Общие вопросы

Вопрос. Что такое AWS Direct Connect?

AWS Direct Connect – это сетевой сервис, который предоставляет альтернативу Интернету при подключении к AWS. Благодаря AWS Direct Connect данные, которые раньше передавались через Интернет, теперь могут доставляться через частное сетевое подключение, установленное между вашей сетью и AWS. Во многих случаях частные сетевые подключения позволяют снизить затраты, повысить пропускную способность и обеспечить более стабильную работу сети по сравнению с подключением через Интернет. С AWS Direct Connect можно использовать все сервисы AWS, включая Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) и Amazon DynamoDB.

Вопрос. В каких регионах доступен сервис AWS Direct Connect?

Полный список местоположений AWS Direct Connect доступен на странице местоположений AWS Direct Connect. Используя шлюз AWS Direct Connect, можно подключиться из своего местоположения к облакам VPC, развернутым в любых зонах доступности любых регионов AWS. Также можно подключиться к AWS Local Zones.

Вопрос. Какова разница между выделенными и размещенными подключениями?

Выделенные подключения устанавливаются с использованием портов Ethernet 1 Гбит/с, 10 Гбит/с или 100 Гбит/с, выделенных для отдельного клиента. Размещенные подключения исходят от партнера AWS Direct Connect, у которого есть сетевое подключение к AWS. 

Вопрос. Как начать работу с AWS Direct Connect?

Используйте вкладку AWS Direct Connect в Консоли управления AWS, чтобы создать новое подключение. При запросе подключения можно будет выбрать предпочтительное местоположение AWS Direct Connect, количество портов подключения и их скорость. Кроме того, если требуется помощь в расширении офисной сети или сети ЦОД до ближайшего местоположения AWS Direct Connect, можно обратиться к партнеру по Direct Connect.

Вопрос. Можно ли использовать AWS Direct Connect, если сеть клиента не присутствует в местоположении AWS Direct Connect?

Да. Партнеры по AWS Direct Connect помогут в расширении существующих ЦОД или офисных сетей клиентов для подключения к местоположению AWS Direct Connect. Подробнее см. в разделе Партнеры по AWS Direct Connect. С помощью шлюза AWS Direct Connect можно получить доступ к любому региону AWS Region из любого местоположения AWS Direct Connect (кроме Китая).

Вопрос. Выступает ли AWS в качестве поставщика «первой мили» или «последней мили» доставки для подключения локальных местоположений к AWS?

Нет, для подключения к местоположениям AWS Direct Connect необходимо создать подключения между локальными поставщиками услуг, используемыми в локальных местоположениях, или работать с партнером по доставке AWS Direct Connect.

Вопрос. Как запросить кросс-подключение в местоположении AWS Direct Connect?

После загрузки доверенности на распределение ресурсов соединения (LOA-CFA) необходимо установить кросс-подключение. Если у вас уже есть оборудование, расположенное в местоположении AWS Direct Connect, обратитесь к соответствующему поставщику для установки кросс-подключения. Специфические инструкции по каждому провайдеру и цены на кросс-подключение приведены в документации AWS Direct Connect: запрос на кросс-подключение в местоположениях AWS Direct Connect.

Определения

Вопрос. Что такое шлюз AWS Direct Connect?

Шлюз AWS Direct Connect – это совокупность шлюзов виртуальной частной сети (VGW) и частных виртуальных интерфейсов (VIF). Шлюз AWS Direct Connect – это глобально доступный ресурс. Вы можете создать шлюз AWS Direct Connect в любом регионе и пользоваться им из других регионов. 

Вопрос. Что такое виртуальный интерфейс (VIF)?

Виртуальный интерфейс (VIF) нужен для доступа к сервисам AWS и может быть публичным или частным. Публичный виртуальный интерфейс обеспечивает доступ к таким публичным сервисам, как Amazon S3. Частный виртуальный интерфейс обеспечивает доступ к VPC. Подробнее см. в разделе Виртуальные интерфейсы AWS Direct Connect.

Вопрос. Что такое шлюз виртуальной частной сети (VGW)?

Шлюз виртуальной частной сети (VGW) – это часть VPC, которая обеспечивает маршрутизацию периферийных местоположений для подключений VPN и подключений AWS Direct Connect, которыми управляют сервисы AWS. Вы связываете шлюз AWS Direct Connect с виртуальным частным шлюзом для VPC. Подробнее см. в этой документации.

Вопрос. Что такое группы агрегирования каналов (LAG)?

Группа агрегирования каналов (LAG) – это логический интерфейс, который использует протокол управления агрегированием каналов (LACP) для агрегирования нескольких выделенных подключений к одному адресу AWS Direct Connect, позволяя вам работать с ними как с единым управляемым подключением. Группы LAG упрощают работу с конфигурацией, поскольку конфигурация LAG применяется ко всем подключениям в группе. Сведения о создании, обновлении, связывании, отмене связывания, и удалении LAG приведены в документации AWS Direct Connect в разделе Группы агрегирования каналов – AWS Direct Connect.

  • За использование групп LAG дополнительная плата не взимается.
  • Используются динамические пакеты LACP, а статические пакеты LACP не поддерживаются.
  • Виртуальные интерфейсы (VIF) двух различных групп LAG можно подключить к одному виртуальному частному шлюзу (VGW). Для ускорения обработки отказа между маршрутами при использовании нескольких LAG поддерживается протокол Bidirectional Forwarding Detection (BFD).

Вопрос. Что такое инструментарий обеспечения отказоустойчивости AWS Direct Connect?

Инструментарий обеспечения отказоустойчивости AWS Direct Connect содержит мастер подключения, который помогает выбрать одну из многих моделей обеспечения отказоустойчивости. Эти модели помогают вам определить, а затем разместить заказ на необходимое количество выделенных подключений для достижения вашей цели SLA. Вы выбираете модель обеспечения отказоустойчивости, а затем Инструментарий обеспечения отказоустойчивости AWS Direct Connect помогает вам провести процесс заказа выделенных подключений. Модели обеспечения отказоустойчивости предназначены для того, чтобы предоставить вам соответствующее количество выделенных подключений в нескольких местоположениях.

Вопрос. Что представляет собой функция тестирования обработки отказа AWS Direct Connect?

Функция тестирования обработки отказа AWS Direct Connect позволяет протестировать отказоустойчивость подключения AWS Direct Connect с помощью остановки сеанса протокола пограничного шлюза между локальными сетями и AWS. Можно использовать Консоль управления AWS или интерфейс прикладного программирования AWS Direct Connect API. Чтобы узнать подробнее об этой функции, см. этот документ. Поддерживается во всех коммерческих регионах AWS (кроме GovCloud (US)).

Вопрос. Что такое приоритетные локальные сообщества для частного виртуального интерфейса (VIF)?

Приоритетные локальные сообщества для частных и транзитных виртуальных интерфейсов помогают вам влиять на путь возврата для источников трафика из VPC.

Вопрос. Что такое приоритетные локальные сообщества для частного виртуального интерфейса (VIF)?

Приоритетные локальные сообщества для частных и транзитных виртуальных интерфейсов помогают вам влиять на путь возврата для источников трафика из VPC.

Вопрос. Что такое шлюз AWS Direct Connect – поддержка собственных частных ASN?

Возможность настройки частного номера автономной системы (ASN) позволяет настраивать на стороне AWS ASN сессии по протоколу пограничного шлюза (BGP) для частных и транзитных VIF на созданном шлюзе AWS Direct Connect. Она доступна во всех коммерческих регионах AWS (кроме региона AWS Китай) и в регионе AWS GovCloud (США).

Вопрос. Что такое транзитный виртуальный интерфейс?

Транзитный виртуальный интерфейс – это тип виртуального интерфейса, который можно создать для любого соединения AWS Direct Connect со скоростью 1 Гбит/с и выше (1, 2, 5, 10 или 100 Гбит/с). Транзитный виртуальный интерфейс можно подключить только к шлюзу AWS Direct Connect. Можно использовать шлюз AWS Direct Connect с подключением одного или нескольких транзитных виртуальных интерфейсов для взаимодействия с тремя шлюзами AWS Transit Gateway в любых поддерживаемых регионах AWS. Как и в случае с частным виртуальным интерфейсом, вы можете установить один сеанс BGP IPv4 и один сеанс BGP IPv6 через один транзитный виртуальный интерфейс.

Вопрос. Что представляет собой поддержка нескольких аккаунтов для шлюза AWS Direct Connect?

Поддержка нескольких аккаунтов для шлюза AWS Direct Connect позволяет связать до 10 облаков Amazon Virtual Private Cloud (Amazon VPC) или до трех шлюзов AWS Transit Gateway, принадлежащих нескольким аккаунтам AWS, с одним шлюзом AWS Direct Connect.

Вопрос. Что такое MACsec?

802.1AE MAC Security (MACsec) – это стандарт IEEE, который обеспечивает конфиденциальность, целостность данных и аутентичность их происхождения. Подключения AWS Direct Connect с поддержкой MACsec можно использовать для шифрования данных из локальной сети или колокационного устройства в выбранной точке присутствия AWS Direct Connect.

Вопрос. Что такое AWS Direct Connect SiteLink?

Функция AWS Direct Connect SiteLink, включенная в двух или более местоположениях AWS Direct Connect, позволяет пересылать данные между ними, минуя регионы AWS. AWS Direct Connect SiteLink работает как с размещенными, так и с выделенными подключениями.

Вопрос. Выступает ли AWS в качестве поставщика «первой мили» или «последней мили» доставки для подключения локальных местоположений к AWS?

Нет, для подключения к AWS необходимо создать подключения между локальными поставщиками услуг, используемыми в локальных местоположениях.

Высокая доступность и надежность

Вопрос. Способствует ли использование группы агрегирования каналов (LAG) отказоустойчивости подключения?

Нет, использование LAG не повышает отказоустойчивость подключения к AWS. Если в состав группы LAG входит несколько каналов и минимальное количество каналов равно 1, группа LAG обеспечивает защиту от отказа отдельного канала. Однако это не защищает от отказа отдельного устройства AWS, в результате которого происходит остановка работы группы LAG.

Для обеспечения высокой доступности подключения к AWS рекомендуется устанавливать подключения в нескольких местоположениях AWS Direct Connect. Подробнее о создании высокодоступных сетевых подключений см. на странице рекомендаций по обеспечению отказоустойчивости AWS Direct Connect.

Вопрос. Как заказать подключения к AWS Direct Connect для высокой доступности?

Для выбора модели обеспечения отказоустойчивости под ваш пример использования мы советуем следовать рекомендациям по обеспечению отказоустойчивости, которые приведены на странице рекомендаций по обеспечению отказоустойчивости AWS Direct Connect. После выбора модели вы сможете воспользоваться набором средств обеспечения отказоустойчивости AWS Direct Connect, чтобы заказать избыточные подключения. Также AWS рекомендует вам использовать функцию тестирования обработки отказа набора обеспечения отказоустойчивости для тестирования конфигураций перед применением в рабочей среде. 

Каждое выделенное подключение AWS Direct Connect состоит из одного выделенного подключения между портами маршрутизатора клиента и устройства AWS Direct Connect. Рекомендуется установить второе подключение для избыточности. При запросе нескольких портов в рамках одного местоположения AWS Direct Connect они выделяются на оборудовании AWS с обеспечением избыточности. 

Если вместо этого настроено резервное VPN‑подключение IPsec, при обработке отказа весь трафик VPC автоматически пойдет через VPN‑подключение. Трафик, поступающий с публичных ресурсов (например, Amazon S3) или на таковые, будет направлен через Интернет. Если нет резервного подключения AWS Direct Connect или VPN‑подключения IPsec, трафик Amazon VPC будет утерян при возникновении сбоя. Трафик, поступающий с публичных ресурсов или на таковые, будет направлен через Интернет.

Вопрос. Предлагается ли с сервисом AWS Direct Connect соглашение об уровне обслуживания (SLA)?

Да, с AWS Direct Connect предлагается соглашение об уровне обслуживания (SLA). Подробнее см. по этой ссылке.

Вопрос. Можно ли при использовании функции тестирования обработки отказа настроить продолжительность тестирования или отменить тестирование во время выполнения теста?

Да, вы можете настроить продолжительность тестирования, задав минимальную и максимальную продолжительность в диапазоне от 1 до 180 минут.  Отмена тестирования во время его проведения возможна. После отмены тестирования сеанс протокола пограничного шлюза будет восстановлен, а факт отмены отразится в истории тестирования.

Вопрос. Можно ли просмотреть историю предыдущих тестов при использовании функции тестирования обработки отказа? Как долго хранится история тестирований?

Да, посмотреть историю прошлых тестирований можно с помощью Консоли управления AWS или сервиса AWS CloudTrail. Мы сохраняем историю тестирований в течение 365 дней. Если вы удалите виртуальный интерфейс, ваша история тестирований также будет удалена.

Вопрос. Что происходит после завершения тестирования обработки отказа?

По истечении заданного времени тестирования сеанс протокола пограничного шлюза между локальными сетями и AWS будет восстановлен с использованием параметров, оговоренных до начала тестирования.

Вопрос. Кто может запускать тестирование обработки отказа с помощью инструментария обеспечения отказоустойчивости AWS Direct Connect?

Инициировать тестирование может только владелец аккаунта AWS с виртуальным интерфейсом.

Вопрос. Можно ли удалить виртуальный интерфейс во время проведения тестирования обработки отказа этого интерфейса?

Да, удаление виртуального интерфейса во время проведения тестирования этого интерфейса возможно.

Вопрос. Можно ли провести тестирование обработки отказа для любого типа виртуального интерфейса?

Да, можно провести тестирование сеансов протокола пограничного шлюза, запущенных с использованием любого типа виртуального интерфейса.

Вопрос. Можно ли при запущенных сеансах протокола пограничного шлюза по протоколам IPv4 и IPv6 провести тестирование для каждого из этих сеансов?

Да, вы можете инициировать тестирование для одного или обоих сеансов протокола пограничного шлюза.

Вопрос. Необходимо ли создавать новые подключения AWS Direct Connect одного типа для использования AWS Direct Connect SiteLink?

Функцию AWS Direct Connect SiteLink можно использовать с существующими подключениями AWS Direct Connect. Она работает с любым типом подключения AWS Direct Connect (выделенным или размещенным).

Вопрос. Где и как настроить функцию AWS Direct Connect SiteLink?

Включить и выключить AWS Direct Connect SiteLink можно при настройке виртуальных интерфейсов (VIF). Чтобы установить подключение с помощью AWS Direct Connect SiteLink, необходимо включить AWS Direct Connect SiteLink для не менее чем двух VIF в двух или более местоположениях AWS Direct Connect. Требуется связать все местоположения с одним и тем же шлюзом AWS Direct Connect. Включить или выключить AWS Direct Connect SiteLink в VIF можно с помощью Консоли управления AWS, интерфейса командной строки AWS или API. Функция AWS Direct Connect SiteLink интегрирована в AWS CloudWatch для отслеживания проходящего через канал трафика.

Вопрос. Требуется ли для AWS Direct Connect SiteLink подключение шлюза AWS Direct Connect?

Да. Для использования функции AWS Direct Connect SiteLink необходимо связать виртуальные интерфейсы (VIF) с включенной функцией с шлюзом AWS Direct Connect. Тип VIF должен быть частным или транзитным.

Вопрос. Как определить, за что взимается плата при использовании AWS Direct Connect SiteLink?

Стоимость AWS Direct Connect SiteLink в платежных документах будет указана отдельно от других платежей за AWS Direct Connect.

Вопрос. Как выглядит простая двусторонняя сетевая архитектура с AWS Direct Connect SiteLink?

Для создания простой сети необходимо настроить частный виртуальный интерфейс (VIF) и включить в нем AWS Direct Connect SiteLink с каждой стороны. Затем сделать шлюз AWS Direct Connect и связать с ним каждый VIF с подключенной функцией AWS Direct Connect SiteLink, чтобы сформировать сеть.

Вопрос. Как внедрить разветвленную архитектуру с помощью AWS Direct Connect SiteLink?

Для создания разветвленной архитектуры сделайте шлюз AWS Direct Connect и свяжите его со всеми частными VIF, в которых включена функция AWS Direct Connect SiteLink.

Вопрос. Как создать сегментированную сетевую архитектуру с AWS Direct Connect SiteLink?

Откройте несколько шлюзов AWS Direct Connect и с каждым свяжите подмножества частных виртуальных интерфейсов (VIF) с подключенной функцией AWS Direct Connect SiteLink. Виртуальные интерфейсы (VIF) с AWS Direct Connect SiteLink одного шлюза AWS Direct Connect не могут взаимодействовать с VIF другого шлюза, и создается сегментированная сеть.

Вопрос. Какие типы виртуальных интерфейсов (VIF) поддерживают AWS Direct Connect SiteLink?

AWS Direct Connect SiteLink поддерживается в частных и транзитных VIF. Однако шлюз AWS Direct Connect (DXGW) нельзя подключить к AWS Transit Gateway, если ранее он был связан с шлюзом виртуальной частной сети или частным виртуальным интерфейсом.

Вопрос. Требуется ли протокол BGP для AWS Direct Connect SiteLink?

Да. Для AWS Direct Connect SiteLink требуется протокол BGP.

Вопрос. Поддерживает ли AWS Direct Connect SiteLink протокол IPv6?

Да. AWS Direct Connect SiteLink поддерживает протокол IPv6.

Вопрос. Поддерживает ли AWS Direct Connect SiteLink протокол MACsec?

Да. AWS Direct Connect SiteLink поддерживает протокол MACsec при условии, что шифрование MACsec поддерживается в порте и местоположении PoP.

Вопрос. Поддерживается ли технология качества сервиса (QoS) в виртуальных интерфейсах (VIF) с подключенной функцией AWS Direct Connect SiteLink?

AWS Direct Connect не предлагает управляемые функциональные возможности QoS. При настройке QoS на устройствах, подключенных с помощью AWS Direct Connect SiteLink, метки DSCP будут сохраняться на пересылаемом трафике.

Вопрос. Поддерживает ли AWS Direct Connect SiteLink приоритетные локальные сообщества BGP?

Да. Существующие приоритетные локальные теги AWS Direct Connect можно использовать с AWS Direct Connect SiteLink. Поддерживаются следующие приоритетные локальные сообщества BGP:
7224:7100 – низкий приоритет
7224:7200 – средний приоритет
7224:7300 – высокий приоритет

Вопрос. Как выбрать, когда следует использовать AWS Direct Connect SiteLink или AWS Cloud WAN?

В зависимости от примера использования можно выбрать один из вариантов или оба. Cloud WAN (ознакомительная версия) может создавать сети VPC в нескольких регионах и управлять ими. С другой стороны, AWS Direct Connect SiteLink связывает местоположения DX, минуя регионы AWS, и обеспечивает лучшую производительность. AWS Direct Connect – один из нескольких вариантов подключения, который можно использовать в дальнейшем вместе с сетью Cloud WAN.

AWS Local Zones

Вопрос. Можно ли использовать AWS Direct Connect для доступа к ресурсам, работающим в локальных зонах AWS?

Да, при использовании AWS Direct Connect можно подключаться к VPC, развернутым в локальных зонах AWS. Ваши данные передаются непосредственно в локальные зоны AWS и из них через соединение AWS Direct Connect, не пересекая регионы AWS. Это повышает производительность и может уменьшить задержку.

Вопрос. Как настроить локальные зоны AWS для работы с AWS Direct Connect?

Связь AWS Direct Connect с локальными зонами AWS работает так же, как и связь с регионом.

Чтобы подключиться к региону, сначала расширьте свой VPC из родительского региона в локальные зоны AWS, создав новую подсеть и назначив ее локальной зоне AWS. (Подробности этого процесса описаны на странице Расширение VPC в локальную зону, зону Wavelength или Outpost в нашей документации.) Затем свяжите свой виртуальный шлюз (VGW) с частным виртуальным интерфейсом AWS Direct Connect или шлюзом AWS Direct Connect, чтобы выполнить подключение. (Подробности можно найти в разделе Ассоциации виртуальных частных шлюзов в нашей документации.)

Вы также можете подключиться к локальным зонам AWS с помощью публичных виртуальных интерфейсов AWS Direct Connect с использованием интернет-шлюза (IGW).

Вопрос. Есть ли какие-либо различия в том, как AWS Direct Connect подключается к локальной зоне AWS по сравнению с подключением к региону?

Да, различия есть. Локальные зоны AWS в настоящее время не поддерживают AWS Transit Gateway. Если вы подключаетесь к подсети локальной зоны AWS через транзитный шлюз AWS, ваш трафик входит в родительский регион, обрабатывается вашим транзитным шлюзом AWS, отправляется в локальную зону AWS, а затем возвращается из региона. Во-вторых, входящие пункты маршрутизации не направляются непосредственно в локальные зоны AWS. Трафик будет сначала попадать в родительский регион, а затем подключаться обратно к вашим локальным зонам AWS. В-третьих, в отличие от региона, где максимальный размер MTU составляет 9001, максимальный размер MTU для пакета, подключающегося к локальным зонам, составляет 1468. Обнаружение MTU пути поддерживается и рекомендуется. Наконец, предел одиночного потока (5 кортежей) для подключения к локальной зоне AWS составляет приблизительно 2,5 Гбит/с при максимальном MTU (1468) по сравнению с 5 Гбит/с в регионе. ПРИМЕЧАНИЕ. Ограничения на размер MTU и один поток не применяются к подключению AWS Direct Connect к локальной зоне AWS в Лос-Анджелесе.

Вопрос. Могу ли я использовать AWS Site-to-Site VPN в качестве резервного соединения AWS Direct Connect с локальной зоной AWS?

Нет. В отличие от подключения к региону, вы не можете использовать AWS Site-to-Site VPN в качестве резервного подключения AWS Direct Connect к локальной зоне AWS. Для резервирования необходимо использовать два соединений AWS Direct Connect или более.

Вопрос. Могу ли я использовать мой текущий шлюз прямого подключения AWS (DXGW) для подключения виртуального шлюза (VGW)?

Да, при условии, что текущий шлюз AWS Direct Connect не связан со шлюзом AWS Transit Gateway. Поскольку AWS Transit Gateway не поддерживается в локальных зонах AWS, а DXGW, связанный с AWS Transit Gateway, не может быть связан с VGW, вы не можете связать DXGW, связанный с AWS Transit Gateway. Вы должны создать новый DXGW и связать его с VGW.

Обеспечение совместимости сервисов

Вопрос. Можно ли использовать одно частное сетевое подключение для одновременной работы с Amazon Virtual Private Cloud (VPC) и другими сервисами AWS?

Да. Каждое подключение к AWS Direct Connect можно настроить на работу с одним или несколькими виртуальными интерфейсами. Виртуальные интерфейсы можно настроить на доступ к сервисам AWS, например Amazon EC2 и Amazon S3, с помощью пространства публичных IP‑адресов или к ресурсам облака VPC с помощью пространства частных IP‑адресов.

Вопрос. Если при работе в Amazon CloudFront источник находится в пользовательском ЦОД, можно ли использовать AWS Direct Connect для передачи объектов, хранящихся в пользовательском ЦОД?

Да. Amazon CloudFront поддерживает различные пользовательские источники, включая источники, находящиеся за пределами AWS. Доступ к периферийным местоположениям CloudFront ограничен ближайшим в географическом отношении регионом AWS. Исключение составляют регионы Северной Америки, в которых сейчас разрешен доступ к внутрисетевым источникам CloudFront из всех регионов Северной Америки. Получить к ним доступ можно с помощью публичных виртуальных интерфейсов через подключение AWS Direct Connect. При работе с данными источника с помощью AWS Direct Connect плата за передачу данных взимается по тарифам AWS Direct Connect.

После входа в глобальную сеть AWS через местоположение Direct Connect ваш трафик остается в пределах магистральной сети Amazon. Префиксы, принадлежащие местоположениям CloudFront, которые находятся не в пределах магистральной сети Amazon, не будут анонсироваться через Direct Connect. Подробнее о транслируемых префиксах IP и политике маршрутизации Direct Connect можно узнать здесь.

Вопрос. Можно ли заказать порт для подключения к региону AWS GovCloud (США) через Консоль управления AWS?

Чтобы заказать порт для подключения к региону AWS GovCloud (США), необходимо воспользоваться консолью управления AWS GovCloud (США).

Вопрос. Какое максимальное количество каналов может быть в группе LAG?

Максимальное количество каналов в группе LAG равно четырем.

Вопрос. Работают ли группы агрегирования каналов (LAG) в режиме «активный/активный» или «активный/пассивный»?

Используется режим «активный/активный». Другими словами, порты AWS постоянно отправляют блоки данных протокола управления агрегированием каналов (LACPDU). 

Вопрос. Можно ли изменить максимальный передаваемый блок данных LAG?

Максимальный передаваемый блок данных LAG можно изменить. Подробнее см. документацию по использованию Jumbo-кадров здесь.

Вопрос: Можно ли настроить конфигурацию своих портов на режим «активный/пассивный» вместо «активный/активный»?

Группу LAG по адресу можно настроить для активного или пассивного режима LACP. На стороне AWS всегда настраивается активный режим LACP.

Вопрос. Можно ли сочетать интерфейсы разных типов и иметь в одной группе LAG несколько 1‑гигабитных и несколько 10‑гигабитных портов?

Нет. В группу LAG могут входить только порты одного типа (1‑гигабитные или 10‑гигабитные).

Вопрос. Для какого типа портов будет доступно использование групп агрегирования?

Использование групп агрегирования будет доступно для выделенных 1-гигабитных, 10-гигабитных и 100-гигабитных портов подключения.

Вопрос. Можно ли объединять в группы LAG размещенные подключения?

Нет. Объединение в группы LAG будет доступно только для выделенных 1-гигабитных, 10-гигабитных и 100-гигабитных подключений. Для размещенных подключений эта возможность недоступна.

Вопрос. Можно ли создать группу LAG из существующих портов?

Да, если ваши порты находятся на одном и том же устройстве AWS Direct Connect. Обратите внимание, в ходе изменения конфигурации на группу LAG эти порты на короткое время отключатся. Работа портов будет возобновлена только после того, как они будут сконфигурированы как группа LAG на стороне клиента.

Вопрос. Может ли группа LAG объединять порты на нескольких устройствах AWS Direct Connect?

В группу LAG могут входить только порты одного устройства AWS Direct Connect. Группы LAG из портов на разных устройствах не поддерживаются.

Вопрос. Как добавить канал к группе LAG, когда она уже создана?

Для LAG необходимо запросить другой порт. Если порты на том же устройстве недоступны, необходимо заказать новую группу LAG и провести миграцию подключений. Например, есть три 1‑гигабитных канала и нужно добавить четвертый. При отсутствии доступного порта на имеющемся устройстве потребуется заказать новую группу LAG из четырех 1‑гигабитных портов.

Вопрос. Доступных портов нет и приходится заказывать новую группу LAG, но виртуальные интерфейсы (VIF) уже настроены. Как перенести их?

К виртуальному частному шлюзу (VGW) можно подключить несколько виртуальных интерфейсов, при этом настраивать виртуальные интерфейсы для подключения можно даже при отсутствии подключения. В описанной ситуации рекомендуется создать новые виртуальные интерфейсы для новой группы LAG, а затем, когда все виртуальные интерфейсы созданы, переместить подключения на новую группу LAG. Не забудьте удалить старые подключения, чтобы за них не начислялась плата.

Вопрос. Можно ли удалить один порт из группы LAG?

Да, но только в том случае, если минимальное количество каналов меньше, чем оставшееся количество портов в группе. Например, если имеется четыре порта и минимальное количество каналов равно четырем, нельзя будет удалить порт из группы LAG. Если минимальное количество каналов равно трем, удалить один порт из группы LAG можно. После удаления придет оповещение об удалении с указанием конкретного порта и панели, а также напоминание о необходимости отключить кросс‑подключение и линию связи с AWS.

Вопрос. Можно ли удалить всю группу LAG сразу?

Да, но если с этой группой связаны настроенные виртуальные интерфейсы, удалить ее будет невозможно (как и обычное соединение в аналогичной ситуации).

Вопрос. Можно ли удалить один порт, если в группе LAG всего два порта?

Да, в группе LAG может быть один порт.

Вопрос. Можно ли заказать группу LAG, состоящую из одного порта?

Да. Но имейте в виду, что мы не можем гарантировать наличие доступных портов на том же устройстве, если в будущем вам понадобится их добавить.

Вопрос. Можно ли преобразовать группу LAG обратно в независимые порты?

Да. Это можно сделать вызовом API DisassociateConnectionWithLag. 

Вопрос. Не планируется ли создать инструмент для удобного перемещения виртуальных интерфейсов (VIF)?

Операции перемещения можно выполнять с помощью вызова API AssociateVirtualInterface или в консоли сервиса.

Вопрос. Группа LAG будет отображаться в виде отдельного подключения или набора подключений?

Группа будет отображаться как одно подключение dxlag, под которым будет приведен список идентификаторов подключений.

Вопрос. Что такое минимальное количество каналов (Min Links) и почему при заказе группы требуется установка этого параметра?

Минимальное количество каналов – это специальная возможность протокола LACP, позволяющая установить в группе минимальное количество каналов, которые должны быть активны, чтобы группа была активной и пропускала трафик. Например, если есть четыре порта, минимальное количество каналов равно трем, но только два порта активны, то группа портов будет не активна. Если активных портов будет три или более, группа окажется активной и будет пропускать трафик, если имеется настроенный виртуальный интерфейс (VIF).

Если вы не выберете минимальное количество каналов, по умолчанию будет установлено нулевое значение. После того как группа настроена, минимальное количество каналов можно изменить с помощью консоли управления AWS или API.

Вопрос. Если связать существующее подключение AWS Direct Connect с группой LAG, что произойдет с виртуальными интерфейсами (VIF), уже созданными для подключения?

Когда подключение AWS Direct Connect с существующими виртуальными интерфейсами (VIF) связывается с группой LAG, виртуальные интерфейсы переносятся в группу LAG. Обратите внимание, что для переноса виртуальных интерфейсов (VIF) в группы LAG некоторые параметры, связанные с VIF, должны быть уникальны, подобно номерам сетей VLAN.

Вопрос. Можно ли установить приоритет определенного канала?

Все каналы считаются равноправными, поэтому установить приоритет для какого‑либо конкретного канала нельзя.

Вопрос: Могу ли я подключить интерфейс Ethernet 40 Gigabit на своей стороне к четырем портам Ethernet 10 Gigabit на стороне AWS?

Для подключения к AWS потребуется четыре интерфейса 10 GE на вашем маршрутизаторе. Подключение одного интерфейса 40 GE 4x к четырем портам 10 GE LACP не поддерживается.

Оплата

Вопрос. Предусмотрена ли оплата за настройку или обязательства по минимальному сроку обслуживания, необходимые для использования AWS Direct Connect?

Плата за настройку не взимается. От использования сервиса можно отказаться в любой момент. На сервисы, предоставляемые партнерами по AWS Direct Connect, могут распространяться другие условия или ограничения.

Вопрос. Каков принцип оплаты сервиса AWS Direct Connect?

Стоимость AWS Direct Connect включает две отдельные статьи: время использования портов (в часах) и передачу данных. Стоимость рассчитывается для портов каждого типа на основе общего количества часов работы. Неполные часы использования порта оплачиваются как полные. Плата за время использования порта взимается с аккаунта, владеющего соответствующим портом.

Плата за передачу данных через AWS Direct Connect включается в счет за тот месяц, в котором она состоялась. См. дополнительную информацию ниже, чтобы понять, как будет начисляться плата за передачу данных.

Вопрос. Будет ли региональная передача данных оплачиваться по ставкам AWS Direct Connect?

Нет, передача данных между зонами доступности в рамках региона оплачивается по стандартным тарифам региона на передачу данных в том же месяце, в котором происходило использование.

Вопрос. Как оплачивается время использования портов для размещенных подключений?

Время использования портов оплачивается с момента принятия размещенного подключения. Плата за порт будет начисляться в течение всего периода, когда размещенное подключение выделено для использования. Если вы больше не хотите оплачивать размещенное подключение, обратитесь к партнеру по AWS Direct Connect, чтобы отключить его.

Вопрос. Какова схема почасовой оплаты портов для размещенного подключения?

Платежи за почасовое использование портов для размещенного подключения в местоположении AWS Direct Connect группируются по пропускной способности.

Например, счет для клиента с двумя отдельными размещенными соединениями со скоростью 200 Мбит/с в местоположении AWS Direct Connect без каких-либо других размещенных соединений в этом местоположении. Платежи за почасовое использование двух отдельных размещенных соединений со скоростью 200 Мбит/с будут объединены в один элемент с меткой «HCPortUsage:200M» в конце. Если общее количество часов в месяц равно 720, то общее время использования порта для этого элемента будет равно 1440, то есть общее количество часов в месяце, умноженное на общее количество размещенных подключений 200 Мбит/с в этом местоположении.

Идентификаторы ресурса размещенного подключения, которые могут появиться в вашем счете:

HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G

Обратите внимание, что идентификаторы ресурсов отображаются по местоположению в зависимости от ресурсов размещенного подключения, которое используется в каждом местоположении.

Вопрос. С какого аккаунта AWS взимается плата за исходящую передачу данных, выполненную через публичный виртуальный интерфейс?

В случае использования общедоступных ресурсов AWS (например, корзин Amazon S3, инстансов EC2 Classic или трафика EC2 через интернет‑шлюз), если исходящий трафик предназначен для общедоступных префиксов, принадлежащих тому же аккаунту плательщика AWS, и активно взаимодействует с AWS через публичный виртуальный интерфейс AWS Direct Connect, использование передачи исходящих данных (DTO) для владельца ресурса учитывается в соответствии со скоростью передачи данных AWS Direct Connect.

Подробности о ценах на AWS Direct Connect см. на странице цен AWS Direct Connect. Если услуги по поддержке подключения AWS Direct Connect предоставляются партнером по AWS Direct Connect, для получения информации о возможных дополнительных расходах обратитесь непосредственно к этому партнеру.

Вопрос. В каком аккаунте AWS начисляется плата за передачу исходящих данных, выполняемую через транзитный / частный виртуальный интерфейс?

С введением возможности точного распределения при передаче исходящих данных плата за передачу исходящих данных через виртуальный транзитный / частный интерфейс начисляется в аккаунте AWS, выполняющем такую передачу. Аккаунт AWS, инициировавший передачу исходящих данных, будет определяться на основании использования клиентом виртуального частного / транзитного интерфейса согласно следующим принципам.

Частный виртуальный интерфейс (несколько интерфейсов) используется для взаимодействия с облаком (несколькими облаками) Amazon Virtual Private Cloud через шлюз (несколько шлюзов) AWS Direct Connect или без таковых. В случае частного виртуального интерфейса плата будет начислена в аккаунте AWS, владеющем ресурсами AWS, которые инициировали передачу исходящих данных.

Транзитный виртуальный интерфейс (несколько интерфейсов) используется для взаимодействия со шлюзом (несколькими шлюзами) AWS Transit Gateway. В случае использования транзитного виртуального интерфейса плата начисляется в аккаунте AWS, которому принадлежит облако (несколько облаков) Amazon Virtual Private Cloud, подключенное к шлюзу AWS Transit Gateway, который, в свою очередь, связан со шлюзом AWS Direct Connect, подключенным к транзитному виртуальному интерфейсу. Обратите внимание, что все применимые специальные сборы за использование шлюза AWS Transit Gateway (за обработку и вложение данных) будут начисляться в дополнение к плате за передачу исходящих данных Direct Connect.

Вопрос. Как AWS Direct Connect использует консолидированную оплату?

Использование передачи данных AWS Direct Connect суммируется в управляющем аккаунте.

Вопрос. Как отключить сервис AWS Direct Connect?

Чтобы отключить AWS Direct Connect, необходимо удалить порты в Консоли управления AWS. Кроме того, необходимо прекратить использование всех сервисов, приобретенных сторонней компанией. К примеру, обратиться к провайдеру колокационных услуг для отключения всех кросс‑подключений от AWS Direct Connect и (или) к поставщику сетевых услуг, который обеспечивает сетевое подключение из вашего удаленного местоположения к местоположению AWS Direct Connect.

Вопрос. Ваши цены указаны с учетом налогов?

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Подробнее.

Технические характеристики

Вопрос. Какие скорости подключения доступны?

Для выделенных подключений доступны порты 1 Гбит/с, 10 Гбит/с и 100 Гбит/с. Для размещенных подключений можно заказать скорости 50 Мбит/с, 100 Мбит/с, 200 Мбит/с, 300 Мбит/с, 400 Мбит/с, 500 Мбит/с, 1 Гбит/с, 2 Гбит/с, 5 Гбит/с и 10 Гбит/с у одобренных партнеров по AWS Direct Connect. Подробнее см. в разделе Партнеры AWS Direct Connect. 

Вопрос. Существуют ли ограничения на объем данных, которые можно передать с помощью сервиса AWS Direct Connect?

Нет. Передавать можно любой объем данных, в пределах выбранных ресурсов порта.

Вопрос. Ограничено ли количество маршрутов, которые можно транслировать в AWS с помощью AWS Direct Connect?

Да. С помощью AWS Direct Connect можно транслировать не более 100 маршрутов в каждом сеансе протокола пограничного шлюза. Подробнее об ограничениях сервиса AWS Direct Connect.

Вопрос. Что произойдет, если транслировать более 100 маршрутов в рамках сеанса протокола пограничного шлюза?

В случае трансляции более 100 маршрутов сеанс протокола пограничного шлюза будет прерван. Весь исходящий и входящий сетевой трафик через такой виртуальный интерфейс будет ограничен, пока количество маршрутов не станет менее 100.

Вопрос. Какие технические требования предъявляются к подключению?

AWS Direct Connect поддерживает подключения 1000BASE‑LX, 10GBASE‑LR и 100GBASE-LR4 по одномодовому волокну с использованием Ethernet для передачи данных. Устройство клиента должно поддерживать VLAN стандарта 802.1Q. Подробную информацию о технических требованиях см. в Руководстве пользователя AWS Direct Connect.

Вопрос. Можно ли расширить одну из VLAN в облако AWS с помощью AWS Direct Connect?

Нет, сети VLAN используются в AWS Direct Connect только для разделения трафика между виртуальными интерфейсами.

Вопрос. Какие технические требования предъявляются к виртуальным интерфейсам для использования публичных сервисов AWS, например Amazon EC2 и Amazon S3?

  • Данное подключение требует использования протокола пограничной маршрутизации (BGP) с номерами автономных систем (ASN) и префиксами IP‑адресов. Для подключения потребуется следующая информация.
  • Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.
  • Выбранный вами новый неиспользованный тег VLAN.
  • Публичные IP‑адреса (/31 или /30), выделенные вами для сессии BGP. RFC 3021 (с использованием 31-битных префиксов в сквозных группах IPv4) поддерживается в виртуальных интерфейсах Direct Connect любого типа.
  • По умолчанию Amazon будет транслировать префиксы публичных IP‑адресов через BGP. Вы должны транслировать префиксы принадлежащих вам или предоставленных AWS публичных IP‑адресов (/31 или меньше) через BGP. Для получения дополнительной информации ознакомьтесь с Руководством пользователя AWS Direct Connect.
  • Ниже приведена подробная информация о AWS Direct Connect, использовании собственных ASN.

Вопрос. Какие IP‑адреса будут присвоены конечным точкам виртуального интерфейса?

При настройке виртуального интерфейса для публичного облака AWS IP‑адреса для обеих конечных точек подключения должны быть выделены из принадлежащего вам пространства публичных IP‑адресов. Если виртуальный интерфейс подключен к VPC, и вы хотите, чтобы IP‑адреса или CIDR‑адреса для одноранговых узлов были сгенерированы AWS автоматически, пространство IP‑адресов для обеих конечных точек подключения выделяется AWS в диапазоне 169.254.0.0/16.

Вопрос. Можно ли расположить аппаратное обеспечение рядом с оборудованием, отвечающим за работу AWS Direct Connect?

Вы можете приобрести пространство на стойках объекта, где находится местоположение AWS Direct Connect, и выполнить развертывание своего оборудования в непосредственной близости. Однако из-за мер безопасности ваше оборудование нельзя размещать в пределах стойки AWS Direct Connect. Для получения дополнительной информации по объекту свяжитесь с оператором этого объекта. После развертывания подключить ваше оборудование к AWS Direct Connect можно с помощью кросс‑подключения.

Вопрос. Как активировать протокол BFD для подключения AWS Direct Connect?

Асинхронный режим протокола BFD по умолчанию активирован для каждого виртуального интерфейса AWS Direct Connect, но начинает действовать только после соответствующей настройки маршрутизатора. В настройках AWS минимальный интервал обнаружения протоколом BFD неисправностей составляет 300 мс, а множитель обнаружения неисправностей равен 3.

Вопрос. Как настроить AWS Direct Connect в регионе AWS GovCloud (США)?

Подробные инструкции по настройке AWS Direct Connect для региона AWS GovCloud (США) см. в Руководстве пользователя AWS GovCloud (США). 

Вопрос. Какие технические требования предъявляются к виртуальным интерфейсам (VIF) для VPC?

Для AWS Direct Connect требуется протокол пограничной маршрутизации (BGP). Для установки подключения вам понадобится указанное ниже.

• Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.
• Новый неиспользованный тег VLAN по вашему выбору.
• Идентификатор шлюза виртуальной частной сети (VGW) для VPC
• AWS выделит частные IP‑адреса (/30) в диапазоне 169.x.x.x для сессии BGP и будет транслировать блок бесклассовой адресации VPC через BGP. Вы можете транслировать маршрут по умолчанию через BGP.

Вопрос. Можно ли установить подключение между VPC и сетью клиента на уровне 2?

Нет, подключения на уровне 2 не поддерживаются.

VPN-подключения

Вопрос. В чем отличие AWS Direct Connect от VPN‑подключения IPsec?

VPN‑подключение использует шифрованное сетевое подключение между интранетом клиента и Amazon VPC через публичный Интернет с использованием протокола IPsec. VPN‑подключения настраиваются за считаные минуты и являются отличным решением, если подключение необходимо срочно, у вас низкие или умеренные требования к пропускной способности и вас не беспокоит естественная изменчивость скорости интернет‑подключения. Сервис AWS Direct Connect не использует интернет‑подключение – вместо него используются выделенные частные сетевые подключения между вашей сетью и AWS.

Вопрос. Можно ли одновременно использовать AWS Direct Connect и VPN‑подключение к одному и тому же облаку VPC?

Да, но только для обработки отказа. Когда соединение установлено, подключение с помощью AWS Direct Connect будет всегда предпочтительным, вне зависимости от добавляемого пути автономной системы. Убедитесь, что ваши VPN-подключения могут обрабатывать трафик обработки отказа от AWS Direct Connect.

Вопрос. Изменится ли настройка / конфигурация BGP для использования в системах AWS Direct Connect?

В системах AWS Direct Connect будет работать тот же VPN BGP.

Поддержка AWS Transit Gateway

Вопрос. В каких регионах AWS сервис AWS Direct Connect предлагает поддержку AWS Transit Gateway?

Поддержка AWS Transit Gateway доступна во всех коммерческих регионах AWS.

Вопрос. Как создать транзитный виртуальный интерфейс?

Для создания транзитного виртуального интерфейса можно воспользоваться Консолью управления AWS или операции API.

Вопрос. Можно ли выделить транзитный виртуальный интерфейс в другом аккаунте AWS?

Да, выделить транзитный виртуальный интерфейс можно в любом аккаунте AWS.

Вопрос. Можно ли подключить транзитный виртуальный интерфейс к шлюзу виртуальной частной сети?

Нет, подключить транзитный виртуальный интерфейс к шлюзу виртуальной частной сети невозможно.

Вопрос. Можно ли подключить частный виртуальный интерфейс к шлюзу AWS Transit Gateway?

Нет, подключить частный виртуальный интерфейс к шлюзу AWS Transit Gateway нельзя.

Вопрос. Какие квоты предусмотрены для транзитного виртуального интерфейса?

Дополнительную информацию о квотах, предусмотренных для использования транзитного виртуального интерфейса, см. на странице, посвященной квотам для AWS Direct Connect. 

Вопрос. Можно ли добавить к подключению дополнительные транзитные виртуальные интерфейсы?

Нет, для любого подключения AWS Direct Connect со скоростью от 1 Гбит/с и выше можно создать только один транзитный виртуальный интерфейс.

Вопрос. Существующий шлюз AWS Direct Connect подключен к частному виртуальному интерфейсу. Можно ли подключить транзитный виртуальный интерфейс к этому шлюзу AWS Direct Connect?

Нет, к шлюзу AWS Direct Connect можно подключать только один тип виртуальных интерфейсов.

Вопрос. Можно ли подключить шлюз AWS Transit Gateway к шлюзу AWS Direct Connect, подключенному к частному виртуальному интерфейсу?

Нет, шлюз AWS Transit Gateway можно подключить только к шлюзу прямого подключения AWS, подключенному к транзитному виртуальному интерфейсу.

Вопрос. Сколько времени занимает установка подключения между шлюзом AWS Transit Gateway и AWS Direct Connect?

Установка подключения между шлюзом AWS Transit Gateway и AWS Direct Connect может занимать до 40 минут.

Вопрос. Сколько всего виртуальных интерфейсов можно создать для одного выделенного соединения 1 Гбит/с, 10 Гбит/с или 100 Гбит/с?

Для одного выделенного соединения 1 Гбит/с, 10 Гбит/с или 100 Гбит/с можно создать максимум 51 виртуальный интерфейс, в том числе один транзитный виртуальный интерфейс.

Вопрос. Можно ли создать транзитный виртуальный интерфейс для размещенного соединения 1, 2, 5, 10 или 100 Гбит/с?

Да, можно создать один транзитный виртуальный интерфейс для любого подключения скоростью от 1 Гбит/с и выше (1, 2, 5, 10, 100 Гбит/с).

Вопрос. Я работаю с группой LAG 4 x 10 Гбит/с. Сколько транзитных виртуальных интерфейсов можно создать в этой группе агрегирования каналов (LAG)?

Можно создать один транзитный виртуальный интерфейс в группе LAG 4 x 10 Гбит/с.

Вопрос. Транзитный виртуальный интерфейс поддерживает Jumbo-кадры?

Да, транзитный виртуальный интерфейс поддерживает Jumbo-кадры. Размер максимального передаваемого блока данных (MTU) будет ограничен до 8500.

Вопрос. Вы поддерживаете все атрибуты Border Gateway Protocol (BGP), поддерживаемые в частном виртуальном интерфейсе, для транзитного виртуального интерфейса?

Да, можно по-прежнему использовать поддерживаемые атрибуты BGP (AS_PATH, Local Pref, NO_EXPORT) в транзитном виртуальном интерфейсе.

Шлюз AWS Direct Connect

Вопрос. Для чего нужен шлюз AWS Direct Connect?

Шлюз AWS Direct Connect выполняет несколько функций:

  • Шлюз AWS Direct Connect позволяет взаимодействовать с облаками VPC в любом регионе AWS (кроме региона AWS Китай), что дает возможность использовать подключения AWS Direct Connect для взаимодействия с несколькими регионами AWS.
  • Частный виртуальный интерфейс можно использовать для взаимодействия сразу с десятью облаками VPC, что позволяет сократить количество BGP‑сессий между локальной сетью и развертываниями AWS.
  • Прикрепляя транзитные виртуальные интерфейсы (VIF) к шлюзу AWS Direct Connect и связывая шлюзы AWS Transit Gateway со шлюзом Direct Connect, вы можете совместно использовать транзитные виртуальные интерфейсы для подключения к максимум трем транзитным шлюзам. Это сократит количество сеансов по протоколу Border Gateway Protocol между локальной сетью и развертываниями AWS. После подключения транзитного VIF к шлюзу AWS Direct Connect Gateway на этом шлюзе не сможет также размещаться другой частный VIF: он выделен для транзитного VIF.
  • Вы можете связать несколько виртуальных частных шлюзов (VGW, связанные с VPC) со шлюзом AWS Direct Connect, если блоки IP CIDR Amazon VPC, связанные с виртуальным частным шлюзом, не накладываются друг на друга.

Вопрос. Могу ли я связать несколько шлюзов AWS Transit Gateway с шлюзом AWS Direct Connect?

С одним шлюзом AWS Direct Connect можно связать до трех шлюзов Transit Gateway, если блоки IP‑адресов CIDR, объявленные в шлюзах Transit Gateway, не перекрываются.

Вопрос. Можно ли связать VPC, принадлежащий какому‑либо аккаунту AWS, со шлюзом AWS Direct Connect, принадлежащим некому другому аккаунту AWS?

Да, VPC, принадлежащий любому аккаунту AWS, можно связать со шлюзом AWS Direct Connect, принадлежащим любому другому аккаунту AWS.

Вопрос. Можно ли связать шлюз AWS Transit Gateway, принадлежащий какому‑либо аккаунту AWS, со шлюзом AWS Direct Connect, принадлежащим некому другому аккаунту AWS?

Да, шлюз Transit Gateway, принадлежащий любому аккаунту AWS, можно связать со шлюзом AWS Direct Connect, принадлежащим любому другому аккаунту AWS.

Вопрос. Проходит ли трафик в целевой регион AWS через домашний регион AWS, связанный с используемым для передачи шлюзом AWS Direct Connect?

Нет. При использовании шлюза AWS Direct Connect трафик будет проходить из местоположения AWS Direct Connect в целевой регион AWS (и обратно) по кратчайшему пути. Это не зависит от того, с каким домашним регионом AWS связано используемое местоположение AWS Direct Connect.

Вопрос. Начисляется ли дополнительная плата при использовании шлюза AWS Direct Connect в работе с удаленными регионами AWS?

За использование шлюза AWS Direct Connect плата не начисляется. При таком подключении взимаются только плата за передачу исходящих данных по тарифам удаленного региона AWS и почасовая плата за использование портов. Подробнее см. на странице цен на AWS Direct Connect. 

Вопрос. Требуется ли для использования всех функциональных возможностей шлюза AWS Direct Connect, чтобы частные / транзитные виртуальные интерфейсы, шлюз AWS Direct Connect, шлюз виртуальной частной сети или шлюзы AWS Transit Gateway принадлежали одному аккаунту?

Частные виртуальные интерфейсы и шлюзы AWS Direct Connect должны принадлежать одному и тому же аккаунту AWS. Транзитные виртуальные интерфейсы и шлюзы AWS Direct Connect должны принадлежать одному и тому же аккаунту AWS. Шлюзы виртуальной частной сети и шлюзы AWS Transit Gateway могут находиться в аккаунтах AWS, отличных от того, которому принадлежит шлюз AWS Direct Connect.

Вопрос. Сохраняются ли все возможности VPC, если связать шлюзы виртуальной частной сети (VGW) со шлюзом AWS Direct Connect?

Такие сетевые возможности, как Elastic File System, Elastic Load Balancing, Application Load Balancer, группы безопасности, список контроля доступа и AWS PrivateLink работают при использовании шлюза AWS Direct Connect. Шлюз AWS Direct Connect не поддерживает функциональных возможностей AWS VPN CloudHub. Тем не менее, если вы используете AWS Site-to-Site VPN для подключения к шлюзу VGW, связанному со шлюзом AWS Direct Connect, то такое VPN‑подключение можно задействовать для обработки отказов.

Возможности, которые в настоящее время не поддерживаются AWS Direct Connect: VPN AWS Classic или VPN AWS (например, полная маршрутизация, пиринговое подключение VPC и адрес VPC).

Вопрос. Я работаю с партнером AWS Direct Connect, чтобы получить частный виртуальный интерфейс (VIF) для своего аккаунта. Смогу ли я использовать шлюз AWS Direct Connect?

Да. Вы можете связать выделенный частный виртуальный интерфейс со шлюзом AWS Direct Connect при подтверждении, что выделяете частный виртуальный интерфейс (VIF) в своем аккаунте AWS.

Вопрос. Могу ли я подключиться к VPC в своем локальном регионе?

Вы можете продолжить прикреплять виртуальные интерфейсы (VIF) к виртуальным частным шлюзам (VGW). У вас все еще будет оставаться подключение к VPC в пределах региона и с вас будет взиматься плата за исходящий трафик в связанные географические регионы.

Вопрос. Какие квоты действуют при использовании шлюза AWS Direct Connect?

Подробнее об этой теме см. на странице Квоты AWS Direct Connect.

Вопрос. Могут ли шлюзы виртуальной частной сети (VGW, связанные с VPC) входить в состав нескольких шлюзов AWS Direct Connect?

Нет. Связка VGW‑VPC не может входить в состав нескольких шлюзов AWS Direct Connect одновременно.

Вопрос. Можно ли подключить один частный виртуальный интерфейс к нескольким шлюзам AWS Direct Connect?

Нет. Один частный виртуальный интерфейс можно подключить только к одному шлюзу AWS Direct Connect ИЛИ к одному шлюзу виртуальной частной сети. Мы рекомендуем следовать рекомендациям по обеспечению отказоустойчивости AWS Direct Connect и подключать несколько частных виртуальных интерфейсов. 

Вопрос. Нарушает ли шлюз AWS Direct Connect работу существующих функциональных возможностей AWS VPN CloudHub?

Нет. Шлюз AWS Direct Connect не нарушает работу возможностей AWS VPN CloudHub. Шлюз AWS Direct Connect обеспечивает соединение между локальными сетями и VPC в любом регионе AWS. AWS VPN CloudHub позволяет обеспечить соединение с локальными сетями, используя AWS Direct Connect или VPN в том же регионе. VIF связан с VGW напрямую. Существующие функциональные возможности AWS VPN CloudHub будут поддерживаться без изменений. Вы можете подключить виртуальный интерфейс AWS Direct Connect (VIF) напрямую к виртуальному частному шлюзу (VGW) для поддержки AWS VPN CloudHub внутри региона.

Вопрос. Какие типы трафика поддерживаются и не поддерживаются шлюзом AWS Direct Connect?

Сведения о поддерживаемых и не поддерживаемых типах трафика см. в Руководстве пользователя AWS Direct Connect. 

Вопрос. У меня есть сеть VPN в регионе us‑east‑1, подключенная к виртуальному частному шлюзу (VGW). Я хочу использовать AWS VPN CloudHub в регионе us‑east‑1 для связи между существующей там сетью VPN и новым VIF. Можно ли сделать это с помощью шлюза AWS Direct Connect?

Нет. С помощью шлюза AWS Direct Connect это сделать нельзя, но существует возможность подключить VIF непосредственно к VGW, чтобы реализовать работу VPN <‑> AWS Direct Connect AWS VPN CloudHub.

Вопрос. У меня настроен частный виртуальный интерфейс, связанный с шлюзом виртуальной частной сети (VGW). Можно ли связать такой интерфейс со шлюзом AWS Direct Connect?

Нет. Существующий частный виртуальный интерфейс, связанный с VGW, нельзя связать со шлюзом AWS Direct Connect. Для этого создайте новый частный виртуальный интерфейс и в процессе создания свяжите его со своим шлюзом AWS Direct Connect.

Вопрос. Если у меня есть шлюз виртуальной частной сети (VGW), подключенный к VPN и шлюзу AWS Direct Connect, будет ли трафик облака VPC маршрутизироваться через VPN в случае отказа канала связи AWS Direct Connect?

Да. Это будет происходить, если в таблице маршрутизации VPC прописаны маршруты к шлюзу виртуальной частной сети (VGW) в направлении VPN.

Вопрос. Можно ли подключить к шлюзу AWS Direct Connect шлюз виртуальной частной сети (VGW), не связанный с VPC?

Нет. Шлюз VGW, не связанный с VPC, нельзя подключить к шлюзу AWS Direct Connect.

Вопрос. У меня есть шлюз AWS Direct Connect с одним частным виртуальным интерфейсом AWS Direct Connect и тремя неперекрывающимися шлюзами VGW (каждый из которых связан с VPC). Что случится, если открепить один шлюз VGW от VPC?

Передача трафика из локальной сети к отсоединенному облаку VPC прекратится, а связь VGW со шлюзом AWS Direct Connect будет удалена.

Вопрос. У меня есть шлюз AWS Direct Connect с одним виртуальным интерфейсом AWS Direct Connect и тремя неперекрывающимися парами VGW‑VPC. Что произойдет, если я отсоединю один из шлюзов виртуальной частной сети (VGW) от шлюза AWS Direct Connect?

Передача трафика из локальной сети к отсоединенному шлюзу VGW (связанному с VPC) прекратится.

Вопрос. Можно ли направить трафик из одного облака VPC, связанного со шлюзом AWS Direct Connect, в другое облако VPC, связанное с тем же шлюзом AWS Direct Connect?

Нет. Шлюз AWS Direct Connect поддерживает только маршрутизацию трафика из виртуальных интерфейсов AWS Direct Connect в шлюзы VGW (связанные с VPC). Чтобы передавать трафик между двумя облаками VPC, необходимо настроить пиринговое соединение VPC.

Вопрос. У меня есть сеть VPN в регионе us‑east‑1, подключенная к виртуальному частному шлюзу (VGW). Если я свяжу этот шлюз VGW со шлюзом AWS Direct Connect, можно ли будет направить трафик из моей сети VPN в виртуальный интерфейс, подключенный к шлюзу AWS Direct Connect в другом регионе AWS?

Нет. Шлюз AWS Direct Connect не будет маршрутизировать трафик между VPN и виртуальным интерфейсом AWS Direct Connect. Чтобы такой пример использования стал возможен, необходимо создать VPN в регионе AWS VIF и подключить VIF и VPN к одному и тому же шлюзу VGW.

Вопрос. Можно ли изменить размер облака VPC, которое связано со шлюзом AWS Direct Connect?

Да, вы можете изменить размер VPC. При изменении размера облака VPC потребуется повторно отправить владельцу шлюза AWS Direct Connect предложение с измененным размером VPC CIDR. Как только владелец шлюза AWS Direct Connect подтвердит новое предложение, для локальной сети будет анонсирован измененный размер VPC CIDR.

Вопрос. Можно ли настроить шлюз AWS Direct Connect для выборочного распространения префиксов в / из VPC?

Да, шлюз AWS Direct Connect предоставляет возможность выборочного объявления префиксов для используемых локальных сетей. Если префиксы анонсируются в локальных сетях, каждое облако VPC, связанное со шлюзом AWS Direct Connect, получит все префиксы, анонсированные в соответствующих локальных сетях. Если необходимо ограничить входящий или исходящий трафик для определенного VPC, рекомендуем использовать для каждого VPC списки контроля доступа (ACL).

Приоритетные локальные сообщества

Вопрос. Можно ли использовать эту возможность для существующих сессий EBGP?

Да, все существующие сессии BGP на частных виртуальных интерфейсах поддерживают использование приоритетных локальных сообществ.

Вопрос. Будет ли данная возможность доступна как для публичных, так и для частных виртуальных интерфейсов?

Нет, в настоящее время возможность доступна только для частных и транзитных виртуальных интерфейсов.

Вопрос. Будет ли данная возможность работать со шлюзом AWS Direct Connect?

Да, эта возможность будет работать с частными виртуальными интерфейсами, подключенными через шлюз AWS Direct Connect.

Вопрос. Можно ли проверить, что сообщества принимаются AWS?

Нет, в настоящее время возможности такого мониторинга не предоставляются.

Вопрос. Какие приоритетные локальные сообщества поддерживаются для частного виртуального интерфейса AWS Direct Connect?

Для частного виртуального интерфейса поддерживаются перечисленные ниже сообщества; они оцениваются в порядке от наименьшего предпочтения к наибольшему. Сообщества являются взаимоисключающими. Если префиксы отмечены одними и теми же сообществами и имеют одинаковые атрибуты MED* и AS_PATH, они становятся кандидатами на мультитрактовую маршрутизацию.

  • 7224:7100 – низкий приоритет
  • 7224:7200 – средний приоритет
  • 7224:7300 – высокий приоритет

Вопрос. Что происходит по умолчанию, если поддерживаемые сообщества не используются?

Если не указать приоритетные локальные сообщества для частного виртуального интерфейса, локальные предпочтения по умолчанию будут выбраны на основании расстояния от локального региона до местоположения AWS Direct Connect. В такой ситуации поведение исходящего трафика нескольких VIF из нескольких местоположений AWS Direct Connect может быть произвольным.

Вопрос. У меня есть два частных VIF на физических подключениях в местоположении AWS Direct Connect. Можно ли использовать поддерживаемые сообщества, чтобы влиять на поведение исходящего трафика на этих двух частных VIF?

Да, эту возможность можно использовать, чтобы влиять на поведение исходящего трафика двух VIF в одном физическом соединении.

Вопрос. Поддерживают ли приоритетные локальные сообщества обработку отказа?

Да. Это можно настроить путем анонсирования через первичный / активный виртуальный интерфейс префиксов с сообществом более высокого локального приоритета, чем в префиксах, анонсируемых через резервный / пассивный виртуальный интерфейс. Такая возможность обратно совместима с уже существующими методами обеспечения отказоустойчивости; если в настоящее время подключение настроено на обработку отказа, дополнительных изменений не требуется.

Вопрос. Я уже настроил свои маршрутизаторы с помощью AS_PATH. Нужно ли изменять конфигурацию и приостанавливать работу моей сети, чтобы использовать теги сообществ?

Нет, мы будем продолжать учитывать атрибут AS_PATH. Новая возможность является дополнительным средством управления, которое можно использовать, чтобы лучше контролировать входящий трафик от AWS. AWS Direct Connect использует при выборе маршрута стандартный подход. Следует помнить, что локальный приоритет оценивается до атрибута AS_PATH.

Вопрос. У меня есть два подключения AWS Direct Connect, одно 1 Гбит/с, другое 10 Гбит/с, оба анонсируют один и тот же префикс. Я хотел бы получать весь трафик для этого пункта назначения через соединение AWS Direct Connect 10 Гбит/с, но сохранить возможность обрабатывать отказ при соединении 1 Гбит/с. Могут ли приоритетные локальные сообщества использоваться для балансировки трафика в таком сценарии?

Да. Если пометить префикс, анонсируемый по соединению AWS Direct Connect 10 Гбит/с, сообществом с более высоким локальным приоритетом, это будет предпочтительный маршрут. Если соединение 10 Гбит/с не работает или префикс удален, то обратный маршрут проходит через интерфейс 1 Гбит/с.

Вопрос. В каком объеме будет использоваться мультитрактовая маршрутизация трафика в мою сеть?

Мы будем использовать для каждого префикса мультитрактовую маршрутизацию в объеме до 16 соседних узлов, где каждый следующий узел является уникальным адресом AWS.

Вопрос. Можно ли запускать в рамках одного VPN-тоннеля сессии BGP v4 и v6?

В настоящий момент мы поддерживаем только запуск сессий BGP v4 в рамках VPN‑тоннеля с адресом конечной точки IPv4.

Вопрос. Изменится ли настройка / конфигурация BGP для использования в системах AWS Direct Connect?

В системах AWS Direct Connect будет работать тот же VPN BGP.

Вопрос. Можно ли использовать адрес IPv6 в качестве конечной точки тоннеля?

В настоящий момент мы поддерживаем только адреса IPv4 для конечных точек VPN. 

Вопрос. Можно ли использовать адрес IPv4 в качестве конечной точки тоннеля и запускать в нем сессии BGP IPv6?

В настоящий момент мы поддерживаем только запуск сессий BGP v4 в рамках VPN‑тоннеля с адресом конечной точки IPv4.

Шлюз AWS Direct Connect – частный ASN

Вопрос. Что это за возможность?

Настраиваемый частный номер автономной системы (ASN). Эта возможность позволяет клиентам настраивать ASN на стороне AWS при установлении BGP‑сессии для частных VIF на любом новом шлюзе AWS Direct Connect.

Вопрос. Где доступны эти возможности?

Во всех коммерческих регионах AWS (кроме региона AWS Китай) и в регионе AWS GovCloud (США).

Вопрос. Как можно настроить или назначить свой ASN для анонсирования в качестве ASN на стороне AWS?

Настроить или назначить выбранный ASN для транслирования в качестве ASN на стороне AWS можно в процессе создания нового шлюза AWS Direct Connect. Шлюз AWS Direct Connect можно создать с помощью консоли управления AWS или операции API CreateDirectConnectGateway.

Вопрос. Можно использовать любой ASN, как публичный, так и частный?

На стороне AWS можно назначить любой частный номер ASN. Назначить какой‑либо публичный ASN нельзя.

Вопрос. Почему нельзя назначить публичный ASN BGP‑сессии на стороне AWS?

AWS не занимается проверкой прав владения ASN, поэтому мы ограничиваем возможность выбора ASN на стороне AWS частными ASN. Мы хотим защитить клиентов от подделки BGP‑подключений.

Вопрос. Какой ASN можно выбрать?

Выбрать можно любой частный ASN. Диапазон 16‑разрядных частных ASN: 64512–65534. Кроме того, можно использовать 32‑разрядные ASN в диапазоне 4200000000–4294967294.

Вопрос. Что произойдет, если я попытаюсь назначить публичный ASN BGP‑сессии на стороне AWS?

Мы попросим вас повторно ввести частный ASN при попытке создания шлюза AWS Direct Connect.

Вопрос. Если я не укажу ASN BGP‑сессии на стороне AWS, какой ASN мне назначит AWS?

AWS предоставляет для шлюза AWS Direct Connect ASN 64512, если другое значение не указано клиентом.

Вопрос. Где можно посмотреть ASN на стороне AWS?

ASN на стороне AWS можно посмотреть в консоли AWS Direct Connect, в ответе API DescribeDirectConnectGateways или операциях API DescribeVirtualInterfaces.

Вопрос. Если у меня есть публичный ASN, будет ли он работать с частным ASN на стороне AWS?

Да. Для BGP‑сессии можно настроить использование частного ASN на стороне AWS и публичного ASN на стороне клиента.

Вопрос. У меня есть настроенные частные VIF. При этом на существующем VIF требуется назначить другой ASN BGP‑сессии на стороне AWS. Как внести изменение?

Необходимо создать новый шлюз AWS Direct Connect с выбранным ASN и создать новый VIF с помощью только что созданного шлюза AWS Direct Connect. Кроме того, потребуется соответствующим образом изменить конфигурацию устройства.

Вопрос. Я подключаю несколько частных VIF к одному шлюзу AWS Direct Connect. Можно ли для каждого VIF использовать отдельный ASN на стороне AWS?

Нет. Назначить или настроить отдельный ASN на стороне AWS можно для каждого шлюза AWS Direct Connect, но не для каждого VIF. ASN на стороне AWS для VIF наследуется от ASN соответствующего шлюза AWS Direct Connect на стороне AWS.

Вопрос. Можно ли использовать разные частные ASN для шлюза AWS Direct Connect и шлюза виртуальной частной сети?

Да. Для шлюза AWS Direct Connect и шлюза виртуальной частной сети можно использовать разные частные ASN. ASN на стороне AWS, который вы получите, зависит от связи с частным виртуальным интерфейсом.

Вопрос. Можно ли использовать одинаковые частные ASN для шлюза AWS Direct Connect и шлюза виртуальной частной сети?

Да. Для шлюза AWS Direct Connect и шлюза виртуальной частной сети можно использовать одинаковые частные ASN. ASN на стороне AWS, который вы получите, зависит от связи с частным виртуальным интерфейсом.

Вопрос. Я подключаю несколько шлюзов виртуальной частной сети с собственными частными ASN к одному шлюзу AWS Direct Connect с собственным частным ASN. Какой частный ASN будет иметь приоритет: шлюза VGW или шлюза AWS Direct Connect?

Во время BGP‑сессий между вашей сетью и AWS в качестве ASN на стороне AWS будет использоваться частный ASN шлюза AWS Direct Connect.

Вопрос. Где можно выбрать свой частный ASN?

Вы можете выбрать собственный частный ASN в консоли шлюза AWS Direct Connect. После настройки шлюза AWS Direct Connect с помощью ASN на стороне AWS частные виртуальные интерфейсы, связанные со шлюзом AWS Direct Connect, будут использовать настроенный вами ASN в качестве ASN на стороне AWS.

Вопрос. Я использую AWS VPN CloudHub прямо сейчас. Потребуется ли в дальнейшем менять его настройки?

Вносить какие‑либо изменения не понадобится.

Вопрос. Я хочу выбрать 32-разрядный ASN. Какой диапазон у 32‑разрядных частных ASN?

Поддерживаются 32‑разрядные ASN с 4200000000 по 4294967294.

Вопрос. Можно ли изменить ASN на стороне AWS после создания шлюза AWS Direct Connect?

Нет. Изменить ASN на стороне AWS после создания шлюза невозможно. Можно удалить шлюз AWS Direct Connect и повторно создать новый шлюз AWS Direct Connect с нужным частным ASN.

MACsec

Вопрос. Заменяет ли MACsec другие технологии шифрования, которыми я сейчас пользуюсь для своей сети?

MACsec не является заменой какой-либо определенной технологии шифрования. Для простоты и для укрепления безопасности вам следует продолжать пользоваться теми технологиями шифрования, которыми вы уже пользуетесь. Мы предоставляем MACsec как технологию шифрования, которую можно интегрировать в вашу сеть в дополнение к другой технологии шифрования, которой вы пользуетесь.

Вопрос. Какой тип подключений AWS Direct Connect поддерживает MACsec?

MACsec поддерживается выделенными подключениями AWS Direct Connect 10 Гбит/с и 100 Гбит/с в выбранных точках присутствия. Для работы MACsec ваше выделенное подключение должно быть прозрачным для трафика слоя 2, а устройство, устраняющее смежность уровня 2, должно поддерживать MACsec. Если вы пользуетесь услугами партнера по подключению «последней мили», убедитесь, что это подключение может поддерживать MACsec. MACsec не поддерживается на выделенных или любых размещенных подключениях скоростью 1 Гбит/с.

Вопрос. Требуется ли специальное оборудование для использования MACsec?

Да. Вам понадобится устройство с поддержкой MACsec на вашей стороне Ethernet-подключения к расположению AWS Direct Connect. Чтобы проверить поддерживаемые операционные режимы и необходимые возможности MACsec, см. раздел Безопасность MAC нашего Руководства пользователя.

Вопрос. Нужно ли мне новое подключение AWS Direct Connect для использования MACsec с устройством, которое поддерживает MACsec?

Для MACsec требуется, чтобы ваше подключение заканчивалось на устройстве с поддержкой MACsec на стороне AWS Direct Connect. Чтобы проверить, поддерживает ли ваше текущее подключение шифрование MACsec, воспользуйтесь Консолью управления AWS или с помощью API AWS Direct Connect DescribeConnections. Если ваше текущее подключение MACsec не завершается на устройстве с поддержкой MACsec, то вы можете запросить новое подключение с поддержкой MACsec с помощью Консоли управления AWS или API CreateConnection.

Вопрос. Какие наборы шифров MACsec вы поддерживаете?

На данный момент мы поддерживаем набор шифров GCM-AES-XPN-256.

Вопрос. Почему вы поддерживаете только 256-разрядные ключи?

Мы поддерживаем только 256-разрядные ключи MACsec для обеспечения современной защиты данных на наивысшем уровне.

Вопрос. Требуется ли использовать расширенное нумерование пакетов (XPN)?

Да, мы требуем использования XPN. Высокоскоростные соединения, такие как выделенные соединения со скоростью 100 Гбит/с, могут быстро исчерпать исходное 32-битное пространство нумерации пакетов MACsec, что потребует от вас ротации ключей шифрования каждые несколько минут, чтобы установить новую ассоциацию подключения. Чтобы избежать такой ситуации, в изменении IEEE Std 802.1AEbw-2013 введена расширенная нумерация пакетов, в которой пространство номеров увеличено до 64 разрядов, что смягчает требования к ротации ключей.

Вопрос. Поддерживается ли использование идентификатора безопасного канала (SCI)?

Да. Мы требуем, чтобы SCI был включен. Эту настройку изменить невозможно.

Вопрос. Поддерживаете ли вы сдвиг тега IEEE 802.1Q (Dot1q/VLAN)/dot1q-in-clear?

Нет, мы не поддерживаем перенос тега VLAN за пределы зашифрованной полезной нагрузки.

Подробнее о ценах на AWS Direct Connect

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с AWS Direct Connect
Есть вопросы?
Связаться с нами