AWS账号实名代过 亚马逊云 AWS 账号混合云连接代办

别再让混合云连接变成年度玄学项目

上周五下午四点十七分，我盯着 CloudWatch 里那条持续 37 分钟的「BGP 邻居状态：Idle」告警，默默关掉了第 8 个 Slack 群聊窗口。隔壁组刚上线的 SAP HANA 实例，正卡在 AWS 上读不到本地 Oracle 数据库的元数据——不是代码问题，不是权限问题，是它俩压根没说上话。

混合云连接这事，听起来像给两栋楼拉根网线：插上、亮灯、完事。可现实是：你买的不是网线，是套需要考驾照+懂交规+会修车的智能交通系统。AWS 账号和本地数据中心之间，不是「通不通」的问题，而是「通得聪明不聪明、稳不稳、贵不贵、管不管得住」的综合考试。

先撕掉三张常见幻觉贴纸

幻觉一：「我有公网 IP，ping 得通，就算连上了」
恭喜，你只通过了小学体育课——热身跑。真正混合云要跑的是企业级业务流：AD 域控同步、数据库主从复制、容器镜像仓库拉取……这些全走 TCP/UDP 特定端口+长连接+双向心跳。ICMP 能通？那是上帝给你发的安慰奖。

幻觉二：「Direct Connect 一定比 VPN 快」
DC 是高速公路，但如果你只开一辆自行车上高速，还非得绕 3 个收费站（跨 Region 路由策略、VPC 路由表、本地防火墙 ACL），那辆 VPN 小摩托反而先到家。实测：某客户用 1Gbps DC 连接，因未启用 Jumbo Frame 和 BFD 检测，实际吞吐卡在 320Mbps；而同环境下的 Site-to-Site VPN（IPSec + AES-GCM）稳定跑出 890Mbps。

幻觉三：「开了 BGP 就自动学习所有路由」
BGP 不是 AI 导航，它不会主动猜你要去哪。它只会严格按你写的 network 命令和 route-map 过滤器走。我们曾帮客户排查：本地路由器宣告了 10.100.0.0/16，AWS TGW 却只收到了 10.100.10.0/24——因为对方工程师在 BGP export policy 里手抖多写了个 /24 掩码。

三把钥匙：选对方案，比调对参数重要十倍

钥匙一：VPN Gateway —— 别名『创业公司生存包』
适用场景：单站点、预算敏感、临时测试、无物理专线资源。优势是开箱即用（15 分钟部署）、支持动态路由（BGP 可选）、费用透明（$0.05/GB 出向流量）。雷区：默认 MTU 1436，若本地设备未调小 MSS（建议设为 1380），HTTPS 大文件上传必断；且 AWS 默认禁用 IPv6，如需双栈需手动开启并验证两端协议栈兼容性。

钥匙二：Direct Connect —— 别名『财务总监盯盘款』
适用场景：多站点、高带宽（≥300Mbps）、低延迟刚需（如实时风控、高频交易）。必须搭配 DX Gateway 或 Transit Gateway 使用。关键提醒：不要直连 VPC！DX Gateway 才能跨 Region 复用；而 DX Connection 本身不收费，但 Partner 提供的「最后一公里」物理线路（如电信 MSTP）月租可能高达 ¥12,000+，合同里藏着「最低消费期 12 个月」和「提前解约赔 3 倍」条款——签之前务必拉上法务喝杯咖啡。

钥匙三：Transit Gateway —— 别名『混合云中央调度室』
这是 2023 年后新架构的默认起点。TGw 不是管道，是路由器：一个 TGw 可连接 5000+ VPC、VPN、DC、Outposts，还能做路由传播控制、流量镜像、VLAN 子接口分段。重点操作：开启 Auto Accept Shared Attachments（否则跨账号连接要手动审批）；设置 Propagation 时务必关闭「默认传播到所有附件」——否则财务部 VPC 的路由会意外泄露到研发测试环境。

配置避坑清单：抄作业前请核对这 7 行

1. AWS 端 BGP ASN 必须是私有 ASN（64512–65534 或 4200000000–4294967294），公有 ASN 会被静默拒绝；
2. 本地 BGP 邻居 IP 必须是 TGW 分配的 169.254.x.x 地址，且双方掩码必须严格一致（/30）；
3. VPC 路由表中指向 TGW 的路由目标，必须是 tgw-xxxxxxxx ID，而非 pcx-xxxxxx（那是旧版 Peering）；
4. 安全组入站规则：开放 169.254.0.0/16 的 TCP 179（BGP）、ICMP 类型 3 代码 4（需要分片但 DF 置位）；
5. 本地防火墙需放行 UDP 500/4500（IPSec NAT-T），且禁用「UDP 碎片丢弃」功能；
6. 若使用 Cisco ASA，必须关闭 sysopt connection tcpmss 并手动设为 1380，否则 HTTPS 握手失败；
7. TGW 流量日志需单独开启（默认关闭），S3 存储桶策略必须显式授权 logs.amazonaws.com 写入权限。

故障自诊三板斧：5 分钟定位 80% 问题

第一斧：看邻居状态
在 AWS 控制台进入 TGW 路由器详情页 →「BGP 邻居」标签页。状态不是 Up？立刻检查：show ip bgp summary（本地）和 aws ec2 describe-transit-gateway-route-tables（AWS CLI）输出是否匹配 ASN、IP、Hold Time。

第二斧：抓包验血型
在本地边界设备上执行：tcpdump -i eth0 'host <TGW-BGP-IP> and (port 179 or icmp[icmptype] == icmp-unreach)'。若只有 SYN 包无响应，说明 AWS 安全组或网络 ACL 拦截；若收到 ICMP Type 3 Code 4，证明路径 MTU 不匹配，立刻调小 MSS。

AWS账号实名代过 第三斧：路由照妖镜
登录 TGW 控制台 →「路由表」→ 选择对应路由表 → 「查看传播的路由」。如果本地网段没出现，回到本地 BGP 配置，用 show ip bgp 查看是否已生成该路由；若已生成却未发送，检查 show ip bgp neighbors <AWS-IP> advertised-routes 输出——八成是 export policy 写错了。

最后送你一句真·运维箴言

混合云连接不是一次性交付物，而是持续运营的活体系统。每周五下班前，请执行：
① aws ec2 describe-vpn-connections --filters Name=state,Values=available 扫描异常断连；
② 在本地设备运行 ping -M do -s 1472 <TGW-BGP-IP>（验证 Path MTU）；
③ 把当月 VPN 流量账单截图发到财务群，并标注「此费用含 3.2TB 加密开销，非纯数据传输」——让他们知道，你连的不是网，是责任。

记住：最稳的连接，永远藏在日志里、CLI 中、和你亲手敲下的每一行 no shutdown 后面。