Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Architettura 3: AWS Transit Gateway
AWS Transit Gatewayè un servizio di routing gestito che collega VPCs reti locali. Transit Gateway può aiutarti a semplificare la topologia di rete ed evitare complesse relazioni di peering tra un gran numero di. VPCs
Transit Gateway funge da router cloud. Ogni nuova connessione viene effettuata una sola volta tra un VPC e il Transit Gateway. Utilizzando il Transit Gateway come hub che supporta il routing transitivo, non è necessario aggiungere relazioni peering tra ogni singolo VPC in una topologia mesh. Per ulteriori informazioni su Transit Gateway e le relative quote, consulta Quote per i Transit Gateway.
L'utilizzo di Transit Gateway per integrare un servizio di terze parti offre i seguenti vantaggi:
-
Supporta il traffico bidirezionale tra la tua VPCs rete e quella di terze parti
-
Supporta tutti i tipi di traffico IP (sia TCP che UDP)
-
Implementa un punto di ispezione del traffico centralizzato tra la tua VPCs rete e quella di terze parti
-
Si adatta facilmente al variare del numero di VPCs persone coinvolte nell'integrazione
Gli svantaggi dell'utilizzo di una soluzione Transit Gateway includono:
-
Questa opzione è in genere più costosa delle soluzioni di peering diretto.
-
I blocchi CIDR sovrapposti non sono supportati.
-
Molti provider di terze parti non supportano questa soluzione perché vogliono mantenere il controllo completo e ridurre al minimo la condivisione dei componenti con i propri clienti.
Il seguente diagramma di architettura mostra una rappresentazione semplificata dell'utilizzo di Transit Gateway per connettere l'utente VPCs a quelli di un provider di terze parti. Ogni VPC si connette al gateway di transito e il gateway supporta il routing transitivo tra tutti i dispositivi collegati. VPCs
Tuttavia, la configurazione effettiva è più complessa e questa architettura è suddivisa in diverse considerazioni e opzioni di implementazione.
Centralizzazione dell'ispezione della rete
Se utilizzi Transit Gateway, puoi implementare un punto di ispezione del traffico di rete centralizzato, ossia un VPC di ispezione dedicato. Utilizzando le route statiche nella tabella di routing associata al collegamento peering interregionale, puoi indirizzare il traffico proveniente dalla rete di terze parti al VPC di ispezione. Per ispezionare il traffico, puoi utilizzare AWS Network Firewall o un AWS Gateway Load Balancer abbinato ad appliance di sicurezza virtuali distribuite su istanze Amazon Elastic Compute Cloud (Amazon). EC2 Per ulteriori informazioni, consulta Modello di distribuzione centralizzato in Modelli di distribuzione per (post del blog). AWS Network Firewall
Il Transit Gateway deve essere in modalità appliance con il collegamento VPC di ispezione per instradare simmetricamente il traffico bidirezionale. Come illustrato nel seguente diagramma di architettura, il gateway di transito indirizza il traffico dall'interfaccia collegata VPCs a un'elastic network interface nel VPC di ispezione.
Selezione di un'opzione di implementazione
Il primo elemento da valutare è se utilizzare un Transit Gateway esistente nella rete o crearne uno nuovo dedicato. Ti consigliamo di implementare un nuovo Transit Gateway dedicato perché offre un maggiore controllo e una maggiore separazione dalla rete di terze parti. Le architetture di esempio riportate in questa guida consentono la creazione di un nuovo Transit Gateway, in modo da generare connessioni peering tra il gateway esistente e quello nuovo.
Il secondo elemento da considerare è l'architettura migliore per il tuo caso d'uso:
-
Architettura 3.1: Transit Gateway con AWS RAM. In questa opzione di implementazione, condividi un singolo Transit Gateway con l'account di terze parti. Si usa AWS Resource Access Manager (AWS RAM) per configurare la relazione di condivisione.
-
Architettura 3.2: peering tra Transit Gateway: In questa opzione di implementazione, crei una connessione peering tra due Transit Gateway, uno nel tuo account e uno nell'account di terze parti.
Quando scegli tra queste opzioni, considera i seguenti vantaggi e svantaggi.
| Architettura 3.1: Transit Gateway con AWS RAM | Architettura 3.2: peering tra Transit Gateway | |
|---|---|---|
| Vantaggi | Non è richiesto un Transit Gateway nell'account di terze parti, il che comporta un'architettura più semplificata. | Un provider di terze parti potrebbe ritenere questa soluzione più accettabile, perché offre un maggiore controllo della configurazione di rete. |
| In qualità di proprietario del Transit Gateway condiviso, l'utente ha maggiore controllo e visibilità. | L'impegno operativo è ridotto perché le terze parti mantengono i propri collegamenti VPC. | |
| Svantaggi | I provider di terze parti potrebbero essere riluttanti perché con questa opzione hanno un minore controllo sulla configurazione di rete. | L'architettura di rete è più complessa. |
| Sei responsabile della configurazione degli allegati del gateway di transito VPCs nell'account di terze parti. | Questa architettura crea un hop aggiuntivo nel percorso del traffico. |
Considerazioni sui costi
Nel decidere tra queste opzioni, prendi inoltre in considerazione le seguenti implicazioni in termini di costi:
-
La tariffa oraria per il collegamento del Transit Gateway alla VPN viene addebitata al proprietario dell'account del collegamento (o VPC). Alcuni costi saranno a carico dell'utente, mentre altri saranno a carico della terza parte.
-
L'elaborazione dei dati viene addebitata al proprietario del VPC che invia il traffico attraverso il Transit Gateway. La ricezione di dati dal Transit Gateway non comporta alcun costo.
-
Non sono previsti costi di elaborazione per i dati inviati tra due Transit Gateway con peering.
Per ulteriori informazioni, consulta Prezzi di Transit Gateway
