Architektur 3: AWS Transit Gateway

AWS Transit Gateway ist ein verwalteter Routing-Service, der VPCs und On-Premises-Netzwerke verbindet. Transit-Gateway kann Ihnen helfen, Ihre Netzwerktopologie zu vereinfachen und komplexe Peering-Beziehungen zwischen einer großen Anzahl von VPCs zu vermeiden.

Transit-Gateway fungiert als Cloud-Router. Jede neue Verbindung wird nur einmal zwischen einer VPC und dem Transit-Gateway hergestellt. Durch die Verwendung von Transit-Gateway als Hub, der transitives Routing unterstützt, müssen Sie keine Peer-Beziehungen zwischen jeder einzelnen VPC in einer Mesh-Topologie hinzufügen. Weitere Informationen über Transit-Gateway und seine Kontingente finden Sie unter Kontingente für Ihre Transit-Gateways.

Die Verwendung von Transit-Gateway zur Integration eines Drittanbieterservices hat die folgenden Vorteile:

• Unterstützt bidirektionalen Verkehr zwischen Ihren VPCs und dem Drittanbieter-Netzwerk

• Unterstützt alle Arten von IP-Verkehr (sowohl TCP als auch UDP)

• Stellt einen zentralen Datenverkehrsinspektionspunkt zwischen Ihren VPCs und dem Drittanbieternetzwerk bereit

• Lässt sich einfach skalieren, wenn sich die Anzahl der an der Integration beteiligten VPCs ändert

Zu den Nachteilen der Verwendung einer Transit-Gateway-Lösung gehören:

• Diese Option ist in der Regel teurer als die direkten Peering-Optionen.

• Überlappende CIDR-Blöcke werden nicht unterstützt.

• Viele Drittanbieter unterstützen diese Lösung nicht, weil sie die vollständige Kontrolle behalten und die gemeinsame Nutzung von Komponenten mit ihren Kunden minimieren möchten.

Das folgende Architekturdiagramm zeigt eine vereinfachte Darstellung der Verwendung von Transit-Gateway, um Ihre VPCs mit denen eines Drittanbieters zu verbinden. Jede VPC stellt eine Verbindung zum Transit-Gateway her, und das Gateway unterstützt transitives Routing zwischen allen angeschlossenen VPCs.

Die tatsächliche Konfiguration ist jedoch nuancierter, und diese Architektur ist in verschiedene Überlegungen und Optionen für die Bereitstellung unterteilt.

Zentralisierung der Netzwerkinspektion

Wenn Sie Transit-Gateway verwenden, können Sie einen zentralen Inspektionspunkt für den Netzwerkverkehr, eine dedizierte Inspektions-VPC, einrichten. Durch die Verwendung statischer Routen in der Routentabelle, die dem regionsinternen Peering-Anhang zugeordnet ist, können Sie den vom Drittanbieternetzwerk kommenden Datenverkehr zur Inspektions-VPC weiterleiten. Um den Datenverkehr zu überprüfen, können Sie AWS Network Firewall oder einen Gateway Load Balancer von AWS, gepaart mit virtuellen Sicherheits-Appliances, bereitgestellt auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwenden. Weitere Informationen finden Sie unter Zentralisiertes Bereitstellungsmodell in Bereitstellungsmodelle für AWS Network Firewall (AWS-Blogbeitrag).

Das Transit-Gateway muss im Appliance-Modus sein für den VPC-Anschluss zur Inspektion, um den bidirektionalen Verkehr symmetrisch weiterzuleiten. Wie im folgenden Architekturdiagramm dargestellt, leitet das Transit-Gateway den Datenverkehr von den angeschlossenen VPCs an eine elastische Netzwerkschnittstelle in der Inspektions-VPC weiter.

Eine Bereitstellungsoption auswählen

Als Erstes sollten Sie überlegen, ob Sie ein vorhandenes Transit-Gateway in Ihrem Netzwerk verwenden oder ein neues, dediziertes Transit-Gateway einrichten werden. Wir empfehlen die Installation eines neuen, dedizierten Transit-Gateways, da es nachweislich mehr Kontrolle und Trennung vom Netzwerk eines Drittanbieters bietet. Mit den Beispielarchitekturen in diesem Handbuch wird ein neues Transit-Gateway erstellt, und Sie können Peering-Verbindungen zwischen dem vorhandenen Gateway und dem neuen Gateway herstellen.

Als zweites sollten Sie berücksichtigen, welche Architektur für Ihren Anwendungsfall am besten geeignet ist:

1. Architektur 3.1: Transit-Gateway mit AWS RAM – Bei dieser Bereitstellungsoption teilen Sie sich ein einzelnes Transit-Gateway mit dem Drittanbieter-Konto. Sie verwenden AWS Resource Access Manager (AWS RAM), um die Beziehung zum Teilen zu konfigurieren.

2. Architektur 3.2: Transit-Gateway-Peering – Bei dieser Bereitstellungsoption stellen Sie eine Peering-Verbindung zwischen zwei Transit-Gateways her, einem in Ihrem Konto und einem im Konto eines Drittanbieters.

Wenn Sie zwischen diesen Optionen wählen, sollten Sie die folgenden Vor- und Nachteile der einzelnen Optionen berücksichtigen.

	Architektur 3.1: Transit-Gateway mit AWS RAM	Architektur 3.2: Transit-Gateway-Peering
Vorteile	Für das Drittanbieter-Konto ist kein Transit-Gateway erforderlich, was zu einer optimierten Architektur führt.	Für Drittanbieter ist diese Lösung möglicherweise akzeptabler, da sie ihnen mehr Kontrolle über die Netzwerkkonfiguration bietet.
	Als Eigentümer des geteilten Transit-Gateways haben Sie mehr Kontrolle und Transparenz.	Sie haben den Betriebsaufwand reduziert, da der Drittanbieter seine eigenen VPC-Anlagen verwaltet.
Nachteile	Der Drittanbieter zögert möglicherweise, weil dadurch die Kontrolle über die Netzwerkkonfiguration eingeschränkt ist.	Die Netzwerkarchitektur ist komplexer.
	Sie sind für die Konfiguration von Transit-Gateway-Anhängen an VPCs im Drittanbieterkonto verantwortlich.	Diese Architektur erzeugt einen zusätzlichen Sprung im Datenverkehrspfad.

Kostenüberlegungen

Berücksichtigen Sie bei der Entscheidung zwischen diesen Optionen auch die folgenden Kostenauswirkungen:

• Die Stundengebühr für den Transit-Gateway-Anhang wird dem Kontoinhaber des Anhangs in Rechnung gestellt (oder VPC). Einige Kosten gehen zu Ihren Lasten, andere gehen zu Lasten des Dritten.

• Die Datenverarbeitung wird dem Eigentümer der VPC in Rechnung gestellt, die den Verkehr über das Transit-Gateway sendet. Der Empfang von Daten vom Transit-Gateway ist kostenlos.

• Für Daten, die zwischen zwei Peer-Transit-Gateways gesendet werden, fallen keine Datenverarbeitungsgebühren an.

Weitere Informationen finden Sie unter -Transit-Gateway-Preise.