Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课时讨论AWS Direct Connect,认证考试中有很多很多基于Direct Connect场景的考题,希望大家认真准备这部分的内容。
AWS Direct Connect是做什么的呢?
它是一种网络服务,使用 AWS Direct Connect,之前通过 Internet 传输的数据现在可以借助 AWS 与您的数据中心或公司网络之间的私有网络连接进行传输。Direct Connect通过专线将您的内部网络比如办公室或者本地数据中心连接到AWS。
Direct Connect是从您的内部网络连接到 AWS Direct Connect 位置,一端连接到您的数据中心的路由器,另一端连接到AWS Direct Connect Location的路由器。
比如现在很多组织都是采用混合云的架构,对外的业务分别运行在组织的本地数据中心以及AWS,比如前端和数据库,需要在这两个网络间进行通信,在这种场景下就可以使用Direct Connect,将本地数据中心和AWS通过专线建立连接。
Direct Connect比VPN的解决方案的成本更高一些,但通过Direct Connect将本地数据中心和AWS连接起来后,专线提供了更稳定的网络通信,且让您可以在本地数据中心通过私有网络访问AWS的服务以及VPC的资源。
这就意味着本地数据中心和AWS相互间的通信绕过了ISP而使用专用线路,优势是:1、降低网络通讯的成本 2、拥有更多的网络带宽 3、提升网络质量以及稳定性。 4、相互通信通过私有网络。
还有一点要注意的是,在默认的情况下,Direct Connect不是冗余的,专线或者设备故障通信就会全中断,如果需要冗余连接,我们就要在建立一个DX或VPN来作为冗余连接,我们在本课时的后面会讨论这部分内容。
AWS Direct Connect 虚拟接口
我们先看一下如何通过AWS Direct Connect 将您的本地数据中心和AWS 区域通过专线连接起来。
右侧是本地数据中心,左侧是AWS的Region,创建 Direct Connect连接后实际上是通过AWS合作伙伴,建立一个从您的网络到 AWS Direct Connect location的您或者合作伙伴的路由器的专线连接,然后在通过 Direct Connect location的 合作伙伴到AWS Region的专线接入AWS 。
创建Direct Connect连接后,必须创建 Direct Connect虚拟接口,也就是VIF,才能开始使用Direct Connect连接。
所以接下来讨论下AWS Direct Connect 虚拟接口的内容。
可以创建三种类型的虚拟接口:
【1】第一种是公共虚拟接口,在图中绿色的箭头表示,公共虚拟接口是做什么的呢,本地数据中心可以通过 Direct Connect通过公共虚拟接口访问AWS的公共服务,如S3,Glacier等等。
【2】另一种是私有虚拟接口,在图中蓝色的箭头表示,私有虚拟接口是用于本地数据中心通过 Direct Connect访问VPC资源的,如EC2实例,ELB等等。
这里大家一定要牢记,考试中会遇到虚拟接口的考点,您的VPC内的资源是需要通过私有虚拟接口来访问;而所有拥有公有域名AWS的服务,比如S3等等这些服务,是需要通过公共虚拟接口来访问。
【3】最后一种是Transit虚拟接口,用于连接VPC的Transit gateway。
好的,在这里还有一点提醒大家注意,VPC终端节点是无法通过私有虚拟接口来访问的,在这种场景下本地的网络是可以通过公共虚拟接口直接访问AWS的公共服务,如S3等。无法通过私有虚拟接口来访问VPC终端节点。
接下来我们讨论AWS Direct Connect 连接的类型。
我们前面讨论过,您可通过 AWS Direct Connect 建立一个连接您的本地网络与 AWS Direct Connect Location的专线连接,有两种类型的连接:
【1】首先是专用连接,可以选择1 Gbps 和 10 Gbps带宽,它是一个与单个客户关联的物理以太网连接,客户可以通过AWS Direct Connect 控制台、CLI 或 API 请求专用连接,然后AWS批准后由Direct Connect 合作伙伴来完成后续工作。
【2】另一种是托管连接,对于托管连接,可以选择的带宽为 50Mbps、100Mbps、200Mbps….到 10Gbps。请注意,只有已满足特定要求的合作伙伴可以创建 1Gbps、2Gbps、5Gbps 或 10Gbps 托管连接。客户是通过与 AWS Direct Connect 合作伙伴联系来请求托管连接。托管连接为客户提供了更多的带宽容量选择。
最后,无论是专用连接还是托管连接,因为可能会涉及一些物理专线的工作,基本上从申请创建连接到完成都需要差不多1个月以上时间。所以有一些考题要注意,比如像传输多大的数据使用什么方案类似的题目,要记得Direct Connect是需要1个月以上的准备时间的。
AWS Direct Connect 加密
默认情况下,使用 Direct Connect传输数据是在传输过程中是没有进行加密的,这一点要注意,但是因为是通过私有专线来传输,在一定的程度上也保障了数据在传输过程中的安全性。
如果您需要额外的安全性,可以使用 Direct Connect结合VPN的方式,在专线上对传输数据通过IPsec进行加密。
这里有一个例子,在本地建立Direct Connect连接后,在本地和Direct Connect之间在通过VPN连接来确保传输数据过程中加密。
如果大家对这部分内容感兴趣,可以访问这个链接,这是一个介绍通过 AWS Direct Connect 连接建立 AWS VPN的视频。
我们继续
链接汇聚组
链接汇聚组,您可以理解它是一个逻辑接口,它的作用是将多根连接汇聚成一个逻辑接口。
比如在本地数据中心和Direct Connect Location之间建立了多个连接,通过链接汇聚组,汇聚多个连接后,就会将这些连接视为一个托管连接进行管理,
这样的话就将多个连接汇聚成一个更大或者说是更高带宽的连接,且为连接增加了冗余性。
LAG 中最多可汇聚4 个连接,且LAG 中的所有连接以主动/主动模式运行。
您可从现有连接创建 LAG,也可配置新连接,就是说您可以随时将连接添加到LAG中以增加总带宽。
不过要注意LAG的一些使用限制:
LAG 中的所有连接都必须使用相同的带宽
LAG 中的所有连接都必须连接到同一 AWS Direct Connect 终端节点
另外,可以配置LAG的最小连接数量,作用是连接小于这个配置数量的话LAG就不在工作,这个值是可以设置为0的。
好,我们看一个例子,在这个场景下有两个用户数据中心,分别通过了两个不同的Direct Connect Location连接到了AWS VPC。
在上面的这个用户数据中心,通过两个连接连接到了Direct Connect Location 1,我们可以将这两个连接配置成LAG,合并成一个逻辑的连接,这个逻辑的连接合并了连接1和连接2的带宽。
同样可以将第二个用户数据中心到Direct Connect Location 2的连接配置成LAG,同上。不过要注意的下面的这两个连接,连接到了不同的Direct Connect Location,所以不能将这4个连接配置成1个LAG。
我们继续。
Direct Connect 网关
Direct Connect 网关,如果您想通过本地数据中心建立的Direct Connect连接,访问不同AWS区域的一个或多个VPC,那么就可以使用 Direct Connect 网关。
我们看一下这个架构图,用户本地的数据中心的网络连接到了 Direct Connect的虚拟接口,然后Direct Connect虚拟接口在连接到Direct Connect 网关,然后通过Direct Connect网关的配置,就可以让我们在本地数据中心访问不同AWS区域的不同VPC的资源。
这里需要注意的是,用户数据中心访问这些VPC资源是要使用的是私有虚拟接口,前面讨论过,在这里在强调下,如果要访问VPC相关的资源是需要通过私有虚拟接口来访问的,牢记牢记。
当本地网络需要通过Direct Connect访问多区域多VPC的场景时,记得这是Direct Connect 网关的适用场景。
Direct Connect 网关是可以关联到Transit Gateway上的,可以通过Transit Gateway将您的多个VPC以及 Direct Connect 网关连接起来成为一个星型网络结构。
好的,以上就是我们这个课时的内容, Direct Connect的内容在考试中出现的频率非常非常高,希望大家掌握这部分内容
希望本课时能够给大家带来帮助。
希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:
- 如果您想获取本课程全部课时,请扫PPT的二维码加入。
- AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
- 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
- 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。
我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。
0 responses on "54-Direct Connect"