Cara kerja Amazon VPC Transit Gateways - Amazon VPC
Contoh diagram arsitekturLampiran sumber dayaPerutean Multipath Biaya Sama Zona KetersediaanPeruteanContoh skenario gateway transit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Amazon VPC Transit Gateways

Di AWS Transit Gateway, gateway transit bertindak sebagai router virtual Regional untuk lalu lintas yang mengalir antara cloud pribadi virtual (VPCs) dan jaringan lokal. Gateway transit berskala elastis berdasarkan volume lalu lintas jaringan. Routing melalui gateway transit beroperasi pada lapisan 3, di mana paket dikirim ke lampiran next-hop tertentu, berdasarkan alamat IP tujuan mereka.

Topik

Contoh diagram arsitektur

Diagram berikut menunjukkan gateway transit dengan tiga VPC lampiran. Tabel rute untuk masing-masing VPCs termasuk rute lokal dan rute yang mengirim lalu lintas yang ditujukan untuk dua lainnya VPCs ke gateway transit.

VPCopsi konektivitas

Berikut ini adalah contoh tabel rute gateway transit default untuk lampiran yang ditunjukkan pada diagram sebelumnya. CIDRBlok untuk masing-masing VPC merambat ke tabel rute. Oleh karena itu, setiap lampiran dapat merutekan paket ke dua lampiran lainnya.

Tujuan Target Jenis rute
VPC A CIDR Attachment for VPC A diperbanyak
VPC B CIDR Attachment for VPC B diperbanyak
VPC C CIDR Attachment for VPC C diperbanyak

Lampiran sumber daya

Lampiran gateway transit adalah sumber dan tujuan paket. Anda dapat melampirkan sumber daya berikut ke gateway transit Anda:

  • Satu atau lebihVPCs. AWS Transit Gateway menyebarkan sebuah elastic network interface dalam VPC subnet, yang kemudian digunakan oleh gateway transit untuk mengarahkan lalu lintas ke dan dari subnet yang dipilih. Anda harus memiliki setidaknya satu subnet untuk setiap Availability Zone, yang kemudian memungkinkan lalu lintas untuk mencapai sumber daya di setiap subnet zona itu. Selama pembuatan lampiran, sumber daya dalam Availability Zone tertentu dapat mencapai gateway transit hanya jika subnet diaktifkan dalam zona yang sama. Jika tabel rute subnet menyertakan rute ke gateway transit, lalu lintas hanya diteruskan ke gateway transit jika gateway transit memiliki lampiran di subnet dari Availability Zone yang sama.

  • Satu atau lebih VPN koneksi

  • Satu atau lebih AWS Direct Connect gateway

  • Satu atau beberapa lampiran Transit Gateway Connect

  • Satu atau lebih koneksi peering gateway transit

  • Lampiran gateway transit dapat menjadi sumber dan tujuan paket

Perutean Multipath Biaya Sama

AWS Transit Gateway mendukung perutean Equal Cost Multipath (ECMP) untuk sebagian besar lampiran. Untuk VPN lampiran, Anda dapat mengaktifkan atau menonaktifkan ECMP dukungan menggunakan konsol saat membuat atau memodifikasi gateway transit. Untuk semua jenis lampiran lainnya, ECMP pembatasan berikut berlaku:

  • VPC- VPC tidak mendukung ECMP karena CIDR blok tidak dapat tumpang tindih. Misalnya, Anda tidak dapat melampirkan VPC dengan CIDR 10.1.0.0/16 dengan detik VPC menggunakan yang sama CIDR ke gateway transit, dan kemudian mengatur perutean untuk memuat keseimbangan lalu lintas di antara mereka.

  • VPN- Saat opsi VPNECMPdukungan dinonaktifkan, gateway transit menggunakan metrik internal untuk menentukan jalur yang disukai jika terjadi awalan yang sama di beberapa jalur. Untuk informasi selengkapnya tentang mengaktifkan atau menonaktifkan ECMP VPN lampiran, lihat. Gerbang transit di Amazon VPC Transit Gateways

  • AWS Transit Gateway Connect - AWS Transit Gateway Connect lampiran secara otomatis mendukungECMP.

  • AWS Direct Connect AWS Direct Connect Gateway - Lampiran Gateway secara otomatis mendukung ECMP di beberapa lampiran Direct Connect Gateway ketika awalan jaringan, panjang awalan, dan AS_ PATH persis sama.

  • Transit gateway peering - Transit gateway peering tidak mendukung ECMP karena tidak mendukung perutean dinamis dan Anda juga tidak dapat mengonfigurasi rute statis yang sama terhadap dua target yang berbeda.

catatan

  • BGPMultipath as-Path Relax tidak didukung, jadi Anda tidak dapat menggunakan ECMP lebih dari Nomor Sistem Otonom (ASNs) yang berbeda.

  • ECMPtidak didukung antara jenis lampiran yang berbeda. Misalnya, Anda tidak dapat mengaktifkan ECMP antara a VPN dan VPC lampiran. Sebaliknya, rute gateway transit dievaluasi dan lalu lintas diarahkan sesuai dengan rute yang dievaluasi. Untuk informasi selengkapnya, lihat Urutan evaluasi rute.

  • Sebuah gateway Direct Connect tunggal mendukung ECMP di beberapa antarmuka virtual transit. Oleh karena itu, kami menyarankan Anda mengatur dan menggunakan hanya satu gateway Direct Connect dan untuk tidak mengatur dan menggunakan beberapa gateway untuk memanfaatkannya. ECMP Untuk informasi selengkapnya tentang gateway Direct Connect dan antarmuka virtual publik, lihat Bagaimana cara mengatur koneksi Active/Active atau Active/Passive Direct Connect dari antarmuka virtual publik? AWS .

Zona Ketersediaan

Saat Anda melampirkan VPC ke gateway transit, Anda harus mengaktifkan satu atau beberapa Availability Zone untuk digunakan oleh gateway transit untuk merutekan lalu lintas ke sumber daya di VPC subnet. Untuk mengaktifkan setiap Availability Zone, Anda menentukan persis satu subnet. Gateway transit menempatkan antarmuka jaringan di subnet itu menggunakan satu alamat IP dari subnet. Setelah Anda mengaktifkan Availability Zone, lalu lintas dapat dialihkan ke semua subnet diVPC, bukan hanya subnet atau Availability Zone yang ditentukan. Namun, hanya sumber daya yang berada di Availability Zones di mana ada lampiran gateway transit yang dapat mencapai gateway transit.

Jika lalu lintas bersumber dari Availability Zone dimana lampiran tujuan tidak ada, AWS Transit Gateway akan secara internal merutekan lalu lintas tersebut ke Availability Zone acak di mana lampiran tersebut ada. Tidak ada biaya gerbang transit tambahan untuk jenis lalu lintas Zona Ketersediaan Lintas ini.

Kami menyarankan Anda mengaktifkan beberapa Availability Zone untuk memastikan ketersediaan.

Menggunakan dukungan mode alat

Jika Anda berencana untuk mengonfigurasi alat jaringan stateful di perangkat AndaVPC, Anda dapat mengaktifkan dukungan mode alat untuk VPC lampiran tempat alat berada. Ini memastikan bahwa gateway transit menggunakan Availability Zone yang sama untuk VPC lampiran tersebut selama masa arus lalu lintas antara sumber dan tujuan. Ini juga memungkinkan gateway transit untuk mengirim lalu lintas ke Zona Ketersediaan apa pun diVPC, selama ada asosiasi subnet di zona itu. Untuk informasi selengkapnya, lihat Contoh: Peralatan dalam layanan bersama VPC.

Perutean

Rute IPv4 dan IPv6 paket gateway transit Anda di antara lampiran menggunakan tabel rute gateway transit. Anda dapat mengonfigurasi tabel rute ini untuk menyebarkan rute dari tabel rute untuk gateway terlampirVPCs, VPN koneksi, dan Direct Connect. Anda juga dapat menambahkan rute statis ke tabel rute gateway transit. Ketika sebuah paket berasal dari satu lampiran, itu dirutekan ke lampiran lain menggunakan rute yang cocok dengan alamat IP tujuan.

Untuk lampiran peering gateway transit, hanya rute statis yang didukung.

Tabel rute

Gateway transit Anda secara otomatis dilengkapi dengan tabel rute default. Secara default, tabel rute ini adalah tabel rute asosiasi default dan tabel rute propagasi default. Atau, jika Anda menonaktifkan propagasi rute dan asosiasi tabel rute, AWS tidak akan membuat tabel rute default untuk gateway transit.

Anda dapat membuat tabel rute tambahan untuk gateway transit Anda. Hal ini memungkinkan Anda untuk mengisolasi subset lampiran. Setiap lampiran dapat dikaitkan dengan satu tabel rute. Lampiran dapat menyebarkan rutenya ke satu atau beberapa tabel rute.

Anda dapat membuat rute blackhole di tabel rute gateway transit Anda yang menurunkan lalu lintas yang cocok dengan rute.

Ketika Anda melampirkan VPC ke gateway transit, Anda harus menambahkan rute ke tabel rute subnet Anda agar lalu lintas dapat dirutekan melalui gateway transit. Untuk informasi selengkapnya, lihat Perutean untuk Gateway Transit di Panduan VPC Pengguna Amazon.

Asosiasi tabel rute

Anda dapat mengaitkan lampiran gateway transit dengan satu tabel rute. Setiap tabel rute dapat dikaitkan dengan nol hingga banyak lampiran dan dapat meneruskan paket ke lampiran lainnya.

Perbanyakan rute

Setiap lampiran dilengkapi dengan rute yang dapat dipasang di satu atau lebih tabel rute gateway transit. Ketika lampiran disebarkan ke tabel rute gateway transit, rute ini dipasang di tabel rute. Anda tidak dapat memfilter pada rute yang diiklankan.

Untuk VPC lampiran, CIDR blok VPC disebarkan ke tabel rute gateway transit.

Saat perutean dinamis digunakan dengan VPN lampiran atau lampiran gateway Direct Connect, Anda dapat menyebarkan rute yang dipelajari dari router lokal BGP ke salah satu tabel rute gateway transit.

Ketika perutean dinamis digunakan dengan VPN lampiran, rute dalam tabel rute yang terkait dengan VPN lampiran diiklankan ke gateway pelanggan melalui. BGP

Untuk lampiran Connect, rute dalam tabel rute yang terkait dengan lampiran Connect diiklankan ke peralatan virtual pihak ketiga, seperti WAN peralatan SD, berjalan VPC melaluiBGP.

Untuk lampiran gateway Direct Connect, interaksi awalan yang diizinkan mengontrol rute mana yang diiklankan ke jaringan pelanggan. AWS

Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memiliki prioritas yang lebih tinggi, sehingga rute yang disebarkan tidak termasuk dalam tabel rute. Jika Anda menghapus rute statis, rute propagasi yang tumpang tindih disertakan dalam tabel rute.

Rute untuk lampiran peering

Anda dapat mengintip dua gateway transit, dan mengarahkan lalu lintas di antara mereka. Untuk melakukan ini, Anda membuat lampiran peering pada gateway transit Anda, dan menentukan gateway transit peer yang digunakan untuk membuat koneksi peering. Anda kemudian membuat rute statis di tabel rute gateway transit Anda untuk merutekan lalu lintas ke lampiran peering gateway transit. Lalu lintas yang diarahkan ke gateway peer transit kemudian dapat diarahkan ke VPC dan VPN lampiran untuk gateway peer transit.

Untuk informasi selengkapnya, lihat Contoh: Gateway transit peered.

Urutan evaluasi rute

Rute gateway transit dievaluasi dengan urutan sebagai berikut:

  • Rute paling spesifik untuk alamat tujuan.

  • Untuk rute yang samaCIDR, tetapi dari jenis lampiran yang berbeda, prioritas rute adalah sebagai berikut:

    • Rute statis (misalnya, rute statis Site-to-SiteVPN)

    • Daftar awalan rute yang direferensikan

    • VPC-rute yang disebarkan

    • Rute yang disebarkan oleh gateway Direct Connect

    • Transit Gateway Rute yang disebarkan terhubung

    • Situs-ke-situs VPN melalui rute pribadi Direct Connect-propagated

    • Rute yang disebarkan dari VPN situs-ke-situs

    • Rute yang disebarkan oleh peering Gateway Transit (Cloud) WAN

Beberapa lampiran mendukung iklan rute. BGP Untuk rute yang samaCIDR, dan dari jenis lampiran yang sama, prioritas rute dikendalikan oleh BGP atribut:

  • Panjang jalur AS yang lebih pendek

  • MEDNilai yang lebih rendah

  • e BGP over i BGP rute lebih disukai, jika lampiran mendukungnya

    penting

    AWS tidak dapat menjamin urutan prioritas rute yang konsisten untuk BGP rute dengan jenis lampiranCIDR, dan BGP atribut yang sama seperti yang tercantum di atas.

AWS Transit Gateway hanya menampilkan rute pilihan. Rute cadangan hanya akan muncul di tabel rute Transit Gateway jika rute tersebut tidak lagi diiklankan — misalnya, jika Anda mengiklankan rute yang sama melalui gateway Direct Connect dan melalui VPN Site-to-Site. AWS Transit Gateway hanya akan menampilkan rute yang diterima dari rute gateway Direct Connect, yang merupakan rute pilihan. Site-to-SiteVPN, yang merupakan rute cadangan, hanya akan ditampilkan ketika gateway Direct Connect tidak lagi diiklankan.

VPCdan perbedaan tabel rute gateway transit

Evaluasi tabel rute berbeda antara apakah Anda menggunakan tabel VPC rute atau tabel rute gateway transit.

Contoh berikut menunjukkan tabel VPC rute. Rute VPC lokal memiliki prioritas tertinggi, diikuti oleh rute yang paling spesifik. Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memiliki prioritas yang lebih tinggi.

Tujuan Target Prioritas
10.0.0.0/16

lokal

 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345 (statis) atau

tgw-12345 (statis)

 2
172.31.0.0/16 vgw-12345 (diperbanyak) 3
0.0.0.0/0 igw-12345 4

Contoh berikut menunjukkan tabel rute gateway transit. Jika Anda lebih suka lampiran AWS Direct Connect gateway ke VPN lampiran, gunakan BGP VPN koneksi dan sebarkan rute di tabel rute gateway transit.

Tujuan Lampiran (Target) Jenis sumber daya Jenis rute Prioritas
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC Statis atau diperbanyak 1
192.168.0.0/16 tgw-lampiran-789 | vpn-5678 VPN Statis 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect pintu gerbang Diperbanyak 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer Hubungkan Diperbanyak 4
172.31.0.0/16 tgw-lampiran-789 | vpn-5678 VPN Diperbanyak 5

Contoh skenario gateway transit

Berikut ini adalah kasus penggunaan umum untuk gateway transit. Gateway transit Anda tidak terbatas pada kasus penggunaan ini.

Contoh

    Anda dapat mengonfigurasi gateway transit Anda sebagai router terpusat yang menghubungkan semua koneksi AndaVPCs, AWS Direct Connect, dan VPN Site-to-Site. Dalam skenario ini, semua lampiran dikaitkan dengan tabel rute default gateway transit dan disebarkan ke tabel rute default gateway transit. Oleh karena itu, semua lampiran dapat merutekan paket satu sama lain, dengan gateway transit berfungsi sebagai router IP layer 3 sederhana.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Dalam skenario ini, ada tiga VPC lampiran dan satu lampiran Site-to-Site ke gateway VPN transit. Paket dari subnet di VPC A, VPC B, dan VPC C yang ditujukan untuk subnet di lain VPC atau untuk VPN koneksi rute pertama melalui gateway transit.

    Gerbang transit dengan tiga VPC lampiran dan satu VPN lampiran.

    Sumber daya

    Buat sumber daya berikut untuk skenario ini:

    Perutean

    Masing-masing VPC memiliki tabel rute dan ada tabel rute untuk gerbang transit.

    VPCtabel rute

    Masing-masing VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk IPv4 routing lokal diVPC; entri ini memungkinkan instance dalam hal ini VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit. Tabel berikut menunjukkan rute VPC A.

    Tujuan Target

    10.1.0.0/16

    Lokal

    0.0.0.0/0

    tgw-id
    Tabel rute gateway transit

    Berikut ini adalah contoh tabel rute default untuk lampiran yang ditunjukkan pada diagram sebelumnya, dengan propagasi rute diaktifkan.

    Tujuan Target Jenis rute

    10.1.0.0/16

    Attachment for VPC A

    diperbanyak

    10.2.0.0/16

    Attachment for VPC B

    diperbanyak

    10.3.0.0/16

    Attachment for VPC C

    diperbanyak

    10.99.99.0/24

    		 Attachment for VPN connection

    diperbanyak
    BGPTabel gateway pelanggan

    BGPTabel gateway pelanggan berisi yang berikut ini VPCCIDRs.

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    Anda dapat mengkonfigurasi transit gateway Anda sebagai beberapa router terisolasi. Hal ini mirip dengan menggunakan beberapa transit gateway, tetapi memberikan lebih banyak fleksibilitas dalam kasus di mana rute dan lampiran mungkin berubah. Dalam skenario ini, setiap router terisolasi memiliki tabel rute tunggal. Semua lampiran yang terkait dengan router terisolasi menyebar dan dikaitkan dengan tabel rutenya. Lampiran yang terkait dengan satu router terisolasi dapat merutekan paket satu sama lain, tetapi tidak dapat merutekan paket ke atau menerima paket dari lampiran untuk router lain yang terisolasi.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Paket dari rute VPC A, VPC B, dan VPC C ke gateway transit. Paket dari subnet di VPC A, VPC B, dan VPC C yang memiliki internet sebagai rute tujuan pertama melalui gateway transit dan kemudian rute ke VPN koneksi Site-to-Site (jika tujuan berada dalam jaringan itu). Paket dari satu VPC yang memiliki tujuan subnet di yang lainVPC, misalnya dari 10.1.0.0 hingga 10.2.0.0, rute melalui gateway transit, di mana mereka diblokir karena tidak ada rute untuk mereka di tabel rute gateway transit.

    Gerbang transit dengan tiga VPC lampiran dan satu VPN lampiran.

    Sumber daya

    Buat sumber daya berikut untuk skenario ini:

    Ketika VPN koneksi sudah habis, BGP sesi dibuat dan VPN CIDR propagasi ke tabel rute gateway transit dan VPC CIDRs ditambahkan ke BGP tabel gateway pelanggan.

    Perutean

    Masing-masing VPC memiliki tabel rute, dan gateway transit memiliki dua tabel rute — satu untuk VPCs dan satu untuk koneksi. VPN

    VPCTabel rute VPC A, B, dan VPC C

    Masing-masing VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk IPv4 routing lokal di. VPC Entri ini memungkinkan contoh dalam hal ini VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit. Tabel berikut menunjukkan rute VPC A.

    Tujuan Target

    10.1.0.0/16

    Lokal
    0.0.0.0/0

    tgw-id

    Tabel rute transit gateway

    Skenario ini menggunakan satu tabel rute untuk VPCs dan satu tabel rute untuk VPN koneksi.

    VPCLampiran dikaitkan dengan tabel rute berikut, yang memiliki rute propagasi untuk lampiran. VPN

    Tujuan Target Jenis rute
    10.99.99.0/24 Attachment for VPN connection

    diperbanyak

    VPNLampiran dikaitkan dengan tabel rute berikut, yang telah menyebarkan rute untuk setiap VPC lampiran.

    Tujuan Target Jenis rute

    10.1.0.0/16

    Attachment for VPC A

    diperbanyak

    10.2.0.0/16

    Attachment for VPC B

    diperbanyak

    10.3.0.0/16

    Attachment for VPC C

    diperbanyak

    Untuk informasi selengkapnya tentang menyebarkan rute dalam tabel rute gateway transit, lihatMengaktifkan propagasi rute ke tabel rute gateway transit menggunakan Amazon VPC Transit Gateways.

    BGPTabel gateway pelanggan

    BGPTabel gateway pelanggan berisi yang berikut ini VPCCIDRs.

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    Anda dapat mengonfigurasi gateway transit Anda sebagai beberapa router terisolasi yang menggunakan layanan bersama. Hal ini mirip dengan menggunakan beberapa transit gateway, tetapi memberikan lebih banyak fleksibilitas dalam kasus di mana rute dan lampiran mungkin berubah. Dalam skenario ini, setiap router terisolasi memiliki tabel rute tunggal. Semua lampiran yang terkait dengan router terisolasi menyebar dan dikaitkan dengan tabel rutenya. Lampiran yang terkait dengan satu router terisolasi dapat merutekan paket satu sama lain, tetapi tidak dapat merutekan paket ke atau menerima paket dari lampiran untuk router lain yang terisolasi. Lampiran dapat merutekan paket ke atau menerima paket dari layanan bersama. Anda dapat menggunakan skenario ini ketika Anda memiliki grup yang perlu diisolasi, tetapi menggunakan layanan bersama, misalnya sistem produksi.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Paket dari subnet di VPC A, VPC B, dan VPC C yang memiliki internet sebagai tujuan, rute pertama melalui gateway transit dan kemudian rute ke gateway pelanggan untuk Site-to-Site. VPN Paket dari subnet di VPC A, VPC B, atau VPC C yang memiliki tujuan subnet di rute VPC A, VPC B, atau VPC C melalui gateway transit, di mana mereka diblokir karena tidak ada rute untuk mereka dalam tabel rute gateway transit. Paket dari VPC A, VPC B, dan VPC C yang memiliki VPC D sebagai rute tujuan melalui gateway transit dan kemudian ke VPC D.

    Gerbang transit dengan empat VPC lampiran dan satu VPN lampiran.

    Sumber daya

    Buat sumber daya berikut untuk skenario ini:

    Ketika VPN koneksi sudah habis, BGP sesi dibuat dan VPN CIDR propagasi ke tabel rute gateway transit dan VPC CIDRs ditambahkan ke BGP tabel gateway pelanggan.

    • Setiap terisolasi VPC dikaitkan dengan tabel rute yang terisolasi dan disebarkan ke tabel rute bersama.

    • Setiap layanan bersama VPC dikaitkan dengan tabel rute bersama dan disebarkan ke kedua tabel rute.

    Perutean

    Masing-masing VPC memiliki tabel rute, dan gateway transit memiliki dua tabel rute — satu untuk VPCs dan satu untuk VPN koneksi dan layanan bersama. VPC

    VPCTabel rute VPC A, B, VPC C, dan VPC D

    Masing-masing VPC memiliki tabel rute dengan dua entri. Entri pertama adalah entri default untuk routing lokal diVPC; entri ini memungkinkan instance dalam hal ini VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit.

    Tujuan Target
    10.1.0.0/16 Lokal
    0.0.0.0/0 transit gateway ID

    Tabel rute transit gateway

    Skenario ini menggunakan satu tabel rute untuk VPCs dan satu tabel rute untuk VPN koneksi.

    Lampiran VPC A, B, dan C dikaitkan dengan tabel rute berikut, yang memiliki rute propagasi untuk VPN lampiran dan rute propagasi untuk lampiran untuk D. VPC

    Tujuan Target Jenis rute
    10.99.99.0/24 Attachment for VPN connection diperbanyak
    10.4.0.0/16 Attachment for VPC D diperbanyak

    VPNLampiran dan lampiran layanan bersama VPC (VPCD) dikaitkan dengan tabel rute berikut, yang memiliki entri yang mengarah ke masing-masing lampiran. VPC Hal ini memungkinkan komunikasi ke VPCs dari VPN koneksi dan layanan bersamaVPC.

    Tujuan Target Jenis rute
    10.1.0.0/16 Attachment for VPC A diperbanyak
    10.2.0.0/16 Attachment for VPC B diperbanyak
    10.3.0.0/16 Attachment for VPC C diperbanyak

    Untuk informasi selengkapnya, lihat Mengaktifkan propagasi rute ke tabel rute gateway transit menggunakan Amazon VPC Transit Gateways.

    BGPTabel gateway pelanggan

    BGPTabel gateway pelanggan berisi CIDRs untuk keempatnyaVPCs.

    Anda dapat membuat koneksi peering gateway transit antara gateway transit. Anda kemudian dapat merutekan lalu lintas di antara lampiran untuk masing-masing gateway transit. Dalam skenario ini, VPC dan VPN lampiran dikaitkan dengan tabel rute default gateway transit, dan mereka menyebar ke tabel rute default gateway transit. Setiap tabel rute gateway transit memiliki rute statis yang menunjuk ke lampiran peering gateway transit.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Transit gateway 1 memiliki dua VPC lampiran, dan transit gateway 2 memiliki satu lampiran VPN Site-to-Site. Paket dari subnet di VPC A dan VPC B yang memiliki internet sebagai rute tujuan pertama melalui transit gateway 1, kemudian transit gateway 2, dan kemudian rute ke koneksi. VPN

    Dua gateway transit yang diintip, satu dengan dua VPC lampiran dan yang lainnya dengan lampiran. VPN

    Sumber daya

    Buat sumber daya berikut untuk skenario ini:

    Saat Anda membuat VPC lampiran, CIDRs untuk setiap VPC propagasi ke tabel rute untuk gateway transit 1. Ketika VPN koneksi sudah habis, tindakan berikut terjadi:

    • BGPSesi ini didirikan

    • Situs-ke-Situs VPN CIDR menyebar ke tabel rute untuk gateway transit 2

    • Ditambahkan ke BGP tabel gateway pelanggan VPC CIDRs

    Perutean

    Masing-masing VPC memiliki tabel rute dan setiap gateway transit memiliki tabel rute.

    VPCTabel rute VPC A dan B

    Masing-masing VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk IPv4 routing lokal di. VPC Entri default ini memungkinkan sumber daya dalam hal ini VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit. Tabel berikut menunjukkan rute VPC A.

    Tujuan Target

    10.0.0.0/16

    lokal

    0.0.0.0/0

    tgw-1-id

    Tabel rute transit gateway

    Berikut ini adalah contoh tabel rute default untuk transit gateway 1, dengan propagasi rute diaktifkan.

    Tujuan Target Jenis rute

    10.0.0.0/16

    Attachment ID for VPC A

    diperbanyak

    10.2.0.0/16

    Attachment ID for VPC B

    diperbanyak

    0.0.0.0/0

    		 Attachment ID for peering connection

    statis

    Berikut ini adalah contoh tabel rute default untuk transit gateway 2, dengan propagasi rute diaktifkan.

    Tujuan Target Jenis rute

    172.31.0.0/24

    		 Attachment ID for VPN connection

    diperbanyak

    10.0.0.0/16

    Attachment ID for peering connection

    statis

    10.2.0.0/16

    		 Attachment ID for peering connection statis

    BGPTabel gateway pelanggan

    BGPTabel gateway pelanggan berisi yang berikut ini VPCCIDRs.

    • 10.0.0.0/16

    • 10.2.0.0/16

    Anda dapat mengonfigurasi gateway transit untuk merutekan lalu lintas internet keluar dari VPC tanpa gateway internet ke gateway VPC yang berisi NAT gateway dan gateway internet.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Anda memiliki aplikasi di VPC A dan VPC B yang hanya membutuhkan akses internet keluar. Anda mengkonfigurasi VPC C dengan NAT gateway publik dan gateway internet, dan subnet pribadi untuk VPC lampiran. Connect semua VPCs ke gateway transit. Konfigurasikan routing sehingga lalu lintas internet keluar dari VPC A dan VPC B melintasi gateway transit ke VPC C. NAT Gateway di VPC C merutekan lalu lintas ke gateway internet.

    Gerbang transit dengan tiga VPC lampiran.

    Sumber daya

    Buat sumber daya berikut untuk skenario ini:

    • Tiga VPCs dengan rentang alamat IP yang tidak tumpang tindih. Untuk informasi selengkapnya, lihat Membuat VPC di Panduan VPC Pengguna Amazon.

    • VPCA dan VPC B masing-masing memiliki subnet pribadi dengan EC2 instance.

    • VPCC memiliki yang berikut:

      • Gateway internet yang terpasang padaVPC. Untuk informasi selengkapnya, lihat Membuat dan melampirkan gateway internet di Panduan VPC Pengguna Amazon.

      • Subnet publik dengan NAT gateway. Untuk informasi selengkapnya, lihat Membuat NAT gateway di Panduan VPC Pengguna Amazon.

      • Subnet pribadi untuk lampiran gateway transit. Subnet pribadi harus berada di Availability Zone yang sama dengan subnet publik.

    • Satu gerbang transit. Untuk informasi selengkapnya, lihat Buat gateway transit menggunakan Amazon VPC Transit Gateways.

    • Tiga VPC lampiran di gerbang transit. CIDRBlok untuk masing-masing VPC merambat ke tabel rute gateway transit. Untuk informasi selengkapnya, lihat Membuat VPC lampiran menggunakan Amazon VPC Transit Gateways. Untuk VPC C, Anda harus membuat lampiran menggunakan subnet pribadi. Jika Anda membuat lampiran menggunakan subnet publik, lalu lintas instance diarahkan ke gateway internet, tetapi gateway internet menurunkan lalu lintas karena instans tidak memiliki alamat IP publik. Dengan menempatkan lampiran di subnet pribadi, lalu lintas diarahkan ke NAT gateway, dan gateway mengirimkan lalu lintas ke NAT gateway internet menggunakan alamat IP Elastisnya sebagai alamat IP sumber.

    Perutean

    Ada tabel rute untuk masing-masing VPC dan tabel rute untuk gateway transit.

    Tabel rute untuk VPC A

    Berikut ini adalah contoh tabel rute. Entri pertama memungkinkan contoh VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit.

    Tujuan Target

    VPC A CIDR

    lokal

    0.0.0.0/0

    transit-gateway-id

    Tabel rute untuk VPC B

    Berikut ini adalah contoh tabel rute. Entri pertama memungkinkan contoh VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit.

    Tujuan Target

    VPC B CIDR

    lokal

    0.0.0.0/0

    transit-gateway-id

    Tabel rute untuk VPC C

    Konfigurasikan subnet dengan NAT gateway sebagai subnet publik dengan menambahkan rute ke gateway internet. Biarkan subnet lainnya sebagai subnet pribadi.

    Berikut ini adalah contoh tabel rute untuk subnet publik. Entri pertama memungkinkan contoh VPC untuk berkomunikasi satu sama lain. Entri kedua dan ketiga merutekan lalu lintas untuk VPC A dan VPC B ke gateway transit. Entri yang tersisa merutekan semua lalu lintas IPv4 subnet lainnya ke gateway internet.

    Tujuan Target
    VPC C CIDR lokal
    VPC A CIDR transit-gateway-id
    VPC B CIDR transit-gateway-id
    0.0.0.0/0 internet-gateway-id

    Berikut ini adalah contoh tabel rute untuk subnet pribadi. Entri pertama memungkinkan contoh VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke NAT gateway.

    Tujuan Target
    VPC C CIDR lokal
    0.0.0.0/0 nat-gateway-id

    Tabel rute gateway transit

    Berikut ini adalah contoh tabel rute gateway transit. CIDRBlok untuk masing-masing VPC merambat ke tabel rute gateway transit. Rute statis mengirimkan lalu lintas internet keluar ke VPC C. Anda dapat secara opsional mencegah antar VPC komunikasi dengan menambahkan rute lubang hitam untuk masing-masing. VPC CIDR

    CIDR Lampiran Jenis rute

    VPC A CIDR

    Attachment for VPC A

    diperbanyak

    VPC B CIDR

    Attachment for VPC B

    diperbanyak

    VPC C CIDR

    Attachment for VPC C

    diperbanyak
    0.0.0.0/0

    Attachment for VPC C

    		 statis

    Anda dapat mengonfigurasi alat (seperti alat keamanan) di layanan bersamaVPC. Semua lalu lintas yang diarahkan antara lampiran gateway transit pertama kali diperiksa oleh alat di layanan bersama. VPC Saat mode alat diaktifkan, gateway transit memilih antarmuka jaringan tunggal di alatVPC, menggunakan algoritme hash aliran, untuk mengirim lalu lintas ke masa pakai aliran. Gateway transit menggunakan antarmuka jaringan yang sama untuk lalu lintas kembali. Ini memastikan bahwa lalu lintas dua arah dirutekan secara simetris—itu diarahkan melalui Availability Zone yang sama dalam lampiran selama masa pakai aliran. VPC Jika Anda memiliki beberapa gateway transit dalam arsitektur Anda, setiap gateway transit mempertahankan afinitas sesinya sendiri, dan setiap gateway transit dapat memilih antarmuka jaringan yang berbeda.

    Anda harus menghubungkan tepat satu gateway transit ke alat VPC untuk menjamin kelengketan aliran. Menghubungkan beberapa gateway transit ke satu alat VPC tidak menjamin kelengketan aliran karena gateway transit tidak berbagi informasi status aliran satu sama lain.

    penting

    • Lalu lintas dalam mode alat dialihkan dengan benar selama lalu lintas sumber dan tujuan datang ke pusat VPC (InspeksiVPC) dari lampiran gateway transit yang sama. Lalu lintas dapat turun jika sumber dan tujuan berada di dua lampiran gateway transit yang berbeda. Lalu lintas dapat turun jika terpusat VPC menerima lalu lintas dari gateway yang berbeda - misalnya, gateway Internet - dan kemudian mengirimkan lalu lintas itu ke lampiran gateway transit setelah inspeksi.

    • Mengaktifkan mode alat pada lampiran yang ada dapat memengaruhi rute lampiran saat ini karena lampiran dapat mengalir melalui Availability Zone apa pun. Saat mode alat tidak diaktifkan, lalu lintas disimpan ke Availability Zone yang berasal.

    Gambaran Umum

    Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Gerbang transit memiliki tiga VPC lampiran. VPCC adalah layanan bersamaVPC. Lalu lintas antara VPC A dan VPC B diarahkan ke gateway transit, kemudian diarahkan ke alat keamanan di VPC C untuk diperiksa sebelum diarahkan ke tujuan akhir. Alat ini adalah alat stateful, oleh karena itu lalu lintas permintaan dan respons diperiksa. Untuk ketersediaan tinggi, ada alat di setiap Availability Zone di VPC C.

    Alat dalam layanan bersama VPC

    Anda membuat sumber daya berikut untuk skenario ini:

    • TigaVPCs. Untuk informasi tentang membuatVPC, lihat Membuat VPC di Panduan Pengguna Amazon Virtual Private Cloud.

    • Transit gateway. Untuk informasi selengkapnya, lihat Buat gateway transit menggunakan Amazon VPC Transit Gateways.

    • Tiga VPC lampiran - satu untuk masing-masing. VPCs Untuk informasi selengkapnya, lihat Membuat VPC lampiran menggunakan Amazon VPC Transit Gateways.

      Untuk setiap VPC lampiran, tentukan subnet di setiap Availability Zone. Untuk layanan bersamaVPC, ini adalah subnet di mana lalu lintas diarahkan ke VPC gateway transit. Dalam contoh sebelumnya, ini adalah subnet A dan C.

      Untuk VPC lampiran VPC C, aktifkan dukungan mode alat sehingga lalu lintas respons dialihkan ke Availability Zone yang sama di VPC C sebagai lalu lintas sumber.

      VPCKonsol Amazon mendukung mode alat. Anda juga dapat menggunakan Amazon VPCAPI, dan AWS SDK, AWS CLI untuk mengaktifkan mode alat, atau AWS CloudFormation. Misalnya, tambahkan --options ApplianceModeSupport=enable ke perintah create-transit-gateway-vpc-attachment atau modify-transit-gateway-vpc-attachment.

    catatan

    Kelengketan aliran dalam mode alat dijamin hanya untuk lalu lintas sumber dan tujuan yang berasal dari Inspeksi. VPC

    Peralatan stateful dan mode alat

    Jika VPC lampiran Anda menjangkau beberapa Availability Zone dan Anda memerlukan lalu lintas antara host sumber dan tujuan untuk dialihkan melalui alat yang sama untuk pemeriksaan stateful, aktifkan dukungan mode alat untuk VPC lampiran tempat alat berada.

    Untuk informasi lebih lanjut, lihat Arsitektur inspeksi terpusat di AWS blog.

    Perilaku saat mode alat tidak diaktifkan

    Saat mode alat tidak diaktifkan, gateway transit mencoba menjaga lalu lintas dirutekan di antara VPC lampiran di Availability Zone asal hingga mencapai tujuannya. Lalu lintas melintasi Availability Zone di antara lampiran hanya jika ada kegagalan Availability Zone atau jika tidak ada subnet yang terkait dengan VPC lampiran di Availability Zone tersebut.

    Diagram berikut menunjukkan arus lalu lintas saat dukungan mode alat tidak diaktifkan. Lalu lintas respons yang berasal dari Availability Zone 2 di VPC B dirutekan oleh gateway transit ke Availability Zone yang sama di VPC C. Oleh karena itu lalu lintas dijatuhkan, karena alat di Availability Zone 2 tidak mengetahui permintaan asli dari sumber di A. VPC

    Menurunkan lalu lintas respons ke alat

    Perutean

    Masing-masing VPC memiliki satu atau lebih tabel rute dan gateway transit memiliki dua tabel rute.

    VPCtabel rute

    VPCA dan VPC B

    VPCsA dan B memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk IPv4 routing lokal di. VPC Entri default ini memungkinkan sumber daya dalam hal ini VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas IPv4 subnet lainnya ke gateway transit. Berikut ini adalah tabel rute untuk VPC A.

    Tujuan Target

    10.0.0.0/16

    lokal

    0.0.0.0/0

    tgw-id

    VPCC

    Layanan bersama VPC (VPCC) memiliki tabel rute yang berbeda untuk setiap subnet. Subnet A digunakan oleh gateway transit (Anda menentukan subnet ini saat Anda membuat VPC lampiran). Tabel rute untuk subnet A merutekan semua lalu lintas ke alat di subnet B.

    Tujuan Target

    192.168.0.0/16

    lokal

    0.0.0.0/0

    appliance-eni-id

    Tabel rute untuk subnet B (yang berisi alat) merutekan lalu lintas kembali ke gateway transit.

    Tujuan Target

    192.168.0.0/16

    lokal

    0.0.0.0/0

    tgw-id

    Tabel rute transit gateway

    Gateway transit ini menggunakan satu tabel rute untuk VPC A dan VPC B, dan satu tabel rute untuk layanan bersama VPC (VPCC).

    Lampiran VPC A dan VPC B dikaitkan dengan tabel rute berikut. Tabel rute merutekan semua lalu lintas ke VPC C.

    Tujuan Target Jenis rute

    0.0.0.0/0

    Attachment ID for VPC C

    statis

    Lampiran VPC C dikaitkan dengan tabel rute berikut. Ini merutekan lalu lintas ke VPC A dan VPC B.

    Tujuan Target Jenis rute

    10.0.0.0/16

    Attachment ID for VPC A

    diperbanyak

    10.1.0.0/16

    Attachment ID for VPC B

    		 diperbanyak