通过 AWS Direct Connect 构建专线连接 - 冗余配置与流量控制
设计专线连接的冗余配置,通过 Direct Connect Gateway 连接多个区域的 VPC。同时介绍通过 LAG 实现带宽聚合和 MACsec 加密。
Direct Connect 概述
Direct Connect 是通过专线连接本地与 AWS 的服务。与互联网 VPN 相比,带宽稳定、延迟低且数据传输成本降低。提供 1 Gbps 和 10 Gbps 的专用连接以及 50 Mbps 到 10 Gbps 的托管连接,通过 Direct Connect Gateway 可从单个连接访问多个区域的 VPC。
冗余配置与 Direct Connect Gateway
生产环境推荐在不同位置(数据中心)配置 2 条连接的双位置配置。一方位置发生故障时,另一方可继续通信。Direct Connect Gateway 是从单个连接访问多个区域 VPC 的功能,无需在每个区域建立物理连接即可实现全球连接。与 Transit Gateway 的关联可连接数百个 VPC。
通过 LAG 和 MACsec 实现高可用性与加密
Link Aggregation Group(LAG)将多条 Direct Connect 连接捆绑为一个逻辑接口,实现带宽聚合和链路故障时的故障转移。LAG 内的连接必须全部为相同带宽且位于同一位置。MACsec(IEEE 802.1AE)在 Direct Connect 连接上提供第 2 层加密,保护传输中的数据。10 Gbps 和 100 Gbps 的专用连接支持 MACsec。
Direct Connect 的成本结构
Direct Connect 的成本由端口小时费和数据传输费构成。专用连接的端口费按带宽月度固定,1 Gbps 约 0.30 美元/小时。数据传输费仅对出站(AWS → 本地)计费,入站免费。托管连接由合作伙伴设定端口费。与互联网经由的数据传输费(约 0.09 美元/GB)相比,Direct Connect 的传输费(约 0.04 美元/GB)更低。
总结
Direct Connect 是通过专线连接本地与 AWS,提供稳定低延迟网络的服务。通过 LAG 聚合带宽,通过 MACsec 实现第 2 层加密。通过 Direct Connect Gateway 从 1 条连接访问多个区域的 VPC,构建全球混合网络。