什么是 AWS Site-to-Site VPN？

默认情况下，您在 Amazon VPC 中启动的实例无法与本地（AWS 架构）网络和远程设备（例如站点或本地设备）进行通。您可以通过创建 AWS Site-to-Site VPN（Site-to-Site VPN）连接并将路由配置为通过该连接传输流量，从而启用从您的 VPC 访问远程设备的权限。

尽管 VPN 连接 术语是一个泛指术语，但是在本文档中，VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。Site-to-Site VPN 支持 Internet 协议安全（IPsec）VPN 连接。

概念

以下是 Site-to-Site VPN 的主要概念：

AWS Site-to-Site VPN VPN 连接支持以下功能：

Internet 密钥交换版本 2 (IKEv2)
NAT 遍历
适用于虚拟专用网关（VGW）配置的 4 字节 ASN，范围为 1 至 2147483647。请参阅用于 AWS Site-to-Site VPN 连接的客户网关选项了解更多信息。
适用于客户网关（CGW）的 2 字节 ASN，范围为 1 至 65535。请参阅用于 AWS Site-to-Site VPN 连接的客户网关选项了解更多信息。
CloudWatch 指标
您的客户网关的可重用 IP 地址。
其他加密选项，包括 AES 256 位加密、SHA-2 哈希，以及其他 Diffie-Hellman 组
可配置的隧道选项
BGP 会话的 Amazon 端的自定义专用 ASN
来自的从属 CA 的私有证书AWS 私有证书颁发机构
对于 AWS Site-to-Site VPN 的 IPv6 支持
- IPv6 地址可用作内部隧道 IP 地址（数据包 IP）
- IPv6 地址可用作中转网关和 Cloud WAN 上的外部隧道 IP 地址（隧道 IP）
具有以下组合的完整 IPv6 迁移支持：
- IPv6 外部隧道 IP 与 IPv6 内部数据包 IP（IPv6 in-IPv6）
- IPv6 外部隧道 IP 与 IPv4 内部数据包 IP（IPv4-in-IPv6）

Site-to-Site VPN 连接有以下限制。

此外，在使用 Site-to-Site VPN 时，请注意以下事项。

可以使用以下任意接口创建、访问和管理 Site-to-Site VPN 资源：

AWS 管理控制台 –提供一个 Web 界面，您可以使用该界面访问 Site-to-Site VPN 资源。
AWS Command Line Interface（AWS CLI）：提供适用于广泛 AWS 服务（包括 Amazon VPC）的命令，并支持 Windows、macOS 和 Linux 等操作系统。AWS Site-to-Site VPN 命令行包含在更大的 EC2 命令行参考中
- 有关命令行界面的一般信息，请参阅 AWS Command Line Interface。
- 有关可用 EC2 命令（包括 Site-to-Site VPN 命令）的列表，请参阅 EC2 命令行参考。
  
  注意
  命令行参考未区分 Site-to-Site VPN 命令和较大的 EC2 命令集
AWS SDK – 提供了特定于语言的 API，可负责处理许多详细连接任务，例如计算签名、处理请求重试和错误处理。有关更多信息，请参阅 AWS SDK。
查询 API — 提供您使用 HTTPS 请求调用的低级别 API 操作。使用查询 API 是用于访问 Amazon VPC 的最直接方式，但需要您的应用程序处理低级别详细信息，例如生成哈希值以签署请求以及进行错误处理。有关更多信息，请参阅 Amazon EC2 API 参考。

您需要为预置并且可用的 VPN 连接按 VPN 连接小时数付费。有关更多信息，请参阅 AWS Site-to-Site VPN 与 Accelerated Site-to-Site VPN 连接定价。

您需要为从 Amazon EC2 传出到互联网的数据付费。有关更多信息，请参阅 Amazon EC2 按需定价页面上的数据传输。

当您创建加速 VPN 连接时，我们将代表您创建和管理两个加速器。您需要按小时为每个加速器付费，并支付数据传输费。有关更多信息，请参阅AWS Global Accelerator定价。

在 Site-to-Site VPN 连接中使用 IPv6 地址无需支付额外费用。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Site-to-Site VPN 的工作原理