Arsitektur 3:AWS Transit Gateway - AWS Bimbingan Preskriptif
Memusatkan inspeksi jaringanMemilih opsi penerapan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitektur 3:AWS Transit Gateway

AWS Transit Gatewayadalah layanan routing terkelola yang menghubungkan VPC dan jaringan lokal. Transit Gateway dapat membantu Anda menyederhanakan topologi jaringan Anda dan menghindari hubungan peering yang kompleks antara sejumlah besar VPC.

Transit Gateway bertindak sebagai router cloud. Setiap koneksi baru hanya dibuat satu kali antara VPC dan gateway transit. Dengan menggunakan gateway transit sebagai hub yang mendukung perutean transitif, Anda tidak perlu menambahkan hubungan rekan antara setiap VPC tunggal dalam topologi mesh. Untuk informasi selengkapnya tentang Transit Gateway dan kuotanya, lihatKuota untuk gateway transit Anda.

Menggunakan Transit Gateway untuk mengintegrasikan layanan pihak ketiga memiliki manfaat sebagai berikut:

  • Mendukung lalu lintas dua arah antara VPC Anda dan jaringan pihak ketiga

  • Mendukung semua jenis lalu lintas IP (baik TCP dan UDP)

  • Menyebarkan titik inspeksi lalu lintas terpusat antara VPC Anda dan jaringan pihak ketiga

  • Skalakan dengan mudah karena jumlah VPC yang terlibat dalam integrasi berubah

Kerugian menggunakan solusi Transit Gateway meliputi:

  • Opsi ini biasanya lebih mahal daripada opsi peering langsung.

  • Blok CIDR yang tumpang tindih tidak didukung.

  • Banyak penyedia pihak ketiga tidak mendukung solusi ini karena mereka ingin mempertahankan kontrol penuh dan meminimalkan berbagi komponen dengan pelanggan mereka.

Diagram arsitektur berikut menunjukkan representasi sederhana menggunakan Transit Gateway untuk menghubungkan VPC Anda ke penyedia pihak ketiga. Setiap VPC terhubung ke gateway transit, dan gateway mendukung perutean transitif antara semua VPC yang terpasang.

Menggunakan Transit Gateway untuk menghubungkan VPC dalam berbagaiAWSrekening

Namun, konfigurasi sebenarnya lebih bernuansa, dan arsitektur ini dibagi menjadi pertimbangan dan opsi penerapan yang berbeda.

Memusatkan inspeksi jaringan

Jika Anda menggunakan Transit Gateway, Anda dapat menerapkan titik inspeksi lalu lintas jaringan terpusat, VPC inspeksi khusus. Dengan menggunakan rute statis dalam tabel rute yang terkait dengan lampiran peering intra-wilayah, Anda dapat mengarahkan lalu lintas yang datang dari jaringan pihak ketiga ke VPC inspeksi. Untuk memeriksa lalu lintas, Anda dapat menggunakanAWS Network FirewallatauAWSGateway Load Balancer dipasangkan dengan peralatan keamanan virtual yang digunakan pada instans Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi lebih lanjut, lihatModel penyebaran terpusatdiModel penyebaran untukAWS Network Firewall(AWSposting blog).

Gerbang transit harus berada dimodus alatuntuk lampiran inspeksi VPC untuk merutekan lalu lintas dua arah secara simetris. Seperti yang ditunjukkan pada diagram arsitektur berikut, gateway transit mengarahkan lalu lintas dari VPC terpasang ke antarmuka jaringan elastis di VPC inspeksi.

Membuat titik inspeksi terpusat dalam VPC khusus.

Memilih opsi penerapan

Hal pertama yang perlu dipertimbangkan adalah apakah Anda akan menggunakan gateway transit yang ada di jaringan Anda atau membuat gateway transit khusus yang baru. Kami merekomendasikan untuk menggunakan gateway transit khusus yang baru karena terbukti memberikan lebih banyak kontrol dan pemisahan dari jaringan pihak ketiga. Contoh arsitektur dalam panduan ini membuat gateway transit baru, dan Anda dapat membuat koneksi peering antara gateway yang ada dan gateway baru.

Hal kedua yang perlu dipertimbangkan adalah arsitektur mana yang terbaik untuk kasus penggunaan Anda:

  1. Arsitektur 3.1: Transit Gateway denganAWS RAM— Dalam opsi penyebaran ini, Anda berbagi gateway transit tunggal dengan akun pihak ketiga. Anda menggunakanAWS Resource Access Manager(AWS RAM) untuk mengkonfigurasi hubungan berbagi.

  2. Arsitektur 3.2: Pengintipan Transit Gateway— Dalam opsi penyebaran ini, Anda membuat koneksi peering antara dua gateway transit, satu di akun Anda dan satu di akun pihak ketiga.

Saat memilih di antara opsi-opsi ini, pertimbangkan manfaat dan kerugian masing-masing berikut.

  Arsitektur 3.1: Transit Gateway denganAWS RAM Arsitektur 3.2: Pengintipan Transit Gateway
Manfaat Gateway transit tidak diperlukan di akun pihak ketiga, yang mengarah ke arsitektur yang lebih ramping. Pihak ketiga mungkin menemukan solusi ini lebih dapat diterima karena memberi mereka lebih banyak kontrol atas konfigurasi jaringan.
Anda telah meningkatkan kontrol dan visibilitas sebagai pemilik gateway transit bersama. Anda telah mengurangi upaya operasional karena pihak ketiga memelihara lampiran VPC mereka sendiri.
Kekurangan Pihak ketiga mungkin enggan karena mengurangi kontrol mereka terhadap konfigurasi jaringan. Arsitektur jaringan lebih kompleks.
Anda bertanggung jawab untuk mengonfigurasi lampiran gateway transit ke VPC di akun pihak ketiga. Arsitektur ini menciptakan lompatan tambahan di jalur lalu lintas.

Pertimbangan biaya

Pertimbangkan juga implikasi biaya berikut saat memutuskan di antara opsi-opsi ini:

  • Biaya per jam untuk lampiran gateway transit dibebankan kepada pemilik akun lampiran (atauVPC). Beberapa biaya akan dimiliki oleh Anda, dan yang lainnya akan dimiliki oleh pihak ketiga.

  • Pemrosesan data dibebankan kepada pemilik VPC yang mengirimkan lalu lintas melalui gateway transit. Tidak ada biaya untuk menerima data dari gateway transit.

  • Tidak ada biaya pemrosesan data untuk data yang dikirim antara dua gateway transit peered.

Untuk informasi lebih lanjut, lihatHarga Transit Gateway.