova il punto di presenza Direct Connect
  • 7224:8200 - Routing che hanno origine dal continente in cui si trova il punto di presenza Direct Connect
  • Nessun tag - Globale (tutte le regioni AWS pubbliche)

Connessione ad AWS tramite interfaccia virtuale pubblica

Direct Connect esegue il filtraggio dei pacchetti in entrata per verificare che la fonte del traffico abbia avuto origine dal prefisso pubblicizzato.

Assicurati di connetterti da un prefisso pubblicitario a una interfaccia virtuale pubblica. Non puoi connetterti da un prefisso non pubblicizzato ad una interfaccia virtuale pubblica.