Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
如何影響通過多個電路到內部部署的 Direct Connect 連接網絡流量路徑?
我想影響通過多個電路到內部部署的 AWS Direct Connect 連接網絡流量路徑。
簡短描述
您可以在不同的 AWS 區域中使用多個 Direct Connect 電路,以提高頻寬和高可用性。視乎電路在區域之間的分佈情況,您可以公告帶有內部部署前綴的邊界閘道協定 (BGP) 社群標籤,以影響 Direct Connect 流量。
多個 Direct Connect 連接的常見設置包括:
- 在連接到同一區域中相同虛擬私有閘道 (VGW) 的 Direct Connect 連接上創建私有虛擬介面。
- 在連接到同一 Direct Connect Gateway (DXGW) ,並連接至任何區域中多個 VGW 的 Direct Connect 連接上創建私有虛擬介面。
- 在連接到同一 DXGW,並連接至任何區域中多個傳輸閘道的 Direct Connect 連接上創建傳輸虛擬介面。
解決方案
請根據您的使用案例,按照以下指示影響您的 Direct Connect 連接網絡流量路徑。
私有和傳輸虛擬介面的預設行為及如何影響介面行為
如要影響預設行為,最佳實務是使用 自治系統 (AS) 路徑前置和以下的本機偏好 BGP 社群標籤:
- 7224:7100 – 低偏好
- 7224:7200 – 中偏好
- 7224:7300 – 高偏好
本機偏好 BGP 社群標籤按照從最低到最高偏好的順序評估 (其中最高偏好為偏好設定)。對於透過 BGP 工作階段公告的每個前綴,您可以套用社群標籤來指示返回流量的關聯路徑的優先順序。
如需詳細資訊,請參閱如何使用 BGP 社群來影響從 AWS 到我的網路的 Direct Connect 連結上的偏好路由路徑?
案例 1
您在 us-east-1 區域擁有一個 Direct Connect 連接 (DX1),在 eu-west-1 區域擁有另一個連接 (DX2)。在 DX1 和 DX2 上創建私有虛擬介面 (VIF),其前綴與內部部署設備公告者相同。DX1 和 DX2 的 VIF 連接到一個 DXGW,並與 us-east-1、eu-west-1 及 ap-southeast-1 區域的三個 VGW 相關聯。
如果在 DX1 上透過 VIF 公告 BGP 標籤 7224:7300,來自 us-east-1 區域 Amazon Virtual Private Cloud (Amazon VPC) 的流量將保持不變。來自 eu-west-1 和 ap-southeast-1 區域的流量將偏好 DX1,因為 BGP 社群覆寫了同一個區域偏好。
如果在 DX1 和 DX2 上透過 VIF 公告 BGP 標籤 7224:7300,來自不同區域的所有 Amazon VPC 流量將在 DX1 和 DX2 之間實現負載平衡。這是由於 BGP 社群覆寫了同一個區域偏好。
如果在 DX1 上透過 VIF 公告 BGP 標籤 7224:7300,並設有 AS 前置,來自所有區域的所有 Amazon VPC 流量將偏好 DX2。這是由於區域偏好同樣被覆寫。然後,AWS 會驗證 AS 路徑長度,並發現 DX2 的路徑前綴比 DX1 短。
如果您只在 DX1 上通過 VIF 公告一個 AS 前置,而未有使用 BGP 社群標籤,則 us-east-1 和 eu-west-1 區域的 Amazon VPC 流量將保持不變。來自 ap-southeast-1 區域的流量將偏好 DX2。這是由於區域偏好的優先順序高於 AS 路徑長度。
案例 2
您在 us-east-1 區域擁有 Direct Connect 連接 DX1 和 DX2,並擁有私有虛擬介面,其前綴與內部部署設備公告者相同。私有虛擬介面連接到 DXGW,並與 us-east-1 和 eu-west-1 區域的三個 VGW 相關聯。
如果在 DX1 上透過 VIF 公告 BGP 標籤 7224:7300,來自 us-east-1 和 eu-west-1 區域的流量將偏好 DX1,因為 BGP 社群覆寫了同一個區域偏好。
如果在 DX1 和 DX2 上透過 VIF 公告 BGP 標籤 7224:7300,不同區域的 VPC 流量將保持不變。這是由於 BGP 社群標籤覆寫了區域偏好,以便實現負載平衡。
如果在 DX1 上透過 VIF 公告 BGP 標籤 7224:7300,並設有 AS 前置,來自所有區域的 Amazon VPC 流量將偏好 DX2。這是由於區域偏好同樣被覆寫。然後,AWS 會驗證 AS 路徑長度,並發現 DX2 的路徑前綴比 DX1 短。
如果在 DX1 上透過 VIF 公告一個 AS 前置,而未有使用 BGP 社群標籤,則來自 us-east-1 和 eu-west-1 區域中的 Amazon VPC 的流量將偏好 DX2。這是因為 us-east-1 和 eu-west-1 區域具有相同的區域偏好和較短 AS 路徑的 DX2。
案例 1 和案例 2
如在沒有影響因素的情況下公告內部部署前綴,則預設流量輸出行為如下:
- 來自 us-east-1 區域的 Amazon VPC 流量將偏好 DX1,原因是它位於同一區域。來自 eu-west-1 區域的 Amazon VPC 流量將偏好 DX2,原因是它位於同一區域。由於 ap-southeast-1 是一個遠端區域,因此來自 Amazon VPC 的流量將在 DX1 和 DX2 之間實現負載平衡。
- 來自 us-east-1 區域的 Amazon VPC 流量將在 DX1 和 DX2 之間實現負載平衡,原因是他們位於同一區域。來自 eu-west-1 區域的 Amazon VPC 流量將在 DX1 和 DX2 之間實現負載平衡。
公有虛擬介面的預設行為及如何影響介面行為
在下列案例中,您擁有兩個位於相同區域的 Direct Connect 連接,其公有虛擬介面和前綴與內部部署設備公告者相同。
如沒有影響因素,來自 AWS 方向的輸出流量將在公有 VIF 之間實現負載平衡。如要影響預設行為,最佳實務是使用自治系統 (AS) 前置及公有 ASN。如果您只能使用私有 ASN,最佳實務是公告來自首選公有 VIF 的更具體前綴,以便由最長的前綴配對決定路由路徑。
公有虛擬介面的常見非對稱路由案例
您可以在 Direct Connect 中使用以下的 BGP 前綴:
- 7224:9100 – 本機 AWS 區域
- 7224:9200 – 整個大陸的所有 AWS 區域
- 7224:9300 – 全球(所有公有 AWS 區域)
如需詳細資訊,請參閲 BGP 社群範圍。
在下列案例中,您在 us-east-1 區域擁有一個公有虛擬介面的 Direct Connect 連接。您正透過 Direct Connect 連接和本地網際網路服務供應商公告附帶社群標籤 7224:9100 的同一個內部部署公有前綴。
如果您正在存取 us-east-1 區域中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體,傳入和傳出流量將通過 Direct Connect 連接進行。
如果您正在存取 eu-west-1 區域中的 Amazon S3 儲存貯體,傳入流量將通過 Direct Connect 連接進行,傳出流量將透過本地網際網路服務供應商進行。這是由於前綴未傳播到 eu-west-1 區域,導致非對稱路由。
如果您正在存取 us-east-1 區域中的 Amazon S3 儲存貯體,而且來自內部部署的傳入流量使用本地網際網路服務供應商進行,則會發生非對稱路由。這是由於當收到相同的前綴時,AWS 偏好透過 Direct Connect 連接傳送傳出流量,而非透過本地網際網路服務供應商。
相關資訊
如何設定從公有虛擬介面到 AWS 的主動/主動或主動/被動 Direct Connect 連線?
- 語言
- 中文 (繁體)
相關內容
- 已提問 1 年前
