Câu hỏi thường gặp về AWS Direct Connect

Cổng AWS Direct Connect là một nhóm cổng riêng ảo (VGW) và giao diện ảo (VIF) riêng. Cổng AWS Direct Connect là tài nguyên có sẵn trên toàn cầu. Bạn có thể tạo cổng AWS Direct Connect ở bất kỳ Khu vực nào và truy cập vào cổng đó ở tất cả các Khu vực khác.

Giao diện ảo (VIF) là giao diện cần thiết để bạn truy cập các dịch vụ AWS, chúng có thể ở dạng công cộng hoặc riêng. Giao diện ảo công cộng giúp bạn truy cập các dịch vụ công, như Amazon S3. Giao diện ảo riêng cho phép truy cập vào VPC của bạn. Để biết thêm thông tin, hãy xem Giao diện ảo AWS Direct Connect.

Cổng riêng ảo (VGW) là một phần của một VPC cung cấp chức năng định tuyến biên cho các kết nối VPN được AWS quản lý và kết nối AWS Direct Connect. Bạn liên kết cổng AWS Direct Connect với cổng riêng ảo cho VPC. Để biết thêm chi tiết, hãy tham khảo tài liệu này.

Nhóm tổng hợp liên kết (LAG) là giao diện logic sử dụng giao thức kiểm soát tổng hợp liên kết (Link Aggregation Control Protocol – LACP) để tổng hợp nhiều kết nối chuyên dụng ở một điểm cuối AWS Direct Connect, cho phép bạn xử lý chúng như một kết nối được quản lý duy nhất. LAG giúp hợp lý hóa việc cấu hình vì cấu hình LAG được áp dụng cho tất cả các kết nối trong nhóm. Để biết chi tiết về cách tạo, cập nhật, liên kết/hủy liên kết và xóa LAG, hãy tham khảo tài liệu AWS Direct Connect: Nhóm tổng hợp liên kết - AWS Direct Connect.

Không tính thêm phí đối với việc sử dụng LAG.

Gói LACP linh hoạt được sử dụng; gói LACP tĩnh không được hỗ trợ.

VIF trên hai LAG khác nhau có thể được kết nối đến cùng một VGW. Để cải thiện thời gian chuyển đổi dự phòng giữa các đường dẫn khi sử dụng nhiều LAG, tính năng phát hiện chuyển tiếp hai chiều (Bidirectional Forwarding Detection – BFD) được hỗ trợ.

Bộ công cụ về khả năng phục hồi của AWS Direct Connect cung cấp một trình hướng dẫn kết nối để bạn có thể chọn lựa một trong nhiều mô hình khả năng phục hồi. Những mô hình này giúp bạn xác định—sau đó đặt mua—số lượng kết nối chuyên dụng cần dùng để đạt được mục tiêu SLA của mình. Bạn lựa chọn một mô hình khả năng phục hồi, rồi AWS Direct Connect Resiliency Toolkit sẽ hướng dẫn bạn hoàn tất quy trình đặt mua kết nối chuyên dụng. Mô hình khả năng phục hồi được thiết kế để bảo đảm rằng bạn có được số lượng kết nối chuyên dụng thích hợp ở nhiều địa điểm.

Tính năng Kiểm thử chuyển đổi dự phòng của AWS Direct Connect cho phép bạn kiểm thử khả năng phục hồi của kết nối AWS Direct Connect bằng cách vô hiệu hóa phiên Border Gateway Protocol giữa mạng tại chỗ của bạn và AWS. Bạn có thể sử dụng Bảng điều khiển quản lý AWS hoặc giao diện lập trình ứng dụng (API) AWS Direct Connect. Vui lòng tham khảo tài liệu  này để tìm hiểu thêm về tính năng này. Tính năng này được hỗ trợ ở tất cả các Khu vực AWS thương mại (trừ GovCloud (US)).

Cộng đồng ưu tiên địa phương đối với giao diện ảo riêng và chuyển tiếp cung cấp cho bạn một tính năng để tác động đến đường dẫn trả về cho các nguồn lưu lượng từ VPC.

Cộng đồng ưu tiên cục bộ đối với giao diện ảo riêng và chuyển tiếp cung cấp cho bạn một tính năng để tác động đến đường dẫn trả về cho các nguồn lưu lượng từ VPC.

Số hệ thống tự trị (ASN) riêng, có thể cấu hình giúp bạn có khả năng thiết lập ASN ở phía AWS của phiên Giao thức cổng đường biên (BGP) cho các VIF riêng hoặc chuyển tiếp trên bất kỳ Cổng AWS Direct Connect mới tạo nào. Tính năng này khả dụng ở tất cả các Khu vực AWS thương mại (trừ Khu vực AWS ở Trung Quốc) và AWS GovCloud (Hoa Kỳ).

Giao diện ảo chuyển tiếp là loại giao diện ảo bạn có thể tạo trên mọi kết nối AWS Direct Connect. Một giao diện ảo chuyển tiếp chỉ có thể được gán cho một cổng AWS Direct Connect. Bạn có thể sử dụng cổng AWS Direct Connect được gán với một hay nhiều giao diện ảo chuyển tiếp để giao tiếp với tối đa sáu Cổng chuyển tiếp AWS trong bất kỳ Khu vực AWS được hỗ trợ nào. Tương tự như giao diện ảo riêng, bạn có thể thiết lập một phiên IPv4 BGP và một phiên IPv6 BGP trên một giao diện ảo chuyển tiếp.

Tính năng hỗ trợ nhiều tài khoản cho cổng AWS Direct Connect sẽ cho phép bạn liên kết tối đa 20 Đám mây riêng ảo của Amazon (Amazon VPC) hoặc tối đa sáu Cổng chuyển tiếp AWS từ nhiều tài khoản AWS với một cổng AWS Direct Connect.

Bảo mật MAC (MACsec) 802.1AE là một tiêu chuẩn IEEE giúp bảo đảm tính bí mật, tính toàn vẹn của dữ liệu và tính chân thực về nguồn gốc dữ liệu. Bạn có thể sử dụng các kết nối AWS Direct Connect hỗ trợ MACsec để mã hóa dữ liệu của bạn từ mạng tại chỗ hoặc thiết bị được đặt máy chủ đến điểm hiện diện AWS Direct Connect do bạn chọn.

Khi kích hoạt tính năng AWS Direct Connect SiteLink ở hai địa điểm AWS Direct Connect trở lên, bạn có thể gửi dữ liệu giữa những địa điểm đó, bỏ qua các Khu vực AWS. AWS Direct Connect SiteLink hoạt động với cả các kết nối lưu trữ và chuyên dụng.

Không, LAG không giúp kết nối đến AWS của bạn linh hoạt hơn. Nếu bạn có nhiều liên kết trong LAG và nếu số liên kết tối thiểu của bạn được thiết lập là một, LAG sẽ cho phép bạn phòng chống tình trạng xảy ra sự cố với một liên kết. Tuy nhiên, giải pháp sẽ không phòng chống được sự cố xảy ra trên một thiết bị tại AWS nơi mà LAG của bạn kết thúc.

Để bảo đảm khả năng kết nối có độ khả dụng cao với AWS, chúng tôi khuyến cáo bạn nên có kết nối ở nhiều địa điểm AWS Direct Connect. Tham khảo Đề xuất về khả năng phục hồi AWS Direct Connect để tìm hiểu thêm về cách đạt được khả năng kết nối mạng có độ khả dụng cao.

Chúng tôi khuyến cáo bạn nên làm theo các phương pháp thực hành tốt nhất về khả năng phục hồi được nêu chi tiết trên trang Đề xuất về khả năng phục hồi AWS Direct Connect  để xác định mô hình khả năng phục hồi phù hợp nhất cho trường hợp sử dụng của bạn. Sau khi chọn mô hình khả năng phục hồi, Bộ công cụ về khả năng phục hồi của AWS Direct Connect  có thể hướng dẫn bạn hoàn tất quy trình đặt mua kết nối dự phòng. AWS cũng khuyến khích bạn sử dụng tính năng kiểm thử chuyển đổi dự phòng để kiểm tra các cấu hình trước khi triển khai. 

Mỗi kết nối AWS Direct Connect chuyên dụng có một kết nối chuyên dụng giữa các cổng trên bộ định tuyến của bạn và thiết bị AWS Direct Connect. Chúng tôi khuyên bạn nên thiết lập kết nối thứ hai cho mục đích dự phòng. Khi bạn yêu cầu nhiều cổng tại cùng một địa điểm AWS Direct Connect, các cổng đó sẽ được cung cấp trên thiết bị dự phòng của AWS. 

Nếu bạn đã đặt cấu hình một kết nối IPsec VPN dự phòng thì toàn bộ lưu lượng VPC sẽ tự động chuyển đổi dự phòng sang kết nối VPN. Lưu lượng đến/từ tài nguyên công cộng, chẳng hạn như Amazon S3, sẽ được định tuyến qua Internet. Nếu bạn chưa có liên kết AWS Direct Connect dự phòng hoặc liên kết IPsec VPN, thì lưu lượng Amazon VPC sẽ bị giảm trong trường hợp có sự cố. Lưu lượng đến/từ tài nguyên công cộng sẽ được định tuyến qua Internet.

Có, AWS Direct Connect cung cấp SLA. Bạn có thể xem thông tin chi tiết ở đây.

Có, bạn có thể cấu hình thời lượng của cuộc kiểm thử bằng cách đặt thời lượng tối thiểu là 1 phút và tối đa là 180 phút cho cuộc kiểm thử.  Bạn có thể hủy cuộc kiểm thử trong khi chạy. Khi bạn hủy cuộc kiểm thử, chúng tôi sẽ khôi phục phiên Border Gateway Protocol và lịch sử kiểm thử của bạn thể hiện rằng cuộc kiểm thử đó đã bị hủy.

Có, bạn có thể xem lại lịch sử kiểm thử bằng Bảng điều khiển quản lý AWS hoặc qua AWS CloudTrail. Chúng tôi lưu giữ lịch sử kiểm thử của bạn trong 365 ngày. Nếu bạn xóa giao diện ảo, thì lịch sử kiểm thử của bạn cũng bị xóa.

Sau khi hết thời lượng kiểm thử được cấu hình, chúng tôi sẽ khôi phục phiên Border Gateway Protocol giữa mạng tại chỗ của bạn và AWS bằng các tham số phiên Border Gateway Protocol được thỏa thuận trước khi bắt đầu kiểm thử.

Chỉ chủ sở hữu của tài khoản AWS có giao diện ảo mới có thể bắt đầu kiểm thử.

Có, bạn có thể xóa giao diện ảo trong khi đang tiến hành kiểm thử cho chính giao diện ảo đó.

Có, bạn có thể chạy kiểm thử cho (các) phiên Border Gateway Protocol được thiết lập bằng mọi loại giao diện ảo.

Có, bạn có thể bắt đầu kiểm thử cho một hoặc cả hai phiên Border Gateway Protocol.

Bạn có thể sử dụng AWS Direct Connect SiteLink với các kết nối AWS Direct Connect hiện có của mình. Kết nối hiện có hoạt động với bất kỳ loại kết nối AWS Direct Connect nào (chuyên dụng hay lưu trữ).

Bạn bật và tắt AWS Direct Connect SiteLink khi cấu hình các giao diện ảo (VIF). Để thiết lập một kết nối bằng AWS Direct Connect SiteLink, bạn phải kích hoạt AWS Direct Connect SiteLink tại hai hoặc nhiều VIF ở hai địa điểm AWS Direct Connect trở lên. Bạn phải gán tất cả các địa điểm cho cùng một cổng AWS Direct Connect. Bạn có thể cấu hình VIF của mình để kích hoạt hoặc tắt AWS Direct Connect SiteLink bằng Bảng điều khiển quản lý AWS, AWS Command Line Interface hoặc API. AWS Direct Connect SiteLink được tích hợp với AWS CloudWatch để bạn có thể giám sát lưu lượng được gửi qua liên kết này.

Có. Để sử dụng AWS Direct Connect SiteLink, bạn phải kết nối các giao diện ảo (VIF) được kích hoạt AWS Direct Connect SiteLink với một cổng AWS Direct Connect. VIF có thể là loại riêng hoặc chuyển tiếp.

Trên bảng sao kê thanh toán, các khoản phí liên quan đến AWS Direct Connect SiteLink sẽ xuất hiện trong một dòng riêng, tách biệt với những khoản phí khác liên quan đến AWS Direct Connect.

Để xây dựng một mạng đơn giản, hãy cấu hình giao diện ảo (VIF) riêng và kích hoạt AWS Direct Connect SiteLink trên VIF đó ở mỗi trang. Sau đó, tạo một cổng AWS Direct Connect và liên kết từng VIF được kích hoạt AWS Direct Connect SiteLink với cổng đó để tạo một mạng.

Để tạo kiến trúc hub-and-spoke (trục bánh xe và nan hoa), hãy tạo một cổng AWS Direct Connect và liên kết cổng đó với tất cả các VIF riêng được kích hoạt AWS Direct Connect SiteLink.

Thiết lập nhiều cổng AWS Direct Connect, đồng thời liên kết các tập hợp con của mạng ảo (VIF) riêng được kích hoạt AWS Direct Connect SiteLink với mỗi cổng đó. Các VIF được kích hoạt AWS Direct Connect SiteLink trên một cổng AWS Direct Connect không thể giao tiếp với các VIF được kích hoạt AWS Direct Connect SiteLink trên một cổng AWS Direct Connect khác, tạo ra một mạng phân đoạn.

AWS Direct Connect SiteLink được hỗ trợ trên cả VIF riêng và chuyển tiếp. Tuy nhiên, bạn không thể gán một cổng AWS Direct Connect (DXGW) cho AWS Transit Gateway khi cổng AWS Direct Connect đã được liên kết với một cổng riêng ảo từ trước hoặc được gán cho một giao diện riêng ảo.

Có. AWS Direct Connect SiteLink có yêu cầu BGP.

Có. AWS Direct Connect SiteLink có hỗ trợ IPv6.

Có. AWS Direct Connect SiteLink có hỗ trợ MACsec với điều kiện cổng và địa điểm PoP hỗ trợ mã hóa MACsec.

AWS Direct Connect không cung cấp chức năng QoS được quản lý. Khi bạn cấu hình QoS trên thiết bị được kết nối bằng AWS Direct Connect SiteLink, các dấu DSCP sẽ được giữ lại trên lưu lượng đã chuyển tiếp.

Có. Bạn có thể sử dụng các thẻ ưu tiên cục bộ hiện có của AWS Direct Connect với AWS Direct Connect SiteLink. Sau đây là các thẻ cộng đồng BGP ưu tiên cục bộ được hỗ trợ:

7224:7100 - Mức độ ưu tiên thấp

7224:7200 - Mức độ ưu tiên trung bình

7224:7300 - Mức độ ưu tiên cao

Tùy thuộc vào trường hợp sử dụng của mình, bạn có thể chọn một trong hai hoặc cả hai. Cloud WAN  có thể tạo cũng như quản lý các mạng VPC trên nhiều Khu vực. Mặt khác, AWS Direct Connect SiteLink kết nối các địa điểm DX với nhau, bỏ qua các Khu vực AWS để cải thiện hiệu suất. AWS Direct Connect nằm trong số nhiều tùy chọn kết nối mà bạn có thể sử dụng với mạng Cloud WAN trong tương lai.

Có, khi sử dụng AWS Direct Connect, bạn có thể kết nối với các VPC được triển khai trong Vùng địa phương AWS. Dữ liệu của bạn sẽ được truyền trực tiếp đến và đi khỏi các Khu vực địa phương AWS qua một kết nối AWS Direct Connect, mà không cần đi qua Khu vực AWS. Điều này cải thiện hiệu năng và có thể giảm bớt độ trễ.

Một kết nối AWS Direct Connect liên kết với Khu vực địa phương AWS sẽ hoạt động tương tự như khi liên kết với một Khu vực.

Để kết nối với một Khu vực, trước tiên hãy mở rộng VPC của bạn từ Khu vực chính vào Khu vực địa phương AWS bằng cách tạo một mạng con mới và chỉ định mạng con đó cho Khu vực địa phương AWS. (Chi tiết về quy trình này nằm trên trang Mở rộng VPC tới một Vùng địa phương, Vùng Wavelength hoặc Outpost trong tài liệu của chúng tôi.) Sau đó, liên kết Cổng ảo (VGW) của bạn với một giao diện ảo riêng AWS Direct Connect, hoặc Cổng AWS Direct Connect, để thiết lập kết nối. (Bạn có thể tìm thông tin chi tiết trong mục Liên kết với Cổng riêng ảo trong tài liệu của chúng tôi.)

Bạn cũng có thể kết nối với Khu vực địa phương AWS bằng cách sử dụng Giao diện ảo công cộng AWS Direct Connect qua một Cổng Internet (IGW).

Có, giữa chúng có sự khác biệt. Hiện Khu vực địa phương AWS không hỗ trợ Cổng chuyển tiếp AWS. Nếu bạn đang kết nối với một mạng con Khu vực địa phương AWS thông qua Cổng chuyển tiếp AWS, lưu lượng của bạn sẽ đi vào Khu vực chính, được xử lý bởi Cổng chuyển tiếp AWS của bạn, được gửi tới Khu vực địa phương AWS, sau đó trở lại (hoặc quay đầu) từ Khu vực. Thứ hai, các điểm đến định tuyến ngõ không đi trực tiếp tới Khu vực địa phương AWS. Lưu lượng sẽ rẽ qua Khu vực chính trước, rồi mới kết nối với Khu vực địa phương AWS của bạn. Thứ ba, không giống như Khu vực có kích cỡ MTU tối đa là 9001, kích cỡ MTU tối đa cho gói kết nối với Khu vực địa phương là 1468. Chức năng khám phá lộ trình MTU được hỗ trợ và đề xuất. Cuối cùng, Giới hạn lưu lượng đơn (5-tuple) cho kết nối đến một Khu vực địa phương AWS là khoảng 2,5 Gbps tại MTU tối đa (1468) so với 5 Gbps tại Khu vực. LƯU Ý: Giới hạn đối với kích cỡ MTU và lưu lượng đơn không áp dụng đối với kết nối AWS Direct Connect tới Khu vực địa phương AWS tại Los Angeles.

Không. Khác với kết nối tới một Khu vực, bạn không thể sử dụng VPN site-to-site của AWS làm dự phòng cho kết nối AWS Direct Connect của bạn với Khu vực địa phương AWS. Để dự phòng, bạn phải sử dụng từ hai kết nối AWS Direct Connect trở lên.

Có, miễn là Cổng AWS Direct Connect hiện tại của bạn không liên kết với một Cổng chuyển tiếp AWS. Bởi vì Cổng chuyển tiếp AWS không được hỗ trợ trong Khu vực địa phương AWS—và một DXGW đã liên kết với Cổng chuyển tiếp AWS sẽ không thể liên kết được với một VGW—bạn không thể liên kết một DXGW đã liên kết với Cổng chuyển tiếp AWS. Bạn buộc phải tạo một DXGW mới và liên kết nó với VGW.

Có. Có thể cấu hình mỗi kết nối AWS Direct Connect với một hay nhiều giao diện ảo. Bạn có thể cấu hình giao diện ảo để truy cập các dịch vụ AWS như Amazon EC2 và Amazon S3 bằng dải địa chỉ IP công cộng hoặc truy cập tài nguyên trên một VPC bằng dải địa chỉ IP riêng.

Có. Amazon CloudFront hỗ trợ các dữ liệu gốc tùy chỉnh, bao gồm cả những dữ liệu gốc bạn chạy bên ngoài AWS. Quyền truy cập vị trí biên của CloudFront sẽ được giới hạn ở khu vực AWS có vị trí địa lý gần nhất, ngoại trừ các Khu vực Bắc Mỹ hiện cho phép truy cập toàn bộ các dữ liệu gốc CloudFront trên mạng của khu vực Bắc Mỹ. Bạn có thể truy cập bằng cách sử dụng các giao diện ảo công khai trên kết nối AWS Direct Connect. Với AWS Direct Connect, bạn sẽ trả mức phí truyền dữ liệu AWS Direct Connect áp dụng cho hoạt động truyền dữ liệu gốc.

Sau khi vào mạng lưới toàn cầu của AWS qua một địa điểm Direct Connect, lưu lượng của bạn vẫn ở trong mạng trục chính của Amazon. Tiền tố thuộc về các địa điểm CloudFront không nằm trong mạng trục chính của Amazon sẽ không được quảng bá qua Direct Connect. Bạn có thể tìm thêm thông tin chi tiết về tiền tố IP được quảng bá và chính sách Định tuyến Direct Connect tại đây.

Để đặt mua một cổng kết nối với AWS GovCloud (Hoa Kỳ), thì bạn phải sử dụng Bảng điều khiển quản lý AWS GovCloud (Hoa Kỳ).

Câu trả lời: Có. Giao diện ảo công cộng của Direct Connect sẽ quảng bá các tiền tố AnyCast được điểm cuối công cộng thuộc AGA sử dụng.

Số lượng liên kết tối đa là 4x trong nhóm LAG.

Chúng ở chế độ chủ động/chủ động. Nói cách khác, các cổng AWS liên tục gửi Đơn vị dữ liệu giao thức kiểm soát tổng hợp liên kết (LACPDU – Link Aggregation Control Protocol Data Unit). 

Đơn vị truyền tối đa của LAG có thể thay đổi. Vui lòng tham khảo tài liệu Khung Jumbo ở đây để biết thêm chi tiết.

Bạn có thể cấu hình LAG ở điểm cuối của bạn với chế độ chủ động hoặc thụ động của LACP. Phía AWS luôn được cấu hình là LACP ở chế độ chủ động.

Không, bạn có thể tạo LAG bằng cùng một loại cổng (1 G hoặc 10 G).

Tính năng đó sẽ được cung cấp cho các cổng Kết nối chuyên dụng 1 G, 10 G, 100 G.

Không. Tính năng đó chỉ được cung cấp cho các Kết nối chuyên dụng 1 G, 10 G và 100 G. Tính năng này không dành cho kết nối lưu trữ.

Có, nếu các cổng của bạn ở trên cùng một thiết bị AWS Direct Connect. Xin lưu ý rằng việc này sẽ làm cho cổng của bạn ngừng hoạt động trong giây lát khi chúng được cấu hình lại thành LAG. Các cổng đó sẽ không hoạt động trở lại cho đến khi LAG được cấu hình ở phía bạn.

LAG sẽ chỉ chứa các cổng trên cùng một thiết bị AWS Direct Connect. Chúng tôi không hỗ trợ LAG đa khung.

Bạn phải yêu cầu một cổng khác cho LAG. Nếu không có sẵn cổng nào trên chính thiết bị đang dùng, thì bạn phải đặt mua LAG mới và di chuyển các kết nối của bạn. Ví dụ: nếu bạn có 3 liên kết 1 G và muốn thêm liên kết thứ tư và chúng ta không có sẵn cổng nào trên thiết bị đó, bạn phải đặt mua LAG mới có 4 cổng 1 G.

Bạn có thể gán cùng một lúc nhiều VIF với một VGW và có thể cấu hình các VIF trên một kết nối kể cả khi nó ngừng hoạt động. Chúng tôi đề xuất bạn nên tạo các VIF mới trên LAG mới, rồi di chuyển các kết nối sang LAG mới sau khi bạn đã tạo xong toàn bộ các VIF. Hãy nhớ xóa các kết nối cũ để chúng tôi dừng tính phí sử dụng chúng.

Có, nhưng chỉ khi bạn thiết lập số liên kết tối thiểu nhỏ hơn số cổng còn lại. Ví dụ: bạn có bốn cổng và số liên kết tối thiểu là bốn, bạn sẽ không thể xóa một cổng khỏi LAG. Nếu số liên kết tối thiểu được thiết lập là ba, bạn có thể xóa một cổng khỏi LAG. Chúng tôi sẽ trả về một thông báo với bảng/cổng cụ thể mà bạn đã xóa và một lời nhắc ngắt kết nối chéo và mạch khỏi AWS.

Có, nhưng giống như kết nối thông thường, bạn không thể xóa nó nếu bạn đã cấu hình các VIF.

Có, bạn có thể có một cổng duy nhất trên một LAG.

Có. Vui lòng lưu ý rằng chúng tôi không thể đảm bảo rằng các cổng sẽ khả dụng trên cùng một khung trong trường hợp bạn muốn thêm nhiều cổng hơn trong tương lai.

Có. Có thể thực hiện việc này bằng lệnh gọi API DisassociateConnectionWithLag. 

Bạn có thể sử dụng API AssociateVirtualInterface hoặc bảng điều khiển để thực hiện thao tác này.

Nó sẽ hiển thị một dxlag và chúng tôi sẽ liệt kê mã nhận diện kết nối ở bên dưới.

Liên kết tối thiểu là một tính năng trên LACP, trong đó bạn có thể thiết lập số liên kết tối thiểu cần hoạt động trên một gói để gói đó hoạt động và truyền lưu lượng. Ví dụ: nếu bạn có bốn cổng, số liên kết tối thiểu được thiết lập là ba và bạn chỉ có hai cổng hoạt động, gói của bạn sẽ không hoạt động. Nếu bạn có từ ba cổng trở lên thì gói sẽ hoạt động và truyền lưu lượng nếu bạn đã cấu hình VIF.

Nếu bạn không lựa chọn số liên kết tối thiểu thì mục đó sẽ mặc định bằng 0. Bạn có thể thay đổi giá trị số liên kết tối thiểu sau khi thiết lập gói bằng Bảng điều khiển quản lý AWS hoặc API.

Khi một kết nối AWS Direct Connect hiện có Giao diện ảo (VIF) được liên kết với một LAG, Giao diện ảo sẽ được di chuyển sang LAG. Vui lòng lưu ý rằng một số tham số nhất định được liên kết với VIF, như số VLAN, phải là duy nhất thì mới có thể di chuyển được sang LAG.

Chúng tôi sẽ xử lý tất cả các liên kết như nhau nên không đặt ra “mức ưu tiên” cho bất kỳ liên kết cụ thể nào.

Để làm được điều này, bạn cần 4 giao diện 10 GE trên bộ định tuyến để kết nối với AWS. Chúng tôi không hỗ trợ việc kết nối một giao diện 40 GE với 4 LACP 10 GE.

Chúng tôi không áp dụng phí thiết lập và bạn có thể hủy bỏ dịch vụ bất kỳ lúc nào. Các dịch vụ do Đối tác AWS Direct Connect cung cấp có thể áp dụng các điều khoản hoặc giới hạn khác.

AWS Direct Connect có hai loại phí riêng: giờ sử dụng cổng và truyền dữ liệu. Mức giá tính trên số giờ sử dụng cổng đã dùng cho mỗi loại cổng. Số giờ sử dụng cổng không tròn một giờ sẽ được tính tròn là một giờ. Tài khoản sở hữu cổng sẽ bị tính phí theo mức phí số giờ sử dụng cổng.

Truyền dữ liệu thông qua AWS Direct Connect sẽ được tính phí trong tháng phát sinh hoạt động sử dụng. Vui lòng xem thêm thông tin bổ sung dưới đây để hiểu cách tính phí truyền dữ liệu.

Không, hoạt động truyền dữ liệu giữa các Vùng sẵn sàng trong một Khu vực sẽ được tính phí theo mức phí truyền dữ liệu thông thường ở Khu vực trong cùng tháng phát sinh mức sử dụng.

Số giờ sử dụng cổng được tính phí khi bạn đã chấp nhận Kết nối lưu trữ. Phí sử dụng cổng sẽ tiếp tục được tính chừng nào Kết nối lưu trữ vẫn còn được cung cấp cho bạn sử dụng. Nếu bạn không muốn mất phí cho Kết nối lưu trữ nữa, hãy làm việc với Đối tác AWS Direct Connect để hủy Kết nối lưu trữ.

Tất cả các khoản phí đối với số giờ sử dụng cổng cho Kết nối lưu trữ tại một địa điểm AWS Direct Connect được nhóm theo dung lượng.

Ví dụ: xét hóa đơn cho một khách hàng có hai Kết nối lưu trữ 200 Mbps riêng biệt tại một địa điểm AWS Direct Connect và không có Kết nối lưu trữ nào khác tại địa điểm đó. Các khoản phí theo giờ sử dụng cổng cho hai Kết nối lưu trữ 200 Mbps riêng biệt sẽ được tóm tắt trong một mục duy nhất với nhãn kết thúc bằng “HCPortUsage:200M”. Trong một tháng với tổng số 720 giờ, tổng số giờ sử dụng cổng cho mục này sẽ là 1.440 hoặc bằng tổng số giờ trong tháng nhân với tổng số Kết nối lưu trữ 200 Mbps tại địa điểm này.

Thông số xác định dung lượng Kết nối lưu trữ có thể xuất hiện trên hóa đơn như sau:

HCPortUsage:50M

HCPortUsage:100M

HCPortUsage:200M

HCPortUsage:300M

HCPortUsage:400M

HCPortUsage:500M

HCPortUsage:1G

HCPortUsage:2G

HCPortUsage:5G

HCPortUsage:10G

Lưu ý rằng các thông số xác định dung lượng này sẽ xuất hiện theo vị trí tùy thuộc vào dung lượng Kết nối lưu trữ mà bạn có tại mỗi vị trí.

Đối với các tài nguyên AWS có thể định địa chỉ công cộng (như: vùng lưu trữ Simple Storage Service (Amazon S3), các phiên bản EC2 Classic hoặc lưu lượng EC2 truyền qua cổng Internet), nếu lưu lượng đi có điểm đích là những tiền tố công cộng thuộc sở hữu của cùng một tài khoản người thanh toán AWS và được chủ động quảng bá tới AWS thông qua một giao diện ảo công cộng AWS Direct Connect, thì mức sử dụng Truyền dữ liệu ra ngoài (DTO) sẽ được tính cho chủ sở hữu tài nguyên theo mức phí truyền dữ liệu AWS Direct Connect.

Về mức định giá của AWS Direct Connect, vui lòng xem trang định giá của AWS Direct Connect để biết thêm thông tin chi tiết. Nếu bạn sử dụng một Đối tác AWS Direct Connect để hỗ trợ cho kết nối AWS Direct Connect, hãy liên hệ với Đối tác AWS Direct Connect đó để biết mọi khoản phí họ có thể tính.

Với việc ra mắt tính năng phân bổ Truyền dữ liệu ra ngoài chi tiết, tài khoản AWS chịu trách nhiệm việc Truyền dữ liệu ra ngoài sẽ phải trả phí cho việc Truyền dữ liệu ra ngoài được thực hiện thông qua giao diện ảo chuyển tiếp/riêng. Việc xác định tài khoản AWS chịu trách nhiệm cho việc Truyền dữ liệu ra ngoài sẽ phụ thuộc vào việc sử dụng của khách hàng đối với giao diện ảo chuyển tiếp/riêng như sau:

Giao diện ảo riêng được dùng để giao tiếp với Đám mây riêng ảo của Amazon có hoặc không có cổng AWS Direct Connect. Đối với giao diện ảo riêng, tài khoản AWS sở hữu tài nguyên AWS chịu trách nhiệm Truyền dữ liệu ra ngoài sẽ được tính phí.

Giao diện ảo chuyển tiếp được dùng để giao tiếp với Cổng chuyển tiếp AWS. Đối với giao diện ảo chuyển tiếp, tài khoản được tính phí sẽ là tài khoản AWS sở hữu Amazon Virtual Private Cloud liên kết với AWS Transit Gateway được liên kết với cổng AWS Direct Connect được gán cho giao diện ảo chuyển tiếp. Vui lòng lưu ý rằng tất cả các khoản phí áp dụng cụ thể của Cổng chuyển tiếp AWS (Xử lý dữ liệu và Liên kết) sẽ được cộng thêm vào phí Truyền dữ liệu ra ngoài Direct Connect.

Mức sử dụng tính năng truyền dữ liệu AWS Direct Connect sẽ được tổng hợp cho tài khoản quản lý của bạn.

Bạn có thể hủy AWS Direct Connect bằng cách xóa cổng của bạn khỏi Bảng điều khiển quản lý AWS. Bạn cũng cần hủy bỏ mọi dịch vụ do bên thứ ba mua. Ví dụ: hãy liên hệ với nhà cung cấp dịch vụ cho thuê chỗ đặt máy chủ để hủy mọi kết nối chéo đến AWS Direct Connect và/hoặc liên hệ với nhà cung cấp dịch vụ mạng đang cung cấp khả năng kết nối mạng từ các địa điểm từ xa của bạn đến địa điểm AWS Direct Connect.

Trừ khi có ghi chú khác, các mức giá của chúng tôi chưa bao gồm các loại thuế hiện hành, bao gồm cả thuế GTGT và thuế doanh thu hiện hành. Đối với khách hàng có địa chỉ ghi hóa đơn ở Nhật Bản, việc sử dụng dịch vụ AWS sẽ tuân thủ Thuế tiêu thụ của Nhật Bản. Tìm hiểu thêm.

Đối với Kết nối chuyên dụng, có các cổng 1 Gbps, 10 Gbps và 100 Gbps. Đối với Kết nối lưu trữ, có thể đặt các tốc độ kết nối 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps và 10 Gbps từ Đối tác AWS Direct Connect được phê duyệt. Hãy xem Đối tác AWS Direct Connect để biết thêm thông tin. 

Không. Bạn có thể truyền bất kỳ lượng dữ liệu nào, tối đa là theo giới hạn dung lượng cổng mà bạn đã lựa chọn.

Có, bạn có thể quảng bá tối đa 100 tuyến qua mỗi phiên Border Gateway Protocol bằng AWS Direct Connect. Tìm hiểu thêm về các giới hạn của AWS Direct Connect.

Phiên Border Gateway Protocol của bạn sẽ ngừng hoạt động nếu bạn quảng bá quá 100 tuyến qua một phiên Border Gateway Protocol. Điều này sẽ khiến toàn bộ lưu lượng mạng không thể truyền qua giao diện ảo đó cho đến khi bạn giảm số tuyến xuống dưới 100.

AWS Direct Connect hỗ trợ kết nối 1000BASE-LX, 10GBASE-LR hoặc 100GBASE-LR4 qua cáp quang một chế độ bằng tính năng vận chuyển qua Ethernet. Thiết bị của bạn phải hỗ trợ VLAN 802.1Q. Hãy xem thêm thông tin chi tiết về yêu cầu trong Hướng dẫn sử dụng AWS Direct Connect.

Không, VLAN chỉ được sử dụng trong AWS Direct Connect để tách lưu lượng giữa các giao diện ảo.

Kết nối này yêu cầu sử dụng Border Gateway Protocol (BGP) có Số hệ thống tự quản (ASN) và Tiền tố IP. Bạn sẽ cần các thông tin sau để hoàn thiện kết nối:

Một ASN công cộng hoặc riêng. Nếu bạn sử dụng ASN công cộng, bạn phải là người sở hữu nó. Nếu bạn sử dụng ASN riêng, thì số đó phải nằm trong khoảng từ 64512 đến 65535.

Một thẻ VLAN mới chưa qua sử dụng do bạn lựa chọn.

IP công cộng (/31 hoặc /30) phân bổ cho phiên BGP. RFC 3021 (Sử dụng các tiền tố 31 bit trên liên kết điểm nối điểm IPv4) được hỗ trợ trên tất cả các loại giao diện ảo Direct Connect.

Theo mặc định, Amazon sẽ quảng bá tiền tố IP công cộng toàn cầu thông qua BGP. Bạn phải quảng bá tiền tố địa chỉ IP công cộng (/31 hoặc nhỏ hơn) do bạn sở hữu hoặc do AWS cung cấp thông qua BGP. Để biết thêm chi tiết, hãy tham khảo Hướng dẫn sử dụng AWS Direct Connect.

Xem thông tin bên dưới để biết thêm chi tiết về AWS Direct Connect, Sử dụng ASN riêng của chính bạn.

Nếu bạn cấu hình giao diện ảo giao tiếp với Đám mây AWS công cộng thì địa chỉ IP cho cả hai đầu của kết nối phải được phân bổ từ không gian địa chỉ IP công cộng do bạn sở hữu. Nếu giao diện ảo được kết nối với VPC và bạn chọn để AWS tự động tạo CIDR IP ngang hàng, thì không gian địa chỉ IP cho cả hai đầu của kết nối sẽ được AWS phân bổ và nằm trong dải 169.254.0.0/16.

Bạn có thể mua không gian để giá ở cơ sở dùng làm địa điểm AWS Direct Connect và triển khai thiết bị của bạn ở gần đó. Tuy nhiên, do các phương pháp bảo mật, bạn không thể đặt thiết bị trong khu vực lồng hoặc giá AWS Direct Connect. Để biết thêm thông tin, hãy liên hệ với nhà điều hành cơ sở của bạn. Sau khi triển khai, bạn có thể kết nối thiết bị của mình với AWS Direct Connect bằng kết nối chéo.

BFD không đồng bộ được kích hoạt tự động cho mỗi giao diện ảo AWS Direct Connect nhưng sẽ không có hiệu lực cho đến khi nó được cấu hình trên bộ định tuyến của bạn. AWS đã thiết lập khoảng tối thiểu phát hiện sự sống BFD là 300 và hệ số nhân phát hiện sự sống BFD là 3.

Xem hướng dẫn chi tiết về cách thiết lập AWS Direct Connect để sử dụng với Khu vực AWS GovCloud (Hoa Kỳ) trong Hướng dẫn sử dụng AWS GovCloud (Hoa Kỳ). 

AWS Direct Connect yêu cầu có Border Gateway Protocol (BGP). Để hoàn tất kết nối, bạn sẽ cần:

• ASN công cộng hoặc riêng. Nếu bạn sử dụng ASN công cộng, bạn phải là người sở hữu nó. Nếu bạn sử dụng ASN riêng, thì số đó phải nằm trong khoảng từ 64512 đến 65535.

• Thẻ VLAN mới, chưa sử dụng mà bạn chọn.

• ID cổng riêng ảo (VGW) VPC

• AWS sẽ phân bổ IP riêng (/30) trong dải 169.x.x.x cho phiên BGP và sẽ cung cấp khối VPC CIDR qua BGP. Bạn có thể cung cấp tuyến mặc định qua BGP.

Không, hiện chúng tôi không hỗ trợ kết nối Lớp 2.

Kết nối VPN sử dụng IPsec để thiết lập kết nối mạng được mã hóa giữa mạng nội bộ của bạn và Amazon VPC qua mạng Internet công cộng. Có thể cấu hình Kết nối VPN trong vài phút và nó là giải pháp hiệu quả nếu bạn có nhu cầu cấp bách, có yêu cầu băng thông từ thấp đến vừa phải và có thể chịu sự bất ổn cố hữu về kết nối dựa trên Internet. AWS Direct Connect bỏ qua Internet; thay vào đó, dịch vụ này sử dụng kết nối mạng riêng, chuyên dụng giữa mạng của bạn và AWS.

Có, nhưng chỉ dành cho chuyển đổi dự phòng. Đường dẫn AWS Direct Connect, khi được thiết lập, sẽ luôn được ưu tiên bất kể có tùy chọn nối tiếp đường dẫn AS hay không. Đảm bảo rằng kết nối VPN của bạn có thể xử lý lưu lượng chuyển đổi dự phòng từ AWS Direct Connect.

VPN BGP sẽ hoạt động tương tự như AWS Direct Connect.

Tất cả các Khu vực AWS thương mại đều hỗ trợ cho AWS Transit Gateway.

Bạn có thể sử dụng Bảng điều khiển quản lý AWS hoặc các thao tác API để tạo giao diện ảo chuyển tiếp.

Có, bạn có thể phân bổ giao diện ảo chuyển tiếp trong bất kỳ tài khoản AWS nào.

Không, bạn không thể gán giao diện ảo chuyển tiếp cho Cổng riêng ảo của bạn.

Không, bạn không thể gán giao diện ảo riêng cho Cổng chuyển tiếp AWS của bạn.

Vui lòng tham khảo trang định mức của AWS Direct Connect để tìm hiểu thêm về các giới hạn liên quan đến giao diện ảo chuyển tiếp.

Không, Cổng AWS Direct Connect chỉ có thể được gán cho một loại giao diện ảo.

Không, Cổng chuyển tiếp AWS chỉ có thể được liên kết với cổng AWS Direct Connect đã gán cho giao diện ảo chuyển tiếp.

Có thể mất tới 40 phút để thiết lập liên kết giữa AWS Transit Gateway và cổng AWS Direct Connect.

Bạn có thể tạo tối đa 51 giao diện ảo trên mỗi kết nối chuyên dụng 1 Gbps, 10 Gbps hoặc 100 Gbps, bao gồm giao diện ảo chuyển tiếp.

Có.

Bạn có thể tạo một giao diện ảo chuyển tiếp trên LAG 4x 10 G.

Có, giao diện ảo chuyển tiếp sẽ hỗ trợ khung jumbo. Kích cỡ đơn vị truyền tối đa (MTU) sẽ được giới hạn ở mức 8.500.

Có, bạn có thể tiếp tục sử dụng các thuộc tính BGP được hỗ trợ (AS_PATH, Local Pref, NO_EXPORT) trên giao diện ảo chuyển tiếp.

Cổng AWS Direct Connect thực hiện một số chức năng:

Cổng AWS Direct Connect sẽ mang đến cho bạn khả năng giao tiếp với VPC ở bất kỳ Khu vực AWS nào (trừ Khu vực AWS ở Trung Quốc), nhờ đó, bạn có thể sử dụng kết nối AWS Direct Connect để giao tiếp với nhiều Khu vực AWS.

Bạn có thể chia sẻ giao diện ảo riêng để giao tiếp với tối đa 10 VPC nhằm giảm số phiên Border Gateway Protocol giữa mạng tại chỗ của bạn và phần triển khai AWS.

Khi gán giao diện ảo (VIF) chuyển tiếp cho cổng AWS Direct Connect và liên kết AWS Transit Gateway với cổng Direct Connect, bạn có thể chia sẻ giao diện ảo chuyển tiếp để kết nối với tối đa ba AWS Transit Gateway. Điều này có thể giúp giảm số phiên Border Gateway Protocol giữa mạng tại chỗ của bạn và phần triển khai AWS. Sau khi VIF chuyển tiếp được kết nối với Cổng AWS Direct Connect, Cổng đó sẽ không thể lưu trữ VIF riêng khác nữa mà trở thành cổng chuyên dụng cho VIF chuyển tiếp.

Bạn có thể liên kết nhiều cổng riêng ảo (VGW, được liên kết với VPC) với một cổng AWS Direct Connect, miễn là các khối dữ liệu CIDR IP của Amazon VPC được liên kết với Cổng riêng ảo không chồng lấn.

Bạn có thể liên kết tối đa ba Transit Gateway với một cổng AWS Direct Connect, miễn là các khối dữ liệu CIDR IP được thông báo từ Transit Gateway của bạn không chồng lấn.

Có, bạn có thể liên kết VPC thuộc sở hữu của bất cứ tài khoản AWS nào với một cổng AWS Direct Connect thuộc sở hữu của bất cứ tài khoản AWS nào.

Có, bạn có thể liên kết Transit Gateway thuộc sở hữu của bất cứ tài khoản AWS nào với một cổng AWS Direct Connect thuộc sở hữu của bất cứ tài khoản AWS nào.

Không. Khi bạn sử dụng cổng AWS Direct Connect, lưu lượng truy cập của bạn sẽ đi theo con đường ngắn nhất đến và từ địa điểm AWS Direct Connect của bạn đến Khu vực AWS đích, bất kể Khu vực AWS chủ được liên kết của địa điểm AWS Direct Connect mà bạn kết nối.

Bạn không bị tính phí khi sử dụng cổng AWS Direct Connect. Bạn sẽ trả phí dữ liệu đầu ra áp dụng dựa trên Khu vực AWS từ xa nguồn và phí giờ sử dụng cổng. Xem trang định giá của AWS Direct Connect để biết chi tiết. 

Các giao diện ảo riêng và cổng AWS Direct Connect phải ở trong cùng một tài khoản AWS. Tương tự, giao diện ảo chuyển tiếp và cổng AWS Direct Connect cũng phải ở trong cùng một tài khoản AWS. Cổng riêng ảo và AWS Transit Gateway có thể ở các tài khoản AWS khác với tài khoản sở hữu cổng AWS Direct Connect.

Các tính năng mạng như Elastic File System, Elastic Load Balancing, Application Load Balancer, Security Groups, Danh sách kiểm soát truy cập và AWS PrivateLink tương thích với cổng AWS Direct Connect. Cổng AWS Direct Connect không hỗ trợ các chức năng AWS VPN CloudHub. Tuy nhiên, nếu bạn sử dụng kết nối AWS Site-to-Site VPN với cổng ảo (VGW) được liên kết với cổng AWS Direct Connect của bạn thì bạn có thể sử dụng kết nối VPN để chuyển đổi dự phòng.

Các tính năng hiện không được AWS Direct Connect hỗ trợ là: AWS Classic VPN, AWS VPN (như: định tuyến giữa các biên), kết nối ngang hàng VPC, điểm cuối VPC.

Có, bạn có thể liên kết giao diện ảo (VIF) riêng được cung cấp với cổng AWS Direct Connect khi bạn xác nhận rằng giao diện ảo riêng được cung cấp trong tài khoản AWS của mình.

Bạn có thể tiếp tục gán giao diện ảo (VIF) của mình vào cổng riêng ảo (VGW). Ban sẽ vẫn có khả năng kết nối VPC trong Khu vực và sẽ được tính phí đầu ra cho các Khu vực địa lý có liên quan.

Vui lòng tham khảo trang định mức AWS Direct Connect để biết thông tin về chủ đề này.

Không, một cặp VGW – VPC không thể xuất hiện ở nhiều cổng AWS Direct Connect.

Không, mỗi giao diện ảo riêng chỉ có thể được gán cho một cổng AWS Direct Connect HOẶC một Cổng riêng ảo. Chúng tôi khuyên bạn nên tuân theo các đề xuất về khả năng phục hồi của AWS Direct Connect và gán nhiều giao diện ảo riêng. 

Không, cổng AWS Direct Connect không làm hỏng AWS VPN CloudHub. Cổng AWS Direct Connect cho phép kết nối giữa mạng tại chỗ và VPC ở bất kỳ Khu vực AWS nào. AWS VPN CloudHub cho phép kết nối giữa các mạng tại chỗ bằng AWS Direct Connect hoặc VPN trong cùng một Khu vực. VIF được liên kết trực tiếp với VGW. Chức năng AWS VPN CloudHub hiện có sẽ tiếp tục được hỗ trợ. Bạn có thể gán trực tiếp giao diện ảo (VIF) AWS Direct Connect với cổng riêng ảo (VGW) để hỗ trợ AWS VPN CloudHub trong Khu vực.

Vui lòng xem xét các mẫu hình lưu lượng được và không được hỗ trợ trong Hướng dẫn sử dụng AWS Direct Connect. 

Không, bạn không thể làm việc này với cổng AWS Direct Connect, nhưng bạn có tùy chọn gán trực tiếp một VIF cho một VGW để sử dụng VPN <-> Trường hợp sử dụng AWS Direct Connect - AWS VPN CloudHub.

Không, không thể liên kết một giao diện ảo riêng hiện có được liên kết với VGW với cổng AWS Direct Connect được. Để làm được điều này, bạn phải tạo một giao diện ảo riêng mới và tại thời điểm tạo, liên kết nó với cổng AWS Direct Connect của bạn.

Có, miễn là bảng định tuyến VPC có các tuyến dẫn đến cổng riêng ảo (VGW) hướng tới VPN.

Không, bạn không thể liên kết VGW chưa được gán cho cổng AWS Direct Connect.

Lưu lượng từ mạng tại chỗ của bạn đến VPC bị gỡ ra đó sẽ dừng lại và sự liên kết của VGW với cổng AWS Direct Connect sẽ bị xóa.

Lưu lượng từ mạng tại chỗ của bạn đến VGW (được liên kết với một VPC) bị gỡ ra đó sẽ dừng lại.

Không, cổng AWS Direct Connect chỉ hỗ trợ định tuyến lưu lượng từ các VIF của AWS Direct Connect tới VGW (được liên kết với VPC). Để gửi lưu lượng giữa hai VPC, bạn cần cấu hình kết nối ngang hàng VPC.

Không, cổng AWS Direct Connect sẽ không định tuyến lưu lượng giữa một VPN và một VIF của AWS Direct Connect. Để kích hoạt trường hợp sử dụng này, bạn phải tạo một VPN ở Khu vực AWS của VIF rồi gán VIF và VPN đó cho cùng một VGW.

Có, bạn có thể đổi cỡ VPC. Nếu bạn đổi cỡ VPC của mình, thì bạn phải gửi lại đề xuất với VPC CIDR đã đổi cỡ cho chủ sở hữu cổng AWS Direct Connect. Khi chủ sở hữu cổng AWS Direct Connect phê duyệt đề xuất mới, VPC CIDR đã đổi cỡ sẽ được quảng bá tới mạng tại chỗ của bạn.

Có, cổng AWS Direct Connect cung cấp một cách thức để bạn thông báo có chọn lọc các tiền tố tới các mạng tại chỗ của bạn. Đối với những tiền tố được quảng bá từ mạng tại chỗ của bạn, mỗi VPC đã liên kết với một cổng AWS Direct Connect sẽ nhận được tất cả các tiền tố được thông báo từ các mạng tại chỗ của bạn. Nếu bạn muốn giới hạn lưu lượng đến và từ bất kỳ VPC cụ thể nào thì bạn nên cân nhắc sử dụng Danh sách kiểm soát truy cập (ACL) cho mỗi VPC.

Có, toàn bộ các phiên BGP hiện có trên giao diện ảo riêng hỗ trợ sử dụng cộng đồng yêu thích địa phương.

Không, tính năng này hiện chỉ khả dụng ở giao diện ảo riêng và chuyển tiếp.

Có, tính năng này sẽ tương thích với giao diện ảo riêng được liên kết với cổng AWS Direct Connect.

Không, tại thời điểm này, chúng tôi không cung cấp tính năng giám sát đó.

Các cộng đồng sau đây được hỗ trợ cho giao diện ảo riêng và được đánh giá theo thứ tự mức độ yêu thích từ thấp nhất đến cao nhất. Các cộng đồng loại trừ lẫn nhau. Các tiền tố được đánh dấu bằng các cộng đồng giống nhau và có thuộc tính MED*, AS_PATH giống nhau là ứng viên phù hợp để sử dụng tính năng truyền bằng nhiều đường.

7224:7100 – Mức độ yêu thích thấp

7224:7200 – Mức độ yêu thích trung bình

7224:7300 – Mức độ ưu tiên cao

Nếu bạn không chỉ định cộng đồng Local Preference (Ưu tiên cục bộ) cho VIF riêng, mức độ ưu tiên cục bộ mặc định sẽ được xác định dựa trên khoảng cách từ Khu vực địa phương đến các Địa điểm AWS Direct Connect. Trong tình huống đó, biểu hiện đầu ra trên nhiều VIF từ nhiều Địa điểm AWS Direct Connect có thể mang tính tùy ý.

Có, bạn có thể sử dụng tính năng này để gây ảnh hưởng đến biểu hiện lưu lượng đầu ra giữa hai VIF trên cùng một kết nối vật lý.

Có. Có thể thực hiện việc này bằng cách quảng bá tiền tố qua giao diện ảo chính/chủ động với một cộng đồng để đạt mức độ yêu thích địa phương cao hơn so với tiền tố được quảng bá qua giao diện ảo dự phòng/thụ động. Tính năng này tương thích ngược với các phương pháp tồn tại trước đây để đạt được chuyển đổi dự phòng; nếu kết nối của bạn hiện được cấu hình để chuyển đổi dự phòng thì không cần thay đổi gì thêm nữa.

Không, chúng tôi sẽ tiếp tục tôn trọng thuộc tính AS_PATH. Tính năng này là một giải pháp bổ sung để bạn vận dụng nhằm kiểm soát tốt hơn lưu lượng đến từ AWS. AWS Direct Connect áp dụng cách tiếp cận tiêu chuẩn để lựa chọn đường dẫn. Nên nhớ rằng mức độ yêu thích địa phương được đánh giá trước thuộc tính AS_PATH.

Chúng tôi sẽ truyền bằng nhiều đường trên mỗi tiền tố ở quy mô lên tới 16 next-hop, trong đó mỗi next-hop là một điểm cuối AWS duy nhất.

Tại thời điểm này, chúng tôi chỉ cho phép phiên BGP v4 chạy một đường hầm VPN bằng địa chỉ IPv4.

Tại thời điểm này, chúng tôi chỉ hỗ trợ địa chỉ điểm cuối IPv4 cho VPN. 

Tại thời điểm này, chúng tôi chỉ cho phép phiên BGP v4 chạy một đường hầm VPN bằng địa chỉ IPv4.

Số hệ thống tự trị (ASN) riêng có thể cấu hình. Tính năng này cho phép khách hàng thiết lập ASN ở phía AWS của phiên BGP cho các VIF riêng trên Cổng AWS Direct Connect mới tạo.

Toàn bộ các Khu vực AWS thương mại (trừ Khu vực AWS ở Trung Quốc) và AWS GovCloud (US).

Bạn có thể cấu hình/gán một ASN để nó được quảng bá dưới dạng ASN phía AWS trong quá trình tạo cổng AWS Direct Connect mới. Bạn có thể tạo một cổng AWS Direct Connect bằng Bảng điều khiển quản lý AWS Direct Connect hoặc thao tác API CreateDirectConnectGateway.

Bạn có thể gán bất kỳ ASN riêng nào cho phía AWS. Bạn không thể gán bất kỳ ASN công cộng nào khác.

AWS không thẩm định quyền sở hữu đối với các ASN, do đó chúng tôi giới hạn ASN phía AWS ở các ASN riêng. Chúng tôi muốn bảo vệ không để khách hàng bị lừa bịp BGP.

Bạn có thể chọn bất kỳ ASN riêng nào. Các dải dành cho ASN riêng 16-bit là từ 64512 đến 65534. Bạn cũng có thể cung cấp các ASN 32-bit trong khoảng từ 4200000000 đến 4294967294.

Chúng tôi sẽ yêu cầu bạn nhập lại ASN riêng sau khi bạn cố tạo cổng AWS Direct Connect.

AWS sẽ cung cấp ASN số 64512 cho cổng AWS Direct Connect nếu bạn không chọn một ASN.

Bạn có thể xem ASN phía AWS trên bảng điều khiển AWS Direct Connect và trong phản hồi của DescribeDirectConnectGateways hoặc thao tác API DescribeVirtualInterfaces.

Có, bạn có thể cấu hình phía AWS của phiên BGP bằng một ASN riêng và phía bạn bằng một ASN công cộng.

Bạn phải tạo một cổng AWS Direct Connect mới bằng ASN mong muốn, sau đó tạo một VIF mới bằng cổng AWS Direct Connect mới tạo. Cũng cần phải thay đổi cấu hình thiết bị của bạn cho phù hợp.

Không, bạn có thể gán/cấu hình ASN phía AWS riêng cho mỗi cổng AWS Direct Connect, thay vì mỗi VIF. ASN phía AWS dành cho VIF được kế thừa từ ASN phía AWS của cổng AWS Direct Connect đã gán.

Có, bạn có thể sử dụng các ASN riêng khác cho Cổng AWS Direct Connect và Cổng riêng ảo của bạn. ASN phía AWS mà bạn nhận được phụ thuộc vào việc liên kết giao diện ảo riêng của bạn.

Có, bạn có thể sử dụng các ASN riêng giống nhau cho Cổng AWS Direct Connect và Cổng riêng ảo của bạn. ASN phía AWS mà bạn nhận được phụ thuộc vào việc liên kết giao diện ảo riêng của bạn.

ASN riêng của Cổng AWS Direct Connect sẽ được dùng làm ASN phía AWS cho phiên Giao thức cổng đường biên (BGP) giữa mạng của bạn và AWS.

Bạn có thể lựa chọn ASN riêng của chính bạn trong bảng điều khiển cổng AWS Direct Connect. Sau khi cổng AWS Direct Connect được cấu hình bằng ASN phía AWS, giao diện ảo riêng đã liên kết với cổng AWS Direct Connect sẽ sử dụng ASN đã cấu hình của bạn làm ASN phía AWS.

Bạn không phải thực hiện bất kỳ thay đổi nào.

Chúng tôi hỗ trợ các ASN 32 bit trong khoảng từ 4200000000 đến 4294967294.

Không, bạn không thể chỉnh sửa ASN phía AWS sau khi tạo. Bạn có thể xóa cổng AWS Direct Connect và tạo lại cổng AWS Direct Connect mới bằng ASN riêng mong muốn.

MACsec không được thiết kế để thay thế bất kỳ công nghệ mã hóa cụ thể nào. Để bảo đảm tính đơn giản và chiều sâu của hệ thống bảo vệ, bạn nên tiếp tục sử dụng mọi công nghệ mã hóa hiện đang dùng. Chúng tôi cung cấp MACsec như một tùy chọn mã hóa mà bạn có thể tích hợp vào mạng của mình cùng với các công nghệ mã hóa khác hiện đang dùng.

MACsec được hỗ trợ trên các kết nối AWS Direct Connect chuyên dụng 10 Gbps và 100 Gbps ở một số điểm hiện diện chọn lọc. Để MACsec hoạt động, kết nối chuyên dụng của bạn phải minh bạch đối với lưu lượng Lớp 2 và thiết bị tận cùng vùng liền kề Lớp 2 phải hỗ trợ MACsec. Nếu bạn đang sử dụng đối tác kết nối chặng cuối, hãy kiểm tra xem kết nối chặng cuối của bạn có hỗ trợ MACsec không. MACsec không được hỗ trợ trên các kết nối chuyên dụng 1 Gbps hoặc kết nối lưu trữ.

Có. Bạn sẽ cần có thiết bị tương thích MACsec ở đầu cuối kết nối Ethernet của bạn tới địa điểm AWS Direct Connect. Tham khảo phần Bảo mật MAC trong hướng dẫn sử dụng để xác minh chế độ hoạt động được hỗ trợ và các tính năng MACsec cần thiết.

MACsec yêu cầu bạn phải chấm dứt kết nối trên thiết bị tương thích MACsec ở phía AWS Direct Connect của kết nối đó. Bạn có thể kiểm tra xem kết nối hiện tại có tương thích với MACsec không qua Bảng điều khiển quản lý AWS hoặc bằng API DescribeConnections  của AWS Direct Connect. Nếu kết nối MACsec hiện có của bạn không được chấm dứt trên một thiết bị tương thích MACsec, thì bạn có thể yêu cầu kết nối mới, tương thích MACsec bằng Bảng điều khiển quản lý AWS hoặc API CreateConnection.

Đối với các kết nối 100 Gbps, chúng tôi hỗ trợ bộ mã hóa GCM-AES-XPN-256. Đối với các kết nối 10 Gbps, chúng tôi hỗ trợ GCM-AES-256 và GCM-AES-XPN-256.

Chúng tôi chỉ hỗ trợ khóa MACsec 256 bit nhằm mang đến khả năng nâng cao mới nhất.

Chúng tôi yêu cầu sử dụng XPN đối với các kết nối 100 Gbps. Đối với các kết nối 10 Gbps, chúng tôi hỗ trợ cả GCM-AES-256 và GCM-AES-XPN-256. Các kết nối với tốc độ cao, như kết nối chuyên dụng 100 Gbps, có thể nhanh chóng tiêu hao hết dung lượng đánh số gói 32 bit nguyên bản của MACsec, điều đó sẽ khiến bạn phải luân chuyển khóa mã hóa sau mỗi vài phút để thiết lập Connectivity Association mới. Để tránh tình huống này, phần sửa đổi IEEE Std 802.1AEbw-2013 đã công bố tùy chọn đánh số gói mở rộng, tăng dung lượng đánh số lên 64-bit, đáp ứng phần nào những yêu cầu về tính kịp thời đối với việc luân chuyển khóa.

Có. Chúng tôi yêu cầu SCI phải được bật. Mục cài đặt này không thể thay đổi được.

Không, chúng tôi không hỗ trợ việc di chuyển thẻ VLAN ra ngoài tải trọng đã mã hóa.

Không, chúng tôi không tính thêm phí cho MACsec.

Bảo trì Direct Connect

Bảo trì theo lịch được lên kế hoạch và chúng tôi sẽ đưa ra 3 thông báo – thông báo trước 10 ngày làm việc, sau đó là trước 5 ngày làm việc và sau nữa là trước 1 ngày làm việc. Bảo trì khẩn cấp được thực hiện vào bất cứ thời điểm nào và bạn có thể nhận được (các) thông báo trước tối đa 60 phút tùy theo tính chất của hoạt động bảo trì. Bạn có thể đăng ký nhận thông báo trên Bảng điều khiển AWS Direct Connect. Để biết thêm chi tiết, hãy xem Thông báo về các sự kiện hoặc bảo trì theo lịch của Direct Connect.   

Để giúp bạn quản lý sự kiện, Bảng điều khiển Trạng thái cá nhân AWS hiển thị thông tin liên quan, đồng thời đưa ra thông báo về các hoạt động. Bạn cũng có thể thiết lập thông báo qua email để nhận thông báo về các sự kiện hoặc bảo trì theo lịch có ảnh hưởng đến Direct Connect.

Do Direct Connect có quy mô toàn cầu nên chúng tôi không thể giới hạn hoạt động bảo trì vào

cuối tuần. Chúng tôi thiết lập bảo trì theo kế hoạch vào tất cả các ngày trong tuần. Hoạt động bảo trì thường được thực hiện trên mỗi thiết bị, tức là dxcon-xxxxxx là đơn vị tối thiểu để hạn chế tác động và chúng tôi đặc biệt khuyên bạn nên tuân theo các đề xuất về khả năng phục hồi của AWS Direct Connect để thiết lập các kết nối mạng linh hoạt với tài nguyên AWS theo cách tin cậy, có quy mô linh hoạt và tiết kiệm chi phí.

Khi kết nối Direct Connect ngừng hoạt động để bảo trì, thì có thể ngừng hoạt động từ vài phút đến vài giờ. Để chuẩn bị cho thời gian ngừng hoạt động này, bạn có thể thực hiện một trong các hành động sau:

Yêu cầu kết nối Direct Connect dự phòng.

Định cấu hình kết nối VPN site-to-site của AWS (mạng riêng ảo) làm kết nối dự phòng.

Cách tốt nhất là chuyển lưu lượng truy cập sang mạch khác trong thời gian bảo trì Direct Connect. Để phòng ngừa gián đoạn lưu lượng sản xuất, hãy sử dụng một trong các tùy chọn trên trước thời gian bảo trì theo lịch. Bạn cũng có thể sử dụng Bộ công cụ về khả năng phục hồi của AWS Direct Connect

để thực hiện kiểm tra chuyển đổi dự phòng theo lịch và xác minh khả năng phục hồi các kết nối.

Thi thoảng, AWS tiến hành bảo trì theo kế hoạch để cải thiện mức độ sẵn sàng và cung cấp các tính năng mới cho khách hàng. Chúng tôi sẽ thông báo quy trình bảo trì không khẩn cấp/theo kế hoạch thông thường trước ít nhất 10 ngày làm việc để cho phép khách hàng chuẩn bị trước bằng cách kiểm tra khả năng dự phòng nhằm đảm bảo tạo ra ít tác động nhất. Để biết thêm thông tin, hãy xem Làm cách nào để hủy sự kiện bảo trì Direct Connect ?

Đối tác sẽ nhận được thông báo bảo trì theo kế hoạch từ AWS để có thể lên kế hoạch cho phù hợp. AWS không biết hoạt động bảo trì của đối tác. Bạn sẽ cần xác nhận với đối tác/nhà cung cấp của mình để biết lịch bảo trì theo kế hoạch của họ. Khách hàng có thể muốn cân nhắc sử dụng dịch vụ của hai đối tác khác nhau ở các địa điểm Direct Connect khác nhau nhằm giảm thiểu nguy cơ thời gian bảo trì của đối tác chồng chéo.