本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Direct Connect 网关
使用 Direct Connect 网关连接您的 VPCs. 您可以将 Direct Connect 网关与以下任何一项关联:
+ 当您在同一个区域有多个网关时,则为 VPCs 中转网关
+ 虚拟私有网关
+ AWS 云广域网核心网络
您也可以使用虚拟私有网关来扩展本地区域。此配置允许与本地区域关联的 VPC 连接到 Direct Connect 网关。Direct Connect 网关连接到区域中的 Direct Connect 位置。本地数据中心具有与 Direct Connect 位置连接的 Direct Connect 连接。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 Direct Connect 网关访问本地区域](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#access-local-zone)。
Direct Connect 网关是全球可用资源。您可以使用 Direct Connect 网关连接到全球任何区域。这 AWS GovCloud (US)包括但不包括 AWS 中国地区。Direct Connect 网关是 Direct Connect 的虚拟组件,旨在充当一组分布式 BGP 路由反射器。由于它在数据流量路径之外运行,因此可以避免造成单点故障或引入对特定 AWS 区域的依赖性。其设计本身就内置了高可用性,因此无需使用多个 Direct Connect 网关。
在当前绕过父可用区的 Direct Connect 上使用 Direct Connect 的客户将无法迁移他们的 Direct Connect 连接或虚拟接口。 VPCs
下面描述了可以使用 Direct Connect 网关的场景。
Direct Connect 网关不允许位于同一 Direct Connect 网关上的网关关联相互发送流量(例如,虚拟私有网关发送到另一个虚拟私有网关)。2021 年 11 月实施的该规则的一个例外情况是,超网在两个或更多网络上通告 VPCs,这两个网关的虚拟专用网关 (VGWs) 关联到同一 Direct Connect 网关和同一个虚拟接口。在这种情况下, VPCs 可以通过 Direct Connect 端点相互通信。例如,如果您通告的超网(例如 10.0.0.0/8 或 0.0.0.0/0)与连接 VPCs 到 Direct Connect 网关(例如 10.0.0.0/24 和 10.0.1.0/24)重叠,并且在同一个虚拟接口上,则它们可以从您的本地网络相互通信。 VPCs
如果要阻止 Direct Connect 网关内的 VPC-to-VPC通信,请执行以下操作:
1. 在 VPC 中的实例和其他资源上设置安全组以阻止 VPC 之间的流量 VPCs,也可以将其用作 VPC 中默认安全组的一部分。
1. 避免在本地网络中宣传与您的网络重叠的超级网。 VPCs相反,您可以从本地网络发布与您的不重叠的更具体的路由 VPCs。
1. 为要连接到本地网络的每个 VPC 配置一个 Direct Connect 网关,而不是为多个 VPC 使用相同的 Direct Connect 网关 VPCs。例如,与其使用单个 Direct Connect 网关进行开发和生产 VPCs,不如为每个网关使用单独的 Direct Connect 网关 VPCs。
Direct Connect 网关不会阻止流量从一个网关关联发送回同一网关关联(例如,当您有一个本地超网路由包含来自网关关联的前缀时)。如果您的配置中有多个 VPCs 连接到与同一 Direct Connect 网关关联的中转网关,则 VPCs 可以进行通信。要 VPCs 防止通信,请将路由表与设置了 **blackhol** e 选项的 VPC 附件相关联。
**Topics**
+ [场景](#dx-gateway-scenarios)
+ [创建 Direct Connect 网关](create-direct-connect-gateway.md)
+ [从虚拟私有网关迁移到 Direct Connect 网关](migrate-to-direct-connect-gateway.md)
+ [删除 Direct Connect 网关](delete-direct-connect-gateway.md)
## 场景
下文仅针对使用 Direct Connect 网关的部分场景进行说明。
### 场景:虚拟私有网关关联
在下图中,Direct Connect 网关允许您使用您在美国东部(弗吉尼亚北部)地区的 Direct Connect 连接,通过您的账户访问 VPCs 美国东部(弗吉尼亚北部)和美国西部(加利福尼亚北部)区域。
每个 VPC 都有一个虚拟私有网关,该网关使用虚拟私有网关关联连接到 Direct Connect 网关。Direct Connect 网关使用私有虚拟接口连接该 Direct Connect 地点。从该位置到客户数据中心有一个 Direct Connect 连接。
![\[一个连接两个 AWS 区域和您的数据中心的 Di VPCs rect Connect 网关。\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dx-gateway.png)
### 场景:跨账户的虚拟私有网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 和账户 B 想要使用 Direct Connect 网关。账户 A 和账户 B 各自向账户 Z 发送关联提议。账户 Z 接受关联提议,并(可选)更新账户 A 的虚拟私有网关或账户 B 的虚拟私有网关中允许的前缀。账户 Z 接受提议后,账户 A 和账户 B 可以将流量从其虚拟私有网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
![\[一个 Direct Connect 网关,用于连接三个网关 AWS 账户 和您的数据中心。\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dx-gateway-shared.png)
### 场景:中转网关关联
下图说明了 Direct Connect 网关如何使您能够创建所有人 VPCs都可以使用的指向 Direct Connect 连接的单个连接。
![\[与包含多个 VPC 连接的中转网关关联的 Direct Connect 网关。\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/direct-connect-tgw.png)
此解决方案包含以下组件:
+ 具有 VPC 挂载的中转网关。
+ 一个 Direct Connect 网关。
+ Direct Connect 网关与中转网关之间的关联。
+ 连接到 Direct Connect 网关的中转虚拟接口。
此配置提供以下好处。你可以:
+ 管理多个 VPCs 或位于同一区域 VPNs 的单个连接。
+ 将前缀从本地广告到本地 AWS 以及从本地广告到本地 AWS 。
有关配置中转网关的信息,请参阅《Amazon VPC 中转网关指南》**中的[使用中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html)。
### 场景:跨账户的中转网关关联
考虑 Direct Connect 网关拥有者(账户 Z)拥有 Direct Connect 网关的此场景。账户 A 拥有中转网关,并希望使用 Direct Connect 网关。账户 Z 接受关联提议,并可以选择更新账户 A 的中转网关允许的前缀。账户 Z 接受提案后, VPCs 连接至公交网关的用户可以将流量从公交网关路由到 Direct Connect 网关。账户 Z 也拥有到客户的路由,因为账户 Z 拥有此网关。
![\[来自的 Direct Connect 网关与来自另一个的传输网关 AWS 账户 关联 AWS 账户的。\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/direct-connect-ma-tgw.png)
# 创建 Direct Connect 网关
您可以使用 Direct Connect 控制台或使用命令行或 API 在任一受支持地区创建 Direct Connect 网关。
**创建 Direct Connect 网关**
1. 访问 [https://console.aws.amazon.com/directconnect/v2/home](https://console.aws.amazon.com/directconnect/v2/home) 并打开 **Direct Connect** 控制台。
1. 在导航窗格中,选择 **Direct Connect Gateways**。
1. 选择**创建 Direct Connect 网关**。
1. 指定以下信息,然后选择**创建 Direct Connect 网关**。
+ **Name (名称)**:输入一个名称以帮助您标识 Direct Connect 网关。
+ **Amazon side ASN**:为 BGP 会话的 Amazon 端指定 ASN。该 ASN 必须位于 64,512 到 65,534 范围或 4,200,000,000 到 4,294,967,294 范围内。
**注意**
如果您想创建 Direct Connect 网关以用于 AWS Cloud WAN 核心网络。ASN 不能与核心网络的 ASN 位于同一范围内。
**使用命令行或 API 创建 Direct Connect 网关**
+ [create-direct-connect-gateway](https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway.html) (AWS CLI)
+ [CreateDirectConnectGateway](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGateway.html) (Direct Connect API)
# 从虚拟专用网关迁移到网 Direct Connect 关
您可以将挂载到虚拟接口的虚拟私有网关迁移到 Direct Connect 网关。
如果您在当前绕过父可用区的 Direct Connect 上使用 Direct Connect,则将无法迁移您的 Direct Connect 连接或虚拟接口。 VPCs
针对将虚拟私有网关迁移到 Direct Connect 网关的步骤,以下步骤提供了说明。
**迁移到 Direct Connect 网关**
1. 创建 Direct Connect 网关。
如果 Direct Connect 网关尚未存在,则您需要先创建网关。有关创建 Direct Connect 网关的步骤,请参阅[创建 Direct Connect 网关](create-direct-connect-gateway.md)。
1. 创建 Direct Connect 网关的虚拟接口。
迁移需要虚拟接口。如果接口不存在,则您需要先创建接口。有关创建虚拟接口的步骤,请参阅[虚拟接口](create-vif.md)。
1. 将虚拟私有网关与 Direct Connect 网关相关联。
Direct Connect 网关和虚拟私有网关都需要关联。有关创建关联的步骤,请参阅[关联虚拟私有网关或解除其关联](associate-vgw-with-direct-connect-gateway.md)。
1. 删除与虚拟私有网关相关联的虚拟接口。有关更多信息,请参阅 [删除虚拟接口](deletevif.md)。
# 删除网 Direct Connect 关
如果您不再需要某一 Direct Connect 网关,可将其删除。您必须先解除关联所有关联的虚拟私有网关并删除附加的私有虚拟接口。取消关联所有关联的虚拟专用网关并删除所有连接的私有虚拟接口后,您可以使用 Direct Connect 控制台、命令行或 API 删除 Direct Connect 网关。
+ 有关解除虚拟私有网关关联的步骤,请参阅[关联虚拟私有网关或解除其关联](associate-vgw-with-direct-connect-gateway.md)。
+ 有关删除虚拟接口的步骤,请参阅[删除虚拟接口](deletevif.md)。
**删除 Direct Connect 网关**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Direct Connect Gateways**。
1. 选择网关,然后选择 **Delete (删除)**。
**使用命令行或 API 删除 Direct Connect 网关**
+ [delete-direct-connect-gateway](https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway.html) (AWS CLI)
+ [DeleteDirectConnectGateway](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGateway.html)(Direct Connect API)