Memperluas VRFs ke AWS dengan menggunakan AWS Transit Gateway Connect - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperluas VRFs ke AWS dengan menggunakan AWS Transit Gateway Connect

Adam Till, Yashar Araghi, Vikas Dewangan, dan Mohideen, Amazon Web Services HajaMohideen

Ringkasan

Virtual routing and forwarding (VRF) adalah fitur jaringan tradisional. Ini menggunakan domain routing logis terisolasi, dalam bentuk tabel rute, untuk memisahkan lalu lintas jaringan dalam infrastruktur fisik yang sama. Anda dapat mengonfigurasi AWS Transit Gateway untuk mendukung isolasi VRF saat menghubungkan jaringan lokal ke AWS. Pola ini menggunakan arsitektur sampel untuk menghubungkan lokal VRFs ke tabel rute gateway transit yang berbeda.

Pola ini menggunakan transit virtual interface (VIFs) di AWS Direct Connect dan lampiran transit gateway Connect untuk memperluas. VRFs VIF transit digunakan untuk mengakses satu atau lebih gateway transit VPC Amazon yang terkait dengan gateway Direct Connect. Lampiran Connect gateway transit menghubungkan gateway transit dengan alat virtual pihak ketiga yang berjalan di VPC. Lampiran transit gateway Connect mendukung protokol terowongan Generic Routing Encapsulation (GRE) untuk kinerja tinggi, dan mendukung Border Gateway Protocol (BGP) untuk perutean dinamis.

Pendekatan yang dijelaskan dalam pola ini memiliki manfaat sebagai berikut:

  • Dengan menggunakan Transit Gateway Connect, Anda dapat mengiklankan hingga 1.000 rute ke peer Transit Gateway Connect dan menerima hingga 5.000 rute darinya. Menggunakan fitur VIF transit Direct Connect tanpa Transit Gateway Connect dibatasi hingga 20 awalan per gateway transit.

  • Anda dapat mempertahankan isolasi lalu lintas dan menggunakan Transit Gateway Connect untuk menyediakan layanan yang dihosting di AWS, terlepas dari skema alamat IP yang digunakan pelanggan Anda.

  • Lalu lintas VRF tidak perlu melintasi antarmuka virtual publik. Ini membuatnya lebih mudah untuk mematuhi persyaratan kepatuhan dan keamanan di banyak organisasi.

  • Setiap terowongan GRE mendukung hingga 5 Gbps, dan Anda dapat memiliki hingga empat terowongan GRE per lampiran Connect gateway transit. Ini lebih cepat daripada banyak jenis koneksi lainnya, seperti koneksi AWS Site-to-Site VPN yang mendukung hingga 1,25 Gbps.

Prasyarat dan batasan

Prasyarat

Batasan

  • Ada batasan untuk lampiran gateway transit ke akun VPCs produksi, QA, dan pengembangan. Untuk informasi selengkapnya, lihat Lampiran gateway transit ke VPC.

  • Ada batasan untuk membuat dan menggunakan gateway Direct Connect. Untuk informasi selengkapnya, lihat kuota AWS Direct Connect.

Arsitektur

Arsitektur target

Contoh arsitektur berikut menyediakan solusi yang dapat digunakan kembali untuk menerapkan transit VIFs dengan lampiran Connect gateway transit. Arsitektur ini memberikan ketahanan dengan menggunakan beberapa lokasi Direct Connect. Untuk informasi selengkapnya, lihat Ketahanan maksimum dalam dokumentasi Direct Connect. Jaringan lokal memiliki produksi, QA, dan pengembangan VRFs yang diperluas ke AWS dan diisolasi dengan menggunakan tabel rute khusus.

Diagram arsitektur menggunakan sumber daya AWS Direct Connect dan AWS Transit Gateway untuk memperluas VRFs

Di lingkungan AWS, dua akun didedikasikan untuk memperluas VRFs: akun Direct Connect dan akun hub jaringan. Akun Direct Connect berisi koneksi dan transit VIFs untuk setiap router. Anda membuat transit VIFs dari akun Direct Connect tetapi menyebarkannya ke akun hub jaringan sehingga Anda dapat mengaitkannya dengan gateway Direct Connect di akun hub jaringan. Akun hub jaringan berisi gateway Direct Connect dan gateway transit. Sumber daya AWS terhubung sebagai berikut:

  1. Transit VIFs menghubungkan router di lokasi Direct Connect dengan AWS Direct Connect di akun Direct Connect.

  2. VIF transit menghubungkan Direct Connect dengan gateway Direct Connect di akun hub jaringan.

  3. Asosiasi gateway transit menghubungkan gateway Direct Connect dengan gateway transit di akun hub jaringan.

  4. Lampiran transit gateway Connect menghubungkan gateway transit dengan VPCs akun produksi, QA, dan pengembangan.

Arsitektur Transit VIF

Diagram berikut menunjukkan detail konfigurasi untuk transit VIFs. Contoh arsitektur ini menggunakan VLAN untuk sumber terowongan, tetapi Anda juga bisa menggunakan loopback.

Detail konfigurasi untuk koneksi VIF transit antara router dan AWS Direct Connect

Berikut ini adalah detail konfigurasi, seperti nomor sistem otonom (ASNs), untuk transit VIFs.

Sumber Daya

Item

Detail

router-01

ASN

65534

router-02

ASN

65534

router-03

ASN

65534

router-04

ASN

65534

Gateway Direct Connect

ASN

64601

Gateway transit

ASN

64600

Blok CIDR

10.100.254.0/24

Transit gateway Connect arsitektur

Diagram dan tabel berikut menjelaskan cara mengkonfigurasi VRF tunggal melalui lampiran Connect gateway transit. Untuk tambahan VRFs, tetapkan terowongan unik IDs, alamat IP GRE gateway transit, dan BGP di dalam blok CIDR. Alamat IP GRE peer cocok dengan alamat IP peer router dari VIF transit.

Detail konfigurasi untuk terowongan GRE antara router dan gateway transit

Tabel berikut berisi rincian konfigurasi router.

Router

Terowongan

Alamat IP

Sumber

Tujuan

router-01

Terowongan 1

169.254.101.17

VLAN 60

169.254.100.1

10.100.254.1

router-02

Terowongan 11

169.254.101.81

VLAN 61

169.254.100.5

10.100.254.11

router-03

Terowongan 21

169.254.101.145

VLAN 62

169.254.100.9

10.100.254.21

router-04

Terowongan 31

169.254.101.209

VLAN 63

169.254.100.13

10.100.254.31

Tabel berikut berisi rincian konfigurasi gateway transit.

Terowongan

Alamat IP GRE gateway transit

Alamat IP Peer GRE

BGP di dalam blok CIDR

Terowongan 1

10.100.254.1

VLAN 60

169.254.100.1

169.254.101.16/29

Terowongan 11

10.100.254.11

VLAN 61

169.254.100.5

169.254.101.80/29

Terowongan 21

10.100.254.21

VLAN 62

169.254.100.9

169.254.101.144/29

Terowongan 31

10.100.254.31

VLAN 63

169.254.100.13

169.254.101.208/29

Deployment

Bagian Epics menjelaskan cara menerapkan konfigurasi sampel untuk satu VRF di beberapa router pelanggan. Setelah langkah 1—5 selesai, Anda dapat membuat lampiran Connect gateway transit baru dengan menggunakan langkah 6-7 untuk setiap VRF baru yang Anda perluas ke AWS:

  1. Buat gateway transit.

  2. Buat tabel rute Transit Gateway untuk setiap VRF.

  3. Buat antarmuka virtual transit.

  4. Buat gateway Direct Connect.

  5. Buat antarmuka virtual gateway Direct Connect dan asosiasi gateway dengan awalan yang diizinkan.

  6. Buat lampiran Connect gateway transit.

  7. Buat peer Transit Gateway Connect.

  8. Kaitkan lampiran Connect gateway transit dengan tabel rute.

  9. Iklankan rute ke router.

Alat

Layanan AWS

  • AWS Direct Connect menautkan jaringan internal Anda ke lokasi Direct Connect melalui kabel serat optik Ethernet standar. Dengan koneksi ini, Anda dapat membuat antarmuka virtual langsung ke layanan AWS publik sambil melewati penyedia layanan internet di jalur jaringan Anda.

  • AWS Transit Gateway adalah hub pusat yang menghubungkan cloud pribadi virtual (VPCs) dan jaringan lokal.

  • Amazon Virtual Private Cloud (Amazon VPC) membantu Anda meluncurkan sumber daya AWS ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur AWS yang dapat diskalakan.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat diagram arsitektur kustom.

  1. Di bagian Lampiran, unduh templat diagram.

  2. Buka diagram terlampir di Microsoft Office PowerPoint.

  3. Pada slide ikhtisar Arsitektur, sesuaikan diagram arsitektur untuk lingkungan Anda. Identifikasi lokal VRFs yang perlu diperluas ke lingkungan AWS Anda.

  4. Pada slide Transit VIF, sesuaikan diagram arsitektur. Identifikasi nomor AS dari router, gateway Direct Connect, dan gateway transit. Identifikasi alamat IP di setiap ujung VIF transit.

  5. Pada slide Transit Gateway Connect, sesuaikan diagram arsitektur untuk setiap VRF. Identifikasi semua alamat IP yang diperlukan untuk mengkonfigurasi router dan rekan Transit Gateway Connect.

Arsitek cloud, Administrator jaringan
TugasDeskripsiKeterampilan yang dibutuhkan

Buat gateway transit.

  1. Masuk ke akun hub jaringan.

  2. Ikuti petunjuk di Buat gateway transit. Perhatikan hal berikut untuk pola ini:

    • Untuk Amazon side Autonomous System Number (ASN), masukkan ASN unik. Untuk keperluan contoh ini, ASN adalah64600.

    • Pilih dukungan DNS.

    • Untuk contoh arsitektur ini, dukungan VPN ECMP, asosiasi tabel rute default, prorogasi tabel rute default, dan dukungan Multicast tidak diperlukan.

    • Untuk blok CIDR gateway Transit, masukkan blok IPv4 CIDR untuk gateway transit Anda. Untuk keperluan contoh ini, blok CIDR adalah10.100.254.0/24.

Administrator jaringan, arsitek Cloud

Buat tabel rute gateway transit.

Ikuti petunjuk di Buat tabel rute gateway transit. Perhatikan hal berikut untuk pola ini:

  • Untuk tag Nama, berikan nama untuk tabel rute gateway transit. Sebaiknya gunakan nama yang sesuai dengan VRF, seperti. routetable-dev-vrf

  • Untuk ID gateway Transit, pilih gateway transit yang Anda buat sebelumnya.

Arsitek cloud, Administrator jaringan
TugasDeskripsiKeterampilan yang dibutuhkan

Buat antarmuka virtual transit.

  1. Masuk ke akun Direct Connect.

  2. Ikuti petunjuk di Buat antarmuka virtual transit ke gateway Direct Connect. Perhatikan hal berikut untuk pola ini:

    • Untuk nama antarmuka Virtual, masukkan nama untuk VIF transit. Sebaiknya gunakan nama yang sesuai dengan router, sepertitransit-vif-router01.

    • Untuk Koneksi, pilih router, sepertirouter-01.

    • Untuk pemilik antarmuka Virtual, masukkan ID akun akun hub jaringan. Untuk petunjuk, lihat Melihat ID akun AWS Anda.

    • Untuk gateway Direct Connect, jangan membuat pilihan apa pun. Anda melampirkan gateway Direct Connect pada langkah berikutnya.

    • Untuk VLAN, masukkan VLAN router, seperti. 60

    • Untuk BGP ASN, masukkan ASN router, seperti. 65534

    • Di bawah Pengaturan Tambahan, lakukan hal berikut:

      • Pilih IPv4.

      • Untuk IP peer router Anda, masukkan alamat IP peer router, seperti. 169.254.100.1

      • Untuk IP peer router Amazon. masukkan IP peer router Amazon, seperti. 169.254.100.2

      • Untuk kunci otentikasi BGP, diperlukan kata sandi. Jika ini dibiarkan kosong, AWS membuat kunci yang hanya dapat diakses di akun ini.

  3. Ulangi instruksi ini untuk membuat semua transit VIFs untuk VRF.

Arsitek cloud, Administrator jaringan
TugasDeskripsiKeterampilan yang dibutuhkan

Buat gateway Direct Connect.

  1. Masuk ke akun hub jaringan.

  2. Ikuti petunjuk di Membuat gateway Direct Connect. Perhatikan hal berikut untuk pola ini:

    • Untuk ASN sisi Amazon, masukkan ASN gateway Direct Connect, seperti. 64601

    • Jangan memilih gateway pribadi virtual.

Arsitek cloud, Administrator jaringan

Pasang gateway Direct Connect ke transit VIFs.

  1. Di akun hub jaringan, buka konsol AWS Direct Connect di https://console.aws.amazon.com/directconnect/v2/.

  2. Di panel navigasi, pilih Antarmuka Jaringan.

  3. Pilih VIF transit baru, lalu pilih Terima.

  4. Pilih gateway Direct Connect yang Anda buat.

  5. Ulangi instruksi ini untuk setiap transit VIF.

Arsitek cloud, Administrator jaringan

Buat asosiasi gateway Direct Connect dengan awalan yang diizinkan.

Di akun hub jaringan, ikuti petunjuk di Untuk mengaitkan gateway transit. Perhatikan hal berikut untuk pola ini:

  • Untuk Gateway, pilih gateway transit yang Anda buat sebelumnya.

  • Untuk awalan Diizinkan, masukkan blok CIDR yang ditetapkan ke gateway transit, seperti. 10.100.254.0/24

Membuat asosiasi ini secara otomatis membuat lampiran Transit Gateway yang memiliki tipe sumber daya Direct Connect Gateway. Lampiran ini tidak perlu dikaitkan dengan tabel rute gateway transit.

Arsitek cloud, Administrator jaringan

Buat lampiran Connect gateway transit.

  1. Di akun hub jaringan, buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Lampiran gateway transit.

  3. Pilih Buat lampiran gateway transit.

  4. Untuk tag Nama, masukkan nama untuk lampiran. Sebaiknya gunakan nama yang sesuai dengan VRF, seperti. PROD-VRF

  5. Untuk ID gateway Transit, pilih gateway transit yang Anda buat sebelumnya.

  6. Untuk jenis Lampiran, pilih Connect.

  7. Untuk ID lampiran Transport, pilih gateway Direct Connect yang Anda buat sebelumnya.

  8. Pilih Buat lampiran gateway transit.

  9. Ulangi langkah ini untuk setiap VRF yang Anda perluas.

Arsitek cloud, Administrator jaringan

Buat peer Transit Gateway Connect.

  1. Di akun hub jaringan, ikuti petunjuk di Buat peer Transit Gateway Connect (terowongan GRE). Perhatikan hal berikut untuk pola ini:

    • Untuk tag Nama, masukkan nama untuk rekan Transit Gateway Connect. Kami merekomendasikan menggunakan nama yang sesuai dengan router, seperticonnectpeer-router01.

    • Untuk alamat GRE gateway Transit, masukkan alamat IP yang ditetapkan dari blok CIDR gateway transit, seperti. 10.100.254.1

    • Untuk alamat Peer GRE, masukkan alamat IP yang ditetapkan ke VLAN yang dibuat pada router untuk VIF transit, seperti. 169.254.100.1 Asalkan AWS dapat mencapai alamat IP, Anda dapat menggunakan antarmuka apa pun, seperti VLAN atau Loopback, untuk alamat GRE rekan.

    • Untuk BGP Inside CIDR Blocks (IPv4), masukkan BGP di dalam alamat IP blok CIDR, seperti. 169.254.101.16/29

    • Untuk Peer ASN, masukkan ASN router, seperti. 65534

  2. Ulangi instruksi ini untuk membuat terowongan GRE untuk setiap router.

Sumber daya terkait

Dokumentasi AWS

Postingan blog AWS

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip