本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Direct Connect 弹性工具包
AWS 让客户能够在 Amazon Virtual Private Cloud (Amazon VPC) 与其本地基础设施之间实现高度弹性的网络连接。 AWS Direct Connect 弹性工具包提供了一个包含多个弹性模型的连接向导。这些模型可帮助您确定,然后订购专用连接数量,以便满足 SLA 目标。您选择一个弹性模型,然后 Resiliency Toolkit 将指导您完成专用的连接订购流程。 AWS Direct Connect 这些弹性模型旨在确保您在多个位置具有适当数量的专用连接。
AWS Direct Connect 弹性工具包具有以下优点:
+ 提供有关如何依次确定和订购适当的冗余 Direct Connect 专用连接的指导。
+ 确保冗余专用连接具有相同的速度。
+ 自动配置专用连接名称。
+ 当您拥有现有 AWS 账户并选择已知 AWS Direct Connect 合作伙伴时,会自动批准您的专用连接。授权书 (LOA) 可供即时下载。
+ 当您是新 AWS 客户或选择了未知(其**他**)合作伙伴时,自动创建支持请求以获得专属连接批准。
+ 提供专用连接的订单摘要,以及可实现的 SLA 与所订购专用连接的端口小时成本。
+ 创建链路聚合组 (LAGs), LAGs 当您选择 1 Gbps、10 Gbps、100 Gbps 或 400 Gbps 以外的速度时,将相应数量的专用连接添加到中。
+ 提供 LAG 摘要,以及可实现的专用连接 SLA 与作为 LAG 的一部分的每个所订购专用连接的总端口小时成本。
+ 防止您终止同一 Direct Connect 设备上的专用连接。
+ 为您提供一种测试配置弹性的方法。您可以使用 AWS 关闭 BGP 对等会话,以验证流量是否路由到其中一个冗余虚拟接口。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
+ 提供 Amazon 的连接和虚拟接口 CloudWatch 指标。有关更多信息,请参阅 [监控 Direct Connect 资源](monitoring-overview.md)。
选择弹性模型后,弹 AWS Direct Connect 性工具包将引导您完成以下步骤:
+ 选择专用连接的数量
+ 选择连接容量和专用网络位置
+ 订购专用连接
+ 验证专用连接是否已可供使用
+ 为每个专用连接下载授权书 (LOA-CFA)
+ 验证您的配置是否满足弹性要求
## 可用的弹性模型
弹性工具包中提供了以下 AWS Direct Connect 弹性模型:
+ **最大弹性**:此模型可让您订购专用连接以实现 99.99% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。
+ **高弹性**:此模型可让您订购专用连接以实现 99.9% 的 SLA。要求您满足 [Direct Connect 服务水平协议](https://aws.amazon.com/directconnect/sla/)中指定的实现 SLA 的所有要求。
+ **开发和测试**:此模型可让您通过使用在一个位置中的不同设备上终止的单独连接来实现非关键工作负载的开发和测试弹性。
最佳做法是使用 AWS Direct Connect 弹性工具包中的**连接向导**来实现您的 SLA 目标。
**注意**
如果您不想使用弹性工具包创建 AWS Direct Connect 弹性模型,则可以创建经典连接。有关经典连接的更多信息,请参阅 [经典连接](classic_connection.md)。
## AWS Direct Connect 弹性工具包先决条件
在开始配置之前,请注意以下信息:
+ 熟悉 [连接先决条件](connection_options.md#connect-prereqs.title)。
+ 要使用的可用弹性模型。
## 最大弹性
通过使用在多个位置中的不同设备上终止的不同连接,您可以实现关键工作负载的最大弹性(如下图所示)。该模型针对设备、连接性和完整位置故障均提供了弹性。下图显示了从每个客户数据中心到相同 Direct Connect 位置的两个连接。您可以选择将客户数据中心的每个连接连接到不同的位置。
![\[最大弹性模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-max-resiliency.png)
有关使用弹性工具包配置最大 AWS Direct Connect 弹性模型的过程,请参阅。[最大弹性配置](max-resiliency-set-up.md)
## 高弹性
通过使用到多个位置的两个单一连接,可以为关键工作负载实现高弹性(如下图所示)。此模型可针对因光纤切断或设备故障而导致的连接故障提供弹性。它还有助于防止完整位置故障。
![\[高弹性模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-high-resiliency.png)
有关使用弹性工具包配置高 AWS Direct Connect 弹性模型的过程,请参阅。[配置高弹性](high-resiliency-set-up.md)
## 开发和测试
通过使用在一个位置中的不同设备上终止的单独连接,您可以实现非关键工作负载的开发和测试弹性(如下图所示)。此模型提供了针对设备故障的弹性,但没有提供针对位置故障的弹性。
![\[开发和测试模型\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/images/dc-devtest.png)
有关使用弹性工具包配置最大 AWS Direct Connect 弹性模型的过程,请参阅。[配置开发和测试弹性](devtest-resiliency-set-up.md)
## AWS Direct Connect FailoverTest
使用 AWS Direct Connect 弹性工具包来验证交通路线,以及这些路线是否符合您的弹性要求。
有关使用 AWS Direct Connect 弹性工具包执行故障转移测试的过程,请参阅[Direct Connect 失效转移测试](resiliency_failover.md)。
# 使用弹性工具包配置 Direct Connect 以获得最大的 AWS Direct Connect 弹性
在本示例中, Direct Connect 弹性工具包用于配置最大弹性模型
**Topics**
+ [第 1 步:注册 AWS](#max-resiliency-signup)
+ [步骤 2:配置弹性模型](#max-resiliency-select-model)
+ [步骤 3:创建您的虚拟接口](#max-resiliency-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#max-resiliency-failover)
+ [步骤 5:验证您的虚拟接口连接](#max-resiliency-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置最大弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **Maximum Resiliency (最大弹性)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **Bandwidth (带宽)**,选择专用连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请为专用连接选择适当 Direct Connect 的位置。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. 对于**第二位置服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **Second Sub location (第二子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第二位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建您的虚拟接口
您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/max-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商,我们会要求您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
创建公共虚拟接口时,最多可能需要 72 个工作小时 AWS 才能审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 帐户**,然后输入该 AWS 帐户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接地址。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口连接
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# 使用弹性工具包配置 Direct Connect 以实现高 AWS Direct Connect 弹性
在本示例中, Direct Connect 弹性工具包用于配置高弹性模型
**Topics**
+ [第 1 步:注册 AWS](#high-resiliency-signup)
+ [步骤 2:配置弹性模型](#high-resiliency-select-model)
+ [步骤 3:创建您的虚拟接口](#high-resiliency-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#high-res-resiliency-failover)
+ [步骤 5:验证您的虚拟接口连接](#high-resiliency-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置高弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **High Resiliency (高弹性)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **bandwidth (带宽)**,选择连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. 对于**第二位置服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **Second Sub location (第二子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第二位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建您的虚拟接口
您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/high-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商, AWS 请您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
创建公共虚拟接口时,最多可能需要 72 个工作小时 AWS 才能审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 帐户**,然后输入该 AWS 帐户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中,输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接地址。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口连接
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# 使用弹 AWS Direct Connect 性工具包配置开发和测试 AWS Direct Connect 弹性
在此示例中, Direct Connect 弹性工具包用于配置开发和测试弹性模型
**Topics**
+ [第 1 步:注册 AWS](#dev-test-signup)
+ [步骤 2:配置弹性模型](#dev-test-select-model)
+ [步骤 3:创建虚拟接口](#dev-test-createvirtualinterface)
+ [步骤 4:验证您的虚拟接口弹性配置](#dev-test-resiliency-failover)
+ [步骤 5:验证您的虚拟接口](#dev-test-connected)
## 第 1 步:注册 AWS
要使用 Direct Connect,如果您还没有 AWS 帐户,则需要一个帐户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看当前账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户(控制台)启用虚拟 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 2:配置弹性模型
**配置弹性模型**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择**连接**,然后选择**创建连接**。
1. 在 **Connection ordering type (连接订购类型)** 下,选择 **Connection wizard (连接向导)**。
1. 在 **Resiliency level (弹性级别)** 下,选择 **Development and test (开发和测试)**,然后选择 **Next (下一步)**。
1. 在 **Configure connections (配置连接)** 窗格上,在 **Connection settings (连接设置)** 下,执行以下操作:
1. 对于 **bandwidth (带宽)**,选择连接带宽。
此带宽适用于所有已创建的连接。
1. 对于**第一定位服务提供商**,请选择相应 Direct Connect 的地点。
1. 如果适用,对于 **First Sub location (第一子位置)**,选择最接近您或您的网络提供商的楼层。只有当该地点在大楼的多个楼层都有 meet-me 会议室 (MMRs) 时,此选项才可用。
1. 如果您为**第一位置服务提供商**选择了**其他**,则对于**其他提供商的名称**,请输入您使用的合作伙伴的名称。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择**下一步**。
1. 检查您的连接,然后选择 **Continue (继续)**。
如果您已 LOAs 准备就绪,则可以选择 “**下载 LOA**”,然后单击 “**继续**”。
最多可能需要 72 个工作小时 AWS 才能审核您的请求并为您的连接配置端口。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。电子邮件将发送到您注册时使用的电子邮件地址 AWS。您必须在 7 日内回复,否则将删除该连接。
## 步骤 3:创建虚拟接口
要开始使用您的 Direct Connect 连接,必须创建一个虚拟接口。您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您可以创建一个公共虚拟接口来连接不在 VPC 中的公共 AWS 服务。在创建与 VPC 的私有虚拟接口时,您需要将连接到的每个 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口才能连接到三个私有虚拟接口 VPCs。
在您开始之前,请确保您已拥有以下信息:
| 资源 | 所需信息 |
| --- | --- |
| Connection | 您要为其创建虚拟接口的 Direct Connect 连接或链路聚合组 (LAG)。 |
| 虚拟接口名称 | 虚拟接口的名称。 |
| 虚拟接口所有者 | 如果您要为另一个账户创建虚拟界面,则需要另一个 AWS 账户的账户 ID。 |
| (仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建虚拟私有网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 |
| VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Direct Connect 连接的流量都必须有此标签。如果您有托管连接,则您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
| 对等 IP 地址 | 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| 地址系列 | BGP 对等会话是否会结束 IPv4 还是. IPv6 |
| BGP 信息 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| (仅限公有虚拟接口)您要公布的前缀 | 要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/devtest-resiliency-set-up.html) |
| (仅限私有和中转虚拟接口)巨型帧 | 数据包的最大传输单位 (MTU)。 Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于来自的传播路由。 Direct Connect如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置” 页面上找到支持巨型帧。 |
如果您的公共前缀或 ASNs 属于互联网服务提供商或网络运营商,我们会要求您提供更多信息。这可以是使用公司官方信头的文档,也可以是来自公司域名的电子邮件,确认 prefix/ASN 您可以使用该网络。
当您创建一个公有虚拟接口时, AWS 可能需要长达 72 工作小时来审核和批准您的请求。
**配置与非 VPC 服务间的公有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在 **Virtual interface type (虚拟接口类型)** 下,对于 **Type (类型)**,选择 **Public (公有)**。
1. 在 **Public virtual interface settings (公有虚拟接口设置)** 下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在 **Additional settings (其他设置)** 下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要提供自己的 BGP 密钥,请输入您的 BGP MD5 密钥。
如果您不输入值,我们将生成一个 BGP 密钥。
1. 要向 Amazon 宣传**前缀,对于要宣传**的前缀,请输入应通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
**配置与 VPC 间的私有虚拟接口**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 在导航窗格中,选择 **Virtual Interfaces**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
1. 在**虚拟接口类型**下,对于**类型**,选择**私有**。
1. 在**私有虚拟接口设置**下,执行以下操作:
1. 对于 **Virtual interface name (虚拟接口名称)**,输入虚拟接口名称。
1. 对于 **Connection (连接)**,选择要用于此接口的 Direct Connect 连接。
1. 对于**网关类型**,选择**虚拟私有网关**或 **Direct Connect 网关**。
1. 对于**虚拟接口所有者**,选择**其他 AWS 账户**,然后输入 AWS 账户。
1. 对于**虚拟私有网关**,选择要用于此接口的虚拟私有网关。
1. 对于 **VLAN**,输入您的虚拟局域网 (VLAN) 的 ID 号。
1. 对于 **BGP ASN**,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。
有效值为 1 到 4294967294。这包括同时支持 ASNs (1-2147483647)和多头(1-4294967294)。 ASNs 有关 ASNs 和详细内容的更多信息, ASNs 请参阅[长期支持 ASN Direct Connect](long-asn-support.md)。
1. 在**附加设置**下,执行以下操作:
1. 要配置 IPv4 BGP 或对 IPv6 等体,请执行以下操作:
[IPv4] 要配置 IPv4 BGP 对等体,请选择**IPv4**并执行以下任一操作:
+ 要自己指定这些 IP 地址,请在**您的路由器对等 IP** 中输入 Amazon 应向其发送流量的目标 IPv4 CIDR 地址。
+ 对于 **Amazon 路由器对等 IP**,请输入用于向其发送流量的 IPv4 CIDR 地址。 AWS
**重要**
配置 Di AWS rect Connect 虚拟接口时,您可以使用 RFC 1918 指定自己的 IP 地址,使用其他寻址方案,或者选择从 RFC 3927 169.254.0.0 IPv4 /16 Link-Local 范围 AWS 分配的分配的 /29 CIDR 地址进行连接。 IPv4 point-to-point这些 point-to-point连接应专门用于您的客户网关路由器和 Direct Connect 端点之间的 eBGP 对等。对于 VPC 流量或隧道传输目的,例如 AWS Site-to-Site 私有 IP VPN 或 Transit Gateway Connect, AWS 建议使用客户网关路由器上的环回或局域网接口作为源地址或目标地址,而不是连接。 point-to-point
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
有关 RFC 3927 的更多信息,请参阅[ IPv4 链路本地地址的动态配置。](https://datatracker.ietf.org/doc/html/rfc3927)
[IPv6] 要配置 IPv6 BGP 对等体,请选择**IPv6**。对等 IPv6 地址是从亚马逊的地址池中自动分配 IPv6 的。您不能指定自定义 IPv6 地址。
1. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择**巨型帧 MTU(MTU 大小 9001)**。
1. (可选)在 “**启**用” 下 SiteLink,选择 “**启用” 以启用** Direct Connect 接入点之间的直接连接。
1. (可选)添加或删除标签。
[添加标签] 选择 **Add tag**(添加标签),然后执行以下操作:
+ 对于 **Key**(键),输入键名称。
+ 对于**值**,输入键值。
[删除标签] 在标签旁,选择**删除标签**。
1. 选择 **Create virtual interface (创建虚拟接口)**。
## 步骤 4:验证您的虚拟接口弹性配置
建立通往 AWS 云或 Amazon VPC 的虚拟接口后,请执行虚拟接口故障转移测试,以验证您的配置是否符合您的弹性要求。有关更多信息,请参阅 [Direct Connect 故障转移测试](resiliency_failover.md)。
## 步骤 5:验证您的虚拟接口
建立与 AWS 云或 Amazon VPC 的虚拟接口后,您可以使用以下步骤验证您的 AWS Direct Connect 连接。
**验证您的虚拟接口与 AWS 云端的连接**
+ 运行`traceroute`并验证标 Direct Connect 识符是否在网络跟踪中。
**要验证您的虚拟接口是否连接到 Amazon VPC**
1. 使用可执行 ping 操作的 AMI(比如 Amazon Linux AMI),在连接到虚拟私有网关的 VPC 中启动 EC2 实例。当您在亚马逊 EC2 控制台中使用实例**启动向导时,Amazon Linux AMIs 可在快速**入门选项卡中找到。有关更多信息,请参阅《Amazon EC2 用户指南》中的[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)**。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。
1. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. ping 私有 IPv4 地址并获得回复。
# Direct Connect 故障转移测试
AWS Direct Connect 弹性工具包弹性模型旨在确保您在多个位置拥有适当数量的虚拟接口连接。完成向导后,使用 AWS Direct Connect 弹性工具包失效转移测试关闭 BGP 对等会话,以便验证流量是否路由到其中一个冗余虚拟接口,并满足您的弹性要求。
使用测试确保在虚拟接口停止服务时,可通过冗余虚拟接口路由流量。可以通过选择虚拟接口、BGP 对等会话以及运行测试的时间来启动测试。AWS 将所选虚拟接口 BGP 对等会话置于关闭状态。当接口处于此状态时,流量应该通过冗余虚拟接口路由。如果您的配置不包含适当的冗余连接,则 BGP 对等会话将会失败,并且不会路由流量。当测试完成后,或者您手动停止测试时,AWS 将恢复 BGP 会话。测试完成后,可以使用 AWS Direct Connect 弹性工具包调整您的配置。
**注意**
请勿在 Direct Connect 维护期间使用此功能,因为在维护期间或维护之后,BGP 会话可能会提早恢复。
## 测试历史记录
AWS 将在 365 天后删除测试历史记录。测试历史记录包括在所有 BGP 对等上运行的测试的状态。历史记录包括测试了哪些 BPG 对等会话、开始和结束时间以及测试状态,可以是以下任意值:
+ **正在进行中** - 测试当前正在运行。
+ **已完成** - 测试已在您指定的时间内运行。
+ **已取消** - 测试已在指定时间之前取消。
+ **失败** - 测试未在您指定的时间运行。当路由器出现问题时,会发生这种情况。
有关更多信息,请参阅 [查看 AWS Direct Connect 弹性工具包虚拟接口故障转移测试历史记录](view_failover_test.md)。
## 验证权限
具有故障转移测试运行权限的唯一账户是拥有虚拟接口的账户。账户拥有者通过 AWS CloudTrail 接收已在虚拟接口上运行测试的指示。
**Topics**
+ [测试历史记录](#test_history)
+ [验证权限](#permissions)
+ [启动虚拟接口失效转移测试](start_failover_test.md)
+ [查看虚拟接口失效转移测试历史记录](view_failover_test.md)
+ [停止虚拟接口失效转移测试](stop_failover_test.md)
# 开始 AWS Direct Connect 弹性工具包虚拟接口故障转移测试
您可以使用 Direct Connect 控制台或启动虚拟接口故障切换测试 AWS CLI。
**从 Direct Connect 控制台启动虚拟接口故障切换测试**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后依次选择**操作**、**关闭 BGP**。
可以在公有、私有或传输虚拟接口上运行测试。
1. 在**开始故障测试**对话框中,执行以下操作:
1. 例如,**要将 Peerings 归结为测试,请选择要测试**的对等互连会话。 IPv4
1. 在**测试时间上限**中,输入测试将会持续的分钟数。
最大值为 4320 分钟(72 工作小时)。
默认值为 180 分钟(3 小时)。
1. 对于 **To confirm test (确认测试)**,请输入**确认**。
1. 选择**确认**。
BGP 对等会话将置于“关闭”状态。您可以发送流量以便验证是否出现中断情况。如果需要,您可以立即停止测试。
**要启动虚拟接口故障切换测试,请使用 AWS CLI**
使用 [StartBgpFailoverTest](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StartBgpFailoverTest.html)。
# 查看 AWS Direct Connect 弹性工具包虚拟接口故障转移测试历史记录
您可以使用 Direct Connect 控制台或查看虚拟接口故障切换测试历史记录 AWS CLI。
**从 Direct Connect 控制台查看虚拟接口故障切换测试历史记录**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后选择 **View details (查看详细信息)**。
1. 选择**测试历史记录**。
控制台显示您已为虚拟接口执行的虚拟接口测试。
1. 要查看特定测试的详细信息,请选择测试 ID。
**要查看虚拟接口故障切换测试历史记录,请使用 AWS CLI**
使用 [ListVirtualInterfaceTestHistory](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ListVirtualInterfaceTestHistory.html)。
# 停止 AWS Direct Connect 弹性工具包虚拟接口故障转移测试
您可以使用 Direct Connect 控制台停止虚拟接口故障切换测试,或者 AWS CLI。
**从 Direct Connect 控制台停止虚拟接口故障切换测试**
1. 在 [https://console.aws.amazon.com/directconnect/v2/](https://console.aws.amazon.com/directconnect/v2/home) home 中打开**Direct Connect**主机。
1. 选择**虚拟接口**。
1. 选择虚拟接口,然后依次选择**操作**、**取消测试**。
1. 选择**确认**。
AWS 恢复 BGP 对等会话。测试历史记录将显示“已取消”测试。
**要停止虚拟接口故障切换测试,请使用 AWS CLI**
使用 [StopBgpFailoverTest](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StopBgpFailoverTest.html)。