Wie kann ich BGP-Communities verwenden, um die Routen zu kontrollieren, die über die öffentliche virtuelle AWS-Schnittstelle mit Direct Connect angekündigt und empfangen werden?

Kurzbeschreibung

AWS Direct Connect-Standorte in AWS-Regionen oder AWS GovCloud (USA) können auf öffentliche Dienste in jeder AWS-Region mit Ausnahme der Region China (Peking) zugreifen. Direct Connect kündigt alle lokalen und externen AWS-Regionspräfixe an, sofern verfügbar. Direct Connect enthält On-Net-Präfixe von anderen AWS-Points of Presence (POPs) außerhalb der Region, sofern verfügbar, wie Amazon CloudFront. Weitere Informationen finden Sie unter Routing-Richtlinien und Border Gateway Protocol (BGP)-Communities.

Behebung

Direct Connect unterstützt eine Reihe von BGP-Community-Tags, mit denen Sie den Umfang der Routen kontrollieren können, die über eine öffentliche virtuelle Schnittstelle angekündigt und empfangen werden. BGP-Community-Tags können beispielsweise auf regionaler, kontinentaler oder globaler Ebene verwendet werden.

AWS kündigt Ihrem Kunden-Gateway-Gerät über die öffentliche virtuelle Schnittstelle die folgenden Direct Connect BGP-Community-Tags an:

• 7224:8100: Routen, die aus der AWS-Region stammen, in der sich der Direct Connect-Präsenzpunkt befindet
• 7224:820: Routen, die von dem Kontinent ausgehen, auf dem sich der Direct Connect-Präsenzpunkt befindet
• Kein Tag: Global (alle öffentlichen AWS-Regionen)

Für öffentliche virtuelle Schnittstellen in der AWS-Region us-east-1 kündigt AWS die Routen für öffentliche Ressourcen in der AWS-Region us-east-1 mit einem Community-Tag 7224:8100 an. Für Routen für öffentliche Ressourcen in Nordamerika bewirbt AWS die Routen mit einem Community-Tag 7224:8100. Für alle anderen Präfixe gibt es kein Tag.

Verwenden Sie die folgenden Direct Connect BGP-Community-Tags, um den Geltungsbereich Ihrer Präfixe für AWS auszuwählen:

• 7224:9100: Lokale AWS-Region, in der sich der Direct Connect-Präsenzpunkt befindet
• 7224:9200: Alle AWS-Regionen für den Kontinent (z. B. Nordamerika), auf dem sich der Direct Connect-Präsenzpunkt befindet
• 7224:9300 oder kein Tag: Global oder alle öffentlichen AWS-Regionen

Wenn Sie eine öffentliche virtuelle Schnittstelle in der AWS-Region us-east-1 haben, beschränken Sie den Umfang der Routen, die Sie in der AWS-Region us-east-1 bewerben. Verwenden Sie das Community-Tag 7224:9100, um den Umfang einzuschränken. Wenn Sie Ihre Routen mit dem Community-Tag 7224:9200 kennzeichnen, werden Ihre Präfixe allen AWS-Regionen in den USA beworben. Wenn Sie Ihre Routen mit dem Community-Tag 7224:9300 kennzeichnen, werden Ihre Präfixe allen AWS-Regionen beworben. Wenn Sie Ihre Präfixe nicht mit einem Community-Tag kennzeichnen, werden Ihre Präfixe in allen AWS-Regionen beworben.

Sie können beispielsweise die über die öffentliche virtuelle Schnittstelle empfangenen und angekündigten Routen auf eine bestimmte lokale AWS-Region beschränken. Konfigurieren Sie zunächst einen Präfixfilter und eine Routenkarte, die den von AWS empfangenen Routen mit dem Community-Tag 7224:8100 entsprechen. Installieren Sie dann nur diese Routen. Außerdem müssen Sie Ihre Präfixe bei AWS mit einem Community-Tag 7224:9100 bewerben. Die über die öffentliche virtuelle Schnittstelle empfangenen und angekündigten Routen sind auf die lokale Region beschränkt.

Sie können eine beliebige Kombination der Community-Tags verwenden, um die Routen zu steuern, die über eine öffentliche AWS virtuelle Schnittstelle angekündigt und empfangen werden. AWS Direct Connect bewirbt alle öffentlichen Präfixe mit dem Community-Tag NO\ _EXPORT BGP. Weitere Informationen oder zum Herunterladen der aktuellen Liste der von AWS angekündigten Präfixe finden Sie unter AWS-IP-Adressbereiche.