本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
架构 3: AWS Transit Gateway
AWS Transit Gateway是一种托管路由服务,用于连接 VPCs 和本地网络。Transit Gateway 可以帮助您简化网络拓扑,避免大量网络之间存在复杂的对 VPCs等关系。
中转网关充当云路由器。每个新连接仅在 VPC 和中转网关之间建立一次。将中转网关作为支持中转路由的枢纽,您无需在网状拓扑中的每个 VPC 之间添加对等关系。有关中转网关及其限额的更多信息,请参阅 Quotas for your transit gateways。
使用中转网关集成第三方服务具有以下好处:
-
支持您 VPCs 和第三方网络之间的双向流量
-
支持所有类型的 IP 流量(TCP 和 UDP)
-
在您的网络 VPCs 和第三方网络之间部署集中式流量检查点
-
随着 VPCs 参与整合的人数的变化,可以轻松扩展
使用中转网关解决方案的缺点包括:
-
此选项通常比直接对等选项更昂贵。
-
不支持重叠的 CIDR 块。
-
许多第三方提供商不支持此解决方案,因为他们希望保持完全控制,尽量减少与客户共享组件。
以下架构图显示了使用 Transit Gateway 将您 VPCs 连接到第三方提供商的架构图的简化示意图。每个 VPC 都连接到传输网关,并且该网关支持所有连接 VPCs的网关之间的传递路由。
但是,实际配置更为细致,这种架构分为不同的部署注意事项和选项。
集中网络检查
如果您使用中转网关,可以部署一个集中式网络流量检查点,即专用检查 VPC。通过在与区域内对等连接关联的路由表中使用静态路由,您可以将来自第三方网络的流量定向到检查 VPC。要检查流量,您可以使用 AWS Network Firewall 或与部署在亚马逊弹性计算云 (Amazon EC2) 实例上的虚拟安全设备配对的 AWS Gateway Load Balancer。有关更多信息,请参阅部署模型中的集中式部署模型 AWS Network Firewall
中转网关必须处于设备模式,以便检查 VPC 连接对称路由双向流量。如以下架构图所示,传输网关将流量从连接的引导 VPCs 至检查 VPC 中的弹性网络接口。
选择部署选项
首先要考虑的是,您是要使用网络中的现有中转网关,还是创建新的专用中转网关。我们建议部署一个新的专用中转网关,因为它能提供更多的控制,并与第三方网络隔离。本指南中的示例架构创建了一个新的中转网关,您可以在现有网关和新网关之间创建对等连接。
其次要考虑的是哪种架构最适合您的用例:
-
架构 3.1:Transit Gateway AWS RAM - 在此部署选项中,您与第三方账户共享一个中转网关。您可以使用 AWS Resource Access Manager (AWS RAM) 来配置共享关系。
-
架构 3.2:中转网关对等 - 在此部署选项中,您可以在两个中转网关之间创建对等连接,一个在您的账户中,一个在第三方账户中。
在选择这些选项时,请考虑每种选项的优缺点。
| 架构 3.1:Transit Gateway AWS RAM | 架构 3.2:中转网关对等 | |
|---|---|---|
| 优点 | 第三方账户中不需要中转网关,从而使架构更加精简。 | 第三方可能认为这种解决方案更容易接受,因为其为他们提供了对网络配置的更多控制。 |
| 作为共享中转网关的所有者,您可以增强控制和可见性。 | 由于第三方维护自己的 VPC 连接,因此可以减少运营工作量。 | |
| 劣势 | 第三方可能不愿意,因为这会减弱他们对网络配置的控制。 | 网络架构更为复杂。 |
| 您负责在第三方账户 VPCs 中配置公交网关附件。 | 该架构在流量路径中创建一个额外的跃点。 |
成本考虑因素
在选择这些选项时,还要考虑以下成本影响:
-
中转网关连接的小时费由连接账户所有者(或 VPC)支付。有些费用将由您自己承担,而其他费用则由第三方承担。
-
数据处理费用由通过中转网关发送流量的 VPC 所有者承担。从中转网关接收数据无需支付费用。
-
在两个对等中转网关之间发送的数据不收取数据处理费用。
有关更多信息,请参阅 Transit Gateway pricing
