Come funzionano i gateway di transito - Amazon VPC
Diagramma architetturaleCollegamenti alle risorseInstradamento Equal Cost Multipath Zone di disponibilitàRouting

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funzionano i gateway di transito

Un gateway di transito svolge le funzioni di router virtuale regionale per il traffico che viaggia tra i VPC (Virtual Private Cloud) e le reti locali. Un gateway di transito si ridimensiona in modo elastico sulla base del volume di traffico di rete. Il routing attraverso un gateway di transito opera al livello 3, in cui i pacchetti vengono inoltrati a uno specifico collegamento di un sistema adiacente, in base agli indirizzi IP di destinazione.

Diagramma architetturale

Il seguente diagramma mostra un gateway di transito con tre collegamenti VPC. La tabella di routing per ciascuno di questi VPC include il routing locale e i routing che inviano il traffico destinato agli altri due VPC al gateway di transito.

Opzioni di connettività VPC

Di seguito è riportato un esempio di una tabella di instradamento del gateway di transito di default per i collegamenti mostrati nel diagramma precedente. I blocchi CIDR per ogni VPC si propagano alla tabella di instradamento. Pertanto, ogni collegamento può instradare i pacchetti agli altri due collegamenti.

Destinazione Target Tipo di route
VPC A CIDR Collegamento per VPC A propagata
VPC B CIDR Collegamento per VPC B propagata
VPC C CIDR Collegamento per VPC C propagata

Collegamenti alle risorse

Un collegamento a un gateway di transito costituisce sia una sorgente che una destinazione di pacchetti. È possibile allegare le seguenti risorse al gateway di transito:

  • Uno o più VPC. AWS Transit Gateway implementa un'interfaccia di rete elastica all'interno delle sottoreti VPC, che viene quindi utilizzata dal gateway di transito per instradare il traffico da e verso le sottoreti scelte. È necessario disporre di almeno una sottorete per ciascuna zona di disponibilità, che consente al traffico di raggiungere le risorse in tutte le sottorete di tale zona. Durante la creazione di allegati, le risorse all'interno di una particolare zona di disponibilità possono raggiungere un gateway di transito solo se una sottorete è abilitata all'interno della stessa zona. Se una tabella di routing di sottorete include un routing al gateway di transito, il traffico viene inoltrato al gateway di transito solo quando il gateway di transito dispone di un allegato in una sottorete nella stessa zona di disponibilità.

  • Una o più connessioni VPN

  • AWS Direct Connect Uno o più gateway

  • Uno o più allegati Transit Gateway Connect

  • Una o più connessioni di peering del gateway di transito

  • Un collegamento del gateway di transito alla VPN costituisce sia una sorgente che una destinazione di pacchetti

Instradamento Equal Cost Multipath

AWS Transit Gateway supporta il routing Equal Cost Multipath (ECMP) per la maggior parte degli allegati. Per un collegamento VPN, è possibile abilitare o disabilitare il supporto ECMP utilizzando la console durante la creazione o la modifica di un gateway di transito. Per tutti gli altri tipi di collegamenti, si applicano le seguenti restrizioni ECMP:

  • VPC: VPC non supporta ECMP poiché i blocchi CIDR non possono sovrapporsi. Ad esempio, non è possibile collegare un VPC con un CIDR 10.1.0.0/16 con un secondo VPC che utilizza lo stesso CIDR a un gateway di transito e quindi configurare l'instradamento per bilanciare il carico del traffico tra di essi.

  • VPN: quando l'opzione di supporto VPN ECMP è disabilitata, un gateway di transito utilizza parametri interni per determinare il percorso preferito in caso di prefissi uguali su più percorsi. Per ulteriori informazioni sull'attivazione o la disattivazione di ECMP per un collegamento VPN, consulta Gateway di transito.

  • AWS Transit Gateway Connect: gli allegati AWS Transit Gateway Connect supportano automaticamente ECMP.

  • AWS Direct Connect Gateway: gli allegati del AWS Direct Connect gateway supportano automaticamente l'ECMP su più allegati Direct Connect Gateway quando il prefisso di rete, la lunghezza del prefisso e AS_PATH sono esattamente gli stessi.

  • Peering del gateway di transito: il peering del gateway di transito non supporta ECMP poiché non supporta l'instradamento dinamico né è possibile configurare lo stesso percorso statico su due destinazioni diverse.

Nota

  • BGP Multipath AS-Path Relax non è supportato, quindi non è possibile utilizzare ECMP su diversi numeri di sistema autonomi (ASN).

  • ECMP non è supportato tra diversi tipi di collegamenti. Ad esempio, non è possibile abilitare ECMP tra una VPN e un collegamento VPC. Invece, vengono valutate le route del gateway di transito e il traffico viene indirizzato in base alla route valutata. Per ulteriori informazioni, consulta Ordine di valutazione route.

  • Un singolo gateway Direct Connect supporta ECMP su più interfacce virtuali di transito. Pertanto, si consiglia di configurare e utilizzare un solo gateway Direct Connect e di non configurare e utilizzare più gateway per sfruttare ECMP. Per ulteriori informazioni sui gateway Direct Connect e sulle interfacce virtuali pubbliche, vedi Come si configura una connessione Direct Connect attiva/attiva o attiva/passiva da AWS un'interfaccia virtuale pubblica? .

Zone di disponibilità

Quando si collega un VPC a un gateway di transito, è necessario abilitare una o più zone di disponibilità che il gateway di transito utilizza per indirizzare il traffico verso le risorse nelle sottoreti del VPC. Per abilitare ogni zona di disponibilità, è necessario specificare una sola sottorete. Il gateway di transito crea un'interfaccia di rete in tale sottorete usando un indirizzo IP della sottorete stessa. Dopo aver abilitato una zona di disponibilità, il traffico può essere instradato a tutte le sottoreti nel VPC, non solo alla sottorete o alla zona di disponibilità specificata. Tuttavia, solo le risorse che risiedono nelle zone di disponibilità in cui è presente un collegamento del gateway di transito alla VPN possono raggiungere il gateway di transito.

Se il traffico proviene da una zona di disponibilità in cui l'allegato di destinazione non è presente, AWS Transit Gateway indirizzerà internamente tale traffico verso una zona di disponibilità casuale in cui è presente l'allegato. Non è previsto alcun costo aggiuntivo per il gateway di transito per questo tipo di traffico tra Zone di disponibilità.

Per assicurare la disponibilità, raccomandiamo di abilitare molteplici zone di disponibilità.

Utilizzo del supporto della modalità accessorio

Se si prevede di configurare un'appliance di rete con stato nel VPC, è possibile abilitare il supporto della modalità appliance per l'allegato VPC in cui si trova l'appliance. Ciò garantisce che il gateway di transito utilizzi la stessa zona di disponibilità per l'allegato VPC per tutta la durata di un flusso di traffico tra origine e destinazione. Consente inoltre al gateway di transito di inviare traffico a qualsiasi zona di disponibilità nel VPC, a condizione che vi sia un'associazione di subnet in tale zona. Per ulteriori informazioni, consulta Esempio: appliance in un VPC di servizi condivisi.

Routing

Il gateway di transito instrada i pacchetti IPv4 e IPv6 tra allegati utilizzando le tabelle di route del gateway di transito. Puoi configurare queste tabelle di routing per propagare gli instradamenti dalle tabelle di routing per i VPC collegati, le connessioni VPN e i gateway Direct Connect. È inoltre possibile aggiungere route statiche alle tabelle di route del gateway di transito. Quando un pacchetto proviene da un collegamento, viene indirizzato a un altro collegamento utilizzando la route che contiene una regola per l'indirizzo IP di destinazione.

Per gli allegati di peering del gateway di transito, sono supportati solo route statici.

Tabelle di instradamento

Il gateway di transito viene fornito automaticamente con una tabella dei percorsi predefinita. Per impostazione predefinita, questa tabella di routing è la tabella di routing predefinita per i collegamenti nonché la tabella di routing predefinita per la propagazione. In alternativa, disabilitando la propagazione del routing e l'associazione della tabella di routing, AWS non crea una tabella di routing predefinita per il gateway di transito.

È possibile creare tabelle di route aggiuntive per il gateway di transito. Ciò permette di isolare gruppi di collegamenti. Ogni allegato può essere associato a una tabella di instradamento. Un allegato può propagare i propri instradamenti a una o più tabelle di routing

È possibile creare una route blackhole nella tabella di routing del gateway di transito che intercetti il traffico corrispondente alla route.

Quando colleghi un VPC a un gateway di transito, devi aggiungere un instradamento alla tabella di routing della sottorete affinché il traffico sia instradato attraverso il gateway di transito. Per maggiori informazioni, consulta Routing per un gateway di transito nella Guida per l'utente di Amazon VPC.

Associazione di tabelle di routing

È possibile associare un allegato del gateway di transito a una singola tabella di route. Ogni tabella di routing può essere associata da zero a molti collegamenti e può inoltrare i pacchetti agli altri allegati.

Propagazione delle tabelle di routing

Ogni collegamento dispone di route che possono essere installate in una o più tabelle di routing del gateway di transito. Quando un collegamento è propagato a una tabella di routing del gateway di transito, tali route sono aggiunte alla tabella di routing. Non è possibile filtrare i percorsi pubblicizzati.

Per un allegato VPC, i blocchi CIDR del VPC vengono propagati alla tabella di instradamento del gateway di transito.

Quando il routing dinamico viene utilizzato con un allegato VPN o un allegato gateway Direct Connect, è possibile propagare le route apprese dal router on-premise tramite BGP a qualsiasi tabella di routing del transit gateway.

Quando il routing dinamico viene utilizzato con un allegato VPN, le route nella tabella di instradamento associata all'allegato VPN vengono pubblicizzate al gateway del cliente tramite BGP.

Per un allegato Connect, i routing nella tabella di instradamento associati all'allegato Connect vengono pubblicizzati alle appliance virtuali di terze parti, come le appliance SD-WAN, in esecuzione in un VPC tramite BGP.

Per un collegamento al gateway Direct Connect, le interazioni con prefissi consentiti controllano da quali percorsi vengono pubblicizzati alla rete del cliente. AWS

Quando una route statica e una route propagata hanno la stessa destinazione, la route statica ha la priorità più alta e la route propagata non viene quindi inclusa nella tabella di instradamento. Se si rimuove la route statica, la route propagata sovrapposta viene inclusa nella tabella di instradamento.

Route per gli allegati peering

È possibile eseguire il peering di due gateway di transito e instradare il traffico tra di loro. A tale scopo, creare un allegato di peering nel gateway di transito e specificare il gateway di transito peer con cui creare la connessione di peering. È quindi necessario creare una route statica nella tabella di route del gateway di transito per instradare il traffico all'allegato peering del gateway di transito. Il traffico instradato al gateway di transito peer può quindi essere instradato agli allegati VPC e VPN per il gateway di transito peer.

Per ulteriori informazioni, consulta Esempio: gateway di transito in peering.

Ordine di valutazione route

I route dei gateway di transito sono valutati nell'ordine seguente:

  • Il percorso più specifico per l'indirizzo di destinazione.

  • Per i percorsi con lo stesso CIDR, ma con tipi di allegati diversi, la priorità del percorso è la seguente:

    • Route statiche (ad esempio, route statiche Site-to-Site VPN)

    • Route referenziate dell'elenco di prefissi

    • Percorsi propagati tramite VPC

    • Percorsi propagati dal gateway Direct Connect

    • Percorsi propagati da Transit Gateway Connect

    • VPN da sito a sito su percorsi privati propagati da Direct Connect

    • Percorsi propagati tramite VPN da sito a sito

    • Percorsi propagati tramite peering Transit Gateway (Cloud WAN)

Alcuni allegati supportano la pubblicità dei percorsi tramite BGP. Per i percorsi con lo stesso CIDR e lo stesso tipo di allegato, la priorità del percorso è controllata dagli attributi BGP:

  • Lunghezza del percorso AS più breve

  • Valore MED inferiore

  • I percorsi eBGP rispetto a iBGP sono preferiti, se l'allegato lo supporta

    Importante

    AWS non può garantire un ordine di prioritizzazione delle rotte coerente per le rotte BGP con gli stessi CIDR, tipo di allegato e attributi BGP elencati sopra.

AWS Transit Gateway mostra solo una rotta preferita. Un percorso di backup verrà visualizzato nella tabella delle rotte Transit Gateway solo se tale percorso non è più pubblicizzato, ad esempio se pubblicizzi gli stessi percorsi tramite il gateway Direct Connect e tramite VPN da sito a sito. AWS Transit Gateway mostrerà solo le rotte ricevute dalla rotta gateway Direct Connect, che è la rotta preferita. La Site-to-Site VPN, che è il routing di backup, verrà visualizzata solo quando il gateway Direct Connect non viene più pubblicizzato.

Differenze nelle tabelle di routing tra VPC e gateway di transito

La valutazione della tabella delle rotte varia a seconda che si utilizzi una tabella di routing VPC o una tabella di routing del gateway di transito.

L'esempio seguente mostra una tabella di routing VPC. Il route VPC locale ha la priorità più alta, seguito dai route più specifici. Quando un route statico e propagato hanno la stessa destinazione, la route statica ha la priorità più alta.

Destinazione Target Priorità
10.0.0.0/16

locale

 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345 (statico) o

tgw-12345 (statico)

 2
172.31.0.0/16 vgw-12345 (propagato) 3
0.0.0.0/0 igw-12345 4

L'esempio seguente mostra una tabella delle rotte del gateway di transito. Se si preferisce l'allegato gateway AWS Direct Connect all'allegato VPN, utilizzare una connessione VPN BGP e propagare le route nella tabella di instradamento del gateway di transito.

Destinazione Allegato (target) Tipo di risorsa Tipo di route Priorità
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC Statico o propagato 1
192.168.0.0/16 tgw-attach-789 | vpn-5678 VPN Statico 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect gateway Propagato 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer Connessione Propagato 4
172.31.0.0/16 tgw-attach-789 | vpn-5678 VPN Propagato 5