Вопрос: Что такое AWS Direct Connect?

AWS Direct Connect – это сетевой сервис, который предоставляет альтернативу Интернету для использования облачных сервисов AWS.

Вопрос: Какие задачи можно выполнять с помощью AWS Direct Connect?

Благодаря AWS Direct Connect данные, которые раньше передавались через Интернет, теперь могут доставляться через частное сетевое подключение, установленное между AWS и ЦОД или корпоративной сетью клиента.

Вопрос: В чем заключаются преимущества использования AWS Direct Connect и частных сетевых подключений?

Во многих случаях частные сетевые подключения позволяют снизить затраты, повысить пропускную способность и обеспечить более стабильный процесс сетевого обмена, чем соединения на базе сети Интернет.

Вопрос: Какие сервисы AWS можно использовать с AWS Direct Connect?

С AWS Direct Connect можно использовать все сервисы AWS, включая Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) и Amazon DynamoDB.

Вопрос: Можно ли использовать частное сетевое подключение для одновременной работы с Amazon Virtual Private Cloud (VPC) и другими сервисами AWS?

Да. Каждое подключение к AWS Direct Connect можно настроить на работу с одним или несколькими виртуальными интерфейсами. Виртуальные интерфейсы можно настроить на осуществление доступа к сервисам AWS, например Amazon EC2 и Amazon S3, с помощью пространства публичных IP-адресов или ресурсам облака VPC с помощью пространства частных IP-адресов.

Вопрос: Если при работе в Amazon CloudFront источник находится в пользовательском ЦОД, можно ли использовать AWS Direct Connect для передачи объектов, хранящихся в пользовательском ЦОД?

Да. Amazon CloudFront поддерживает различные пользовательские источники, включая источники, находящиеся за пределами AWS. Доступ к периферийным местоположениям CloudFront будет ограничен ближайшим регионом AWS. Исключения составят регионы Северной Америки, для которых сейчас разрешен доступ к внутрисетевым источникам CloudFront всех регионов Северной Америки. При работе с данными источника с помощью AWS Direct Connect за передачу данных взимается плата по тарифам AWS Direct Connect.

При использовании Direct Connect клиентский трафик после входа в магистральную сеть Amazon будет оставаться в ее пределах. Поэтому префиксы местоположений CloudFront, которые не находятся в магистральной сети Amazon, не будут транслироваться через Direct Connect. Дополнительную информацию об IP-префиксах, транслируемых для публичных виртуальных интерфейсов AWS Direct Connect, см. по ссылке. Чтобы узнать больше о политике маршрутизации сервиса Direct Connect, можно также ознакомиться с этим материалом.

Вопрос: В каких регионах доступен AWS Direct Connect?

Полный перечень местоположений Direct Connect см. на странице сведений о продукте.

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Уровень бесплатного пользования AWS включает 750 часов использования узла микрокэша Amazon ElastiCache.

Сведения об уровне бесплатного пользования AWS »

Вопрос: Можно ли использовать AWS Direct Connect, если сеть клиента не располагается в местоположении AWS Direct Connect?

Да. Партнеры APN, поддерживающие AWS Direct Connect, помогут вам в расширении существующих ЦОД или офисных сетей для возможности подключения к местоположению AWS Direct Connect. Дополнительную информацию см. в разделе Партнеры APN.

Вопрос: Как начать работать с AWS Direct Connect?

Используйте вкладку AWS Direct Connect в Консоли управления AWS, чтобы создать новое подключение. После этого вы сможете изменить регион на желаемый. При запросе подключения вам будет предложено выбрать предпочтительное местоположение AWS Direct Connect, количество портов подключения и их скорость. Кроме того, если вам потребуется помощь в расширении офисной сети или сети ЦОД до ближайшего местоположения AWS Direct Connect, есть возможность связаться с партнером APN.

Вопрос: Можно ли заказать порт для подключения к AWS GovCloud (США) в Консоли управления AWS?

Если вы хотите заказать порт для подключения к региону AWS GovCloud (США), вам нужно воспользоваться консолью управления AWS GovCloud (США). Подробную информацию о начале работы в регионе AWS GovCloud (США) см. по ссылке.


Вопрос: Предусмотрена ли оплата за настройку или обязательства по минимальному сроку обслуживания, необходимые для использования AWS Direct Connect?

Оплата за настройку не взимается, и вы можете прекратить работу в любой момент. На услуги, оказываемые партнерами APN, могут распространяться другие условия или ограничения.

Вопрос: Каков принцип оплаты пользования сервисом AWS Direct Connect?

Стоимость AWS Direct Connect включает две отдельные статьи: время пользования портом и передачу данных. Использование портов оплачивается на основе количества часов, в течение которых вы пользуетесь портом каждого типа. Неполные часы использования порта оплачиваются как полные.

Передача данных через AWS Direct Connect включается в счет в том же месяце, в котором была использована. Если вы используете размещенный виртуальный интерфейс, с вас будет взиматься плата только за данные, переданные из этого виртуального интерфейса, рассчитанная по соответствующим тарифам на передачу данных. С аккаунтов, владеющих портом, будет взиматься плата за время пользования портом. Дополнительную информацию о размещаемых виртуальных интерфейсах см. по ссылке.

Информацию о ценах на AWS Direct Connect см. в разделе Цены на AWS Direct Connect. Если вы пользуетесь услугами партнера APN для осуществления подключения Direct Connect, свяжитесь с этой компанией для получения информации о возможных дополнительных расходах.

Вопрос: Будет ли региональная передача данных оплачиваться по ставкам AWS Direct Connect?
Нет, передача данных между зонами доступности в рамках региона оплачивается по стандартным тарифам региона за передачу данных в том же месяце, в котором происходило использование.

Вопрос: От чего зависит время пользования портом, подлежащее оплате?
Время пользования портом оплачивается с момента установки подключения между маршрутизатором AWS и вашим маршрутизатором или по истечении 90 дней с момента заказа порта, в зависимости от того, что наступит раньше. Стоимость пользования портом будет продолжать взиматься каждый раз, когда порт AWS Direct Connect выделяется для вашего использования. Если вы больше не хотите оплачивать порт, выполните процедуру отключения, описанную в ответе на вопрос Каким образом можно отключить сервис AWS Direct Connect?.

Вопрос: Каким образом AWS Direct Connect использует консолидированную оплату?

Использование передачи данных AWS Direct Connect будет суммироваться в главном аккаунте.

Вопрос: Каким образом можно отключить сервис AWS Direct Connect?

Чтобы отключить сервис AWS Direct Connect, необходимо удалить порты в Консоли управления AWS Кроме того, необходимо прекратить использование всех сервисов сторонних компаний. К примеру, нужно будет обратиться к провайдеру колокационных услуг для отключения всех кросс-коннекторов от AWS Direct Connect и/или к поставщику сетевых услуг, который обеспечивает сетевое подключение из вашего удаленного местоположения к местоположению AWS Direct Connect.

Вопрос: Ваши цены указаны с учетом налогов?

Если не указано иначе, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Подробнее.

Вопрос: Какие варианты скорости подключения поддерживаются сервисом AWS Direct Connect?

Предлагаются порты 1 Гбит/с и 10 Гбит/с. Варианты скорости 50 Мбит/с, 100 Мбит/с, 200 Мбит/с, 300 Мбит/с, 400 Мбит/с и 500 Мбит/с можно заказать у любого партнера APN, поддерживающего AWS Direct Connect. Дополнительная информация о партнерах APN, поддерживающих AWS Direct Connect.

Вопрос: Существуют ли ограничения на объем данных, которые можно передать с помощью сервиса AWS Direct Connect?

Нет. Вы можете передавать любой объем данных на скорости, ограниченной выбранной скоростью порта.

Вопрос: Какие технические требования предъявляются к подключению?

AWS Direct Connect поддерживает подключения 1000BASE-LX или 10GBASE-LR по одномодовому волокну с помощью транспортного протокола Ethernet. Ваше устройство должно поддерживать VLAN с 802.1Q. Подробную информацию о технических требованиях см. в Руководстве пользователя AWS Direct Connect.

Вопрос: К каким регионам AWS можно подключаться с помощью данного подключения?

Каждое из местоположений AWS Direct Connect предлагает подключение к ближайшему с географической точки зрения локальному региону AWS. Список местоположений AWS Direct Connect и локальных регионов AWS см. на странице Сведения об AWS Direct Connect. Подключение позволяет осуществлять доступ ко всем сервисам AWS, доступным в данном регионе.

Местоположения Direct Connect в Северной Америке имеют доступ к публичным ресурсам во всех североамериканских регионах с использованием публичного виртуального интерфейса.

Вопрос: К каким зонам доступности можно подключаться с помощью данного подключения?

Каждое местоположение AWS Direct Connect предлагает подключение ко всем зонам доступности в рамках ближайшего географического региона AWS.

Вопрос: Обеспечивается ли избыточность при подключении к AWS Direct Connect?

Каждое подключение состоит из одного выделенного подключения между портами вашего маршрутизатора и маршрутизатора Amazon. Если вам требуется избыточность, рекомендуется установить второе подключение. При запросе нескольких портов в рамках одного местоположения AWS Direct Connect они выделяются на нескольких маршрутизаторах Amazon с обеспечением избыточности.

Вопрос: Пропадет ли связь, если произойдет сбой соединения с AWS Direct Connect?

Если вы установите второе подключение к AWS Direct Connect, трафик автоматически будет перенаправлен на второе подключение. Мы рекомендуем использовать обнаружение двунаправленной передачи (BFD) при конфигурировании подключений, что позволит обеспечить быстрое обнаружение и обработку отказа. Если вместо этого вы настроили резервное VPN-подключение IPsec, при обработке отказа весь трафик VPC автоматически пойдет через VPN-подключение. Трафик, поступающий с публичных ресурсов (например, Amazon S3) или на таковые, будет направлен через Интернет. Если у вас нет резервного подключения AWS Direct Connect или VPN-подключения IPsec, трафик Amazon VPC будет утерян при возникновении сбоя. Трафик, поступающий с публичных ресурсов или на таковые, будет направлен через Интернет.

Вопрос: Можно ли расширить одну из VLAN в облако AWS с помощью AWS Direct Connect?
Нет, VLAN используются в AWS Direct Connect только для разделения трафика между виртуальными интерфейсами.

Вопрос: Предлагает ли AWS Direct Connect Соглашение об уровне обслуживания (SLA)?

В настоящий момент такая возможность отсутствует.

Вопрос: Какие технические требования предъявляются к виртуальным интерфейсам для использования публичных сервисов AWS, например Amazon EC2 и Amazon S3?

Данное подключение требует использования протокола пограничной маршрутизации (BGP) с номерами автономных систем (ASN) и префиксами IP-адресов. Для совершения подключения вам потребуется следующая информация.

  • Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.
  • Новый неиспользованный тег VLAN по вашему выбору.
  • Публичные IP-адреса (/30), выделенные вами для сеанса BGP.

Amazon будет транслировать префиксы публичных IP-адресов для региона через BGP. Клиенты Direct Connect в Северной Америке получат префиксы публичных IP для всех регионов США. Вы должны транслировать префиксы принадлежащих вам публичных IP-адресов (/30 или меньше) через BGP. Для получения дополнительной информации ознакомьтесь с Руководством пользователя AWS Direct Connect.

Вопрос: Что такое номер автономной системы (ASN) и нужен ли он для использования AWS Direct Connect?

Номера автономных систем (ASN) используются для идентификации сетей, представляющих четко заданную политику внешней маршрутизации в Интернете. Номер ASN необходим AWS Direct Connect для создания публичного или частного виртуального интерфейса. Можно использовать принадлежащий вам публичный ASN или выбрать частный ASN в диапазоне от 64512 до 65535.

Вопрос: Какие IP-адреса будут присвоены конечным точкам виртуального интерфейса?

При настройке виртуального интерфейса для публичного облака AWS IP-адреса для обеих конечных точек подключения должны быть выделены из принадлежащего вам пространства публичных IP-адресов. Если вы настраиваете виртуальный интерфейс для VPC и хотите, чтобы AWS автоматически сгенерировал IP-адреса или CIDR-адреса для одноранговых узлов, пространство IP-адресов для обеих конечных точек подключения будет выделено AWS в диапазоне 169.254.0.0/16.

Вопрос: Можно ли подключаться к Интернету с помощью данного подключения?

Нет.

Вопрос: Можно ли обмениваться трафиком между двумя портами при наличии нескольких подключенных виртуальных интерфейсов?

Нельзя, если речь идет о публичных виртуальных интерфейсах Direct Connect; однако возможен обмен трафиком между двумя портами, если они находятся в одном регионе и подключены к одному виртуальному частному шлюзу (VGW).

Вопрос: Можно ли располагать аппаратное обеспечение рядом с оборудованием, отвечающим за работу AWS Direct Connect?

Вы можете приобрести пространство на стойках объекта, где находится местоположение AWS Direct Connect, и выполнить развертывание своего оборудования в непосредственной близости. Тем не менее по соображениям безопасности клиентское оборудование нельзя размещать в стойках или отсеках, используемых для оборудования AWS Direct Connect. Для получения дополнительной информации свяжитесь с партнером APN по конкретному объекту. После развертывания вы можете подключить свое оборудование к AWS Direct Connect с помощью кросс-коннектора.

Вопрос: Как активировать BFD для соединения Direct Connect?

Асинхронный режим BFD по умолчанию активирован для каждого виртуального интерфейса Direct Connect, но сессия устанавливается только после выполнения соответствующих настроек маршрутизатора. В настройках AWS минимальный интервал обнаружения пакетов BFD составляет 300 мс, а множитель интервалов равен 3.

Вопрос: Как можно настроить Direct Connect в регионе AWS GovCloud (США)?

Подробные инструкции по настройке подключения Direct Connect в регионе AWS GovCloud (США) см. в Руководстве пользователя AWS GovCloud (США).

Вопрос: Что это за возможность?

Группа агрегирования каналов (LAG) – это возможность для пользователей заказывать несколько портов Direct Connect, объединенных в один более крупный логический канал, и управлять этими портами как единым подключением, а не как отдельными небольшими подключениями.

Вопрос: Какое максимальное количество подключений может быть в группе LAG?

Максимальное количество подключений в группе LAG равно четырем.

Вопрос: Как выглядит договор LOA?

Пользователь получает LOA как один документ, в котором каждому соединению посвящена отдельная страница.

Вопрос: Как организована работа групп агрегирования каналов (LAG)?

Используется стандартный для отрасли протокол управления агрегированием каналов (LACP).

Вопрос: В каком варианте в группах LAG используется протокол LACP: в статическом или в динамическом?

Мы настраиваем подключения на использование динамических пакетов LACP. Статические пакеты LACP не поддерживаются.

Вопрос: Какой в этом случае используется режим: «активный/активный» или «активный/пассивный»?

Используется режим «активный/активный». Это означает, что порты AWS будут постоянно посылать блоки данных протокола управления агрегированием каналов (LACPDU).

Вопрос: Может ли измениться наибольший размер передаваемых данных (MTU)?
MTU не меняется.

Вопрос: Можно ли настроить конфигурацию портов на режим «активный/пассивный» вместо «активный/активный»?

На стороне пользователя LAG можно настроить в конфигурацию активного или пассивного режима, но на стороне AWS протокол LACP всегда настроен в активном режиме.

Вопрос: Можно ли смешивать типы интерфейсов и иметь в одной группе портов несколько 1-гигабитных и несколько 10-гигабитных портов?

В группах поддерживаются только подобные типы интерфейсов (то есть смешивать в одной группе 1-гигабитные и 10-гигабитные порты нельзя).

Вопрос: Для портов какого типа будет доступно использование групп агрегирования?

Эта возможность доступна для 1-гигабитных и 10-гигабитных портов.

Вопрос: Можно ли объединять в группы LAG размещенные подключения?

Объединение в группы LAG будет доступно только для выделенных 1-гигабитных и 10-гигабитных подключений. Оно не будет доступно для подключений, размещенных на NNI-портах партнеров.

Вопрос: Можно ли создать группу LAG из своих существующих портов?

Да, если эти порты расположены на одном коммутационном устройстве. Имейте в виду, что на время изменения конфигурации на группу LAG эти порты на короткое время отключатся. Возобновление работы портов произойдет лишь после того, как на вашей стороне они также будут сконфигурированы как группа LAG.

Вопрос: Может ли группа LAG объединять несколько маршрутизаторов AWS?

Группа LAG может включать порты только одного устройства AWS. Группы LAG из портов на разных коммутационных устройствах не поддерживаются.

Вопрос: Как добавить канал к группе LAG после того, как она уже создана?

Вы можете запросить еще один порт для группы LAG, но если на том же устройстве не окажется доступных портов, вам придется заказать новую группу LAG и выполнить миграцию своих подключений. Например, у вас есть три 1-гигабитных соединения и вы хотите добавить четвертое, но на том же коммутационном устройстве нет доступного порта. Для решения проблемы вам потребуется заказать новую группу LAG, состоящую из четырех 1-гигабитных портов.

Вопрос: Что будет представлять собой новый договор LOA, если заказано добавление в группу LAG дополнительного соединения?

В таких случаях клиент получает отдельный документ LOA для каждого нового канала в группе LAG.  

Вопрос: Предположим, доступных портов нет и мне приходится заказывать новую группу LAG. Но у меня уже настроены виртуальные интерфейсы. Как перенести их?

К виртуальному частному шлюзу (VGW) можно подключить несколько виртуальных интерфейсов, при этом настраивать виртуальные интерфейсы для подключения можно даже при отсутствии подключения. В описанной ситуации рекомендуется создать новые виртуальные интерфейсы для новой группы каналов, а затем, когда все виртуальные интерфейсы созданы, переместить подключения на новую группу. Не забудьте удалить старые подключения, чтобы за них больше не начислялась плата.

Вопрос: Можно ли удалить один порт из группы LAG?

Да, но только в том случае, если количество портов в группе не окажется при этом меньше установленного минимального количества каналов. Например, если у вас имеется 4 порта и минимальное количество каналов равно четырем, вы не сможете удалить порт из группы. Если минимальное количество каналов равно трем, удалить один порт из группы можно. После удаления мы выдадим уведомление об удалении с указанием конкретного порта и панели, и также напоминание о том, что следует отключить кросс-коннектор и линию связи с Amazon.

Вопрос: Можно ли удалить сразу всю группу LAG?

Да, но если с этой группой связаны настроенные виртуальные интерфейсы, удалить ее будет невозможно (как и обычное соединение в аналогичной ситуации).

Вопрос: Можно ли удалить один порт, если в группе LAG всего два порта?

Да, в группе LAG может быть один порт.

Вопрос: Можно ли заказать группу LAG из одного порта?

Да, можно. Но имейте в виду, что мы не гарантируем наличие дополнительных портов на том же
устройстве, если в будущем вы захотите добавить дополнительные порты.

Вопрос: Можно ли группу портов превратить обратно в независимые порты?
Да. Это можно сделать вызовом API DisassociateConnectionWithLag. См. раздел API.

Вопрос: Не могли бы вы создать инструмент для удобного перемещения виртуальных интерфейсов?

Вы можете выполнить операцию перемещения с помощью вызова API AssociateVirtualInterface или в консоли сервиса.

Вопрос: Как будет отображаться группа LAG, в виде отдельного подключения или набора подключений?

Группа будет отображаться как одно подключение dxlag, под которым будет приведен список идентификаторов подключений.

Вопрос: Что такое минимальное количество каналов (Min Links) и почему при заказе группы делается запрос на установку этого параметра?

Минимальное количество каналов – это специальная возможность протокола LACP. Вы можете установить в группе минимальное количество каналов, которые должны быть активны, чтобы группа была активной и пропускала трафик. Например, если у вас есть 4 порта, минимальное количество каналов установлено в значение 3, но только 2 порта активны, то группа портов не будет активна. Если активных портов будет 3 или более, группа окажется активной и будет пропускать трафик, если имеется настроенный виртуальный интерфейс (VIF).

Вопрос: Что произойдет, если я не укажу при настройке значение Min Links?

В таких случаях минимальное количество каналов (Min Links) устанавливается как 0 (значение по умолчанию).

Вопрос: Можно ли изменить минимальное количество каналов после того, как группа портов настроена?

Да. Минимальное количество каналов можно изменить после того, как группа настроена, с помощью консоли либо вызова API.

Вопрос: Если связать существующее подключение Direct Connect с группой LAG, что произойдет с существующими виртуальными интерфейсами, уже созданными для подключения Direct Connect?

Когда подключение Direct Connect с существующими виртуальными интерфейсами (VIF) связывается с группой LAG, виртуальные интерфейсы переносятся в группу LAG.Обратите внимание, что для переноса виртуальных интерфейсов (VIF) в группы LAG некоторые параметры, связанные с VIF, должны быть уникальны, подобно номерам сетей VLAN.

Вопрос: Если имеется несколько групп LAG, можно ли продолжать использовать обнаружение двунаправленной передачи (BFD) для уменьшения времени переключения на другой путь при отказе?

BFD по-прежнему будет поддерживаться.

Вопрос: Можно ли установить приоритет определенного канала?

Все каналы подключения считаются равноправными, поэтому сделать какое-либо конкретное подключение приоритетным нельзя.

Вопрос: Способствует ли наличие группы LAG повышению отказоустойчивости подключения?

Группа LAG позволяет защититься от отказов отдельных каналов подключения между вашим ЦОД и AWS. Она не обеспечивает защиты от отказа отдельных устройств в AWS.

Вопрос: Можно ли подключить виртуальные интерфейсы двух различных групп LAG к одному и тому же виртуальному частному шлюзу (VGW)?

Да. Это будет работать так же, как при создании виртуальных интерфейсов на отдельных портах.

Вопрос: Могу ли я подключить интерфейс Ethernet 40 Gigabit на своей стороне к четырем портам Ethernet 10 Gigabit на стороне AWS?

Для подключения к AWS вам потребуется 4 интерфейса Ethernet 10 Gigabit на вашем маршрутизаторе. Подключение одного 40-гигабитного интерфейса Ethernet к четырем 10-гигабитным портам Ethernet LACP не поддерживается.

Вопрос: Взимается ли дополнительная плата за группу LAG?
За использование групп LAG дополнительная плата не взимается.

Вопрос: Можно ли использовать IPv4 и IPv6 в рамках одного и того же виртуального интерфейса (VIF)?

AWS Direct Connect поддерживает для частных и публичных виртуальных интерфейсов конфигурации как с одним, так и с двумя стеками. Можно добавить пиринговую сессию IPv6 к существующему VIF с пиринговой сессией IPv4 (или наоборот). Кроме того, можно создать два независимых VIF: один для IPv4, другой для IPv6.

Вопрос: Может ли Amazon выделить для меня диапазон публичных адресов IPv6, если потребуется?

Да. Адресация для частных и публичных VIF предоставляется по умолчанию с использованием маски сети /125.

Вопрос: Какой IP-адрес выделит Amazon частному VIF, если выбрать в консоли «assign an IP»?

Для частных VIF с использованием IPv4 Amazon выделит диапазон CIDR /30. Для частных VIF с использованием IPv6 Amazon выделит диапазон CIDR /125.

Вопрос: Нужно ли будет по-прежнему запускать BGP в своих VIF?

Да. Как частные, так и публичные подключения Direct Connect требуют нативных пиринговых подключений с использованием IPv4 или IPv6. Мультипротоколы BGP в настоящий момент не поддерживаются.

Вопрос: Изменились ли требования к назначению VLAN?

Нет. Функциональные требования уровня 2 остаются неизменными как для IPv4, так и для IPv6.

Вопрос: Можно ли будет продолжать использование режима BFD для быстрой обработки отказа BGP?

Да. Режим BFD поддерживается для пиринговых подключений BGP с использованием IPv6.

Вопрос: Изменится ли длина блоков CIDR, которые можно транслировать в AWS?

Да, для IPv6 мы будем ограничивать длину блоков CIDR для трансляции в AWS посредством публичных виртуальных интерфейсов Direct Connect до /64 (или менее). Для IPv4 лимит использования префиксов останется прежним.

Вопрос: Какие маршруты будет анонсировать AWS пользователю через публичный VIF?

Все публичные маршруты.

Вопрос: Будет ли поддерживаться многоадресная или адресная рассылка через VIF, использующие IPv6?

В Direct Connect не будет поддерживаться многоадресная или адресная рассылка.

Вопрос: Какие маршруты я получу от AWS через публичный VIF?

Публичное подключение AWS Direct Connect будет транслировать префиксы IPv6 и все сервисы с поддержкой IPv6.

Вопрос: Можно ли создать размещенный виртуальный интерфейс для некой сущности с поддержкой IPv6?

Да, можно.

Вопрос: Будет ли это каким-то образом влиять на партнерские политики используемых ею портов NNI?

Не будет.

Вопрос: Продолжит ли работу CloudHub моего виртуального частного шлюза (и будет ли это влиять на VPN)?

Он будет работать лишь для трафика с одинаковыми характеристиками. К примеру, нельзя будет отправить трафик v4 через интерфейс v6. Преобразование IPv4 в IPv6 и наоборот не поддерживается.

Вопрос: Какие технические требования предъявляются к виртуальным интерфейсам для VPC?

Данное подключение требует использования протокола пограничной маршрутизации (BGP). Для совершения подключения вам потребуется следующая информация.

  • Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.
  • Новый неиспользованный тег VLAN по вашему выбору.
  • ID виртуального частного шлюза (VGW) VPC

AWS выделит частные IP-адреса (/30) в диапазоне 169.x.x.x для сеанса BGP и будет транслировать блок бесклассовой адресации VPC через BGP. Вы можете транслировать маршрут по умолчанию через BGP.

Вопрос: В чем отличие AWS Direct Connect от VPN-подключения IPSec?

VPN-подключение использует IPSec для установления шифрованного сетевого подключения между интранетом пользователя и Amazon VPC через Интернет. VPN-подключения конфигурируются в течение нескольких минут и являются отличным решением, если у вас есть срочные потребности, низкие или умеренные требования к пропускной способности, а также если вас не беспокоит естественная изменчивость скорости интернет-подключения. Сервис AWS Direct Connect не использует интернет-подключение – вместо него используются выделенные частные сетевые подключения между интранетом пользователя и Amazon VPC.

Вопрос: Можно ли одновременно использовать AWS Direct Connect и VPN-подключение к одному и тому же VPC?

Да. Но только в сценариях обработки отказов. Подключение Direct Connect будет всегда приоритетным, вне зависимости от добавляемого пути автономной системы.

Вопрос: Можно ли устанавливать соединение между VPC и сетью пользователя на уровне 2?

Нет, соединения на уровне 2 не поддерживаются.

 

Вопрос: Что такое шлюз Direct Connect?

Шлюз Direct Connect – это объединение шлюзов виртуальной частной сети (VGW) и частных виртуальных интерфейсов (VIF), относящихся к одному аккаунту AWS.

Вопрос: Для чего нужен шлюз Direct Connect?

Он выполняет две основные функции.  Во-первых, шлюз Direct Connect позволяет взаимодействовать с облаками VPC в любом регионе AWS (кроме региона AWS Китай), что позволяет использовать соединения AWS Direct Connect для взаимодействия с несколькими регионами AWS.

Во-вторых, можно использовать частный виртуальный интерфейс для взаимодействия сразу с несколькими Virtual Private Cloud (VPC), что позволяет сократить количество BGP-сессий между локальной сетью и развертываниями AWS.

Вопрос: Взимается ли дополнительная плата при использовании шлюза Direct Connect в работе с удаленными регионами?

При таком подключении взимается плата за исходящие данные и почасовая плата за использование портов по тарифам AWS Direct Connect.

Вопрос: Должны ли частные виртуальные интерфейсы, шлюз Direct Connect и VGW быть в одном аккаунте, чтобы можно было пользоваться всеми функциональными возможностями шлюза Direct Connect?

Да. Чтобы использовать все функциональные возможности шлюза Direct Connect, частный виртуальный интерфейс, шлюз Direct Connect и VGW (связанный с VPC) должны быть в одном аккаунте.

Вопрос: Можно ли будет продолжать пользоваться всеми возможностями VPC, если я свяжу VGW (связанный с VPC) со шлюзом Direct Connect?

Да. Такие сетевые функции, как Elastic File System, Elastic Load Balancer, Application Load Balancer, группы безопасности и список контроля доступа, будут продолжать работать со шлюзом Direct Connect.

Шлюз Direct Connect не поддерживает функциональные возможности CloudHub, но если используется VPN-подключение AWS Classic или VPN-подключение AWS к VGW, который связан со шлюзом Direct Connect, можно использовать VPN-подключение для обработки отказа.

Возможности, которые в настоящее время не поддерживаются Direct Connect, VPN AWS Classic или VPN AWS, например полная маршрутизация, одноранговое подключение VPC и конечная точка VPC, не будут поддерживаться и шлюзом Direct Connect.

Вопрос: Я работаю с одним из партнеров AWS Direct Connect, чтобы получить частный виртуальный интерфейс для своего аккаунта. Можно ли мне использовать шлюз Direct Connect?

Да. Вы можете связать выделенный частный виртуальный интерфейс со шлюзом Direct Connect, когда подтвердите выделенный частный виртуальный интерфейс в своем аккаунте AWS.

Вопрос: Что делать, если я просто хочу подключиться к VPC в своем локальном регионе?

Можно продолжать пользоваться существующей возможностью подключения VIF к VGW, при этом по-прежнему будет обеспечиваться подключение к VPC внутри региона, а также взиматься плата за исходящий трафик на основе географических регионов.

Вопрос: Каковы ограничения при использовании шлюза Direct Connect?

Чтобы узнать об ограничениях, связанных с возможностями шлюза Direct Connect, см. раздел Лимиты AWS Direct Connect.

Вопрос: Может ли VGW (связанный с VPC) входить в состав нескольких шлюзов Direct Connect?

Нет. Пара VGW-VPC не может входить в состав нескольких шлюзов Direct Connect.

Вопрос: Можно ли подключить частный виртуальный интерфейс к нескольким шлюзам Direct Connect?

Нет. Один частный виртуальный интерфейс можно подключить только к одному шлюзу Direct Connect ИЛИ к одному VGW.

Вопрос: Можно ли связать несколько VGW (каждый из которых связан с VPC) со шлюзом Direct Connect?

Да. Это разрешено делать до тех пор, пока блоки IP-адресов CIDR облака VPC, связанного с VGW, не начнут перекрываться.

Вопрос: Как подключиться к удаленному VPC?

После того как частный VIF был связан со шлюзом Direct Connect, можно настроить BGP так же, как и при использовании обычного частного виртуального интерфейса.  Для каждого VGW, который будет связан со шлюзом Direct Connect, будет передан BGP-анонс, касающийся дополнительных диапазонов CIDR.

Вопрос: Нарушает ли шлюз Direct Connect существующие функциональные возможности CloudHub для клиентов?

Нет. Шлюз Direct Connect не нарушает существующие возможности CloudHub для клиентов.  Шлюз Direct Connect позволяет обеспечить соединение между локальными сетями и VPC в ЛЮБОМ регионе AWS.  CloudHub позволяет обеспечить соединение с локальными сетями, используя Direct Connect или VPN в том же регионе, в котором VIF напрямую связан с VGW.  Существующие функциональные возможности CloudHub будут поддерживаться по-прежнему.

Вопрос: Какие типы трафика поддерживаются шлюзом Direct Connect и какие не поддерживаются?

Сведения о типах трафика, которые поддерживаются и не поддерживаются, см. в Руководстве пользователя AWS Direct Connect.

Вопрос: Будет ли продолжена поддержка возможности использования CloudHub внутри региона?

Да. Клиенты по-прежнему смогут подключать VIF Direct Connect напрямую к VGW для поддержки CloudHub.

Вопрос: В настоящее время у меня есть VPN в регионе us-east-1, подключенная к VGW.  Я хочу включить CloudHub в us-east-1 между этой VPN и новым VIF.  Можно ли сделать это с помощью шлюза Direct Connect?

Нет. С помощью шлюза Direct Connect это сделать нельзя, но существует возможность подключить VIF непосредственно к VGW, что позволит реализовать пример использования VPN <-> Direct Connect CloudHub.

Вопрос: У меня настроен частный виртуальный интерфейс, связанный с VGW. Можно ли связать такой частный виртуальный интерфейс со шлюзом Direct Connect?

Нет. Существующий частный виртуальный интерфейс, связанный с VGW, нельзя связать со шлюзом Direct Connect.  Создайте новый частный виртуальный интерфейс и в процессе создания свяжите его со своим шлюзом Direct Connect.

Вопрос: Исключает ли шлюз Direct Connect возможность использования функциональных возможностей CloudHub?

Нет.  Ранее созданный CloudHub можно продолжать использовать.

Вопрос: Можно ли создать новый CloudHub между VPN-подключением и VIF Direct Connect?

Да. Можно создать новый CloudHub между VPN и VIF Direct Connect, используя подключение к VGW вместо подключения к шлюзу Direct Connect.

Вопрос: Если у меня есть VGW, подключенный к VPN, и шлюз Direct Connect, в случае отказа канала связи Direct Connect будет ли трафик облака VPC маршрутизироваться через VPN?

Да. Это будет происходить, если в таблице маршрутизации VPC прописаны маршруты к VGW в направлении VPN.

Вопрос: Можно ли подключить VGW, который не подключен к VPC, к шлюзу Direct Connect?

Нет. Со шлюзом Direct Connect нельзя связать неподключенный VGW.

Вопрос: Я создал шлюз Direct Connect с одним частным виртуальным интерфейсом Direct Connect и тремя неперекрывающимися VGW (каждый из которых связан с VPC). Что произойдет, если я отсоединю один из VGW от VPC?

Передача трафика из локальной сети к отсоединенному VPC остановится, а связь VGW со шлюзом Direct Connect будет удалена.

Вопрос: Я создал шлюз Direct Connect с одним VIF Direct Connect и тремя неперекрывающимися парами VGW-VPC. Что произойдет, если я отсоединю один из VGW от шлюза Direct Connect?

Передача трафика из вашей локальной сети к отсоединенному VGW (связанному с VPC) остановится.

Вопрос: Можно ли направить трафик из одного VPC, связанного со шлюзом Direct Connect, в другое VPC, связанного с тем же шлюзом Direct Connect?

Нет. Шлюз Direct Connect поддерживает только маршрутизацию трафика из VIF Direct Connect в VGW (связанного с VPC).  Чтобы передавать трафик между двумя VPC, необходимо настроить одноранговое соединение VPC по существующей стандартной схеме.

Вопрос: В настоящее время у меня есть VPN в регионе us-east-1, подключенная к VGW.  Если я свяжу этот VGW со шлюзом Direct Connect, можно ли будет направить трафик из этой VPN в VIF, подключенный к шлюзу Direct Connect в другом регионе?

Нет. Шлюз Direct Connect не будет маршрутизировать трафик между VPN и VIF Direct Connect.  Чтобы такой пример использования стал возможен, необходимо создать VPN в регионе VIF и подключить VIF и VPN к одному и тому же VGW.

Вопрос: Как отсоединить пару VGW-VPC от шлюза Direct Connect?

Отсоединить пару VGW-VPC от шлюза Direct Connect можно с помощью Консоли AWS или API.

Вопрос: Предоставляется ли SLA для шлюза Direct Connect?

Нет. В настоящее время SLA для шлюза Direct Connect не предоставляется.



Вопрос: Что это за возможность?

Настраиваемый частный номер автономной системы (ASN).  Эта возможность позволяет клиентам настраивать ASN на стороне Amazon при установлении BGP-сессии для частных VIF на любом новом шлюзе Direct Connect.

Вопрос: Где доступны эти возможности?

Во всех коммерческих регионах AWS (кроме региона AWS Китай) и регионе GovCloud (США).

Вопрос: Как можно настроить/назначить свой ASN для транслирования в качестве ASN на стороне Amazon?

Настроить/назначить выбранный ASN для транслирования в качестве ASN на стороне Amazon можно в процессе создания нового шлюза Direct Connect.  Шлюз Direct Connect можно создать с помощью консоли AWS Direct Connect или вызова API CreateDirectConnectGateway.

Вопрос: Можно использовать любой ASN, как публичный, так и частный?
На стороне Amazon можно назначить любой частный номер ASN.  Назначить другой публичный ASN нельзя.

Вопрос: Почему нельзя назначить публичный ASN BGP-сессии на стороне Amazon?

Amazon не занимается проверкой прав владения ASN, поэтому мы ограничиваем возможность выбора ASN на стороне Amazon частными ASN.  Мы хотим защитить клиентов от подделки BGP-подключений.

Вопрос: Какой ASN можно выбрать?

Выбрать можно любой частный ASN.  Диапазон 16-разрядных частных ASN: 64512–65534.  Кроме того, можно использовать 32-разрядные ASN: 4200000000–4294967294.

Вопрос: Что произойдет, если я попытаюсь назначить публичный ASN BGP-сессии на стороне Amazon?

Мы попросим вас повторно ввести частный ASN при попытке создания шлюза Direct Connect.

Вопрос: Если я не укажу ASN BGP-сессии на стороне Amazon, какой ASN назначит Amazon?

Amazon предоставляет для шлюза Direct Connect ASN 64512, если вы не выберете другое значение самостоятельно.

Вопрос: Где можно посмотреть ASN на стороне Amazon?

ASN на стороне Amazon можно посмотреть в консоли AWS Direct Connect, в ответе API DescribeDirectConnectGateways или с помощью API DescribeVirtualInterfaces.

Вопрос: Если у меня есть публичный ASN, будет ли он работать с частным ASN на стороне AWS?

Да. Для BGP-сессии можно настроить использование частного ASN на стороне Amazon и публичного ASN на стороне клиента.

Вопрос: У меня есть настроенные частные VIF. При этом на существующем VIF требуется назначить другой ASN BGP-сессии на стороне Amazon.  Как внести изменение?

Необходимо создать новый шлюз Direct Connect с выбранным ASN и создать новый VIF с помощью только что созданного шлюза Direct Connect.  Кроме того, потребуется соответствующим образом изменить конфигурацию устройства.

Вопрос: Я подключаю несколько частных VIF к одному шлюзу Direct Connect.  Можно ли для каждого VIF использовать отдельный ASN на стороне Amazon?

Нет. Назначить или настроить отдельный ASN на стороне Amazon можно для каждого шлюза Direct Connect, но не для каждого VIF.  ASN на стороне Amazon для VIF наследуется от ASN на стороне Amazon соответствующего шлюза Direct Connect.

Вопрос: Можно ли использовать разные частные ASN для шлюза Direct Connect и шлюза виртуальной частной сети?

Да. Для шлюза Direct Connect и шлюза виртуальной частной сети можно использовать разные частные ASN.  Обратите внимание на то, что ASN на стороне Amazon, который вы получите, зависит от связи с частным виртуальным интерфейсом.

Вопрос: Можно ли использовать одинаковые частные ASN для шлюза Direct Connect и шлюза виртуальной частной сети?

Да. Для шлюза Direct Connect и шлюза виртуальной частной сети можно использовать одинаковые частные ASN.  Обратите внимание на то, что ASN на стороне Amazon, который вы получите, зависит от связи с частным виртуальным интерфейсом.

Вопрос: Я подключаю несколько шлюзов виртуальной частной сети с собственными частными ASN к одному шлюзу Direct Connect с собственным частным ASN.  Какой частный ASN будет иметь приоритет: VGW или шлюза Direct Connect?

Во время BGP-сессий между вашей сетью и AWS в качестве ASN на стороне Amazon будет использоваться частный ASN шлюза Direct Connect.

Вопрос: Где можно выбрать свой частный ASN?

При создании шлюза Direct Connect в консоли шлюза AWS Direct Connect.  После настройки шлюза Direct Connect с помощью ASN на стороне Amazon частные виртуальные интерфейсы, связанные со шлюзом Direct Connect, будут использовать настроенный вами ASN в качестве ASN на стороне Amazon.

Вопрос: Я сейчас использую CloudHub.  Потребуется ли в дальнейшем менять его настройки?

Вносить какие-либо изменения не понадобится.

Вопрос: Я хочу выбрать 32-разрядный ASN.  Какой диапазон у 32-разрядных частных ASN?

Поддерживаются 32-разрядные ASN с 4200000000 по 4294967294.

Вопрос: Можно ли изменить ASN на стороне Amazon после создания шлюза Direct Connect?

Нет. Изменить ASN на стороне Amazon после создания VGW невозможно.  Можно удалить шлюз Direct Connect и повторно создать новый шлюз Direct Connect с нужным частным ASN.

 

Вопрос: Какие префиксы IP-адресов будут получены через BGP при создании виртуального интерфейса для работы с сервисами AWS с использованием пространства публичных IP-адресов?

Вам будут предоставлены все префиксы IP-адресов Amazon для региона, к которому выполняется подключение, из поддерживаемых регионов AWS, а также доступные внутрисетевые префиксы из других нерегиональных точек присутствия (PoP) AWS, таких как CloudFront. Дополнительные сведения см. по ссылке.  В это число входят префиксы, необходимые для доступа к сервисам AWS; сюда также могут входить префиксы для других дочерних сервисов Amazon, включая расположенные по адресу www.amazon.com.  Текущий перечень префиксов, транслируемых AWS, можно загрузить в виде списка диапазона IP-адресов AWS в формате JSON.

Если клиенты используют AWS Direct Connect, трафик клиентов остается в глобальной магистральной сети AWS, после того как попадает в нее.  Поэтому префиксы сервисов, таких как Route 53, или определенные местоположения CloudFront, которые находятся за пределами магистральной сети Amazon, не будут транслироваться через Direct Connect. 

Для только что созданного публичного VIF клиенты Direct Connect получат все публичные префиксы IP-адресов Amazon в поддерживаемых регионах AWS и доступные внутрисетевые префиксы из других нерегиональных точек присутствия (POP) AWS, таких как CloudFront.  Для всего трафика, передаваемого через подключение AWS Direct Connect, действуют стандартные тарифы на исходящую передачу данных AWS Direct Connect.  Дополнительную информацию о политике маршрутизации публичных виртуальных интерфейсов можно найти на форуме сообщества AWS Direct Connect.

Вопрос: Какие префиксы IP-адресов необходимо транслировать через BGP для виртуальных интерфейсов для работы с публичными сервисами AWS?

Через BGP необходимо транслировать соответствующие префиксы принадлежащих вам публичных IP-адресов.  Трафик сервисов AWS, направленный на эти префиксы, будет маршрутизироваться через подключение AWS Direct Connect.

Вопрос: У меня есть существующий публичный виртуальный интерфейс. Можно ли начать получать глобальные IP-префиксы Amazon на мой существующий публичный виртуальный интерфейс?

Нет. Для получения глобальных IP-префиксов Amazon необходимо будет создать новый публичный виртуальный интерфейс.

Вопрос: Я собираюсь создать новый публичный виртуальный интерфейс. Мне нужно сделать какие-то определенные действия, чтобы получать публичные IP-префиксы Amazon?

Нет. Вы и так будете получать глобальные IP-префиксы Amazon.

Вопрос: Будет ли эта новая возможность влиять на существующие публичные виртуальные интерфейсы?

Нет. Существующие публичные виртуальные интерфейсы не будут затронуты.

Вопрос: Сколько префиксов будут транслироваться на только что созданный публичный виртуальный интерфейс?

На интерфейс будет передано примерно 2000 префиксов, в дальнейшем это количество будет расти.

Вопрос: Мне не нужны глобальные публичные IP-префиксы. Можно ли отказаться от их получения?

Да. Отказаться можно с помощью ограничения списка сообществ.  Подробнее об ограничениях списка сообществ, поддерживаемых AWS Direct Connect, см. по ссылке.

Вопрос: Я хочу перенести существующий публичный виртуальный интерфейс, чтобы получать глобальные префиксы. Как выполнить перенос?

Есть два варианта переноса.  Можно создать новый публичный виртуальный интерфейс, перенести трафик из существующего публичного виртуального интерфейса на только что созданный публичный виртуальный интерфейс, после чего удалить старый публичный виртуальный интерфейс.  Как вариант, можно создать заявку в службе поддержки, чтобы запросить изменение настроек для существующего публичного виртуального интерфейса. При этом в процессе изменения настроек будет наблюдаться нестабильная работа BGP.

 

Вопрос: Можно ли запускать в рамках одного VPN-тоннеля сессии BGP v4 и v6?

В настоящий момент мы поддерживаем только запуск сессий BGP v4 в рамках VPN-тоннеля с адресом IPv4. В будущем планируется реализовать поддержку сессий BGP v6 в рамках VPN-тоннеля с адресом конечной точки IPv4.

Вопрос: Изменится ли настройка/конфигурация BGP для использования в системах DX?

В системах DX будет работать тот же VPN BGP.

Вопрос: Можно ли использовать адрес IPv6 в качестве конечной точки тоннеля?

В настоящий момент мы поддерживаем только адреса IPv4 для конечных точек VPN. В будущем поддержка адресов IPv6 для конечных точек VPN будет реализована.

Вопрос: Можно ли использовать адрес IPv4 в качестве конечной точки тоннеля и запускать в нем сессии BGP IPv6?

В настоящий момент мы поддерживаем только запуск сессий BGP v4 в рамках VPN-тоннеля с адресом IPv4. В будущем планируется реализовать поддержку сессий BGP v6 в рамках VPN-тоннеля с адресом конечной точки IPv4.