+86 13541016684Mon. - Fri. 10:00-22:00

利用 AWS Direct Connect 网关轻松接入 AWS 中国区任意节点

利用 AWS Direct Connect 网关轻松接入 AWS 中国区任意节点

利用 AWS Direct Connect 网关轻松接入 AWS 中国区任意节点

云上和云下的混合部署是目前大量用户进行实际业务部署的常见方式。为了实现高速、稳定、安全的数据交互,用户都会有专线接入的需求,即通过 Direct Connect 专有连接将自建机房的网络和 AWS 区域中的 VPC 进行网络连通,实现业务混合部署或者数据传输。其中时间和成本是用户考虑专线建设的重要考量因素。

在 Direct Connect 网关发布之前,国内用户在接入北京和宁夏区域的 VPC 时,可以通过两个区域的 Direct Connect 服务接入点(如表1)分别接入区域中的 VPC,每个 VPC 中的 VGW 都通过一个 Virtual Interface 进行绑定,和用户的网关建立 BGP 邻居。

AWS 区域 AWS Direct Connect 站点
中国(北京) 北京光环新网酒仙桥数据中心
中国(北京) 国富瑞北京嘉创数据中心
中国(北京) 万国数据上海3号数据中心
中国(北京) 万国数据深圳3号数据中心
中国(宁夏) 宁夏工业园数据中心
中国(宁夏) 宁夏沙坡头数据中心

表1  AWS 区域连接选项

例如,用户要接入北京区域的 VPC,只能通过表1中的北京区域对应的四个接入点接入专线,要接入宁夏区域的 VPC,只能通过宁夏区域对应的两个接入点接入专线。网络拓扑示意图如下:

easy-access-to-aws-china-with-direct-connect-gateway1

 

在2019.11.25日发布了 Direct Connect 网关后,我们可以利用国内的任何一个 Direct Connect站点接入到宁夏、北京区域中的多个 VPC 中,并且用户网关只需要通过 Virtual Interface 和 Direct Connect 网关建立 BGP 邻居,而无需和每个 VGW 建立 BGP 邻居。这大大简化了用户的接入和组网方案,降低了同时使用 AWS 中国宁夏和北京区域的成本,带来更高的业务可用性和灵活性。示意图如下。

easy-access-to-aws-china-with-direct-connect-gateway2

 

配置演示

下面的演示所模拟的网络拓扑如下,在本地机房中的 CIDR 是192.168.0.0/16,在北京区域和宁夏区域分别部署了两个 VPC,通过在宁夏的工业园数据中心机房实现专线接入,将本地机房和 AWS 上的四个 VPC 连通。

easy-access-to-aws-china-with-direct-connect-gateway3

 

进入 Console 界面,选择 AWS Direct Connect 服务,该配置页面不区分区域,可以从任意一个区域进入配置页面,创建 Direct Connect 网关。

easy-access-to-aws-china-with-direct-connect-gateway4

 

如上图配置界面,点击“创建 Direct Connect 网关”按钮进入创建页面。输入 AWS 侧网络的私有 ASN,然后单击“创建 Direct Connect 网关”完成网关创建。ASN (自治系统编号) 必须位于在 RFC 6996 中定义为私有的范围内。

easy-access-to-aws-china-with-direct-connect-gateway5

 

本示例中采用托管连接的方式,由专线合作伙伴创建 connection 到本账号下。

easy-access-to-aws-china-with-direct-connect-gateway6

 

点击连接的 ID,在连接页面中选择“接受”该连接。

easy-access-to-aws-china-with-direct-connect-gateway7

easy-access-to-aws-china-with-direct-connect-gateway8

 

在该 connection 上建立虚拟端口,点击下面页面中“创建虚拟端口”按钮。

easy-access-to-aws-china-with-direct-connect-gateway9

 

选择“私有”接口类型。

easy-access-to-aws-china-with-direct-connect-gateway10

 

专线绑定网关选择“Direct Connect”网关,选择刚才创建的 Direct Connect 网关,VLAN ID、 BGP ASN 和接口 IP 等根据专线合作伙伴给定配置进行设置。

easy-access-to-aws-china-with-direct-connect-gateway11

easy-access-to-aws-china-with-direct-connect-gateway12

 

绑定完成后,等待几分钟接口状态变为 available ,BGP 邻居状态变为 UP。

easy-access-to-aws-china-with-direct-connect-gateway13

 

本例中的四个 VPC 已经提前创建完成,需要将四个 VPC 的 VGW 关联到 Direct Connect 网关。在 Direct Connect 网关页面关联 VGW,点击“关联网关”按钮。

easy-access-to-aws-china-with-direct-connect-gateway14

 

下面以 VPC1 为例,在网关中选择 VPC1 的 VGW ID,在前缀中配置发布到IDC的路由前缀,本例中 VPC1 的CIDR 为10.100.0.0/16。其他三个 VPC 配置类似,按顺序完成。

easy-access-to-aws-china-with-direct-connect-gateway15

 

等待几分钟后,所有 VGW 状态变为 associated.

easy-access-to-aws-china-with-direct-connect-gateway16

 

在各个 VPC 的路由表中,打开路由自动传播,将 VGW 学习到的路由自动发布到各子网路由表中。

easy-access-to-aws-china-with-direct-connect-gateway17
easy-access-to-aws-china-with-direct-connect-gateway18

 

 

保存配置后,可以看到IDC机房的路由前缀已经学习到。

easy-access-to-aws-china-with-direct-connect-gateway19

 

为验证本地机房到 VPC 的连通性,已经在四个 VPC 中各创建了一台 EC2 ,安全组中允许来自192.168.0.0/16的 ICMP 请求。从 IDC 机房主机 ping 这四台 EC2 的 IP,确认都可以连通。

easy-access-to-aws-china-with-direct-connect-gateway20
easy-access-to-aws-china-with-direct-connect-gateway21

 

根据相关法规要求,专线会有合规审核流程,用户如果在配置过程中遇到任何问题或者有状态显示为 approving,请联系AWS 相关人员或者通过提交 support case 寻求帮助。

 

成本计算

专线成本分为端口小时费率(分专用连接和托管连接)和数据传输(只有出方向收费,入方向免费)两部分。以上面的演示为例,若在宁夏工业园区使用一个 100M 的托管连接,宁夏两个 VPC 每月传出数据共为 450G,北京两个 VPC 传出数据共为 600G 的话,月度费用计算如下(未包含第三方专线 partner 费用)。

0.37*24*30+450*0.28+600*0.84 =¥896.4

 

easy-access-to-aws-china-with-direct-connect-gateway22

 

高可用

上面的配置示例仅为展示基本配置流程,并未考虑专线自身的高可用,实际使用中建议对可用性要求较高的业务从不同专线接入点双线接入,提高可用性。以下面拓扑为例,通过在两个专线接入点接入,可以实现专线的 HA ,利用 AS-Path 或者 community 属性实现线路的优先级控制,详情可以参考如下链接:

https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/routing-and-bgp.html

easy-access-to-aws-china-with-direct-connect-gateway23

 

小结

通过上面的示例我们可以看到,利用 Direct Connect 网关,可以通过 AWS 就近的接入点连接北京和宁夏区域的多个 VPC,实现更加便捷简单的网络拓扑,减小运维的工作量,降低专线接入成本。