本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
架构 3:AWS Transit Gateway
AWS Transit Gateway 是一项连接 VPC 和本地网络的托管路由服务。中转网关可帮助您简化网络拓扑结构,避免大量 VPC 之间复杂的对等关系。
中转网关充当云路由器。每个新连接仅在 VPC 和中转网关之间建立一次。将中转网关作为支持中转路由的枢纽,您无需在网状拓扑中的每个 VPC 之间添加对等关系。有关中转网关及其限额的更多信息,请参阅中转网关的限额。
使用中转网关集成第三方服务具有以下好处:
-
支持 VPC 和第三方网络之间的双向流量
-
支持所有类型的 IP 流量(TCP 和 UDP)
-
在 VPC 和第三方网络之间部署集中式流量检查点
-
随着集成中涉及的 VPC 数量的变化而轻松扩展
使用中转网关解决方案的缺点包括:
-
此选项通常比直接对等选项更昂贵。
-
不支持重叠的 CIDR 块。
-
许多第三方提供商不支持此解决方案,因为他们希望保持完全控制,尽量减少与客户共享组件。
以下架构图显示了使用中转网关将您的 VPC 连接到第三方提供商 VPC 的简化表示。每个 VPC 都连接到中转网关,网关支持所有连接的 VPC 之间的传递路由。
但是,实际配置更为细致,这种架构分为不同的部署注意事项和选项。
集中网络检查
如果您使用中转网关,可以部署一个集中式网络流量检查点,即专用检查 VPC。通过在与区域内对等连接关联的路由表中使用静态路由,您可以将来自第三方网络的流量定向到检查 VPC。要检查流量,您可以使用 AWS Network Firewall 或 AWS 网关负载均衡器与部署在 Amazon Elastic Compute Cloud(Amazon EC2)实例上的虚拟安全设备配对。有关更多信息,请参阅 AWS Network Firewall 部署模型
中转网关必须处于设备模式,以便检查 VPC 连接对称路由双向流量。如以下架构图所示,中转网关将流量从连接的 VPC 定向到检查 VPC 中的弹性网络接口。
选择部署选项
首先要考虑的是,您是要使用网络中的现有中转网关,还是创建新的专用中转网关。我们建议部署一个新的专用中转网关,因为它能提供更多的控制,并与第三方网络隔离。本指南中的示例架构创建了一个新的中转网关,您可以在现有网关和新网关之间创建对等连接。
其次要考虑的是哪种架构最适合您的用例:
-
架构 3.1:带 AWS RAM 的中转网关 - 在此部署选项中,您与第三方账户共享一个中转网关。使用 AWS Resource Access Manager(AWS RAM)配置共享关系。
-
架构 3.2:中转网关对等 - 在此部署选项中,您可以在两个中转网关之间创建对等连接,一个在您的账户中,一个在第三方账户中。
在选择这些选项时,请考虑每种选项的优缺点。
| 架构 3.1:带 AWS RAM 的中转网关 | 架构 3.2:中转网关对等 | |
|---|---|---|
| 优点 | 第三方账户中不需要中转网关,从而使架构更加精简。 | 第三方可能认为这种解决方案更容易接受,因为其为他们提供了对网络配置的更多控制。 |
| 作为共享中转网关的所有者,您可以增强控制和可见性。 | 由于第三方维护自己的 VPC 连接,因此可以减少运营工作量。 | |
| 缺点 | 第三方可能不愿意,因为这会减弱他们对网络配置的控制。 | 网络架构更为复杂。 |
| 您负责在第三方账户中配置与 VPC 的中转网关连接。 | 该架构在流量路径中创建一个额外的跃点。 |
成本考虑因素
在选择这些选项时,还要考虑以下成本影响:
-
中转网关连接的小时费由连接账户所有者(或 VPC)支付。有些费用将由您自己承担,而其他费用则由第三方承担。
-
数据处理费用由通过中转网关发送流量的 VPC 所有者承担。从中转网关接收数据无需支付费用。
-
在两个对等中转网关之间发送的数据不收取数据处理费用。
有关更多信息,请参阅中转网关定价
