迁移低于 1 Gbps 的托管连接以使用 亚马逊云科技 Transit Gateway — 第 2 部分

简介

自 亚马逊云科技 Transit Gateway 推出以来 ，客户一直要求在低于 1 Gbps 的 AW S Direct Connect 托管连接 上使用传输虚拟接口 (Transit VIF)。

在这篇文章中，我们描述了如何迁移使用低于 1Gbps 的直接连接托管连接、传输网关和传 输 VPC 进行混合连接的现有环境。本文中描述的解决方案将通过降低相关成本和运营复杂性来简化您的混合连接。

这是由两部分组成的系列文章中的第二篇文章。在本系列 的 第 1 部分 中，我们将向您展示如何在尚未使用传输网关的情况下使用低于 1Gbps 的 Direct Connect 托管连接迁移到公交网关。

客户还使用Transit VPC将多个 亚马逊虚拟私有云 （Amazon VPC）与共享服务（例如边缘检查）和本地连接进行互连。这篇文章专门介绍如何迁移与 Transit VPC 一起使用的直接连接服务。要了解一般的迁移方法，你可以参考文章《 从运输 VPC 迁移到 亚马逊云科技 Transit Gateway 》 。

与第 1 部分类似，此方法优先考虑减少停机时间，并假设您拥有弹性的 Direct Connect 环境。

现有的公交 VPC 架构

如果您使用的是将 低于 1 Gbps 的托管连接与 亚马逊云科技 Transit Gateway 集成的文章中概述的解决方案，则此博客可以帮助您进行 迁移。 随着 扩展连接速度支持的 推出，由于使用第三方设备 、路由器和其他 VPN 隧道会产生额外的成本和复杂性，因此不再推荐使用以前的解决方案。

下图显示了使用旧解决方案时的典型客户架构，其中包括以下组件：

• 直接连接、私有虚拟接口和 虚拟专用网关 (VGW)。
• Transit VPC 中的第三方路由器或防火墙设备。
• VGW 和第三方路由器设备之间的 VPN 隧道。
• 通过 Transit VPC 中的互联网网关 (IGW) 在第三方设备和传输网关之间建立 VPN 隧道。
• BGP 将传播从客户的本地路由器路由到第三方设备，然后路由到 Transit Gateway。

如果使用防火墙设备，则除了终止 IPsec VPN 和 BGP 会话外，它们还可以执行流量检查和（如果可以）提供下一代防火墙功能。

图 1：典型的传输 VPC 配置

案例 A：使用第三方路由器设备从 Transit VPC 迁移

迁移将分三个阶段进行。

第 1 阶段：在辅助直接连接上为测试 VPC 建立传输网关和直接连接连接

与本文的第 1 部分一样，第一步涉及使用辅助直接连接来配置 Transit VIF。我们在本系列的第 1 部分中记录了详细的迁移步骤。

简而言之，这包括删除私有虚拟接口 2（位于辅助直接连接上）和创建新的 Transit VIF。如果您在创建 Transit VIF 时保留私有虚拟接口的配置，则无需对本地路由器进行任何更改。

如下图所示，我们可以将辅助直接连接作为附件连接到传输网关。

迁移步骤：

• 步骤 1： 创建专线网关。
• 步骤 2： 复制私有虚拟接口 2 的配置。你可以使用 desc ribe-virtual-inter faces CLI 命令来执行此操作。要捕获的关键信息如下。您可以在步骤 4) 中重复使用此方法来减少路由器配置的更改。

1. 1. VLAN
   2. 客户 ASN
   3. 客户对等 IP
   4. 亚马逊云科技 对等 IP
   5. BGP
   身份验证密钥

• 步骤 3： 删除私有虚拟接口 2（在直接连接连接 2 上）。
• 步骤 4： 创建新的传输虚拟接口，选择 Direct Connect 连接 2 并指定步骤 2 中收集的确切配置参数）。如果您正确设置了所有内容，则传输虚拟接口会将状态显示为可用，BGP 状态显示为已启动。这将是无缝的，无需更改本地路由器配置。但是，如果您更改了任何虚拟接口配置，则可以随时从传输 VIF 控制台页面下载新的路由器配置，并相应地更改路由器配置。例如，如果您在配置传输 VIF 时使用不同的 ASN 作为直接连接网关、不同的 VLAN、不同的 亚马逊云科技/客户对等 IP 或不同的 BGP 身份验证密钥，请重新配置路由器。
• 步骤 5 ：将专线网关与传输网关连接。
• 步骤 6：在允许的前缀中 指定要从本地访问的测试 VPC CIDR。
• 步骤 7： 创建新的 Transit Gateway 路由表 并将其与测试 VPC 附件相关联。
• 步骤 8：将 Direct Connect 连接路由 传播到这个新的传输网关路由表。验证测试 VPC 路由通告是通过新的 Transit VIF 在本地收到的。

在此阶段之后，流量将是：

• 生产 VPC（现有流量）— 来自生产 VPC 的流量将继续使用现有的 Transit Gateway 路由表。流量将通过现有的 VPN 附件，该连接通过传输 VPC 和直接连接中的第三方路由器 1。
• 测试 VPC（新流）— 来自测试 VPC 的流量将使用新的传输网关路由表，该路由表将流量发送到直接连接附件。流量将使用直接连接附件和直接连接连接 2 连接到本地

图 2：中间阶段 1：与传输 VPC 的托管直接连接以及使用传输网关进行测试 VPC 的本地直接连接连接

第 2 阶段：在辅助直接连接上为生产 VPC 建立传输网关直接连接

迁移步骤：

• 在允许的前缀中指定要从本地访问的生产 VPC CIDR。
• 使用新的 Transit Gateway 路由表并将其与 Prod VPC 附件相关联。这样，来自直接连接附件的路由就可以通过 Transit Gateway 传输来自现有 Prod VPC 的流量了。
• 对于现有的 Direct Connect 连接 1，您将停止通过 Transit VPC 向本地路由器通告 Prod VPC 路由（通过 VPN 附件）。
• 验证本地路由器是否已通过 Direct Connect 连接接收到所有 亚马逊云科技 路由通告 2.

图 3：中间阶段 2：与传输 VPC 的托管直接连接和生产 VPC 的本机直接连接以及使用传输网关测试 VPC

现在，所有 VPC 的流量都使用 Transit VIF 通过直接连接连接 2，如上图所示。

第 3 阶段：使用传输网关迁移到主动/被动连接并停用 Transit VPC

迁移步骤：

• 最后的迁移步骤是删除私有 VIF 并在直接连接连接 1 上创建新的传输 VIF。
• 从公交 VIF 1 和公交 VIF 2 收到的本地路由将传播到新的公交网关路由表。
• 从测试 VPC 和生产 VPC 发出的流量使用直接连接附件到达本地。两个传输 VIF 都设置完毕后，将使用本地路由器上的原始 BGP 首选项。对于所有进出本地的流量，直接连接连接 1 变为主动连接，直接连接连接 2 变为被动状态。
• 验证客户网关上是否从主动和被动 Direct Connect 连接正确接收了所有 VPC CIDR 范围。
• 验证完成后，您可以删除传输 VPC 及其关联组件。

下图显示了所有 VPC 使用带有 Transit Gateway 的主动/被动直接连接的最终状态。请注意，不再需要原始架构中存在的第三方设备、VPN 隧道、传输网关附件和传输 VPC。

图 4：最后阶段 3：使用传输网关进行直接连接连接

请注意，对于希望继续加密传输网关与其本地网络之间流量的客户，现在支持 亚马逊云科技 点对点 VPN 私有 IP VPN 。

案例 B：使用第三方下一代防火墙设备从 Transit VPC 迁移

以下图所示的案例为例，其中 Transit VPC 内的第三方设备正在检查南北向流量。网络的其他连接元素保持不变。

图 5：使用传输 VPC 和下一代防火墙的直接连接连接

为了维护检查设施，可以添加一个检查 VPC，如下图所示。检查 VPC 包含带有 网关负载均衡器的下一代防火墙设备， 就像使用 亚马逊云科技 Gateway 负载均衡器 和 亚马逊云科技 Transit Gateway 的后 集中式检查架构 一样 。

可以在 Direct Connect 迁移之前或之后建立检查 VPC，因为根据 Transit Gateway 中的路由表将流量定向到接受检查。此配置还允许进行东西向流量检查。

图 6：使用传输网关和检查 VPC 的直接连接连接

结论：

在这篇文章中，我们仔细研究了一种迁移方法，即使用本地集成 Direct Connect sub 1 Gbps 托管连接与 Transit Gateway，而不是使用 Transit VPC。随着亚马逊云科技继续推出新功能和服务，您应该重新评估您的亚马逊云科技混合网络连接架构，并考虑可以降低网络连接成本和运营复杂性的选项。通过将 Transit Gateway/Direct Connect 连接用于托管连接，您可以简化现有的混合连接架构、优化成本并实现云基础设施的无缝扩展。

要了解有关 亚马逊云科技 混合网络模式和设计注意事项的更多信息，您可以参考 混合连接白皮书 。如果您在规划迁移方面需要帮助，请咨询您的 亚马逊云科技 技术客户经理（适用于企业支持客户）或 亚马逊云科技 解决方案架构师。

作者简介