Direct Connect vs Site-to-Site VPN — когда что выбирать?

Direct Connect vs Site-to-Site VPN

Оба сервиса соединяют on-premise сеть с AWS, но различаются по типу соединения, стоимости, latency и времени развёртывания.

AWS Site-to-Site VPN

Зашифрованный IPsec-туннель поверх публичного интернета. Развёртывается за минуты через AWS Console или Terraform.

• Пропускная способность: до 1,25 Гбит/с на туннель (2 туннеля на соединение для HA).
• Latency: зависит от качества интернет-маршрута — непредсказуема.
• Стоимость: $0.05/ч за VPN connection + исходящий трафик; минимальных обязательств нет.
• Готовность: часы от заказа до работы.
• Шифрование: AES-256 + IKEv2, без дополнительных настроек.

AWS Direct Connect (DX)

Выделенное физическое волоконное соединение от вашего ЦОД до AWS Direct Connect Location. Трафик не проходит через публичный интернет.

• Скорости: 50 Мбит/с–100 Гбит/с (Dedicated: 1/10/100 Гбит/с; Hosted: от 50 Мбит/с).
• Latency: стабильная и предсказуемая (< 1 мс для near-region).
• Стоимость: Port Hours ($0.30/ч для 1G) + исходящий трафик (~$0.02/GB вместо стандартных $0.09/GB).
• Готовность: недели–месяцы (физическая прокладка кабеля).
• Шифрование: не шифруется по умолчанию; используйте MACsec (L2) или VPN поверх DX для шифрования.

Когда что выбирать

• VPN: быстрый старт, PoC, DR/backup канал для DX, трафик < 1 Гбит/с, бюджетные ограничения.
• Direct Connect: стабильная latency для real-time приложений, большой объём трафика (Data Lake, видео), regulatory compliance (финансы, медицина), постоянная рабочая нагрузка.
• DX + VPN вместе: DX как основной канал, VPN как автоматический failover через BGP.

Пример: расчёт окупаемости DX vs VPN

monthly_tb = 50        # исходящий трафик TB/мес
mb_per_gb = 1024

vpn_cost = (
    0.05 * 24 * 30       # VPN connection hours
    + monthly_tb * 1024 * 0.09  # egress $0.09/GB
)

dx_port_cost = 0.30 * 24 * 30   # 1G port
dx_egress_cost = monthly_tb * 1024 * 0.02  # $0.02/GB
dx_total = dx_port_cost + dx_egress_cost

print(f"VPN: ${vpn_cost:,.0f}/мес")
print(f"Direct Connect: ${dx_total:,.0f}/мес")
print(f"Экономия DX: ${vpn_cost - dx_total:,.0f}/мес")
# При 50 TB/мес:
# VPN: $4,636/мес
# Direct Connect: $1,245/мес
# Экономия DX: $3,391/мес

HA для Direct Connect

• Два DX-порта в разных Direct Connect Locations + Site-to-Site VPN как fallback.
• BGP AS-PATH prepend управляет предпочтением маршрутов.
• Direct Connect Gateway позволяет одному DX-соединению подключаться к VPC в нескольких регионах.

Подводные камни

• DX без шифрования: физический канал не шифруется; при требованиях compliance необходим MACsec или IPsec-туннель поверх DX.
• Один DX без резерва: одно физическое соединение — это SPOF; всегда планируйте второй порт или VPN failover.
• Длинные сроки DX: заказ Dedicated Connection занимает 30–90 дней; планируйте заранее, не ждите инцидента.
• VPN лимит пропускной способности: 1,25 Гбит/с на туннель — при высоком трафике VPN становится bottleneck.
• BGP failover не мгновенный: переключение с DX на VPN через BGP может занять 30–60 секунд; для критичных приложений нужен BFD (Bidirectional Forwarding Detection).
• Hosted DX ограничен скоростью: Hosted Connection через партнёра имеет фиксированную скорость; для burst трафика может не хватить.
• Стоимость недооценена: к Port Hours добавляются расходы на Cross Connect в DX Location и colocation в ЦОД — итоговая сумма выше, чем кажется.

• Считать Direct Connect автоматически encrypted end-to-end.
• Делать один tunnel или один physical connection без redundancy.
• Не тестировать route failover между primary и backup path.

• Различает internet VPN и dedicated connectivity.
• Учитывает BGP, redundancy и encryption.
• Выбирает вариант по требованиям бизнеса и сети.