AWS-Verschlüsselungsoptionen für hohen Durchsatz und hohe Ausfallsicherheit

In diesem Thema werden zwei Szenarien zum Erstellen verschlüsselter Netzwerkverbindungen zu AWS mit hohem Durchsatz und hoher Ausfallsicherheit beschrieben.

Voraussetzungen

  • Zwei Megaport-aktivierte Standorte mit etablierten Diversity-Zonen
  • Eine gehostete AWS Direct Connect-Verbindung (in diesem Thema als Beispiel verwendet) oder eine Verbindung über eine gehostete virtuelle Schnittstelle (gehostete VIF)
  • Ausreichende Größe der Elastic Compute Cloud (EC2)-Instanz, auf der die Network Virtual Appliance (NVA) innerhalb von AWS läuft, um die Verschlüsselung mit hohem Durchsatz zu verarbeiten.

Wichtige Überlegungen

  • Der maximale Durchsatz wird in erster Linie davon bestimmt, wie viel Rechenleistung auf den Geräten verfügbar ist, die die Verschlüsselungen verarbeiten (z. B. Network Virtual Appliances, Firewalls oder Router).
  • Die Betriebszeitziele bestimmen die Anzahl der Geräte, der zugrunde liegenden Verbindungen und der Overlay-Tunnel (z. B. 99,9 % oder 99,99 %, eine von der SLA-Zahl getrennte Metrik).
  • Das Routing-Protokoll und die Konfiguration bestimmen die Failover-Zeit und wie schnell ein Gerät einen Fehler erkennt. In manchen Fällen ist ein normales Herunterfahren nicht möglich.

Szenario 1: Verschlüsselte Verbindung zur Transit Virtual Private Cloud (VPC)

Physischer Layer - Megaport und Megaport-aktivierte Standorte + AWS-Randstandorte

In jeder Diversity-Zone können Sie einen einzelnen Port oder ein Paar von Ports in einer Link Aggregation Group (LAG) haben. Jeder Megaport-fähige Standort ist durch zwei verschiedene Glasfaserpfade in das globale Kernnetzwerk von Megaport geschützt.

Physischer Layer der Transit VPC

Layer 2 - Virtuelle Querverbindung (VXC)

Erstellen Sie unter Nutzung des geschützten physischen Layers einen VXC (Leitung des Layers 2), um eine Verbindung zu jeder On-Ramp herzustellen, an der Megaport auf das AWS-Edge-Netzwerk trifft. Jeder Standort mit gehosteter Verbindung verfügt über unterschiedliche physische Infrastrukturen. Diese Abbildung zeigt vier VXCs, die vier Geräte über Megaport mit AWS an AWS-Edge-Standorten verbinden. Verwenden Sie eine private virtuelle Schnittstelle über AWS Direct Connect, so dass sie mit dem Ziel-Virtual Private Gateway (VGW) oder einem Direct Connect Gateway auf dem VGW verbunden ist.

TVPC-VXC-Leitung des Layers 2

Layer 3 - IP-Adressen und BGP-Sitzungen

Weisen Sie IP-Adressen zu und erstellen Sie eine BGP-Sitzung über jede der zuvor erstellten VXCs. Wenn eine der Sitzungen unterbrochen wird, stehen aktive BGP-Sitzungen für den Failover zur Verfügung.

BGP-Sitzungen

Network Virtual Appliances innerhalb von Transit-VPC und lokalen Firewalls

Die Betriebszeitanforderung bestimmt die Anzahl der lokalen Geräte und Network Virtual Appliances (NVAs) in AWS; es kann ein Cluster/Stack aus zwei oder mehr Geräten in jedem Rechenzentrum sein.

NVAs in AWS

Verschlüsselte Tunnel

Sie können verschlüsselte Tunnel mit Standardprotokollen oder herstellerspezifischen Protokollen einrichten. Der maximale Durchsatz hängt von der verfügbaren Rechenleistung auf den NVAs und der lokalen Firewall ab. Jeder verschlüsselte Tunnel ist durch die Konfiguration der Netzwerkinfrastruktur geschützt.

Verschlüsselte Tunnel

Für ein schnelleres, automatisiertes Failover empfehlen wir, dynamische Routing-Protokolle über die verschlüsselten Tunnel einzurichten, die vom zugrunde liegenden Netzwerk getrennt sind.

Szenario 2: Verschlüsselte Verbindung zu einem TGW

Physischer Layer - Megaport und Megaport-aktivierte Standorte + AWS-Randstandorte

In jeder Diversity-Zone können Sie einen einzelnen Port oder ein Paar von Ports in einer LAG haben. Jeder Megaport-fähige Standort ist durch zwei verschiedene Glasfaserpfade in das globale Kernnetzwerk von Megaport geschützt.

Physischer Layer des TGW

Layer 2 - VXC

Nutzen Sie den geschützten physischen Layer und erstellen Sie einen VXC, um eine Verbindung zu jedem On-Ramp herzustellen, wo Megaport auf das AWS-Edge-Netzwerk trifft. Jeder Standort mit gehosteter Verbindung verfügt über unterschiedliche physische Infrastrukturen. Diese Abbildung zeigt vier VXCs, die vier verschiedene Geräte über Megaport mit AWS an AWS-Edge-Standorten verbinden. Stellen Sie sicher, dass Sie eine öffentliche virtuelle Schnittstelle über AWS Direct Connect verwenden, um alle öffentlichen globalen AWS-Präfixe zu empfangen.

TGW-VXC-Leitung des Layers 2

Layer 3 - IP-Adressen und BGP-Sitzungen

Weisen Sie jedem, von Ihnen erstellten VXC eine eigene öffentliche IP-Adresse zu und erstellen Sie eine BGP-Sitzung. Bei Unterbrechungen stehen vier aktive BGP-Sitzungen für ein einfaches Failover zur Verfügung.

Hinweis

Wenn Sie keine öffentlichen IP-Adressen besitzen, finden Sie weitere Informationen unter Erstellen von MCR-Verbindungen zu AWS.

TGW-BGP-Sitzungen

Aufbau von IPsec-VPN-Verbindungen zum TGW über lokale Geräte

Die Anzahl der lokalen Geräte hängt von Ihren Anforderungen an die Betriebszeit ab. Sie können in jedem Rechenzentrum einen Cluster oder Stack von zwei oder mehr Geräten haben.

TGW-Firewalls

Aufbauen von IPsec-VPN-Tunneln zum Transit Gateway

Jede in AWS erstellte VPN-Verbindung verfügt über zwei verfügbare Tunnel für hohe Verfügbarkeit (HV) mit einem maximalen Durchsatz von 1,25 Gbit/s. Sie können ECMP-Routing (Equal-Cost Multi-Path) nutzen, um mehrere VPN-Verbindungen für einen Durchsatz von bis zu 50 Gbit/s zu erstellen.

TGW-VPN-Tunnel


Letztes Update: