本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用彈性工具組設定 Direct Connect 以獲得最大的 AWS Direct Connect 彈性
<a name="max-resiliency-set-up"></a>

在此範例中， Direct Connect 彈性工具組用於設定最大彈性模型

**Topics**
+ [步驟 1：註冊 AWS](#max-resiliency-signup)
+ [步驟 2：設定彈性模型](#max-resiliency-select-model)
+ [步驟 3：建立您的虛擬介面](#max-resiliency-createvirtualinterface)
+ [步驟 4：驗證您的虛擬介面彈性組態](#max-resiliency-failover)
+ [步驟 5：驗證您的虛擬介面連線能力](#max-resiliency-connected)

## 步驟 1：註冊 AWS
<a name="max-resiliency-signup"></a>

若要使用 Direct Connect，如果您還沒有帳戶，則需要 AWS 帳戶。

### 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

### 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 步驟 2：設定彈性模型
<a name="max-resiliency-select-model"></a>

**設定最大彈性模型**

1. 在 https：//[https://console.aws.amazon.com/directconnect/v2/home](https://console.aws.amazon.com/directconnect/v2/home) 開啟 **Direct Connect**主控台。

1. 在導覽窗格中，選擇**連線**，然後選擇**建立連線**。

1. 在 **Connection ordering type (連線訂購類型)** 下，選擇 **Connection wizard (連線精靈)**。

1. 在 **Resiliency level (彈性層級)** 下，選擇 **Maximum Resiliency (最大彈性)**，然後選擇 **Next (下一步)**。

1. 在 **Configure connections (設定連線)** 窗格的 **Connection settings (連線設定)** 下，執行下列動作：

   1. 對於 **Bandwidth (頻寬)**，選擇專用連線頻寬。

      此頻寬適用於所有建立的連線。

   1. 針對**第一個位置服務提供者**，選取專用連線的適當 Direct Connect 位置。

   1. 如適用，將**第一個子位置**選為最靠近您本身或網路供應商的樓層。此選項僅適用於該位置所在建築物的多個樓層設有匯接機房 (MMR) 的情況。

   1. 如果您對**第一個位置服務供應商**選取**其他**，則對**其他供應商的名稱**，請輸入您使用的合作夥伴名稱。

   1. 針對**第二個位置服務提供者**，選取適當的 Direct Connect 位置。

   1. 如適用，將**第二個子位置**選為最靠近您本身或網路供應商的樓層。此選項僅適用於該位置所在建築物的多個樓層設有匯接機房 (MMR) 的情況。

   1. 如果您對**第二個位置服務供應商**選取**其他**，則對**其他供應商的名稱**，請輸入您使用的合作夥伴名稱。

   1. (選用) 新增或移除標籤。

      [新增標籤] 選擇 **Add tag** (新增標籤)，並執行下列動作：
      + 在**金鑰**欄位中，輸入金鑰名稱。
      + 在**值**中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 **移除標籤**。

1. 選擇**下一步**。

1. 檢閱您的連線，然後選擇 **Continue (繼續)**。

   如果您的 LOA 已就緒，您可以選擇 **Download LOA (下載 LOA)**，然後按一下 **Continue(繼續)**。

   最多可能需要 72 個小時 AWS 才能檢閱您的請求，並為您的連線佈建連接埠。在此期間，您可能會收到一封電子郵件，要求您就自身使用案例或指定的據點補齊更多資訊。電子郵件會傳送至您在註冊時使用的電子郵件地址 AWS。您必須在 7 日內回覆，否則將刪除連線。

## 步驟 3：建立您的虛擬介面
<a name="max-resiliency-createvirtualinterface"></a>

您可以建立私有虛擬介面以連接到您的 VPC。或者，您可以建立公有虛擬介面，以連線至不在 VPC 中的公有 AWS 服務。建立通往 VPC 的私有虛擬介面時，您所連接的每個 VPC 都需要一個私有虛擬介面。例如，連接到三個 VPC 共需要三個私有虛擬介面。

開始之前，請務必備妥下列資訊：


| 資源 | 必要資訊 | 
| --- | --- | 
| Connection (連線) | 您要為其建立虛擬介面的 Direct Connect 連線或連結彙總群組 (LAG)。 | 
| 虛擬介面名稱 | 虛擬介面的名稱。 | 
| 虛擬介面擁有者 | 如果您要為另一個帳戶建立虛擬介面，則需要另一個帳戶 AWS 的帳戶 ID。 | 
| (僅限私有虛擬介面) 連線 | 若要連線到相同區域中的 VPC AWS ，您需要 VPC 的虛擬私有閘道。BGP 工作階段的 Amazon 端 ASN 是繼承自虛擬私有閘道。當您建立虛擬私有閘道時，您可指定自己的私有 ASN。否則，Amazon 會提供預設的 ASN。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的[建立虛擬私有閘道](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)。若要透過 Direct Connect 閘道連線至 VPC，您需要該 Direct Connect 閘道。如需詳細資訊，請參閱 [Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。 | 
| VLAN | 您的連線尚未使用的唯一虛擬區域網路 (VLAN) 標籤。此值必須介於 1 到 4094 之間，且必須符合乙太網路 802.1Q 標準。任何周遊 Direct Connect 連線的流量都需使用此標籤。如果您有託管連線，您的 AWS Direct Connect 合作夥伴會提供此值。建立虛擬介面後，就無法修改該值。 | 
| 對等 IP 地址 |  虛擬介面可以支援 IPv4、IPv6 或其中一個 (雙堆疊) 的 BGP 對等工作階段。請勿使用彈性 IPs(EIPs) 或從 Amazon 集區使用您自己的 IP 地址 (BYOIP) 來建立公有虛擬介面。您無法在相同的虛擬介面上為相同 IP 地址系列建立多個 BGP 工作階段。IP 地址範圍會指派給 BGP 對等工作階段之虛擬介面的每一端。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/directconnect/latest/UserGuide/max-resiliency-set-up.html)  | 
| 地址系列 | BGP 對等工作階段是否會透過 IPv4 或 IPv6 進行。 | 
| BGP 資訊 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/directconnect/latest/UserGuide/max-resiliency-set-up.html) | 
| (僅限公有虛擬介面) 您要公告的字首 |   要透過 BGP 公告的公有 IPv4 路由或 IPv6 路由。您必須使用 BGP 公告至少一個字首，最多可公告 1,000 個字首。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/directconnect/latest/UserGuide/max-resiliency-set-up.html) | 
| （僅限私有和傳輸虛擬介面） 巨型訊框 | 封包經過的最大傳輸單位 (MTU) Direct Connect。預設值為 1500。設定虛擬介面的 MTU 為 9001 (巨型訊框)，可能導致基礎實體連線的更新，如果未更新到支援巨型訊框。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。巨型訊框僅適用於從 傳播的路由 Direct Connect。如果您將靜態路由新增至指向虛擬私有閘道的路由表格，則透過靜態路由傳送的流量會使用 1500 MTU。若要檢查連線或虛擬介面是否支援巨型訊框，請在 Direct Connect 主控台中選取它，然後在虛擬介面一般組態頁面上尋找支援的巨型訊框。 | 

如果您的公有字首或 ASN 屬於某家 ISP 或網路電信業者，我們會要求您提供額外的資訊。其形式可能是採用公司信箋的正式行文或寄自公司網域名稱的電子郵件，以玆確認該網路字首/ASN 可供您使用。

當您建立公有虛擬介面時，最多可能需要 72 個小時 AWS 才能檢閱和核准您的請求。

**佈建公有虛擬介面連往非 VPC 服務**

1. 在 https：//[https://console.aws.amazon.com/directconnect/v2/home](https://console.aws.amazon.com/directconnect/v2/home) 開啟 **Direct Connect**主控台。

1. 在導覽窗格中，選擇 **Virtual Interfaces** (虛擬介面)。

1. 選擇**建立虛擬介面**。

1. 在**虛擬介面類型**之下，針對**類型**選擇**公有**。

1. 在**公有虛擬介面設定** 之下，執行下列動作：

   1. 針對**虛擬介面名稱**，輸入虛擬介面的名稱。

   1. 針對**連線**，選擇要用於此介面的 Direct Connect 連線。

   1. 針對 **VLAN**，為您的虛擬區域網路 (VLAN) 輸入 ID 號碼。

   1. 針對 **BGP ASN**，輸入您閘道的邊界閘道協定 (BGP) 自發系統編號 (ASN)。

      有效值為 1 到 4294967294。這包括對 ASNs(1-2147483647) 和長 ASNs支援。1-4294967294 如需 ASNs和長 ASNs的詳細資訊，請參閱 [中的長 ASN 支援 Direct Connect](long-asn-support.md)。

1. 在 **Additional settings (其他設定)** 之下，執行下列動作：

   1. 若要設定 IPv4 BGP 或 IPv6 對等，請執行下列動作：

      [IPv4] 若要設定 IPv4 BGP 對等，請選擇 **IPv4**，然後執行以下動作：
      + 若要自行指定這些 IP 地址，對於 **Your router peer ip (您的路由器對等 IP)**，輸入 Amazon 應傳送流量至該處的目的地 IPv4 CIDR 地址。
      + 對於 **Amazon router peer IP (Amazon 路由器對等 IP)**，輸入用以傳送流量至 AWS的 IPv4 CIDR 地址。

      [IPv6] 若要設定 IPv6 BGP 對等，請選擇 **IPv6**。對等 IPv6 地址是自動從 Amazon 的 IPv6 地址集區所指派。您無法指定自訂 IPv6 地址。

   1. 若要提供自己的 BGP 金鑰，請輸入您的 BGP MD5 金鑰。

      如果您未輸入值，我們會產生 BGP 金鑰。

   1. 若要對 Amazon 公告字首，對於**欲公告的字首**，輸入應透過虛擬介面將流量路由傳送至該處的目的地 IPv4 CIDR 地址 (以逗號分隔)。

   1. (選用) 新增或移除標籤。

      [新增標籤] 選擇 **Add tag** (新增標籤)，並執行下列動作：
      + 在**金鑰**欄位中，輸入金鑰名稱。
      + 在**值**中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 **移除標籤**。

1. 選擇**建立虛擬介面**。

**佈建私有虛擬介面連往 VPC**

1. 在 https：//[https://console.aws.amazon.com/directconnect/v2/home](https://console.aws.amazon.com/directconnect/v2/home) 開啟 **Direct Connect**主控台。

1. 在導覽窗格中，選擇 **Virtual Interfaces** (虛擬介面)。

1. 選擇**建立虛擬介面**。

1. 在**虛擬介面類型**之下，對於**類型**，請選擇**私有**。

1. 在**公有虛擬介面設定**之下，執行下列動作：

   1. 針對**虛擬介面名稱**，輸入虛擬介面的名稱。

   1. 針對**連線**，選擇要用於此介面的 Direct Connect 連線。

   1. 對於**閘道類型**，選擇「**虛擬私有閘道**」或「**Direct Connect 閘道**」。

   1. 對於**虛擬介面擁有者**，選擇**另一個 AWS 帳戶**，然後輸入 AWS 帳戶。

   1. 對於**虛擬私有閘道**，請選擇您用於此介面的虛擬私有閘道。

   1. 針對 **VLAN**，為您的虛擬區域網路 (VLAN) 輸入 ID 號碼。

   1. 針對 **BGP ASN**，為新的虛擬介面輸入您內部部署對等路由器的邊界閘道協定自治系統編號。

      有效值為 1 到 4294967294。這包括對 ASNs(1-2147483647) 和長 ASNs支援。1-4294967294 如需 ASNs和長 ASNs的詳細資訊，請參閱 [中的長 ASN 支援 Direct Connect](long-asn-support.md)。

1. 在 **Additional settings (其他設定)** 之下，執行下列動作：

   1. 若要設定 IPv4 BGP 或 IPv6 對等，請執行下列動作：

      [IPv4] 若要設定 IPv4 BGP 對等，請選擇 **IPv4**，然後執行以下動作：
      + 若要自行指定這些 IP 地址，對於 **Your router peer ip (您的路由器對等 IP)**，輸入 Amazon 應傳送流量至該處的目的地 IPv4 CIDR 地址。
      + 對於 **Amazon 路由器對等 IP**，輸入用以傳送流量至 AWS的 IPv4 CIDR 地址。
**重要**  
設定 AWS Direct Connect 虛擬介面時，您可以使用 RFC 1918 指定自己的 IP 地址、使用其他定址機制，或選擇從 RFC 3927 169.25IPv4.0.0/16 IPv4 Link-Local 範圍配置的 AWS 指派 IPv4/29 CIDR 地址point-to-point連線。這些point-to-point連線應僅用於客戶閘道路由器和 Direct Connect 端點之間的 eBGP 互連。針對 VPC 流量或通道用途，例如 AWS Site-to-Site私有 IP VPN 或 Transit Gateway Connect， AWS 建議使用客戶閘道路由器上的迴路或 LAN 界面做為來源或目的地地址，而非point-to-point連線。  
如需有關 RFC 1918 的詳細資訊，請參閱[私有網路的地址配置](https://datatracker.ietf.org/doc/html/rfc1918)。
如需有關 RFC 3927 的詳細資訊，請參閱 [IPv4 Link-Local 地址的動態組態](https://datatracker.ietf.org/doc/html/rfc3927)。

      [IPv6] 若要設定 IPv6 BGP 對等，請選擇 **IPv6**。對等 IPv6 地址是自動從 Amazon 的 IPv6 地址集區所指派。您無法指定自訂 IPv6 地址。

   1. 若要將最大傳輸單位 (MTU) 從 1500 (預設) 變更至 9001 (巨型框架)，請選取**巨型 MTU (MTU 大小 9001)**。

   1. (選用) 在**啟用 SiteLink** 之下，選擇**啟用**以啟用 Direct Connect 連接點之間的直接連線。

   1. (選用) 新增或移除標籤。

      [新增標籤] 選擇 **Add tag** (新增標籤)，並執行下列動作：
      + 在**金鑰**欄位中，輸入金鑰名稱。
      + 在**值**中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 **移除標籤**。

1. 選擇**建立虛擬介面**。

## 步驟 4：驗證您的虛擬介面彈性組態
<a name="max-resiliency-failover"></a>

在您建立 AWS 雲端或 Amazon VPC 的虛擬介面之後，請執行虛擬介面容錯移轉測試，以確認您的組態符合您的彈性需求。如需詳細資訊，請參閱[Direct Connect 容錯移轉測試](resiliency_failover.md)。

## 步驟 5：驗證您的虛擬介面連線能力
<a name="max-resiliency-connected"></a>

建立 AWS 雲端或 Amazon VPC 的虛擬介面之後，您可以使用下列程序來驗證您的 AWS Direct Connect 連線。

**驗證與 AWS 雲端的虛擬介面連線**
+ 執行`traceroute`並確認 Direct Connect 識別符位於網路追蹤中。

**驗證虛擬介面至 Amazon VPC 的連線**

1. 使用可透過 ping 存取的 AMI 如 Amazon Linux AMI，在連接至虛擬私有閘道的 VPC 中啟動 EC2 執行個體。當您使用 Amazon EC2 主控台的執行個體啟動精靈時，可在**快速入門**索引標籤取得 Amazon Linux AMI。如需詳細資訊，請參閱《Amazon EC2 使用者指南》中的[啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html)。 *Amazon EC2 * 確認與執行個體關聯的安全群組，包含一個規則允許流量傳入 ICMP (適用於 ping 請求)。

1. 待執行個體執行之後，取得其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 主控台顯示的執行個體詳細資訊將包含該地址。

1. Ping 到該私有 IPv4 地址並獲得回應。