AWS Direct Connect
通过专线连接本地环境与 AWS,提供不经过互联网的稳定低延迟网络连接的服务
概述
AWS Direct Connect 是一项通过专用网络连接将本地数据中心或办公室与 AWS 云连接的服务。由于不经过互联网,可实现一致的网络带宽和低延迟,适用于大量数据传输和对延迟敏感的工作负载。连接带宽可从 50 Mbps 到 100 Gbps 中选择,一个连接可通过虚拟接口(VIF)访问多个 VPC 和本地网络。使用 Direct Connect Gateway 还可以从一个 Direct Connect 连接访问多个区域的 VPC。数据传输费用比互联网传输更低,对于定期传输大量数据的场景具有成本优势。为确保冗余性,建议从两个不同位置建立连接或与 VPN 备份结合使用。
专用连接与托管连接的选择
Direct Connect 有专用连接和托管连接两种方式。专用连接以 1 Gbps、10 Gbps、100 Gbps 的带宽在 AWS Direct Connect 位置(数据中心)确保物理端口,适合需要大量数据传输的企业,开通需要数周到数月。托管连接通过 AWS Direct Connect 合作伙伴提供,可选择 50 Mbps 到 10 Gbps 的带宽。由于利用合作伙伴的现有基础设施,比专用连接更快开通,可以从小带宽开始。费用方面,专用连接 1 Gbps 端口月费约 220 美元(东京)加数据传输费。相比 Azure ExpressRoute 同等带宽月费约 436 美元(东京),Direct Connect 的端口费用更低。
虚拟接口与 Direct Connect Gateway
虚拟接口(VIF)是将一个物理连接逻辑分割并分配给不同用途的机制。公共 VIF 用于访问 S3、DynamoDB 等 AWS 公共服务,私有 VIF 用于直接访问 VPC 内的资源。中转 VIF 在通过 Transit Gateway 连接多个 VPC 时选择。使用 Direct Connect Gateway 可以从一个 Direct Connect 连接访问多个区域的 VPC,全球部署的企业可以从枢纽站点高效连接各区域的 VPC。启用 SiteLink 功能后,可以实现 Direct Connect 位置之间的直接通信,通过 AWS 骨干网络进行本地站点间通信。相关书籍 (Amazon) 也可作为参考。
冗余架构与 VPN 备份
Direct Connect 的生产运营中,消除单点故障的冗余架构是必须的。至少在两个不同位置确保连接,通过 BGP 路由设置实现主动/被动或主动/主动切换。对于高可用性要求,Direct Connect 与 Site-to-Site VPN 组合的故障转移架构也很有效。当 Direct Connect 因故障断开时自动故障转移到 VPN,恢复后切回 Direct Connect,通过 BGP 的 AS 路径长度或本地优先级进行控制。使用链路聚合组(LAG)可以捆绑多个连接提高吞吐量,即使一条连接故障也能通过剩余连接继续通信。成本方面,冗余架构的端口费用翻倍,但需要与停机造成的业务损失进行比较判断。开发环境仅使用 VPN、生产环境使用 Direct Connect + VPN 备份的分级方案也是现实的选择。