Senden biraz yardım almayı umuyordum. Bu noktada aradığım bilgi muhtemelen oldukça yüksek düzeydedir. Bilgi arıyordum ve çoğunlukla aradığımı buldum.

Esasen İngiltere merkezli sitemizi bir AWS VPC'ye bağlamak istiyorum. Bu amaçla hem Direct Connect hem de VPN seçeneklerine bakıyorum. İlk durumda, işleri başlatmak için bir VPN kullanmak istiyorum. Doğal olarak, bu VPC'yi İngiltere'deki bir AWS bölgesinde alacaktım.

Bu yeterince basit olacaktır, ancak bir iş talebi nedeniyle, HK bölgesinde hızlı bir şekilde bir SFTP (veya benzer bir seçenek) sunmamız gerekiyor (Birleşik Krallık'ta herhangi bir ihtiyaç duymadan önce), esasen AWS'yi kullanarak. Sonuç olarak, HK'deki bu yeni VPC, sonunda HK'deki uzak bir sitedeki kullanıcılarla paylaşılan bir dizi hizmete sahip olacaktır. Ancak ilk etapta yalnızca bir SFTP gereklidir, ancak bu, şimdilik HK sitesine DC veya VPN'den vazgeçerek kimlik bilgileri veya belirteçler vb. ile dışa dönük bir hizmet yapabileceğim anlamına gelir.

Asıl sorum şu: İngiltere sitesinden AWS UK VPC'ye bir VPN ve ardından İngiltere VPC'den HK VPC'ye VPN oluşturmak mantıklı olur mu? Yoksa (kontrol edilecek güvenlik endişeleri dışında) bir vpn'yi doğrudan İngiltere sitesinden HK'deki VPC'ye bağlamak daha mı mantıklı?

Gerçekten sadece sitemizden günde 3-4 kez bazı verileri taşımam ve HK bölgesindeki bir EC2 bulut sunucusuna sunmam mı gerekiyor?

teşekkürler

answer

HK ve İngiltere VPC'leriniz arasında bölgeler arası VPC Eşleştirmeyi düşünmek isteyebilirsiniz.

A VPC peering connection is a networking connection between two VPCs that enables you to route traffic between them using private IPv4 addresses...

AWS uses the existing infrastructure of a VPC to create a VPC peering connection; it is neither a gateway nor a VPN connection, and does not rely on a separate piece of physical hardware. There is no single point of failure for communication or a bandwidth bottleneck.

A VPC peering connection helps you to facilitate the transfer of data. For example, if you have more than one AWS account, you can peer the VPCs across those accounts to create a file sharing network. You can also use a VPC peering connection to allow other VPCs to access resources you have in one of your VPCs.

VPN'yi doğrudan İngiltere'deki sitenizden Hong Kong'daki VPC'ye sağlamak genellikle daha mantıklı olacaktır. Daha sonra, İngiltere'deki sitenizden İngiltere'deki VPC'ye ikinci bir VPN oluşturun.

Elbette, tüm bağlantınızın tek bir VPN bağlantısına bağımlı olmasını istemezsiniz, elbette iki tanesi arızaya karşı daha dayanıklı olacaktır, ancak burada daha önemli bir sorun var.

Kullandığınız şey için AWS ücret alır ve trafiği ikinci bir VPC üzerinden çalıştırmak gereksiz masrafa neden olur, çünkü ek kaynaklar kullanırsınız - bu durumda trafiği iki VPC üzerinden çalıştırır ve AWS'nin bölgeler arası taşıma ağını kullanırsınız. Mükemmel bir ağ, ancak ücretsiz değil.

Performans nedenleriyle, (örneğin) uzak bölgeye olan İnternet bağlantınızın yetersiz olduğu durumlarda olduğu gibi, bunu kasıtlı olarak yapabileceğiniz durumlar olabilir, ancak bu durumda daha yüksek olan bir şeyi kullanmak için bilinçli bir seçim yaparsınız. iyileştirilmiş performans karşılığında maliyet.

(Bir keresinde Birleşik Krallık'ta ABD'deki hizmetlerime yoğun bir şekilde erişen bir müşterim vardı ve hata durumunda iyi yeniden deneme yetenekleri yoktu. Trafiklerini Londra üzerinden yürütmenin ve VPC eşleme kullanarak ABD'ye getirmenin daha güvenilir olduğunu gördüm. kendi kıtalar arası İnternet bağlantılarına sahipler, ancak bu, aşağıda açıklanan nedenlerle Hong Kong'un olacağından daha az maliyetli bir düzenlemeydi.)

Her AWS bölgesi, Amazon'un o coğrafi bölgedeki işletim maliyetlerine bağlı olarak, aynı hizmet için potansiyel olarak farklı fiyatlandırmaya sahiptir. AWS'ye trafik neredeyse her zaman ücretsizdir, ancak trafik çıkışı neredeyse hiç değildir.

Hong Kong'dan Londra'ya veri taşıması için AWS'ye ve ardından Londra'dan VPN'de size çıkış için tekrar ödeme yapmak istemezsiniz... ancak bu nokta göründüğü kadar açık değildir, çünkü bant genişliği maliyeti farklıdır. bölge. Bu özel durumda, Hong Kong pahalı bir bölgedir. İnternete giden trafik GB başına 0,12 ABD dolarıdır ve VPC eşleme kullanılarak AWS Londra'ya giden trafik GB başına 0,09 ABD dolarıdır.

Tersine, AWS Londra'da İnternet'e giden trafik GB başına 0,09 ABD dolarıdır ve AWS Hong Kong'a giden trafik GB başına 0,02 ABD dolarıdır.

Dolayısıyla, İngiltere'den AWS Hong Kong'a AWS London aracılığıyla VPN trafiğiniz size tek yön için 0,02 ABD doları, diğer yön için 0,21 ABD doları, İngiltere'den doğrudan AWS Hong Kong'a giden bir VPN ise tek yön için 0,00 ABD doları ve diğer yön için 0,12 ABD dolarına mal olur.

Ek olarak, VPC eşlemesi toplu taşıma trafiğini doğrudan desteklemez - bu nedenle, yalnızca bir VPN bağlantısı ve VPC eşlemesi kullanarak önerdiğinizi yapamazsınız. Ya bir Transit Gateway'e ihtiyacınız var ya da EC2 donanımı üzerinde çalışan yönlendiriciler veya proxy'ler kullanarak kendi çözümünüzü kullanın... ya da sadece veri merkezinizden her VPC'ye bir VPN bağlantısı oluşturun.

IP adreslemenizi, her VPC'nin birbiriyle veya birbirine bağlamak istediğiniz herhangi bir diğer (veri merkezi) ağıyla örtüşmeyen bir dizi özel IP adresi kullanacak şekilde planladığınızdan emin olun.