将物理站点连接到非本地的 AWS 区域的最佳实践是什么?

将物理站点连接到非本地的 AWS 区域的最佳实践是什么?

我希望得到您的帮助。目前,我正在寻找的信息可能相当高级。我一直在搜索信息,并且大部分都找到了我想要的东西。

本质上,我希望将我们位于英国的站点连接到 AWS VPC。为此,我一直在研究 Direct Connect 和 VPN 选项。最初,我想使用 VPN 来开始。当然,我会在英国 AWS 区域建立这个 VPC。

这本来很简单,但由于业务需求,我们需要在香港地区迅速提供 SFTP(或类似选项)(在英国需要之前),这实质上是升级到使用 AWS。最终,香港的这个新 VPC 最终将拥有一组共享给香港远程站点用户的服务。但在第一种情况下,只需要 SFTP,这意味着我可以使用凭证或令牌等创建面向外部的服务,暂时放弃 DC 或 VPN 到香港站点。

我真正的问题是:创建一个从英国站点到 AWS 英国 VPC 的 VPN,然后从英国 VPC 到香港 VPC 的 VPN 是否有意义?或者将 VPN 直接从英国站点连接到香港的 VPC 是否更合理(除了安全问题,安全问题可以控制)?

我真的只需要每天从我们的网站移动一些数据大约 3-4 次并将其提供给香港地区的 EC2 实例吗?

谢谢

答案1

你可能需要考虑跨区域 VPC 对等连接您的香港和英国 VPC 之间如何?

VPC 对等连接是两个 VPC 之间的网络连接,使您能够使用私有 IPv4 地址在它们之间路由流量……

AWS 使用 VPC 的现有基础设施来创建 VPC 对等连接;它既不是网关也不是 VPN 连接,也不依赖于单独的物理硬件。不存在通信单点故障或带宽瓶颈。

VPC 对等连接可帮助您促进数据传输。例如,如果您有多个 AWS 账户,则可以跨这些账户对等 VPC 以创建文件共享网络。您还可以使用 VPC 对等连接允许其他 VPC 访问您在其中一个 VPC 中的资源。

答案2

通常,将 VPN 直接从您位于英国的站点配置到位于香港的 VPC 更有意义。稍后,从您位于英国的站点创建第二个 VPN 到位于英国的 VPC。

您不希望所有的连接都依赖于一个 VPN 连接,当然,两个 VPN 连接对故障的恢复能力更强,但这里还存在一个更重要的问题。

AWS 会根据您使用的内容收费,而通过第二个 VPC 运行流量会产生不必要的费用,因为您将使用额外的资源——在本例中,通过两个 VPC 运行流量并使用 AWS 的跨区域传输网络。这是一个优秀的网络,但它不是免费的。

在某些情况下,出于性能原因,您可能会故意这样做,例如当您与远程区域的 Internet 连接不太理想时,但在这种情况下,您会故意选择使用成本更高的产品来换取更高的性能。

(我曾经有一个英国客户大量访问我在美国提供的服务,而他们在出现错误时没有很好的重试功能。我发现通过伦敦传输他们的流量并使用 VPC 对等连接将其带到美国比他们自己的跨大陆互联网连接更可靠,但这种安排比香港更便宜,原因如下所述。)

根据亚马逊在该地区运营的成本,每个 AWS 区域对同一项服务可能有不同的定价。进入 AWS 的流量几乎总是免费的,但流出 AWS 的流量几乎从不免费。

您不想向 AWS 支付将数据从香港传输到伦敦的费用,然后再为从伦敦通过 VPN 向您发送的数据付费……但这一点并不像看上去那么明显,因为带宽成本因地区而异。在这个特定情况下,香港是一个昂贵的地区。流向互联网的流量为 0.12 美元/GB,而使用 VPC 对等连接的流向 AWS 伦敦的流量为 0.09 美元/GB。

相反,在 AWS 伦敦,流向互联网的流量为 0.09 美元/GB,流向 AWS 香港的流量为 0.02 美元/GB。

因此,您从英国经由 AWS 伦敦到 AWS 香港的 VPN 流量单程费用为 0.02 美元,另一程费用为 0.21 美元,而从英国直接到 AWS 香港的 VPN 单程费用为 0.00 美元,另一程费用为 0.12 美元。

此外,VPC 对等连接不直接支持中转流量——因此,您无法实现您提议的仅使用 VPN 连接和 VPC 对等连接。您需要中转网关或者使用在 EC2 硬件上运行的路由器或代理来推出您自己的解决方案...或者,只需从您的数据中心到每个 VPC 创建 VPN 连接。

请务必规划您的 IP 寻址,以便每个 VPC 使用一系列不相互重叠或与您想要互连的任何其他(数据中心)网络重叠的私有 IP 地址。

相关内容