Arsitektur 3: AWS Transit Gateway - AWS Bimbingan Preskriptif
Memusatkan inspeksi jaringanMemilih opsi penerapan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitektur 3: AWS Transit Gateway

AWS Transit Gatewayadalah layanan perutean terkelola yang menghubungkan VPCs dan jaringan lokal. Transit Gateway dapat membantu Anda menyederhanakan topologi jaringan Anda dan menghindari hubungan peering yang kompleks antara sejumlah besar jaringan. VPCs

Transit Gateway bertindak sebagai router cloud. Setiap koneksi baru hanya dibuat satu kali antara VPC dan gateway transit. Dengan menggunakan gateway transit sebagai hub yang mendukung perutean transitif, Anda tidak perlu menambahkan hubungan rekan antara setiap VPC tunggal dalam topologi mesh. Untuk informasi selengkapnya tentang Transit Gateway dan kuotanya, lihat Kuota untuk gateway transit Anda.

Menggunakan Transit Gateway untuk mengintegrasikan layanan pihak ketiga memiliki manfaat sebagai berikut:

  • Mendukung lalu lintas dua arah antara jaringan Anda VPCs dan pihak ketiga

  • Mendukung semua jenis lalu lintas IP (baik TCP dan UDP)

  • Menyebarkan titik inspeksi lalu lintas terpusat antara jaringan Anda VPCs dan pihak ketiga

  • Skalakan dengan mudah karena jumlah VPCs yang terlibat dalam integrasi berubah

Kerugian menggunakan solusi Transit Gateway meliputi:

  • Opsi ini biasanya lebih mahal daripada opsi peering langsung.

  • Blok CIDR yang tumpang tindih tidak didukung.

  • Banyak penyedia pihak ketiga tidak mendukung solusi ini karena mereka ingin mempertahankan kontrol penuh dan meminimalkan berbagi komponen dengan pelanggan mereka.

Diagram arsitektur berikut menunjukkan representasi sederhana menggunakan Transit Gateway VPCs untuk menghubungkan Anda dengan penyedia pihak ketiga. Setiap VPC terhubung ke gateway transit, dan gateway mendukung perutean transitif antara semua yang terpasang. VPCs

Menggunakan Transit Gateway untuk terhubung VPCs di AWS akun yang berbeda

Namun, konfigurasi sebenarnya lebih bernuansa, dan arsitektur ini dibagi menjadi pertimbangan dan opsi penerapan yang berbeda.

Memusatkan inspeksi jaringan

Jika Anda menggunakan Transit Gateway, Anda dapat menerapkan titik inspeksi lalu lintas jaringan terpusat, VPC inspeksi khusus. Dengan menggunakan rute statis dalam tabel rute yang terkait dengan lampiran peering intra-wilayah, Anda dapat mengarahkan lalu lintas yang datang dari jaringan pihak ketiga ke VPC inspeksi. Untuk memeriksa lalu lintas, Anda dapat menggunakan AWS Network Firewall atau Load Balancer AWS Gateway yang dipasangkan dengan peralatan keamanan virtual yang digunakan di instans Amazon Elastic Compute Cloud (Amazon). EC2 Untuk informasi selengkapnya, lihat Model penyebaran terpusat di Model penyebaran untuk AWS Network Firewall (AWS posting blog).

Gerbang transit harus dalam mode alat untuk lampiran VPC inspeksi untuk merutekan lalu lintas dua arah secara simetris. Seperti yang ditunjukkan pada diagram arsitektur berikut, gateway transit mengarahkan lalu lintas dari yang terpasang VPCs ke antarmuka network elastis di VPC inspeksi.

Membuat titik inspeksi terpusat dalam VPC khusus.

Memilih opsi penerapan

Hal pertama yang perlu dipertimbangkan adalah apakah Anda akan menggunakan gateway transit yang ada di jaringan Anda atau membuat gateway transit khusus yang baru. Kami merekomendasikan untuk menggunakan gateway transit khusus yang baru karena terbukti memberikan lebih banyak kontrol dan pemisahan dari jaringan pihak ketiga. Contoh arsitektur dalam panduan ini membuat gateway transit baru, dan Anda dapat membuat koneksi peering antara gateway yang ada dan gateway baru.

Hal kedua yang perlu dipertimbangkan adalah arsitektur mana yang terbaik untuk kasus penggunaan Anda:

  1. Arsitektur 3.1: Transit Gateway dengan AWS RAM— Dalam opsi penyebaran ini, Anda berbagi gateway transit tunggal dengan akun pihak ketiga. Anda menggunakan AWS Resource Access Manager (AWS RAM) untuk mengonfigurasi hubungan berbagi.

  2. Arsitektur 3.2: Pengintipan Transit Gateway— Dalam opsi penyebaran ini, Anda membuat koneksi peering antara dua gateway transit, satu di akun Anda dan satu di akun pihak ketiga.

Saat memilih di antara opsi-opsi ini, pertimbangkan manfaat dan kerugian masing-masing berikut.

  Arsitektur 3.1: Transit Gateway dengan AWS RAM Arsitektur 3.2: Pengintipan Transit Gateway
Keuntungan Gateway transit tidak diperlukan di akun pihak ketiga, yang mengarah ke arsitektur yang lebih ramping. Pihak ketiga mungkin menemukan solusi ini lebih dapat diterima karena memberi mereka lebih banyak kontrol atas konfigurasi jaringan.
Anda telah meningkatkan kontrol dan visibilitas sebagai pemilik gateway transit bersama. Anda telah mengurangi upaya operasional karena pihak ketiga memelihara lampiran VPC mereka sendiri.
Kekurangan Pihak ketiga mungkin enggan karena mengurangi kontrol mereka terhadap konfigurasi jaringan. Arsitektur jaringan lebih kompleks.
Anda bertanggung jawab untuk mengonfigurasi lampiran gateway transit VPCs di akun pihak ketiga. Arsitektur ini menciptakan lompatan tambahan di jalur lalu lintas.

Pertimbangan biaya

Pertimbangkan juga implikasi biaya berikut saat memutuskan di antara opsi-opsi ini:

  • Biaya per jam untuk lampiran gateway transit dibebankan kepada pemilik akun lampiran (atau VPC). Beberapa biaya akan dimiliki oleh Anda, dan yang lainnya akan dimiliki oleh pihak ketiga.

  • Pemrosesan data dibebankan kepada pemilik VPC yang mengirimkan lalu lintas melalui gateway transit. Tidak ada biaya untuk menerima data dari gateway transit.

  • Tidak ada biaya pemrosesan data untuk data yang dikirim antara dua gateway transit peered.

Untuk informasi selengkapnya, lihat harga Transit Gateway.