AWS Direct Connect Между Глобальным Регионом И Китаем

Понадобилось соединить две VPC: одна в глобальном регионе AWS, вторая — в материковом Китае.

Контекст

Услугу предоставляют две компании: China Telecom и China Unicom, через AWS Marketplace. После покупки и прохождения бюрократических процедур в консоли AWS появляется Direct Connect, который нужно настроить.

Если описывать простыми словами:

  • AWS Direct Connect — физический кабель между двумя устройствами (аккаунтами в AWS).
  • AWS Direct Connect Gateway — роутер.
  • AWS Transit Gateway — второй роутер, который сообщает, какая адресация за ним находится.

К одному Transit Gateway можно подключить несколько VPC в пределах одного региона.

Задача

Связать VPC в глобальном регионе AWS с VPC в материковом Китае через Direct Connect, попутно разобравшись, как друг с другом соотносятся Direct Connect, Direct Connect Gateway и Transit Gateway.

Решение

1. Transit Gateway

Создаём Transit Gateway. Все значения по умолчанию, кроме:

ASN:                            64516
Transit Gateway CIDR blocks:    10.10.0.0/16, 172.31.0.0/16

CIDR-блоки — это сети VPC, которые нужно пробросить через TGW.

Transit Gateway

2. Подключение VPC

Присоединяем TGW к VPC. Операцию нужно выполнить дважды, выбирая нужные VPC.

Подключение VPC

3. Direct Connect Gateway

AWS Direct Connect → Direct Connect Gateways, создаём:

ASN: 64513

Direct Connect Gateway

4. Привязка Transit Gateway

В созданном Direct Connect Gateway переходим во вкладку Gateway associations и аттачим TGW. Указываем список IP-адресов, которые будут анонсироваться через Direct Connect — диапазоны, о которых должна узнать китайская сторона:

10.10.0.0/16
172.31.0.0/16

Привязка Transit Gateway

5. Virtual Interface

Во вкладке Attachments создаём Virtual Interface:

Type:                    Transit
Name:                    global-vpc
Gateway type:            Direct Connect Gateway
Direct Connect gateway:  <созданный в шаге 3>
VLAN:                    1288 (или посмотреть в connection overview)
BGP ASN:                 64512
Your router peer IP:     169.254.1.1/30
Amazon router peer IP:   169.254.1.2/30
BGP authentication key:  <сгенерировать>
Jumbo MTU:               True (MTU size 9001)

Важно: Type должен быть Transit.

6. Китайская сторона

Перейдите в регион China и повторите шаги 2, 3, 4. На шаге 4 укажите IP-сеть VPC в Китае. При создании Virtual Interface используйте параметры:

Type:                   Private
Your router peer IP:    169.254.1.2/30
Amazon router peer IP:  169.254.1.1/30

BGP authentication key — такой же, как в регионе Global.

Editor notes

Отредактировано: deepseek-v4-pro

blog awsdirect-connectnetworkingchina