中转网关
AWS Transit Gateway 作为完全托管式服务提供了一种用于连接 VPC 和本地网络的中心辐射型设计,无需您预置 Cisco CSR 之类的虚拟设备。不需要 VPN 覆盖,AWS 管理高可用性和可扩展性。
Transit Gateway 使客户能够连接数千个 VPC。您可以将所有混合连接(VPN 和 Direct Connect 连接)附加到单个 Transit Gateway,从而在一个位置整合和控制组织的整个 AWS 路由配置(图 4)。Transit Gateway 使用路由表控制在所有已连接的分支网络之间路由流量的方式。这种中心辐射型模型简化了管理并降低了运营成本,因为 VPC 只连接到 Transit Gateway 即可访问已连接的网络。
图 4 – 使用 AWS Transit Gateway 的中心辐射型设计
Transit Gateway 是一种区域资源,可以连接同一 AWS 区域内的数千个 VPC。您可以为每个区域创建多个 Transit Gateway,但不能对等连接一个 AWS 区域内的 Transit Gateway,您还可以通过单个 Direct Connect 最多连接到三个 Transit Gateway 以实现混合连接。出于这些原因,您应该将架构限制为仅使用一个 Transit Gateway 来连接给定区域中的所有 VPC,并在需要时使用 Transit Gateway 路由表隔离它们。创建多个 Transit Gateway 的有效案例完全用于限制错误配置的影响范围。
将组织的 Transit Gateway 放入其网络服务账户中。这样,管理网络服务账户的网络工程师就可以进行集中管理。使用 AWS Resource Access Manager(RAM)共享 Transit Gateway,以便在同一区域内跨 AWS Organizations 中的多个账户连接 VPC。 借助 AWS RAM,您可以轻松安全地与任何 AWS 账户共享 AWS 资源,或在 AWS Organizations 内共享 AWS 资源。有关更多信息,请参阅在中央账户中自动将 AWS Transit Gateway 挂载与 Transit Gateway 关联
