As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como funcionam os gateways de trânsito
Um gateway de trânsito age como um roteador virtual regional para o tráfego entre virtual private clouds (VPC – nuvens privadas virtuais) e redes on-premises. Um gateway de trânsito é dimensionado de maneira elástica com base no volume do tráfego de rede. O roteamento por um gateway de trânsito opera na camada 3, onde os pacotes são enviados para um anexo de próximo salto específico, com base nos endereços IP de destino.
Conteúdo
Diagrama de arquitetura
O diagrama a seguir mostra um gateway de trânsito com três anexos de VPC. A tabela de rotas de cada uma dessas VPCs inclui a rota local e rotas que enviam tráfego destinado das outras duas VPCs ao gateway de trânsito.
Veja a seguir um exemplo de tabela de rotas do gateway de trânsito padrão para os anexos exibidos no diagrama anterior. Os blocos CIDR de cada VPC se propagam para a tabela de rotas. Portanto, cada anexo é capaz de rotear pacotes aos outros dois anexos.
| Destination (Destino) | Destino | Tipo de rota |
|---|---|---|
CIDR da VPC A |
Anexo para a VPC A |
com propagação |
CIDR da VPC B |
Anexo para a VPC B |
com propagação |
CIDR da VPC C |
Anexo para a VPC C |
com propagação |
Anexos de recursos
O anexo de gateway de trânsito é origem e destino dos pacotes. É possível anexar os recursos a seguir ao gateway de trânsito:
-
Uma ou mais VPCs. AWS O Transit Gateway implanta uma interface de rede elástica nas sub-redes VPC, que é então usada pelo gateway de trânsito para rotear o tráfego de e para as sub-redes escolhidas. Cada zona de disponibilidade precisa ter pelo menos uma sub-rede para que o tráfego chegue aos recursos em cada sub-rede da zona. Durante a criação de anexos, os recursos de uma zona de disponibilidade específica só poderão chegar a um transit gateway se uma sub-rede estiver ativada na mesma zona. Se a tabela de rotas de uma sub-rede incluir uma rota para o transit gateway, o tráfego só será enviado ao transit gateway se esse gateway tiver um anexo na sub-rede da mesma zona de disponibilidade.
-
Uma ou mais conexões VPN
-
Um ou mais AWS Direct Connect gateways
-
Um ou mais anexos do Transit Gateway Connect
-
Uma ou mais conexões de emparelhamento de gateway de trânsito
-
Um anexo do gateway de trânsito pode ser uma origem e um destino dos pacotes.
Roteamento de múltiplos caminhos de mesmo custo
AWS O Transit Gateway oferece suporte ao roteamento Equal Cost Multipath (ECMP) para a maioria dos anexos. Para um anexo de VPN, você pode habilitar ou desabilitar o suporte a ECMP usando o console ao criar ou modificar um gateway de trânsito. Para todos os outros tipos de anexos, as seguintes restrições de ECMP são aplicáveis:
-
VPC: o VPC não oferece suporte a ECMP, pois não pode haver sobreposição entre os blocos CIDR. Por exemplo, você não pode anexar uma VPC com um CIDR 10.1.0.0/16 com uma segunda VPC usando o mesmo CIDR a um gateway de trânsito e então configurar o roteamento para balancear a carga do tráfego entre elas.
-
VPN: quando a opção VPN ECMP support (Suporte a ECMP de VPN) estiver desabilitada, o gateway de trânsito usará métricas internas para determinar o caminho preferencial no caso de prefixos iguais em vários caminhos. Para obter mais informações sobre como habilitar ou desabilitar o ECMP para um anexo da VPN, consulte Gateways de trânsito.
-
AWS Transit Gateway Connect - Os anexos AWS Transit Gateway Connect suportam automaticamente o ECMP.
-
AWS Direct Connect Gateway - Os anexos do AWS Direct Connect gateway oferecem suporte automático ao ECMP em vários anexos do Direct Connect Gateway quando o prefixo da rede, o comprimento do prefixo e o AS_PATH são exatamente os mesmos.
-
Emparelhamento de gateway de trânsito: O emparelhamento de gateway de trânsito não é compatível com ECMP, pois não oferece suporte ao roteamento dinâmico nem você pode configurar a mesma rota estática em dois destinos diferentes.
nota
-
Não há compatibilidade com BGP Multipath AS-Path Relax, então você não pode usar ECMP em diferentes números de sistema autônomo (ASN).
-
Não há compatibilidade com ECMP entre diferentes tipos de anexos. Por exemplo, você não pode habilitar o ECMP entre uma VPN e um anexo da VPC. Em vez disso, as rotas do gateway de trânsito são avaliadas, e o tráfego é roteado de acordo com a rota avaliada. Para ter mais informações, consulte Ordem de avaliação de rotas.
-
Um só gateway do Direct Connect oferece suporte a ECMP em várias interfaces virtuais de trânsito. Portanto, recomendamos que você configure e use somente um gateway do Direct Connect e que não configure e use vários gateways para aproveitar o recurso ECMP. Para obter mais informações sobre gateways Direct Connect e interfaces virtuais públicas, consulte Como faço para configurar uma conexão de conexão direta ativa/ativa ou ativa/passiva
a partir de uma interface virtual pública? AWS .
Zonas de disponibilidade
Ao anexar uma VPC a um gateway de trânsito, é preciso habilitar uma ou mais zonas de disponibilidade para serem usadas pelo gateway de trânsito para rotear o tráfego a recursos nas sub-redes da VPC. Para habilitar cada zona de disponibilidade, especifique exatamente uma sub-rede. O gateway de trânsito coloca uma interface de rede na sub-rede usando um endereço IP da sub-rede. Depois que você habilitar uma zona de disponibilidade, o tráfego poderá ser roteado para todas as sub-redes na VPC, e não somente para a sub-rede ou a zona de disponibilidade especificada. Contudo, os recursos que residem nas zonas de disponibilidade em que não há nenhum anexo do gateway de trânsito não podem alcançar o gateway de trânsito.
Se o tráfego for originado de uma zona de disponibilidade na qual o anexo de destino não está presente, o AWS Transit Gateway roteará internamente esse tráfego para uma zona de disponibilidade aleatória onde o anexo está presente. Não há cobrança adicional de gateway de trânsito para esse tipo de tráfego entre zonas de disponibilidade.
Recomendamos que você habilite várias zonas de disponibilidade para garantir a disponibilidade.
Usar o suporte ao modo de dispositivo
Se você planeja configurar um dispositivo de rede com estado em sua VPC, poderá habilitar o suporte ao modo de dispositivo para o anexo da VPC em que o dispositivo está localizado. Isso garante que o gateway de trânsito use a mesma zona de disponibilidade para esse anexo de VPC durante o tempo de vida de um fluxo de tráfego entre a origem e o destino. Também permite que o gateway de trânsito envie tráfego para qualquer zona de disponibilidade na VPC, desde que haja uma associação de sub-rede nessa zona. Para ter mais informações, consulte Exemplo: dispositivo em uma VPC de serviços compartilhados.
Roteamento
Seu gateway de trânsito roteia pacotes IPv4 e IPv6 entre anexos usando tabelas de rotas de gateway de trânsito. É possível configurar essas tabelas de rotas para propagar as rotas a partir delas para as VPCs anexadas e conexões VPN anexadas e para os gateways do Direct Connect. Você também pode adicionar rotas estáticas às tabelas de rotas de gateway de trânsito. Quando um pacote surge de um anexo, ele é roteado para outro anexo usando a rota que corresponde ao endereço IP de destino.
Para anexos de emparelhamento de gateway de trânsito, somente rotas estáticas são compatíveis.
Conteúdo
Tabelas de rotas
Seu gateway de trânsito vem automaticamente com uma tabela de rotas padrão. Por padrão, essa tabela de roteamento é a tabela de roteamento de associação padrão e a tabela de roteamento de propagação padrão. Como alternativa, se você desabilitar a propagação de rotas e a associação da tabela de rotas, a AWS não criará uma tabela de rotas padrão para o gateway de trânsito.
É possível criar tabelas de rotas adicionais para o gateway de trânsito. Assim você pode isolar os subconjuntos dos anexos. Cada anexo pode ser associado a uma tabela de rotas. Um anexo pode propagar as rotas para uma ou mais tabelas de rotas.
É possível criar uma rota blackhole na tabela de rotas do gateway de trânsito que solta o tráfego correspondente à rota.
Ao anexar uma VPC a um gateway de trânsito, você deverá adicionar uma rota à sua tabela de rotas de sub-rede para que o tráfego seja roteado pelo gateway de trânsito. Para obter mais informações, consulte Roteamento para um gateway de trânsito no Guia do usuário da Amazon VPC.
Associação da tabela de rotas
É possível associar um anexo de gateway de trânsito a uma única tabela de rotas. Cada tabela de rotas pode ser associada a vários anexos (ou nenhum) e pode encaminhar pacotes a outros anexos.
Propagação de rotas
Cada anexo vem com rotas que podem ser instaladas em uma ou mais tabelas de rotas do gateway de trânsito. Quando um anexo é propagado com uma tabela de rotas do gateway de trânsito, essas rotas são instaladas na tabela. Não é possível filtrar as rotas anunciadas.
Para um anexo da VPC, os blocos CIDR da VPC são propagados para a tabela de rotas do gateway de trânsito.
Ao usar o roteamento dinâmico com um anexo da VPN ou um anexo de gateway do Direct Connect, é possível propagar as rotas aprendidas do roteador on-premises por meio do BGP a qualquer uma das tabelas de rotas do gateway de trânsito.
Quando o roteamento dinâmico é usado com um anexo da VPN, as rotas na tabela de rotas associadas ao anexo da VPN são anunciadas ao gateway do cliente por meio do BGP.
Para um anexo do Connect, as rotas da tabela de rotas associada ao anexo do Connect são informadas aos dispositivos virtuais de terceiros, como dispositivos SD-WAN, em execução em uma VPC pelo BGP.
Para um anexo ao gateway Direct Connect, as interações de prefixos permitidos controlam de quais rotas são anunciadas para a rede do cliente. AWS
Quando uma rota estática e uma propagada têm o mesmo destino, a estática tem maior prioridade. Portanto, a rota propagada não é incluída na tabela de rotas. Se você remover a rota estática, a rota propagada sobreposta será incluída na tabela de rotas.
Rotas para anexos de emparelhamento
É possível emparelhar dois gateways de trânsito e rotear o tráfego entre eles. Para fazer isso, crie um anexo de emparelhamento em seu gateway de trânsito e especifique o gateway de trânsito de mesmo nível com o qual criar a conexão de emparelhamento. Depois, crie uma rota estática em sua tabela de rotas de gateway de trânsito para rotear o tráfego para o anexo de emparelhamento do gateway de trânsito. O tráfego que é roteado para o gateway de trânsito de mesmo nível pode então ser roteado para os anexos de VPC e VPN para o gateway de trânsito do mesmo nível.
Para obter mais informações, consulte Exemplo: Gateways de trânsito em pares.
Ordem de avaliação de rotas
As rotas do gateway de trânsito são avaliadas na seguinte ordem:
-
A rota mais específica para o endereço de destino.
-
Para rotas com o mesmo CIDR, mas de tipos de anexos diferentes, a prioridade da rota é a seguinte:
-
Rotas estáticas (por exemplo, rotas estáticas do Site-to-Site VPN)
-
Rotas referenciadas da lista de prefixos
-
Rotas propagadas por VPC
-
Rotas propagadas pelo gateway Direct Connect
-
Rotas propagadas pelo Transit Gateway Connect
-
VPN site-to-site em rotas privadas propagadas pelo Direct Connect
-
Rotas propagadas por VPN de site para site
-
Rotas propagadas por emparelhamento do Transit Gateway (Cloud WAN)
-
Alguns anexos oferecem suporte à publicidade de rotas pelo BGP. Para rotas com o mesmo CIDR e do mesmo tipo de anexo, a prioridade da rota é controlada pelos atributos do BGP:
-
Menor comprimento do caminho AS
-
Menor valor de MED
-
As rotas eBGP sobre iBGP são preferidas, se o anexo as suportar
Importante
AWS não é possível garantir uma ordem consistente de priorização de rotas para rotas BGP com o mesmo CIDR, tipo de anexo e atributos de BGP listados acima.
AWS O Transit Gateway mostra apenas uma rota preferencial. Uma rota de backup só aparecerá na tabela de rotas do Transit Gateway se essa rota não for mais anunciada — por exemplo, se você estiver anunciando as mesmas rotas no gateway Direct Connect e na VPN Site-to-Site. AWS O Transit Gateway mostrará somente as rotas recebidas da rota do gateway Direct Connect, que é a rota preferencial. A VPN de local a local, que é a rota de backup, só é exibida quando o gateway do Direct Connect não é mais informado.
Diferenças na tabela de rotas do VPC e do Transit Gateway
A avaliação da tabela de rotas difere se você está usando uma tabela de rotas VPC ou uma tabela de rotas de gateway de trânsito.
O exemplo a seguir mostra uma tabela de rotas de VPC. A rota local da VPC tem a maior prioridade, seguida pelas rotas mais específicas. Quando uma rota estática e uma rota propagada têm o mesmo destino, a rota estática tem maior prioridade.
| Destino | Destino | Priority |
|---|---|---|
| 10.0.0.0/16 |
local |
1 |
| 192.168.0.0/16 | pcx-12345 | 2 |
| 172.31.0.0/16 | vgw-12345 (estático) ou tgw-12345 (estático) |
2 |
| 172.31.0.0/16 | vgw-12345 (propagado) | 3 |
| 0.0.0.0/0 | igw-12345 | 4 |
O exemplo a seguir mostra uma tabela de rotas do gateway de trânsito. Se você preferir o anexo do gateway do AWS Direct Connect ao anexo de VPN, use uma conexão da VPN do BGP e propague as rotas na tabela de rotas do gateway de trânsito.
| Destino | Anexo (Destino) | Tipo de recurso | Tipo de rota | Priority |
|---|---|---|---|---|
| 10.0.0.0/16 | tgw-attach-123 | vpc-1234 | VPC | Estático ou propagado | 1 |
| 192.168.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | Estático | 2 |
| 172.31.0.0/16 | tgw-attach-456 | dxgw_id | Gateway AWS Direct Connect | Com propagação | 3 |
| 172.31.0.0/16 | tgw-attach-789 | -123 tgw-connect-peer | Conectar | Com propagação | 4 |
| 172.31.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | Com propagação | 5 |
