Amazon VPC 公交网关的工作原理 - Amazon VPC
架构图示例资源连接等价多路径路由 可用区路由公交网关场景示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon VPC 公交网关的工作原理

在 AWS Transit Gateway 中,传输网关充当区域虚拟路由器,用于在您的虚拟私有云 (VPCs) 和本地网络之间流动。中转网关根据网络流量的规模灵活地进行扩展。通过中转网关进行路由是在第 3 层运行的,其中,数据包根据其目的地 IP 地址发送到特定的下一个跃点挂载。

架构图示例

下图显示了带有三个VPC附件的传输网关。其中每条路由的路由表都VPCs包括本地路由和将发往其他两条的流量发送VPCs到中转网关的路由。

VPC连接选项

以下是上图中所示挂载的原定设置中转网关路由表示例。每个CIDR区块都会VPC传播到路由表。从而让每个挂载都可以将数据包路由到另外两个挂载。

目标位置 目标 路由类型
VPC A CIDR Attachment for VPC A 传播
VPC B CIDR Attachment for VPC B 传播
VPC C CIDR Attachment for VPC C 传播

资源连接

中转网关连接同时是数据包的源和目的地。您可以将以下资源附加到中转网关:

  • 一个或多个VPCs。 AWS Transit Gateway 在VPC子网内部署弹性网络接口,然后由中转网关使用该接口来路由进出所选子网的流量。每个可用区必须至少有一个子网,以确保流量可以到达该可用区内每个子网中的资源。在创建挂载期间,只有在特定可用区内启用了某个子网时,才能确保同一可用区内的资源可到达该 Transit Gateway。如果子网路由表包含指向 Transit Gateway 的路由,则只有当 Transit Gateway 在同一可用区的子网中有挂载时,才会将流量转发到该 Transit Gateway。

  • 一个或多个VPN连接

  • 一个或多个 AWS Direct Connect 网关

  • 一个或多个 Transit Gateway Connect 挂载

  • 一个或多个中转网关对等连接

  • 中转网关连接可同时是数据包的源和目的地。

等价多路径路由

AWS Transit Gateway 支持大多数附件的等价多路径 (ECMP) 路由。对于VPN附件,您可以在创建或修改传输网关时使用控制台启用或禁用ECMP支持。对于所有其他附件类型,适用以下ECMP限制:

  • VPC-VPC 不支持,ECMP因为CIDR方块不能重叠。例如,您不能将VPC带有 CIDR 10.1.0.0/16 且秒钟VPC使用相同CIDR的 a 连接到传输网关,然后设置路由以对它们之间的流量进行负载平衡。

  • VPN-禁用VPNECMP支持选项后,如果多条路径的前缀相等,公交网关将使用内部指标来确定首选路径。有关启用或禁用VPN附件ECMP的更多信息,请参阅Amazon 公交网关中的VPC公交网关

  • AWS Transit Gateway Connec AWS Transit Gateway t-自动支持 Connect 附件ECMP。

  • AWS Direct Connect 网 AWS Direct Connect 关-当网络前缀、前缀长度和 AS_ PATH 完全相同时,网关附件会自动支持ECMP多个 Direct Connect 网关附件。

  • Transit gateway peering-不支持 Transit 网关对等,ECMP因为它既不支持动态路由,也无法针对两个不同的目标配置相同的静态路由。

注意

  • BGP不支持 Multipath AS-Path Relax,因此您不能ECMP在不同的自治系统编号上使用 () ASNs。

  • ECMP不支持在不同的附件类型之间使用。例如,您无法在VPN和VPC附件ECMP之间启用。相反,将对中转网关路由进行评估,并根据评估的路径路由流量。有关更多信息,请参阅 路由评估顺序

  • 单个 Direct Connect 网关支持ECMP跨多个传输虚拟接口。因此,我们建议您仅设置和使用单个 Direct Connect 网关,不要设置和使用多个网关来利用ECMP。有关 Direct Connect 网关和公共虚拟接口的更多信息,请参阅如何设置从公共虚拟接口 AWS 到的主动/主动或主动/被动 Direct Connect 连接? 。

可用区

将连接到传输网关时,必须启用一个或多个可用区,供中转网关使用,将流量路由到VPC子网中的资源。VPC要启用每个可用区,您应指定确切一个子网。中转网关使用此子网中的一个 IP 地址将网络接口放入该子网中。启用可用区后,流量可以路由到中的所有子网VPC,而不仅仅是指定的子网或可用区。然而,只有驻留在拥有中转网关连接的可用区内的资源,才能到达中转网关。

如果流量来自目标附件不存在的可用区,则 Transit Gateway 将在内部将该流量路由到存在该附件的随机可用区。 AWS 对于这种类型的跨可用区流量,无需支付额外的中转网关费用。

我们建议您启用多个可用区以确保可用性。

使用设备模式支持

如果您计划在中配置有状态的网络设备VPC,则可以为设备所在的VPC附件启用设备模式支持。这可确保传输网关在源和目标之间的流量流的生命周期内对该VPC连接使用相同的可用区。它还允许传输网关向中的任何可用区发送流量VPC,前提是该区域中存在子网关联。有关更多信息,请参阅 示例:共享服务中的设备 VPC

路由

您的中转网关使用传输网关路由表在附件之间路由IPv4和IPv6数据包。您可以将这些路由表配置为传播来自已连接网关VPCs、VPN连接网关和 Direct Connect 网关的路由表中的路由。您还可以将静态路由添加到中转网关路由表中。当数据包来自一个连接时,会使用与目的地 IP 地址相符的路由,将该数据包路由到另一个连接。

中转网关对等连接仅支持静态路由。

路由表

您的中转网关自动附带默认路由表。默认情况下,此路由表是默认的关联路由表和默认的传播路由表。或者,如果您禁用路由传播和路由表关联, AWS 不会为中转网关创建默认路由表。

您可以为中转网关创建其他路由表。这样,您就可以隔离连接的子网。每个连接可以与一个路由表相关联。一个挂载可以将其路由传播到一个或多个路由表。

您可以在中转网关路由表中创建丢弃与路由匹配的流量的黑洞路由。

将连接到传输网关时,必须VPC向子网路由表中添加路由,流量才能通过中转网关进行路由。有关更多信息,请参阅《亚马逊VPC用户指南》中的 Transit Gateway 路由

路由表关联

您可以将中转网关连接与单个路由表相关联。每个路由表可以与零到多个连接关联,并可以将数据包转发到其他连接。

路由传播

每个挂载都附带可以安装到一个或多个中转网关路由表的路由。当挂载传播到中转网关路由表时,这些路由安装在路由表中。您无法根据通告的路由进行筛选。

对于VPC附件,的CIDR块VPC会传播到公交网关路由表。

当动态路由与VPN连接或 Direct Connect 网关连接一起使用时,您可以将从本地路由器获知的路由传播BGP到任何中转网关路由表。

当动态路由与VPN附件一起使用时,路由表中与该VPN连接关联的路由将通过BGP通告到客户网关。

对于 Connect 附件,路由表中与 Connect 附件关联的路由会通告给以VPC直BGP通方式运行的第三方虚拟WAN设备,例如 SD 设备。

对于 Direct Connect 网关连接,允许的前缀交互控制从哪些路由通告到客户网络。 AWS

当静态路由和传播路由具有相同的目标时,静态路由具有更高的优先级,因此传播路由不包含在路由表中。如果移除静态路由,则重叠的传播路由将包含在路由表中。

对等连接的路由

您可以将两个中转网关对等连接并在它们之间路由流量。为此,您可以在中转网关上创建对等挂载,并指定要与其创建对等连接的对等中转网关。然后,您可以在中转网关路由表中创建静态路由,以将流量路由到中转网关对等挂载。然后,路由到对等传输网关的流量可以路由到对等传输网关的VPC和VPN附件。

有关更多信息,请参阅 示例:对等中转网关

路由评估顺序

中转网关路由是按以下顺序评估的:

  • 目标地址的最具体路由。

  • 对于具有相同CIDR但来自不同连接类型的路由,路由优先级如下所示:

    • 静态路由(例如,站点到站点的VPN静态路由)

    • 前缀列表引用的路由

    • VPC-传播路由

    • Direct Connect 网关传播路由

    • Transit Gateway 连接传播路由

    • 通过专用 Direct Connect 传播VPN的路由进行站点到站点

    • 站点到站点传播的路由 VPN

    • Transit Gateway 对等传播路由(云端)WAN

某些附件支持路径通告BGP。对于具有相同CIDR连接类型且来自相同连接类型的路由,路由优先级由BGP属性控制:

  • 缩短 AS 路径长度

  • 较低的MED值

  • 如果附件支持 e ov BGP er i BGP 路由,则首选

    重要

    AWS 无法保证具有与上面列出的相同CIDR、附件类型和BGP属性的BGP路径的路径优先顺序一致。

AWS Transit Gateway 仅显示首选路线。只有当不再公布备用路由时,备用路由才会显示在 Transit Gateway 路由表中,例如,如果您通过 Direct Connect 网关和站点到站点VPN通告相同的路由。 AWS Transit Gateway 将仅显示从 Direct Connect 网关路由(首选路由)收到的路由。站点到站VPN点(即备用路由)仅在不再通告 Direct Connect 网关时才会显示。

VPC和公交网关路由表的区别

无论您使用的是路由表还是公交网关VPC路由表,路由表评估都会有所不同。

以下示例显示了VPC路由表。VPC本地路由的优先级最高,其次是最具体的路由。在静态路由和传播的路由具有相同的目标时,静态路由具有更高的优先级。

目的地 目标 优先级
10.0.0.0/16

本地

 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345(静态)或

tgw-12345(静态)

 2
172.31.0.0/16 vgw-12345(传播) 3
0.0.0.0/0 igw-12345 4

以下示例显示了公交网关路由表。如果您更喜欢 AWS Direct Connect 网关连接而不是VPN连接,请使用BGPVPN连接并在公交网关路由表中传播路由。

目标位置 连接(目标) 资源类型 路由类型 优先级
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC 静态或传播 1
192.168.0.0/16 tgw-attach-789 | vpn-5678 VPN 静态 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect 网关 传播 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer 连接 传播 4
172.31.0.0/16 tgw-attach-789 | vpn-5678 VPN 传播 5

公交网关场景示例

以下是中转网关的常见使用案例。您的中转网关并不仅限于这些使用案例。

示例

    您可以将传输网关配置为连接所有VPCs AWS Direct Connect、和站点到站点VPN连接的集中式路由器。在该方案中,所有连接与中转网关默认路由表相关联,并传播到中转网关默认路由表。因此,所有挂载都可以将数据包路由到彼此,而将中转网关用作简单第 3 层 IP 路由器。

    概述

    下表展示了此场景配置的主要组成部分。在这种情况下,传输网关有三个VPC附件和一个站点到站点VPN连接。来自 VPC A、VPC B 和 VPC C 中子网的数据包如果发往另一个子网中的子网VPC或VPN连接的第一个子网,则通过中转网关路由。

    具有三个VPC附件和一个VPN附件的公交网关。

    资源

    为此场景创建以下资源:

    路由

    每个都VPC有一个路由表,还有一个公交网关的路由表。

    VPC路由表

    每个都VPC有一个包含 2 个条目的路由表。第一个条目是中本地IPv4路由的默认条目VPC;此条目使该条目中的实例VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。下表显示了 VPC A 路由。

    目标位置 目标

    10.1.0.0/16

    本地

    0.0.0.0/0

    tgw-id
    中转网关路由表

    下面是前一个图中显示的连接的默认路由表示例(启用了路由传播)。

    目的地 目标 路由类型

    10.1.0.0/16

    Attachment for VPC A

    传播

    10.2.0.0/16

    Attachment for VPC B

    传播

    10.3.0.0/16

    Attachment for VPC C

    传播

    10.99.99.0/24

    		 Attachment for VPN connection

    传播
    客户网关BGP表

    客户网关BGP表包含以下内容VPCCIDRs。

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    您可以将中转网关配置为多个隔离的路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。

    概述

    下表展示了此场景配置的主要组成部分。来自 VPC A、VPC B 和 VPC C 的数据包会路由到传输网关。来自 VPC A、VPC B 和 VPC C 中以互联网为目的地的子网的数据包首先通过传输网关,然后路由到站点到站点VPN连接(如果目的地位于该网络内)。来自一个VPC的数据包如果目的地为另一个VPC子网(例如从 10.1.0.0 到 10.2.0.0),则会通过中转网关进行路由,但由于传输网关路由表中没有针对它们的路由,它们会被阻塞。

    具有三个VPC附件和一个VPN附件的公交网关。

    资源

    为此场景创建以下资源:

    VPN连接启动后,BGP会话即建立,会话VPNCIDR传播到中转网关路由表,然后添加到客户网关BGP表中。VPC CIDRs

    路由

    每个都VPC有一个路由表,公交网关有两个路由表VPCs,一个用于连接。VPN

    VPCA、VPC B 和 VPC C 路由表

    每个都VPC有一个包含 2 个条目的路由表。第一个条目是中本地IPv4路由的默认条目VPC。此条目使该条目中的实例VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。下表显示了 VPC A 路由。

    目标位置 目标

    10.1.0.0/16

    本地
    0.0.0.0/0

    tgw-id
    中转网关路由表

    此场景使用一个路由表作为连接,VPCs使用一个路由表作为VPN连接。

    这些VPC附件与以下路由表相关联,该路由表具有该VPN连接的传播路由。

    目标位置 目标 路由类型
    10.99.99.0/24 Attachment for VPN connection

    传播

    该VPN附件与以下路由表相关联,该路由表包含每个VPC附件的传播路由。

    目标位置 目标 路由类型

    10.1.0.0/16

    Attachment for VPC A

    传播

    10.2.0.0/16

    Attachment for VPC B

    传播

    10.3.0.0/16

    Attachment for VPC C

    传播

    有关在中转网关路由表中传播路由的更多信息,请参阅使用 Amazon Transit Gateways 启用传输到VPC公交网关路由表的路由

    客户网关BGP表

    客户网关BGP表包含以下内容VPCCIDRs。

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    您可以将中转网关配置为多个使用共享服务的隔离路由器。这类似于使用多个中转网关,但在路由和挂载可能更改的情况下可提供更大的灵活性。在此方案中,每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此,但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。连接可以将数据包路由到共享服务,或从共享服务中接收数据包。如果您具有需要隔离的组,但这些组使用共享服务(例如生产系统),则可以使用该方案。

    概述

    下表展示了此场景配置的主要组成部分。来自 VPC A、VPC B 和 VPC C 中以互联网为目的地的子网的数据包,首先通过传输网关进行路由,然后路由到客户网关进行站点VPN到站点。来自 VPC A、VPC B 或 VPC C 中子网且目的地为 VPC A、VPC B 或 VPC C 子网的数据包通过中转网关路由,由于传输网关路由表中没有针对它们的路由,它们会被阻塞。来自 VPC A、VPC B 和 VPC C 的数据包以 VPC D 作为目的路由,通过传输网关,然后到达 VPC D。

    具有四个VPC附件和一个VPN附件的公交网关。

    资源

    为此场景创建以下资源:

    VPN连接启动后,BGP会话即建立,会话VPNCIDR传播到中转网关路由表,然后添加到客户网关BGP表中。VPC CIDRs

    • 每个隔离路由表VPC都与隔离路由表相关联并传播到共享路由表。

    • 每个共享服务VPC都与共享路由表相关联并传播到两个路由表。

    路由

    每个都VPC有一个路由表,公交网关有两个路由表,一个用于VPN连接和共享服务。VPCs VPC

    VPCA、VPC B、VPC C 和 VPC D 路由表

    每个路由表VPC都有包含两个条目的路由表。第一个条目是中本地路由的默认条目VPC;此条目使该条目中的实例VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。

    目标位置 目标
    10.1.0.0/16 本地
    0.0.0.0/0 transit gateway ID
    中转网关路由表

    此场景使用一个路由表作为连接,VPCs使用一个路由表作为VPN连接。

    VPCA、B 和 C 附件与以下路由表相关联,该路由表包含VPN连接的传播路径和用于 D 的连接的传播路由。VPC

    目标位置 目标 路由类型
    10.99.99.0/24 Attachment for VPN connection 传播
    10.4.0.0/16 Attachment for VPC D 传播

    VPN附件和共享服务 VPC (VPCD) 附件与以下路由表相关联,其中包含指向每个VPC附件的条目。这允许通过VPN连接和共享服务与之通信VPC。VPCs

    目标位置 目标 路由类型
    10.1.0.0/16 Attachment for VPC A 传播
    10.2.0.0/16 Attachment for VPC B 传播
    10.3.0.0/16 Attachment for VPC C 传播

    有关更多信息,请参阅 使用 Amazon Transit Gateways 启用传输到VPC公交网关路由表的路由

    客户网关BGP表

    客户网关BGP表包含所有四个网关CIDRs的VPCs。

    您可以在多个中转网关之间创建中转网关对等连接。然后,您可以在各个中转网关的连接之间路由流量。在这种情况下,VPN附件VPC与公交网关的默认路由表相关联,它们会传播到公交网关的默认路由表。每个中转网关路由表都有一个指向中转网关对等连接的静态路由。

    概述

    下表展示了此场景配置的主要组成部分。传输网关 1 有两个VPC附件,中转网关 2 有一个站点到站点连接VPN。来自 VPC A 和 VPC B 中以 Internet 为目的地的子网的数据包首先通过传输网关 1 进行路由,然后通过传输网关 2 进行路由,然后路由到VPN连接。

    两个对等传输网关,一个带有两个VPC附件,另一个带有VPN附件。

    资源

    为此场景创建以下资源:

    创建附件时,每个VPC附件都会VPC传播到公交网关 1 的路由表。CIDRsVPN连接开启后,会发生以下操作:

    • 会BGP话已建立

    • 点对点VPNCIDR传播到中转网关 2 的路由表

    • VPCCIDRs已添加到客户网关BGP表中

    路由

    每个网关都VPC有一个路由表,每个中转网关都有一个路由表。

    VPCA 和 VPC B 路由表

    每个都VPC有一个包含 2 个条目的路由表。第一个条目是中本地IPv4路由的默认条目VPC。此默认条目使该条目中的资源VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。下表显示了 VPC A 路由。

    目标位置 目标

    10.0.0.0/16

    本地

    0.0.0.0/0

    tgw-1-id
    中转网关路由表

    以下是中转网关 1 的默认路由表示例,其中启用了路由传播。

    目的地 目标 路由类型

    10.0.0.0/16

    Attachment ID for VPC A

    传播

    10.2.0.0/16

    Attachment ID for VPC B

    传播

    0.0.0.0/0

    		 Attachment ID for peering connection

    静态

    以下是中转网关 2 的默认路由表示例,其中启用了路由传播。

    目的地 目标 路由类型

    172.31.0.0/24

    		 Attachment ID for VPN connection

    传播

    10.0.0.0/16

    Attachment ID for peering connection

    static

    10.2.0.0/16

    		 Attachment ID for peering connection static
    客户网关BGP表

    客户网关BGP表包含以下内容VPCCIDRs。

    • 10.0.0.0/16

    • 10.2.0.0/16

    您可以配置传输网关,将出站 Internet 流量从VPC没有 Internet 网关的VPC,路由到包含NAT网关和互联网网关的。

    概述

    下表展示了此场景配置的主要组成部分。您在 VPC A 和 VPC B 中有只需要出站访问互联网的应用程序。您可以将 VPC C 配置为公用NAT网关和 Internet 网关,以及用于VPC连接的私有子网。将所有连接VPCs至公交网关。配置路由,使来自 VPC A 和 VPC B 的出站 Internet 流量通过传输网关到 VPC C。VPC C 中的NAT网关将流量路由到互联网网关。

    带有三个VPC附件的公交网关。

    资源

    为此场景创建以下资源:

    • 三VPCs个 IP 地址范围不重叠。有关更多信息,请参阅 Amazon VPC 用户指南VPC中的创建

    • VPCA 和 VPC B 各有带EC2实例的私有子网。

    • VPCC 有以下几点:

      • 连接到. 的互联网网关VPC。有关更多信息,请参阅 Amazon VPC 用户指南中的创建和连接互联网网关

      • 带有网NAT关的公有子网。有关更多信息,请参阅 Amazon VPC 用户指南中的创建NAT网关

      • 用于中转网关连接的私有子网。私有子网应与公有子网位于同一个可用区。

    • 一个中转网关。有关更多信息,请参阅 使用 Amazon 公交网关创建VPC公交网关

    • 公交网关上有三个VPC附件。每个CIDR区块都会VPC传播到公交网关路由表。有关更多信息,请参阅 使用 Amazon VPC 公交网关创建VPC附件。对于 VPC C,必须使用私有子网创建附件。如果您使用公有子网创建挂载,则实例流量会路由到互联网网关,但互联网网关会丢弃流量,因为实例没有公有 IP 地址。通过将连接置于私有子网中,流量将路由到NAT网关,网NAT关使用其弹性 IP 地址作为源 IP 地址将流量发送到互联网网关。

    路由

    每个都有路由表VPC,公交网关都有路由表。

    VPCA 的路由表

    以下是一个示例路由表。第一个条目使中的VPC实例能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。

    目标位置 目标

    VPC A CIDR

    本地

    0.0.0.0/0

    transit-gateway-id
    VPCB 的路由表

    以下是一个示例路由表。第一个条目使中的实例VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。

    目标位置 目标

    VPC B CIDR

    本地

    0.0.0.0/0

    transit-gateway-id
    VPCC 的路由表

    通过向 Internet NAT 网关添加路由,将网关配置为公有子网。将另一个子网保留为私有子网。

    以下是公有子网的示例路由表。第一个条目使中的VPC实例能够相互通信。第二个和第三个条目将 VPC A 和 VPC B 的流量路由到中转网关。其余条目将所有其他IPv4子网流量路由到互联网网关。

    目标位置 目标
    VPC C CIDR 本地
    VPC A CIDR transit-gateway-id
    VPC B CIDR transit-gateway-id
    0.0.0.0/0 internet-gateway-id

    以下是私有子网的示例路由表。第一个条目使中的VPC实例能够相互通信。第二个条目将所有其他IPv4子网流量路由到NAT网关。

    目标位置 目标
    VPC C CIDR 本地
    0.0.0.0/0 nat-gateway-id
    中转网关路由表

    以下是中转网关路由表的示例。每个CIDR区块都会VPC传播到公交网关路由表。静态路由向 VPC C 发送出站 Internet 流量。您可以选择通过为每个VPCCIDR路由添加黑洞路由来防止相互VPC通信。

    CIDR Attachment 路由类型

    VPC A CIDR

    Attachment for VPC A

    传播

    VPC B CIDR

    Attachment for VPC B

    传播

    VPC C CIDR

    Attachment for VPC C

    传播
    0.0.0.0/0

    Attachment for VPC C

    		 static

    您可以在共享服务中配置设备(例如安全设备)VPC。设备首先在共享服务VPC中检查在公交网关附件之间路由的所有流量。启用设备模式后,传输网关会使用流哈希算法选择设备VPC中的单个网络接口,在流量生命周期内将流量发送到该接口。中转网关为返程流量使用相同的网络接口。这可确保双向流量以对称方式路由,即在流量生命周期内,双向流量通过连接中的同一个可用区进行路由。VPC如果您的架构中有多个中转网关,则每个中转网关都保持自己的会话关联性,并且每个中转网关可以选择不同的网络接口。

    您必须将一个传输网关与设备连接起来,VPC以保证流量粘性。将多个传输网关连接到单个设备并VPC不能保证流量粘性,因为传输网关之间不共享流量状态信息。

    重要

    • 只要源流量和目标流量从同一个传输网关连接进入集中VPC(检查VPC),设备模式下的流量就可以正确路由。如果源和目的地位于两个不同的公交网关连接上,则流量可能会下降。如果集中网络VPC接收来自其他网关(例如 Internet 网关)的流量,然后在检查后将该流量发送到传输网关附件,则流量可能会下降。

    • 在现有连接上启用设备模式可能会影响该附件的当前路由,因为该连接可能会流经任何可用区。未启用设备模式时,流量将保持到原始可用区的流量。

    概述

    下表展示了此场景配置的主要组成部分。公交网关有三个VPC附件。VPCC 是共享服务VPC。VPCA 和 VPC B 之间的流量被路由到传输网关,然后路由到 VPC C 中的安全设备进行检查,然后再路由到最终目的地。设备是一个有状态的设备,因此将同时检查请求和响应流量。为了实现高可用性,VPCC 语言的每个可用区中都有一个设备

    共享服务中的设备 VPC

    您为此场景创建以下资源:

    注意

    只有源自检查的源流量和目标流量才能保证设备模式下的流量粘性。VPC

    有状态设备和设备模式

    如果您的VPC附件跨越多个可用区,并且您要求源主机和目标主机之间的流量通过同一台设备进行状态检查,请为设备所在的VPC附件启用设备模式支持。

    有关更多信息,请参阅 AWS 博客中的集中检查架构

    未启用设备模式时的行为

    如果未启用设备模式,则传输网关会尝试保持流量在原始可用区的VPC附件之间路由,直到流量到达目的地。只有当可用区出现故障或该可用区中没有与附件关联的子网时,流量才会在VPC附件之间穿过可用区。

    下图显示未启用设备模式支持时的流量。源自 VPC B 中可用区 2 的响应流量由传输网关路由到 VPC C 中的同一个可用区。因此,由于可用区 2 中的设备不知道来自 A 中来源的原始请求,因此流量会被丢弃。VPC

    到设备的响应流量丢失

    路由

    每个路由表都VPC有一个或多个路由表,公交网关有两个路由表。

    VPC路由表

    VPCA 和 VPC B

    VPCsA 和 B 的路由表有 2 个条目。第一个条目是中本地IPv4路由的默认条目VPC。此默认条目使该条目中的资源VPC能够相互通信。第二个条目将所有其他IPv4子网流量路由到传输网关。以下是 VPC A 的路由表。

    目标位置 目标

    10.0.0.0/16

    本地

    0.0.0.0/0

    tgw-id

    VPCC

    共享服务 VPC (VPCC) 的每个子网都有不同的路由表。子网 A 由传输网关使用(您在创建VPC连接时指定此子网)。子网 A 的路由表将所有流量路由到子网 B 中的设备。

    目的地 目标

    192.168.0.0/16

    本地

    0.0.0.0/0

    appliance-eni-id

    子网 B(包含设备)的路由表将流量路由回中转网关。

    目的地 目标

    192.168.0.0/16

    本地

    0.0.0.0/0

    tgw-id
    中转网关路由表

    此公交网关对 VPC A 和 VPC B 使用一个路由表,为共享服务 VPC (VPCC) 使用一个路由表。

    VPCA 和 VPC B 附件与以下路由表相关联。路由表将所有流量路由到 VPC C。

    目标位置 目标 路由类型

    0.0.0.0/0

    Attachment ID for VPC C

    static

    VPCC 连接与以下路由表关联。它将流量路由到 VPC A 和 VPC B。

    目标位置 目标 路由类型

    10.0.0.0/16

    Attachment ID for VPC A

    已传播

    10.1.0.0/16

    Attachment ID for VPC B

    		 传播