Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Architettura 3: AWS Transit Gateway
AWS Transit Gateway è un servizio di routing gestito che consente di connettere i VPC e le reti on-premise. Transit Gateway consente di semplificare la topologia della rete ed evitare complesse relazioni peering tra un numero elevato di VPC.
Transit Gateway funge da router cloud. Ogni nuova connessione viene effettuata una sola volta tra un VPC e il Transit Gateway. Utilizzando il Transit Gateway come hub che supporta il routing transitivo, non è necessario aggiungere relazioni peering tra ogni singolo VPC in una topologia mesh. Per ulteriori informazioni su Transit Gateway e le relative quote, consulta Quote per i Transit Gateway.
L'utilizzo di Transit Gateway per integrare un servizio di terze parti offre i seguenti vantaggi:
-
Supporta il traffico bidirezionale tra i VPC e la rete di terze parti
-
Supporta tutti i tipi di traffico IP (sia TCP che UDP)
-
Implementa un punto di ispezione del traffico centralizzato tra i VPC e la rete di terze parti
-
Si dimensiona facilmente al variare del numero di VPC coinvolti nell'integrazione
Gli svantaggi dell'utilizzo di una soluzione Transit Gateway includono:
-
Questa opzione è in genere più costosa delle soluzioni di peering diretto.
-
I blocchi CIDR sovrapposti non sono supportati.
-
Molti provider di terze parti non supportano questa soluzione perché vogliono mantenere il controllo completo e ridurre al minimo la condivisione dei componenti con i propri clienti.
Il seguente diagramma dell'architettura mostra una rappresentazione semplificata dell'utilizzo di Transit Gateway per connettere i propri VPC a quelli di un provider di terze parti. Ogni VPC si connette al Transit Gateway, che supporta il routing transitivo tra tutti i VPC collegati.
Tuttavia, la configurazione effettiva è più complessa e questa architettura è suddivisa in diverse considerazioni e opzioni di implementazione.
Centralizzazione dell'ispezione della rete
Se utilizzi Transit Gateway, puoi implementare un punto di ispezione del traffico di rete centralizzato, ossia un VPC di ispezione dedicato. Utilizzando le route statiche nella tabella di routing associata al collegamento peering interregionale, puoi indirizzare il traffico proveniente dalla rete di terze parti al VPC di ispezione. Per ispezionare il traffico, puoi usare AWS Network Firewall o un sistema di bilanciamento del carico del gateway AWS abbinato ad appliance di sicurezza virtuali distribuite su istanze Amazon Elastic Compute Cloud (Amazon EC2). Per ulteriori informazioni, consulta Modello di implementazione centralizzato nella pagina Modelli di implementazione per AWS Network Firewall
Il Transit Gateway deve essere in modalità appliance con il collegamento VPC di ispezione per instradare simmetricamente il traffico bidirezionale. Come illustrato nel seguente diagramma dell'architettura, il Transit Gateway indirizza il traffico dai VPC collegati a un'interfaccia di rete elastica nel VPC di ispezione.
Selezione di un'opzione di implementazione
Il primo elemento da valutare è se utilizzare un Transit Gateway esistente nella rete o crearne uno nuovo dedicato. Ti consigliamo di implementare un nuovo Transit Gateway dedicato perché offre un maggiore controllo e una maggiore separazione dalla rete di terze parti. Le architetture di esempio riportate in questa guida consentono la creazione di un nuovo Transit Gateway, in modo da generare connessioni peering tra il gateway esistente e quello nuovo.
Il secondo elemento da considerare è l'architettura migliore per il tuo caso d'uso:
-
Architettura 3.1: Transit Gateway con AWS RAM. In questa opzione di implementazione, condividi un singolo Transit Gateway con l'account di terze parti. Per configurare la relazione di condivisione, utilizza AWS Resource Access Manager (AWS RAM).
-
Architettura 3.2: peering tra Transit Gateway: In questa opzione di implementazione, crei una connessione peering tra due Transit Gateway, uno nel tuo account e uno nell'account di terze parti.
Quando scegli tra queste opzioni, considera i seguenti vantaggi e svantaggi.
| Architettura 3.1: Transit Gateway con AWS RAM | Architettura 3.2: peering tra Transit Gateway | |
|---|---|---|
| Vantaggi | Non è richiesto un Transit Gateway nell'account di terze parti, il che comporta un'architettura più semplificata. | Un provider di terze parti potrebbe ritenere questa soluzione più accettabile, perché offre un maggiore controllo della configurazione di rete. |
| In qualità di proprietario del Transit Gateway condiviso, l'utente ha maggiore controllo e visibilità. | L'impegno operativo è ridotto perché le terze parti mantengono i propri collegamenti VPC. | |
| Svantaggi | I provider di terze parti potrebbero essere riluttanti perché con questa opzione hanno un minore controllo sulla configurazione di rete. | L'architettura di rete è più complessa. |
| L'utente è responsabile della configurazione dei collegamenti del Transit Gateway alla VPN ai VPC nell'account di terze parti. | Questa architettura crea un hop aggiuntivo nel percorso del traffico. |
Considerazioni sui costi
Nel decidere tra queste opzioni, prendi inoltre in considerazione le seguenti implicazioni in termini di costi:
-
La tariffa oraria per il collegamento del Transit Gateway alla VPN viene addebitata al proprietario dell'account del collegamento (o VPC). Alcuni costi saranno a carico dell'utente, mentre altri saranno a carico della terza parte.
-
L'elaborazione dei dati viene addebitata al proprietario del VPC che invia il traffico attraverso il Transit Gateway. La ricezione di dati dal Transit Gateway non comporta alcun costo.
-
Non sono previsti costi di elaborazione per i dati inviati tra due Transit Gateway con peering.
Per ulteriori informazioni, consulta Prezzi di Transit Gateway
