中转网关设计最佳实践
以下是适用于transit gateway设计的最佳实践:
-
为每个 transit gateway VPC 挂载使用单独的子网。对于每个子网,请使用小型 CIDR(例如
/28
),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容:-
将与 transit gateway 子网关联的入站和出站网络 ACL 保持打开状态。
-
根据流量,您可以将网络 ACL 应用于工作负载子网。
-
-
创建一个网络 ACL 并将其与关联到transit gateway的所有子网相关联。确保网络 ACL 在入站和出站方向打开。
-
将同一个 VPC 路由表与关联到transit gateway的所有子网相关联,除非您的网络设计需要多个 VPC 路由表(例如,通过多个 NAT 网关路由流量的中间盒 VPC)。
-
使用边界网关协议 (BGP) Site-to-Site VPN 连接。如果用于连接的客户网关设备或防火墙支持多路径,请启用该功能。
-
为 AWS Direct Connect 网关附件和 BGP Site-to-Site VPN 附件启用路由传播。
-
从 VPC 对等连接迁移以使用 时,
-
transit gateway 不支持安全组引用。
-
如果 VPC 对等连接和 transit gateway 之间的 MTU 大小不匹配,则可能会因非对称流量而导致一些丢包。同时更新两个 VPC,以避免由于大小不匹配而导致的巨型数据包丢包。
-
-
您不需要额外的transit gateways以实现高可用性,因为transit gateways在设计时便提供了高可用性。
-
限制transit gateway路由表的数量,除非您的设计需要多个transit gateway路由表。
-
为确保冗余,请在每个 区域 中使用单个 Transit Gateway 进行灾难恢复。
-
对于带多个 transit gateways 的部署,我们建议您为每个 transit gateways 使用唯一自治系统号 (ASN)。Transit Gateway 还支持区域内对等连接。有关更多信息,请参阅使用 AWS Transit Gateway 区域间对等构建全球网络
。