本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Direct Connect 连接选项
AWS 让客户能够在 Amazon Virtual Private Cloud (Amazon VPC) 与其本地基础设施之间实现高度弹性的网络连接。 AWS Direct Connect 弹性工具包提供了一个包含多个弹性模型的连接向导。这些模型可帮助您确定,然后订购专用连接数量,以便满足 SLA 目标。您选择一个弹性模型,然后 Resiliency Toolkit 将指导您完成专用的连接订购流程。 AWS Direct Connect 这些弹性模型旨在确保您在多个位置具有适当数量的专用连接。
以下连接选项可用于 Direct Connect。
+ **最大弹性**:此模型位于 AWS Direct Connect 弹性工具包中,可让您订购专用连接以实现 99.99% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。有关更多信息,请参阅[AWS Direct Connect 弹性工具包](resiliency_toolkit.md)。
+ **高弹性**:此模型可在 AWS Direct Connect 弹性工具包中找到,它为您提供了一种订购专用连接的方法,以实现 99.9% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。有关更多信息,请参阅[AWS Direct Connect 弹性工具包](resiliency_toolkit.md)。
+ **开发和测试**:此模型位于 AWS Direct Connect 弹性工具包中,可让您通过使用在一个位置中的不同设备上终止的单独连接来实现非关键工作负载的开发和测试弹性。有关更多信息,请参阅[AWS Direct Connect 弹性工具包](resiliency_toolkit.md)。
+ **经典**:经典连接无需 AWS Direct Connect 弹性工具包即可创建连接。此选项面向已有连接且想要不使用工具包来添加更多连接的用户。此模型有 95% 的 SLA,但不提供弹性或冗余。有关更多信息,请参阅 [经典连接](classic_connection.md)。
**Topics**
+ [连接先决条件](#prerequisites)
+ [AWS Direct Connect 弹性工具包](resiliency_toolkit.md)
+ [经典连接](classic_connection.md)
## 连接先决条件
Direct Connect 通过单模光纤支持以下端口速度:用于 1 千兆以太网的 1000BASE-LX (1310 nm) 收发器、用于 10 千兆位以太网的 10GBASE-LR (1310 nm) 收发器、用于 100 千兆位以太网的 100GBASE-LX (1310 nm) 收发器或用于 400 Gbase 以太网的 400GBASE-LR (1310 nm) 收发器。LR4 LR4
您可以通过以下方式之一使用 AWS Direct Connect 弹性工具包或经典连接来设置连接: Direct Connect
| 模型 | 带宽 | 方法 |
| --- | --- | --- |
| 专用连接 | 1 Gbps、10 Gbps、100 Gbps 和 400 Gbps | 与 Direct Connect 合作伙伴或网络提供商合作,将路由器从您的数据中心、办公室或托管环境连接到某个 Direct Connect 位置。网络提供商不必是[AWS Direct Connect 合作伙伴](https://aws.amazon.com/directconnect/partners)即可将您连接到专用连接。 Direct Connect 专用连接通过单模光纤支持以下端口速度:1 Gbps:1000BASE-LX(1310 nm)、10 Gbps:10Gbase-LR(1310 nm)、100Gbps:100Gbase-或 400 Gbase-以太网。LR4 LR4 |
| 托管连接 | 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps 和 25 Gbps。 | 与合作伙伴[计划中的AWS Direct Connect 合作伙伴合作](https://aws.amazon.com/directconnect/partners),将路由器从您的数据中心、办公室或托管环境连接到某个 Direct Connect 地点。 只有某些合作伙伴提供更高容量的连接。 |
对于 Direct Connect 带宽为 1 Gbps 或更高的连接,请确保您的网络满足以下要求:
+ 您的网络必须使用带有 1000BASE-LX(1310 nm)收发器的单模光纤用于千兆以太网,10GBASE-LR(1310 nm)收发器用于万兆以太网,100GBASE-LR(1310 nm)收发器用于100千兆以太网,或者使用400GBASE-用于400 Gbase-以太网。LR4 LR4
+ 根据为您的连接提供服务的 Di AWS rect Connect 端点,可能需要为任何专用连接启用或禁用本地设备自动协商。如果在 Direct Connect 连接开启时虚拟接口仍处于关闭状态,请参阅 [排查第 2 层(数据链路)问题](ts-layer-2.md)。
+ 整个连接(包括中间设备)都必须支持 802.1Q VLAN 封装。
+ 您的设备必须支持边界网关协议 (BGP) 和 B MD5 GP 身份验证。
+ (可选)您可以在网络上配置双向转发检测(BFD)。自动为每个 Direct Connect 虚拟接口启用异步 BFD。系统会对 Direct Connect 虚拟接口自动启用,但只有在路由器上配置后才会生效。有关更多信息,请参阅[为 Direct Connect 连接启用 BFD](https://aws.amazon.com/premiumsupport/knowledge-center/enable-bfd-direct-connect/)。
在开始配置之前,请确保您具有以下信息:
+ 您不创建经典连接时要使用的弹性模型。有关 AWS Direct Connect 弹性工具包的连接选项,请参阅。[AWS Direct Connect 弹性工具包](resiliency_toolkit.md)
+ 所有连接的速度、位置和合作伙伴。
您只需要获知一个连接的速度。
# AWS Direct Connect 弹性工具包
AWS 让客户能够在 Amazon Virtual Private Cloud (Amazon VPC) 与其本地基础设施之间实现高度弹性的网络连接。 AWS Direct Connect 弹性工具包提供了一个包含多个弹性模型的连接向导。这些模型可帮助您确定,然后订购专用连接数量,以便满足 SLA 目标。您选择一个弹性模型,然后 Resiliency Toolkit 将指导您完成专用的连接订购流程。 AWS Direct Connect 这些弹性模型旨在确保您在多个位置具有适当数量的专用连接。
AWS Direct Connect 弹性工具包具有以下优点:
+ 提供有关如何依次确定和订购适当的冗余 Direct Connect 专用连接的指导。
+ 确保冗余专用连接具有相同的速度。
+ 自动配置专用连接名称。
+ 当您拥有现有 AWS 账户并选择已知 AWS Direct Connect 合作伙伴时,会自动批准您的专用连接。授权书 (LOA) 可供即时下载。
+ 当您是新 AWS 客户或选择了未知(其**他**)合作伙伴时,自动创建支持请求以获得专属连接批准。
+ 提供专用连接的订单摘要,以及可实现的 SLA 与所订购专用连接的端口小时成本。
+ 创建链路聚合组 (LAGs), LAGs 当您选择 1 Gbps、10 Gbps、100 Gbps 或 400 Gbps 以外的速度时,将相应数量的专用连接添加到中。
+ 提供 LAG 摘要,以及可实现的专用连接 SLA 与作为 LAG 的一部分的每个所订购专用连接的总端口小时成本。
+ 防止您终止同一 Direct Connect 设备上的专用连接。
+ 为您提供一种测试配置弹性的方法。您可以使用 AWS 关闭 BGP 对等会话,以验证流量是否路由到其中一个冗余虚拟接口。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
+ 提供 Amazon 的连接和虚拟接口 CloudWatch 指标。有关更多信息,请参阅 [监控 Direct Connect 资源](monitoring-overview.md)。
选择弹性模型后,弹 AWS Direct Connect 性工具包将引导您完成以下步骤:
+ 选择专用连接的数量
+ 选择连接容量和专用网络位置
+ 订购专用连接
+ 验证专用连接是否已可供使用
+ 为每个专用连接下载授权书 (LOA-CFA)
+ 验证您的配置是否满足弹性要求
## 可用的弹性模型
弹性工具包中提供了以下 AWS Direct Connect 弹性模型:
+ **最大弹性**:此模型可让您订购专用连接以实现 99.99% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。
+ **高弹性**:此模型可让您订购专用连接以实现 99.9% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。
+ **开发和测试**:此模型可让您通过使用在一个位置中的不同设备上终止的单独连接来实现非关键工作负载的开发和测试弹性。
最佳做法是使用 AWS Direct Connect 弹性工具包中的**连接向导**来实现您的 SLA 目标。
**注意**
如果您不想使用弹性工具包创建 AWS Direct Connect 弹性模型,则可以创建经典连接。有关经典连接的更多信息,请参阅 [经典连接](classic_connection.md)。
## AWS Direct Connect 弹性工具包先决条件
在开始配置之前,请注意以下信息:
+ 熟悉 [连接先决条件](connection_options.md#connect-prereqs.title)。
+ 要使用的可用弹性模型。
## 最大弹性
通过使用在多个位置中的不同设备上终止的不同连接,您可以实现关键工作负载的最大弹性(如下图所示)。该模型针对设备、连接性和完整位置故障均提供了弹性。下图显示了从每个客户数据中心到相同 Direct Connect 位置的两个连接。您可以选择将客户数据中心的每个连接连接到不同的位置。
![\[最大弹性模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-max-resiliency.png)
有关使用弹性工具包配置最大 AWS Direct Connect 弹性模型的过程,请参阅。[最大弹性配置](max-resiliency-set-up.md)
## 高弹性
通过使用到多个位置的两个单一连接,可以为关键工作负载实现高弹性(如下图所示)。此模型可针对因光纤切断或设备故障而导致的连接故障提供弹性。它还有助于防止完整位置故障。
![\[高弹性模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-high-resiliency.png)
有关使用弹性工具包配置高 AWS Direct Connect 弹性模型的过程,请参阅。[配置高弹性](high-resiliency-set-up.md)
## 开发和测试
通过使用在一个位置中的不同设备上终止的单独连接,您可以实现非关键工作负载的开发和测试弹性(如下图所示)。此模型提供了针对设备故障的弹性,但没有提供针对位置故障的弹性。
![\[开发和测试模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-devtest.png)
有关使用弹性工具包配置最大 AWS Direct Connect 弹性模型的过程,请参阅。[配置开发和测试弹性](devtest-resiliency-set-up.md)
## AWS Direct Connect FailoverTest
使用 AWS Direct Connect 弹性工具包来验证交通路线,以及这些路线是否符合您的弹性要求。
有关使用 AWS Direct Connect 弹性工具包执行故障转移测试的过程,请参阅[Direct Connect 失效转移测试](resiliency_failover.md)。
# 使用弹性工具包配置 Direct Connect 以获得最大的 AWS Direct Connect 弹性
在本示例中, Direct Connect 弹性工具包用于配置最大弹性模型
**Topics**
+ [第 1 步:注册 AWS](#max-resiliency-signup)
+ [步骤 2:配置弹性模型](#max-resiliency-select-model)
+ [步骤 3:创建您的虚拟接口](#max-resiliency-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#max-resiliency-failover)
+ [步骤 5:验证您的虚拟接口连接](#max-resiliency-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置最大弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **Maximum Resiliency (最大弹性)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **Bandwidth (带宽)**,选择专用连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请为专用连接选择适当 Direct Connect 的位置。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. 对于**第二位置服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **Second Sub location (第二子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第二位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建您的虚拟接口
您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商,我们会要求您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
创建公共虚拟接口时,最多可能需要 72 个工作小时 AWS 才能审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 帐户**,然后输入该 AWS 帐户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接地址。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口连接
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# 使用弹性工具包配置 Direct Connect 以实现高 AWS Direct Connect 弹性
在本示例中, Direct Connect 弹性工具包用于配置高弹性模型
**Topics**
+ [第 1 步:注册 AWS](#high-resiliency-signup)
+ [步骤 2:配置弹性模型](#high-resiliency-select-model)
+ [步骤 3:创建您的虚拟接口](#high-resiliency-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#high-res-resiliency-failover)
+ [步骤 5:验证您的虚拟接口连接](#high-resiliency-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置高弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **High Resiliency (高弹性)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **bandwidth (带宽)**,选择连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. 对于**第二位置服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **Second Sub location (第二子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第二位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建您的虚拟接口
您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商, AWS 请您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
创建公共虚拟接口时,最多可能需要 72 个工作小时 AWS 才能审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 帐户**,然后输入该 AWS 帐户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接地址。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口连接
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# 使用弹 AWS Direct Connect 性工具包配置开发和测试 AWS Direct Connect 弹性
在此示例中, Direct Connect 弹性工具包用于配置开发和测试弹性模型
**Topics**
+ [第 1 步:注册 AWS](#dev-test-signup)
+ [步骤 2:配置弹性模型](#dev-test-select-model)
+ [步骤 3:创建虚拟接口](#dev-test-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#dev-test-resiliency-failover)
+ [步骤 5:验证您的虚拟接口](#dev-test-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看当前账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户(控制台)启用虚拟 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **Development and test (开发和测试)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **bandwidth (带宽)**,选择连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建虚拟接口
要开始使用您的 Direct Connect 连接,必须创建一个虚拟接口。您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商,我们会要求您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
当您创建一个公有虚拟接口时, AWS 可能需要长达 72 工作小时来审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 账户**,然后输入 AWS 账户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# Direct Connect 故障转移测试
AWS Direct Connect 弹性工具包弹性模型旨在确保您在多个位置拥有适当数量的虚拟接口连接。完成向导后,使用 AWS Direct Connect 弹性工具包失效转移测试关闭 BGP 对等会话,以便验证流量是否路由到其中一个冗余虚拟接口,并满足您的弹性要求。
使用测试确保在虚拟接口停止服务时,可通过冗余虚拟接口路由流量。可以通过选择虚拟接口、BGP 对等会话以及运行测试的时间来启动测试。AWS 将所选虚拟接口 BGP 对等会话置于关闭状态。当接口处于此状态时,流量应该通过冗余虚拟接口路由。如果您的配置不包含适当的冗余连接,则 BGP 对等会话将会失败,并且不会路由流量。当测试完成后,或者您手动停止测试时,AWS 将恢复 BGP 会话。测试完成后,可以使用 AWS Direct Connect 弹性工具包调整您的配置。
**注意**
请勿在 Direct Connect 维护期间使用此功能,因为在维护期间或维护之后,BGP 会话可能会提早恢复。
## 测试历史记录
AWS 将在 365 天后删除测试历史记录。测试历史记录包括在所有 BGP 对等上运行的测试的状态。历史记录包括测试了哪些 BPG 对等会话、开始和结束时间以及测试状态,可以是以下任意值:
+ **正在进行中** - 测试当前正在运行。
+ **已完成** - 测试已在您指定的时间内运行。
+ **已取消** - 测试已在指定时间之前取消。
+ **失败** - 测试未在您指定的时间运行。当路由器出现问题时,会发生这种情况。
有关更多信息,请参阅 [查看 AWS Direct Connect 弹性工具包虚拟接口故障转移测试历史记录](view_failover_test.md)。
## 验证权限
具有故障转移测试运行权限的唯一账户是拥有虚拟接口的账户。账户拥有者通过 AWS CloudTrail 接收已在虚拟接口上运行测试的指示。
**Topics**
+ [测试历史记录](#test_history)
+ [验证权限](#permissions)
+ [启动虚拟接口失效转移测试](start_failover_test.md)
+ [查看虚拟接口失效转移测试历史记录](view_failover_test.md)
+ [停止虚拟接口失效转移测试](stop_failover_test.md)
# 开始 AWS Direct Connect 弹性工具包虚拟接口故障转移测试
您可以使用 Direct Connect 控制台或启动虚拟接口故障切换测试 AWS CLI。
**从 Direct Connect 控制台启动虚拟接口故障切换测试**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后依次选择**操作**、**关闭 BGP**。
可以在公有、私有或传输虚拟接口上运行测试。
1. 在**开始故障测试**对话框中,执行以下操作:
1. 例如,**要将 Peerings 归结为测试,请选择要测试**的对等互连会话。 IPv4
1. 在**测试时间上限**中,输入测试将会持续的分钟数。
最大值为 4320 分钟(72 工作小时)。
默认值为 180 分钟(3 小时)。
1. 对于 **To confirm test (确认测试)**,请输入**确认**。
1. 选择**确认**。
BGP 对等会话将置于“关闭”状态。您可以发送流量以便验证是否出现中断情况。如果需要,您可以立即停止测试。
**要启动虚拟接口故障切换测试,请使用 AWS CLI**
使用 [StartBgpFailoverTest](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StartBgpFailoverTest.html)。
# 查看 AWS Direct Connect 弹性工具包虚拟接口故障转移测试历史记录
您可以使用 Direct Connect 控制台或查看虚拟接口故障切换测试历史记录 AWS CLI。
**从 Direct Connect 控制台查看虚拟接口故障切换测试历史记录**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后选择 **View details (查看详细信息)**。
1. 选择**测试历史记录**。
控制台显示您已为虚拟接口执行的虚拟接口测试。
1. 要查看特定测试的详细信息,请选择测试 ID。
**要查看虚拟接口故障切换测试历史记录,请使用 AWS CLI**
使用 [ListVirtualInterfaceTestHistory](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ListVirtualInterfaceTestHistory.html)。
# 停止 AWS Direct Connect 弹性工具包虚拟接口故障转移测试
您可以使用 Direct Connect 控制台停止虚拟接口故障切换测试,或者 AWS CLI。
**从 Direct Connect 控制台停止虚拟接口故障切换测试**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后依次选择**操作**、**取消测试**。
1. 选择**确认**。
AWS 恢复 BGP 对等会话。测试历史记录将显示“已取消”测试。
**要停止虚拟接口故障切换测试,请使用 AWS CLI**
使用 [StopBgpFailoverTest](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StopBgpFailoverTest.html)。
# Direct Connect 经典连接
经典连接提供了一种简单方法在本地基础设施和 AWS之间建立专用网络连接。这种连接类型非常适合希望管理自己的网络配置并拥有现有 Direct Connect 基础设施的组织。经典连接不依赖于 AWS Direct Connect 弹性工具包。
如果您已有连接并且想要添加额外连接,请选择“经典”。经典连接的 SLA 为 95%。但是,它不提供弹性或冗余,这只能在创建连接时在 AWS Direct Connect 弹性工具包中找到。
**注意**
在配置经典连接之前,请熟悉 [连接先决条件](connection_options.md#connect-prereqs.title)。
**Topics**
+ [配置 Classic 连接](toolkit-classic.md)
# 配置 Direct Connect 经典连接
如果您已有 Direct Connect 连接,请配置 Classic 连接。
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的 [Enabling。 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:申请 Direct Connect 专用连接
对于专用连接,您可以使用 Direct Connect 控制台提交连接请求。对于托管连接,请与 AWS Direct Connect 合作伙伴合作申请托管连接。确保您具有以下信息:
+ 您需要的端口速度。在您创建连接请求之后,将无法更改端口速度。
+ 连接的终止 Direct Connect 位置。
**注意**
您不能使用 Direct Connect 控制台请求托管连接。相反,请联系 AWS Direct Connect 合作伙伴,合作伙伴可以为您创建托管连接,然后您接受该连接。请跳过以下步骤并转至[接受托管连接](#get-started-accept-hosted-connection)。
**创建新 Direct Connect 连接**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 选择 **Classic**。
1. 在 **Create Connection (创建连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **Name (名称)**,输入连接的名称。
1. 对于 **Location (位置)**,选择适当的 Direct Connect 位置。
1. 如果适用,对于 **Sub Location** (Sub 位置),选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 对于 **Port Speed (端口速度)**,选择连接带宽。
1. 对于**本地**,当您使用此**连接连接到您的数据中心时,请选择 “通过 Direct Connect 合作伙伴**连接”。
1. 对于**服务提供商**,请选择 AWS Direct Connect 合作伙伴。如果您使用的合作伙伴不在列表中,请选择 **Other (其他)**。
1. 如果您为**服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择 **Remove tag (删除标签)**。
1. 选择**创建连接**。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
有关更多信息,请参阅 [Direct Connect 专用连接和托管连接](WorkingWithConnections.md)。
### 接受托管连接
必须先在 Direct Connect 控制台中接受托管连接,然后才能创建虚拟接口。此步骤仅适用于托管连接。
**如何接受托管虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 ** Connections (站点到站点 VPN 连接)**。
1. 选择托管连接,然后选择**接受**。
选择 **Accept (接受)**。
## (专用连接)步骤 3:下载 LOA-CFA
在您请求连接后,我们会向您提供授权证书和连接设备分配(LOA-CFA)供您下载,或通过电子邮件向您请求更多信息。LOA-CFA 是连接的授权 AWS,托管提供商或您的网络提供商需要它才能建立跨网络连接(交叉连接)。
**下载 LOA-CFA**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 ** Connections (站点到站点 VPN 连接)**。
1. 选择连接,然后选择 **View Details (查看详细信息)**。
1. 选择**下载 LOA-CFA**。
LOA-CFA 以 PDF 文件格式下载到您的计算机中。
**注意**
如果未启用链接,则 LOA-CFA 尚不可供您下载。查看您的电子邮件,了解是否要求您提供更多信息。如果仍不可用,或者您在 72 工作小时后仍未收到电子邮件,请联系 [AWS 支持](https://aws.amazon.com/support/createCase)。
1. 在您下载 LOA-CFA 以后,执行以下操作之一:
+ 如果您正在与 AWS Direct Connect 合作伙伴或网络提供商合作,请向他们发送LOA-CFA,以便他们可以在该地点为您订购交叉连接。 Direct Connect 如果他们无法为您订购交叉连接,您可以直接[联系主机托管提供商](Colocation.md)。
+ 如果您在该 Direct Connect 地点有设备,请联系托管服务提供商申请跨网络连接。您必须为托管供应商的客户。您还必须向他们出示授权连接 AWS 路由器的 LOA-CFA 以及连接到您的网络所需的必要信息。
Direct Connect 列为多个站点(例如 Equinix DC1-DC6 和 DC1 0-DC11)的地点被设置为校园。如果您或您的网络提供商的设备位于其中任一站点中,您可以请求交叉连接到所分配的端口,即使该端口位于校园内的不同建筑物中。
**重要**
校园被视为单一 Direct Connect 地点。要实现高可用性,请配置与不同 Direct Connect 位置的连接。
如果您或您的网络提供商在建立物理连接时遇到问题,请参阅[排查第 1 层(物理)问题](ts_layer_1.md)。
## 步骤 4:创建虚拟接口
要开始使用您的 Direct Connect 连接,必须创建一个虚拟接口。您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。创建与 VPC 的私有虚拟接口时,您需要所要连接到的各 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/toolkit-classic.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/toolkit-classic.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/toolkit-classic.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商,我们会要求您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,证明您 prefix/ASN 可能正在使用该网络。
对于私有虚拟接口和公有虚拟接口,网络连接的最大传输单元 (MTU) 是可以通过连接传递的数据包的最大允许大小(以字节为单位)。私有虚拟接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在 “**摘要**” 选项卡上找到 “支持**巨型帧**”。
创建公共虚拟接口时,最多可能需要 72 个工作小时 AWS 才能审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,请输入新虚拟接口的本地对等路由器的边界网关协议自治系统编号。有效值为 1 到 4294967294。这包括对 ASNs (1-2147483647)和多头(1-4294967294)的支持。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择 **Remove tag (删除标签)**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 帐户**,然后输入该 AWS 帐户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括对 ASNs (1-2147483647)和多头(1-4294967294)的支持。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择 **Remove tag (删除标签)**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 您需要使用 BGP 设备来公布用于公有 VIF 连接的网络。
## 步骤 5:下载路由器配置
为 Direct Connect 连接创建虚拟接口后,可以下载路由器配置文件。该文件包含将您的路由器配置为用于您的私有或公有虚拟接口所需的命令。
**下载路由器配置**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择连接,然后选择 **View Details (查看详细信息)**。
1. 选择 **Download router configuration (下载路由器配置)**。
1. 对于**下载路由器配置**,执行以下操作:
1. 对于 **Vendor (供应商)**,选择您的路由器的生产商。
1. 对于 **Platform**,选择您的路由器型号。
1. 对于 **Software**,选择您的路由器软件版本。
1. 选择**下载**,然后使用适合您的路由器的配置,以确保您可以连接到 Direct Connect。
有关手动配置路由器的更多信息,请参阅 [下载路由器配置文件](vif-router-config.md)。
在配置您的路由器后,虚拟接口的状态将变为 `UP`。如果虚拟接口一直处于关闭状态,并且您无法 ping Direct Connect 设备的对等 IP 地址,请参阅[排查第 2 层(数据链路)问题](ts-layer-2.md)。如果您可以对对等 IP 地址执行 ping 操作,请参阅[排查第 3/4 层(网络/传输)问题](ts-layer-3.md)。如果 BGP 对等会话已建立但您无法路由流量,请参阅[排查路由问题](ts-routing.md)。
## 步骤 6:确认您的虚拟接口
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可连接 ping 的 AMI(例如 Amazon Linux AMI),在连接到您的虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅 *Amazon EC2 用户指南中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)。*确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 实例运行后,获取其私有 IPv4 地址(例如 10.0.0.4)。Amazon EC2 控制台将地址显示为实例详情的一部分。
1. ping 私有 IPv4 地址并获得回复。
## (推荐)步骤 7:配置冗余连接
为了提供故障转移,我们建议您请求并配置两个专用连接 AWS,如下图所示。这些连接会在您的网络中的一个或两个路由器上终止。
![\[冗余连接图\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/redundant_connection.png)
如果您配置两个专用连接,则可以有不同的配置选择:
+ 主动/主动(BGP 多路径)。这是默认配置,其中两个连接都处于活动状态。 Direct Connect 支持多路径到同一位置内的多个虚拟接口,并且流量根据流量在接口之间进行负载共享。如果一个连接不可用,那么所有流量都会路由到另一个连接。
+ 主动/被动(故障转移)。一个连接正在处理流量,另一个连接处于待命状态。如果主动连接不可用,所有流量都会路由到被动连接。您需要在您的一个链接上将 AS 路径附加到路由之前以使其成为被动链接。
您如何配置连接并不影响冗余,但是会影响策略,而该策略决定如何在两个连接间路由流量。我们建议您将两个连接配置为活跃状态。
如果您使用 VPN 连接实现冗余,请确保实施了运行状况检查和故障转移机制。如果您使用以下任一配置,则需要检查[路由表路由](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-configure-routing)以路由到新的网络接口。
+ 您使用自己的实例进行路由,例如实例是防火墙的情况。
+ 您使用自己的实例终止 VPN 连接。
为了实现高可用性,我们强烈建议您配置与不同 Direct Connect 位置的连接。
有关 Direct Connect 弹性的更多信息,请参阅[Direct Connect 弹性建议。](https://aws.amazon.com/directconnect/resiliency-recommendation/)