Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja gateway transit
Gateway transit bertindak sebagai router virtual Regional untuk lalu lintas yang mengalir antara virtual private cloud (VPC) dan jaringan lokal. Gateway transit menskalakan secara elastis berdasarkan volume lalu lintas jaringan. Routing melalui gateway transit beroperasi pada lapisan 3, di mana paket dikirim ke lampiran next-hop tertentu, berdasarkan alamat IP tujuan mereka.
Daftar Isi
Diagram arsitektur
Diagram berikut menunjukkan gateway transit dengan tiga lampiran VPC. Tabel rute untuk masing-masing VPC ini mencakup rute lokal dan rute yang mengirim lalu lintas yang ditujukan untuk dua VPC lainnya ke gateway transit.
Berikut ini adalah contoh tabel rute gateway transit default untuk lampiran yang ditunjukkan pada diagram sebelumnya. Blok CIDR untuk setiap VPC merambat ke tabel rute. Oleh karena itu, setiap lampiran dapat merutekan paket ke dua lampiran lainnya.
| Tujuan | Target | Jenis rute |
|---|---|---|
VPC KE CIDR |
Lampiran untuk VPC A |
diperbanyak |
VPC B CIDR |
Lampiran untuk VPC B |
diperbanyak |
VPC C CIDR |
Lampiran untuk VPC C |
diperbanyak |
Lampiran sumber daya
Lampiran gateway transit adalah sumber dan tujuan paket. Anda dapat melampirkan sumber daya berikut ke gateway transit Anda:
-
Satu atau lebih VPC. AWS Transit Gateway menggunakan elastic network interface dalam subnet VPC, yang kemudian digunakan oleh gateway transit untuk merutekan lalu lintas ke dan dari subnet yang dipilih. Anda harus memiliki setidaknya satu subnet untuk setiap Availability Zone, yang kemudian memungkinkan lalu lintas untuk mencapai sumber daya di setiap subnet zona itu. Selama pembuatan lampiran, sumber daya dalam Availability Zone tertentu dapat mencapai gateway transit hanya jika subnet diaktifkan dalam zona yang sama. Jika tabel rute subnet menyertakan rute ke gateway transit, lalu lintas hanya diteruskan ke gateway transit jika gateway transit memiliki lampiran di subnet dari Availability Zone yang sama.
-
Satu atau lebih koneksi VPN
-
Satu atau lebih AWS Direct Connect gateway
-
Satu atau beberapa lampiran Transit Gateway Connect
-
Satu atau lebih koneksi peering gateway transit
-
Lampiran gateway transit dapat menjadi sumber dan tujuan paket
Perutean Multipath Biaya Sama
AWS Transit Gateway mendukung perutean Equal Cost Multipath (ECMP) untuk sebagian besar lampiran. Untuk lampiran VPN, Anda dapat mengaktifkan atau menonaktifkan dukungan ECMP menggunakan konsol saat membuat atau memodifikasi gateway transit. Untuk semua jenis lampiran lainnya, pembatasan ECMP berikut berlaku:
-
VPC - VPC tidak mendukung ECMP karena blok CIDR tidak dapat tumpang tindih. Misalnya, Anda tidak dapat melampirkan VPC dengan CIDR 10.1.0.0/16 dengan VPC kedua menggunakan CIDR yang sama ke gateway transit, dan kemudian mengatur perutean untuk memuat keseimbangan lalu lintas di antara mereka.
-
VPN - Ketika opsi dukungan ECMP VPN dinonaktifkan, gateway transit menggunakan metrik internal untuk menentukan jalur yang disukai jika terjadi awalan yang sama di beberapa jalur. Untuk informasi selengkapnya tentang mengaktifkan atau menonaktifkan ECMP untuk lampiran VPN, lihat. Transit gateway
-
AWS Transit Gateway Connect - AWS Transit Gateway Connect attachment secara otomatis mendukung ECMP.
-
AWS Direct Connect AWS Direct Connect Gateway - Lampiran Gateway secara otomatis mendukung ECMP di beberapa lampiran Direct Connect Gateway ketika awalan jaringan, panjang awalan, dan AS_PATH persis sama.
-
Transit gateway peering - Transit gateway peering tidak mendukung ECMP karena tidak mendukung perutean dinamis dan Anda juga tidak dapat mengonfigurasi rute statis yang sama terhadap dua target yang berbeda.
catatan
-
BGP Multipath AS-Path Relax tidak didukung, jadi Anda tidak dapat menggunakan ECMP melalui Nomor Sistem Otonomi (ASN) yang berbeda.
-
ECMP tidak didukung antara jenis lampiran yang berbeda. Misalnya, Anda tidak dapat mengaktifkan ECMP antara VPN dan lampiran VPC. Sebaliknya, rute gateway transit dievaluasi dan lalu lintas diarahkan sesuai dengan rute yang dievaluasi. Untuk informasi selengkapnya, lihat Urutan evaluasi rute.
-
Gateway Direct Connect tunggal mendukung ECMP di beberapa antarmuka virtual transit. Oleh karena itu, kami menyarankan Anda mengatur dan menggunakan hanya satu gateway Direct Connect dan untuk tidak mengatur dan menggunakan beberapa gateway untuk memanfaatkan ECMP. Untuk informasi selengkapnya tentang gateway Direct Connect dan antarmuka virtual publik, lihat Bagaimana cara mengatur koneksi Active/Active atau Active/Passive Direct Connect
dari antarmuka virtual publik? AWS .
Zona Ketersediaan
Saat Anda melampirkan VPC ke gateway transit, Anda harus mengaktifkan satu atau beberapa Availability Zone untuk digunakan oleh gateway transit untuk merutekan lalu lintas ke sumber daya di subnet VPC. Untuk mengaktifkan setiap Availability Zone, Anda menentukan persis satu subnet. Gateway transit menempatkan antarmuka jaringan di subnet itu menggunakan satu alamat IP dari subnet. Setelah Anda mengaktifkan Availability Zone, lalu lintas dapat dialihkan ke semua subnet di VPC, bukan hanya subnet atau Availability Zone yang ditentukan. Namun, hanya sumber daya yang berada di Availability Zones di mana ada lampiran gateway transit yang dapat mencapai gateway transit.
Jika lalu lintas bersumber dari Availability Zone dimana lampiran tujuan tidak ada, AWS Transit Gateway akan secara internal merutekan lalu lintas tersebut ke Availability Zone acak di mana lampiran tersebut ada. Tidak ada biaya gerbang transit tambahan untuk jenis lalu lintas Zona Ketersediaan Lintas ini.
Kami menyarankan Anda mengaktifkan beberapa Availability Zone untuk memastikan ketersediaan.
Menggunakan dukungan mode alat
Jika Anda berencana untuk mengonfigurasi alat jaringan stateful di VPC, Anda dapat mengaktifkan dukungan mode alat untuk lampiran VPC tempat alat berada. Ini memastikan bahwa gateway transit menggunakan Availability Zone yang sama untuk lampiran VPC tersebut selama masa arus lalu lintas antara sumber dan tujuan. Ini juga memungkinkan gateway transit untuk mengirim lalu lintas ke Availability Zone apa pun di VPC, selama ada asosiasi subnet di zona itu. Untuk informasi selengkapnya, lihat Contoh: Appliance di VPC layanan bersama.
Perutean
Gateway transit Anda merutekan paket IPv4 dan IPv6 di antara lampiran menggunakan tabel rute gateway transit. Anda dapat mengonfigurasi tabel rute ini untuk menyebarkan rute dari tabel rute untuk VPC terlampir, koneksi VPN, dan gateway Direct Connect. Anda juga dapat menambahkan rute statis ke tabel rute gateway transit. Ketika sebuah paket berasal dari satu lampiran, itu dirutekan ke lampiran lain menggunakan rute yang cocok dengan alamat IP tujuan.
Untuk lampiran peering gateway transit, hanya rute statis yang didukung.
Daftar Isi
Tabel rute
Gateway transit Anda secara otomatis dilengkapi dengan tabel rute default. Secara default, tabel rute ini adalah tabel rute asosiasi default dan tabel rute propagasi default. Atau, jika Anda menonaktifkan propagasi rute dan asosiasi tabel rute, AWS tidak akan membuat tabel rute default untuk gateway transit.
Anda dapat membuat tabel rute tambahan untuk gateway transit Anda. Hal ini memungkinkan Anda untuk mengisolasi subset lampiran. Setiap lampiran dapat dikaitkan dengan satu tabel rute. Lampiran dapat menyebarkan rutenya ke satu atau beberapa tabel rute.
Anda dapat membuat rute blackhole di tabel rute gateway transit Anda yang menurunkan lalu lintas yang cocok dengan rute.
Saat Anda melampirkan VPC ke gateway transit, Anda harus menambahkan rute ke tabel rute subnet Anda agar lalu lintas dapat dirutekan melalui gateway transit. Untuk informasi selengkapnya, lihat Perutean untuk Gateway Transit di Panduan Pengguna Amazon VPC.
Asosiasi tabel rute
Anda dapat mengaitkan lampiran gateway transit dengan satu tabel rute. Setiap tabel rute dapat dikaitkan dengan nol hingga banyak lampiran dan dapat meneruskan paket ke lampiran lainnya.
Perbanyakan rute
Setiap lampiran dilengkapi dengan rute yang dapat dipasang di satu atau lebih tabel rute gateway transit. Ketika lampiran disebarkan ke tabel rute gateway transit, rute ini dipasang di tabel rute. Anda tidak dapat memfilter pada rute yang diiklankan.
Untuk lampiran VPC, blok CIDR dari VPC disebarkan ke tabel rute gateway transit.
Saat perutean dinamis digunakan dengan lampiran VPN atau lampiran gateway Direct Connect, Anda dapat menyebarkan rute yang dipelajari dari router lokal melalui BGP ke salah satu tabel rute gateway transit.
Ketika perutean dinamis digunakan dengan lampiran VPN, rute dalam tabel rute yang terkait dengan lampiran VPN diiklankan ke gateway pelanggan melalui BGP.
Untuk lampiran Connect, rute dalam tabel rute yang terkait dengan lampiran Connect diiklankan ke peralatan virtual pihak ketiga, seperti peralatan SD-WAN, yang berjalan dalam VPC melalui BGP.
Untuk lampiran gateway Direct Connect, interaksi awalan yang diizinkan mengontrol rute mana yang diiklankan ke jaringan pelanggan. AWS
Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memiliki prioritas yang lebih tinggi, sehingga rute yang disebarkan tidak termasuk dalam tabel rute. Jika Anda menghapus rute statis, rute propagasi yang tumpang tindih disertakan dalam tabel rute.
Rute untuk lampiran peering
Anda dapat mengintip dua gateway transit, dan mengarahkan lalu lintas di antara mereka. Untuk melakukan ini, Anda membuat lampiran peering pada gateway transit Anda, dan menentukan gateway transit peer yang digunakan untuk membuat koneksi peering. Anda kemudian membuat rute statis di tabel rute gateway transit Anda untuk merutekan lalu lintas ke lampiran peering gateway transit. Lalu lintas yang diarahkan ke gateway peer transit kemudian dapat diarahkan ke lampiran VPC dan VPN untuk gateway peer transit.
Untuk informasi selengkapnya, lihat Contoh: Gerbang transit sejawat.
Urutan evaluasi rute
Rute gateway transit dievaluasi dengan urutan sebagai berikut:
-
Rute paling spesifik untuk alamat tujuan.
-
Untuk rute dengan CIDR yang sama, tetapi dari jenis lampiran yang berbeda, prioritas rute adalah sebagai berikut:
-
Rute statis (misalnya, rute statis Site-to-Site VPN)
-
Daftar awalan rute yang direferensikan
-
Rute yang disebarkan VPC
-
Rute propagasi gateway Direct Connect
-
Transit Gateway Connect rute yang disebarkan
-
Rute yang disebarkan oleh Site-to-Site VPN
-
Transit Gateway mengintip rute yang disebarkan (Cloud WAN)
-
Beberapa lampiran mendukung iklan rute melalui BGP. Untuk rute dengan CIDR yang sama, dan dari jenis lampiran yang sama, prioritas rute dikendalikan oleh atribut BGP:
-
Panjang jalur AS yang lebih pendek
-
Nilai MED yang lebih rendah
-
eBGP melalui rute iBGP lebih disukai, jika lampiran mendukungnya
penting
AWS tidak dapat menjamin urutan prioritas rute yang konsisten untuk rute BGP dengan CIDR, tipe lampiran, dan atribut BGP yang sama seperti yang tercantum di atas.
AWS Transit Gateway hanya menampilkan rute pilihan. Rute cadangan hanya akan muncul di tabel rute Transit Gateway jika rute tersebut tidak lagi diiklankan — misalnya, jika Anda mengiklankan rute yang sama melalui gateway Direct Connect dan melalui Site-to-Site VPN. AWS Transit Gateway hanya akan menampilkan rute yang diterima dari rute gateway Direct Connect, yang merupakan rute pilihan. Site-to-Site VPN, yang merupakan rute cadangan, hanya akan ditampilkan ketika gateway Direct Connect tidak lagi diiklankan.
Perbedaan tabel rute VPC dan transit gateway
Evaluasi tabel rute berbeda antara apakah Anda menggunakan tabel rute VPC atau tabel rute gateway transit.
Contoh berikut menunjukkan tabel rute VPC. Rute lokal VPC memiliki prioritas tertinggi, diikuti oleh rute yang paling spesifik. Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memiliki prioritas yang lebih tinggi.
| Tujuan | Target | Prioritas |
|---|---|---|
| 10.0.0.0/16 |
lokal |
1 |
| 192.168.0.0/16 | pcx-12345 | 2 |
| 172.31.0.0/16 | vgw-12345 (statis) atau tgw-12345 (statis) |
2 |
| 172.31.0.0/16 | vgw-12345 (diperbanyak) | 3 |
| 0.0.0.0/0 | igw-12345 | 4 |
Contoh berikut menunjukkan tabel rute gateway transit. Jika Anda lebih suka lampiran AWS Direct Connect gateway ke lampiran VPN, gunakan koneksi BGP VPN dan sebarkan rute di tabel rute gateway transit.
| Tujuan | Lampiran (Target) | Jenis sumber daya | Jenis rute | Prioritas |
|---|---|---|---|---|
| 10.0.0.0/16 | tgw-attach-123 | vpc-1234 | VPC | Statis atau diperbanyak | 1 |
| 192.168.0.0/16 | tgw-lampiran-789 | vpn-5678 | VPN | Statis | 2 |
| 172.31.0.0/16 | tgw-attach-456 | dxgw_id | AWS Direct Connect pintu gerbang | Diperbanyak | 3 |
| 172.31.0.0/16 | tgw-attach-789 | -123 tgw-connect-peer | Hubungkan | Diperbanyak | 4 |
| 172.31.0.0/16 | tgw-lampiran-789 | vpn-5678 | VPN | Diperbanyak | 5 |
