AWS 高吞吐量與高韌性加密選項

本主題說明兩種情境，用於建立通往 AWS 的高吞吐量、高韌性加密網路連線。

情境 1：連線至 transit Virtual Private Cloud (VPC) 的加密連線
情境 2：連線至 transit gateway (TGW) 的加密連線

先決條件

兩個支援 Megaport 的據點，且已建立多元分區。
一條 AWS Direct Connect Hosted Connection（本主題以此為示例），或一條 Hosted Virtual Interface（Hosted VIF）連線。
在 AWS 中執行 Network Virtual Appliance（NVA）的 Elastic Compute Cloud（EC2）執行個體規格需足以處理高吞吐量加密。

重要考量

最大吞吐量主要取決於負責加密處理的裝置可用運算資源（例如 Network Virtual Appliance、防火牆或路由器）。
整體可用時間目標會決定裝置、底層連線與覆疊通道的數量（例如 99.9% 或 99.99%，此為與 SLA 數值分開的指標）。
路由協定與設定會決定容錯移轉時間，以及裝置偵測故障的速度。有些情況下可能無法進行優雅關閉。

情境 1：連線至 transit Virtual Private Cloud (VPC) 的加密連線

實體層 - Megaport 與支援 Megaport 的據點 + AWS 邊緣位置

在每個多元分區中，你可以使用單一 Port，或在 Link Aggregation Group（LAG）中使用一對 Ports。每個支援 Megaport 的據點都透過兩條多元化的光纖路徑連入 Megaport 的全球核心網路以提供防護。

第 2 層 - Virtual Cross Connect (VXC)

在受保護的實體層之上，建立 VXC（第 2 層電路），連線到每個 Megaport 與 AWS 邊緣網路相接的接入點。每個 Hosted Connection 據點都具備多元化的實體基礎設施。此圖示顯示四條 VXC 將 Megaport 上的四部裝置連線到 AWS 的邊緣位置。透過 AWS Direct Connect 使用 Private Virtual Interface，並將其附掛至目標 Virtual Private Gateway（VGW），或透過 Direct Connect Gateway 連到 VGW。

第 3 層 - IP 與 BGP 工作階段

為先前建立的每條 VXC 指派 IP 位址並建立 BGP 工作階段。若其中一個工作階段中斷，仍有其他作用中的 BGP 工作階段可供容錯移轉。

transit VPC 內的 Network Virtual Appliance 與內部部署防火牆

可用時間需求會決定內部部署裝置數量與 AWS 中的 Network Virtual Appliance（NVA）數量；在每個資料中心中可以是由兩台或更多裝置組成的叢集／堆疊。

加密通道

你可以使用業界標準協定或廠商專有協定來建立加密通道。最大吞吐量取決於 NVA 與內部部署防火牆可用的運算能力。每條加密通道都受到網路基礎設施組態的保護。

若要更快速且自動化地進行容錯移轉，建議在與底層網路分離的加密通道上設定動態路由協定。

情境 2：連線至 TGW 的加密連線

實體層 - Megaport 與支援 Megaport 的據點 + AWS 邊緣位置

在每個多元分區中，你可以使用單一 Port，或在 LAG 中使用一對 Ports。每個支援 Megaport 的據點都透過兩條多元化的光纖路徑連入 Megaport 的全球核心網路以提供防護。

第 2 層 - VXC

在受保護的實體層之上，建立 VXC，連線到每個 Megaport 與 AWS 邊緣網路相接的接入點。每個 Hosted Connection 據點都具備多元化的實體基礎設施。此圖示顯示四條 VXC 將 Megaport 上四部不同的裝置連線到位於 AWS 邊緣位置的 AWS。請務必透過 AWS Direct Connect 使用 Public Virtual Interface，以接收所有 AWS 公用全球前綴。