Apa itu AWS Site-to-Site VPN? - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu AWS Site-to-Site VPN?

Secara default, instance yang Anda luncurkan dalam VPC Amazon tidak dapat berkomunikasi dengan jaringan lokal (AWS Cloud) dan perangkat jarak jauh—misalnya, ini mungkin situs atau perangkat lokal. Anda dapat mengaktifkan akses ke perangkat jarak jauh dari VPC Anda dengan membuat koneksi AWS Site-to-Site VPN (Site-to-Site VPN), dan mengonfigurasi perutean untuk melewati lalu lintas melalui koneksi.

Meskipun istilah koneksi VPN adalah istilah umum, dalam dokumentasi ini, koneksi VPN mengacu pada koneksi antara VPC Anda dan jaringan lokal Anda sendiri. Site-to-Site VPN mendukung keamanan Protokol Internet (IPsec) koneksi VPN.

Konsep

Berikut ini adalah konsep kunci untuk Site-to-Site VPN:

  • Koneksi VPN: Koneksi aman antara peralatan lokal Anda dan peralatan Anda VPCs.

  • Terowongan VPN: Tautan terenkripsi tempat data dapat lewat dari jaringan pelanggan ke atau dari AWS.

    Setiap koneksi VPN mencakup dua terowongan VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi.

  • Customer Gateway: AWS Sumber daya yang menyediakan informasi AWS tentang perangkat gateway pelanggan Anda.

  • Perangkat gateway pelanggan: Perangkat fisik atau aplikasi perangkat lunak di sisi koneksi Site-to-Site VPN Anda.

  • Gateway target: Istilah umum untuk titik akhir VPN di sisi Amazon dari Site-to-Site koneksi VPN.

  • Gateway pribadi virtual: Gateway pribadi virtual adalah titik akhir VPN di sisi Amazon koneksi Site-to-Site VPN Anda yang dapat dilampirkan ke satu VPC.

  • Transit gateway: Hub transit yang dapat digunakan untuk menghubungkan beberapa VPCs dan jaringan lokal, dan sebagai titik akhir VPN untuk sisi Amazon dari koneksi VPN. Site-to-Site

Site-to-Site Fitur VPN

Fitur-fitur berikut didukung pada AWS Site-to-Site VPN koneksi:

  • Pertukaran Kunci Internet versi 2 (IKEv2)

  • NAT traversal

  • ASN 4-byte dalam kisaran 1-2147483647 untuk konfigurasi Virtual Private Gateway (VGW). Untuk informasi selengkapnya, lihat Opsi gateway pelanggan untuk AWS Site-to-Site VPN koneksi Anda.

  • ASN 2-byte untuk Customer Gateway (CGW) dalam kisaran 1-65535. Untuk informasi selengkapnya, lihat Opsi gateway pelanggan untuk AWS Site-to-Site VPN koneksi Anda.

  • CloudWatch metrik

  • Alamat IP yang dapat digunakan kembali untuk gateway pelanggan Anda

  • Pilihan enkripsi tambahan; termasuk enkripsi AES 256-bit, hashing SHA-2, dan grup Diffie-Hellman tambahan

  • Opsi terowongan yang dapat dikonfigurasi

  • ASN privat kustom untuk sisi Amazon dari sesi BGP

  • Sertifikat Pribadi dari CA bawahan dari AWS Private Certificate Authority

  • Support untuk IPv6 dukungan untuk AWS Site-to-Site VPN

    • IPv6 untuk alamat IP terowongan dalam (paket IP)

    • IPv6 untuk alamat IP terowongan luar (IP terowongan) di Transit Gateway dan Cloud WAN

  • Dukungan IPv6 migrasi penuh dengan kombinasi berikut:

    • IPv6 IP terowongan IPv6 luar dengan IP paket dalam (IPv6-in-IPv6)

    • IPv6 IP terowongan IPv4 luar dengan IP paket dalam (IPv4-in-IPv6)

Site-to-Site Batasan VPN

Koneksi Site-to-Site VPN memiliki batasan berikut.

  • IPv6 lalu lintas tidak didukung untuk koneksi VPN pada gateway pribadi virtual. IPv6 untuk terowongan luar hanya IPs didukung di Transit Gateway dan Cloud WAN.

  • AWS VPN Koneksi tidak mendukung Path MTU Discovery.

  • Koneksi Site-to-Site VPN tunggal tidak dapat mendukung keduanya IPv4 dan IPv6 lalu lintas secara bersamaan. Anda memerlukan koneksi VPN terpisah untuk transportasi IPv4 dan IPv6 paket.

  • Koneksi VPN IP pribadi tidak mendukung IPv6 alamat untuk terowongan luar IPs.

  • Anda tidak dapat mengubah koneksi IPv4 VPN yang ada untuk digunakan IPv6. Anda harus menghapus koneksi yang ada dan membuat yang baru.

Selain itu, pertimbangkan hal-hal berikut saat Anda menggunakan Site-to-Site VPN.

  • Saat menghubungkan Anda VPCs ke jaringan lokal yang umum, kami sarankan Anda menggunakan blok CIDR yang tidak tumpang tindih untuk jaringan Anda.

Site-to-Site Sumber daya VPN

Anda dapat membuat, mengakses, dan mengelola sumber daya Site-to-Site VPN Anda menggunakan salah satu antarmuka berikut:

  • AWS Management Console— Menyediakan antarmuka web yang dapat Anda gunakan untuk mengakses sumber daya Site-to-Site VPN Anda.

  • AWS Command Line Interface (AWS CLI) - Menyediakan perintah untuk serangkaian AWS layanan yang luas, termasuk Amazon VPC, dan didukung pada Windows, macOS, dan Linux. baris perintah disertakan dalam referensi baris AWS Site-to-Site VPN perintah yang lebih besar EC2

    • Untuk informasi umum tentang antarmuka baris perintah, lihat AWS Command Line Interface.

    • Untuk daftar perintah yang tersedia, termasuk EC2 perintah Site-to-Site VPN, lihat Referensi Baris EC2 Perintah.

      catatan

      Referensi baris perintah tidak membedakan antara perintah Site-to-Site VPN dan set perintah yang lebih besar EC2

  • AWS SDKsMenyediakan bahasa khusus APIs dan menangani banyak detail koneksi, seperti menghitung tanda tangan, menangani percobaan ulang permintaan, dan penanganan kesalahan. Untuk informasi selengkapnya, lihat AWS SDKs.

  • API Kueri— Menyediakan tindakan API tingkat rendah yang Anda hubungi menggunakan permintaan HTTPS. Menggunakan API Kueri merupakan cara paling langsung untuk mengakses Amazon VPC, tetapi mengharuskan aplikasi Anda menangani detail tingkat rendah seperti membuat hash untuk menandatangani permintaan, dan penanganan kesalahan. Untuk informasi selengkapnya, lihat Referensi Amazon EC2 API.

Harga

Anda dikenakan biaya untuk setiap jam koneksi VPN sehingga koneksi VPN Anda disediakan dan tersedia. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN dan harga Accelerated Site-to-Site VPN Connection.

Anda dikenakan biaya untuk transfer data dari Amazon EC2 ke internet. Untuk informasi selengkapnya, lihat Transfer Data di halaman Harga EC2 Sesuai Permintaan Amazon.

Ketika Anda membuat koneksi VPN yang terakselerasi, kami membuat dan mengelola dua akselerator atas nama Anda. Anda akan dikenakan biaya per jam dan biaya transfer data untuk setiap akselerator. Untuk informasi selengkapnya, lihat Harga AWS Global Accelerator.

Tidak ada biaya tambahan untuk menggunakan IPv6 alamat dengan koneksi Site-to-Site VPN VPN Anda.