本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
架構 3:AWS Transit Gateway
AWS Transit Gateway 是連接 VPC 和內部部署網路的受管路由服務。Transit Gateway 可以協助您簡化網路拓撲並避免大量 VPC 之間複雜的對等關係。
Transit Gateway 可作為雲端路由器。每個新連線僅在 VPC 與傳輸閘道之間建立一次。透過使用傳輸閘道作為支援傳遞路由的中心,您無需在網狀拓撲中的每個單一 VPC 之間新增對等關係。如需有關 Transit Gateway 及其配額的詳細資訊,請參閱您傳輸閘道的配額。
使用 Transit Gateway 整合第三方服務具有下列優勢:
-
支援您的 VPC 與第三方網路之間的雙向流量
-
支援所有類型的 IP 流量 (包括 TCP 和 UDP)
-
在您的 VPC 與第三方網路之間部署集中式流量檢查點
-
隨著整合中涉及的 VPC 數量的變更輕鬆擴展
使用 Transit Gateway 解決方案的缺點包括:
-
此選項通常比直接對等互連選項更昂貴。
-
不支援重疊 CIDR 區塊。
-
許多第三方供應商不支援此解決方案,因為他們希望保持完整控制權並盡量減少與客戶共用元件。
下列架構圖顯示了使用 Transit Gateway 將您的 VPC 連接至第三方供應商的 VPC 的簡單表示。每個 VPC 都連接至傳輸閘道,並且此閘道支援所有附接的 VPC 之間的傳遞路由。
但是,實際組態更加細緻,此架構分為不同的部署考量事項和選項。
集中式網路檢查
如果您使用 Transit Gateway,則可以部署集中式網路流量檢查點,即專用檢查 VPC。透過使用與區域內對等連接關聯的路由表中的靜態路由,您可以將來自第三方網路的流量導向至檢查 VPC。若要檢查流量,您可以將 AWS Network Firewall 或 AWS Gateway Load Balancer 與部署在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上的虛擬安全設備搭配使用。如需詳細資訊,請參閱 AWS Network Firewall 的部署模型
傳輸閘道必須處於設備模式中,以便檢查 VPC 連接對稱路由雙向流量。如下列架構圖所示,傳輸閘道將流量從附接的 VPC 導向至檢查 VPC 中的彈性網路介面。
選取部署選項
首先要考慮的是您是要使用網路中現有傳輸閘道還是建立新的專用傳輸閘道。我們建議部署新的專用傳輸閘道,因為事實證明它可以提供更多控制並與第三方網路隔離。本指南中的架構範例建立新的傳輸閘道,您可以在現有閘道與新閘道之間建立對等互連。
要考慮的第二件事是哪種架構最適合您的使用案例:
-
架構 3.1:傳輸閘道與 AWS RAM – 在此部署選項中,您可與第三方帳戶共用單一傳輸閘道。您可使用 AWS Resource Access Manager (AWS RAM) 設定共用關係。
-
架構 3.2:Transit Gateway 對等互連 – 在此部署選項中,您將在兩個傳輸閘道 (您帳戶中的傳輸閘道和第三方帳戶中的傳輸閘道) 之間建立對等互連。
在這些選項之間進行選取時,考慮每個選項的下列優點和缺點。
| 架構 3.1:傳輸閘道與 AWS RAM | 架構 3.2:Transit Gateway 對等互連 | |
|---|---|---|
| 優勢 | 第三方帳戶不需要傳輸閘道,從而實現更精簡的架構。 | 第三方可能會發現此解決方案更容易接受,因為可更好地控制網路組態。 |
| 作為共用傳輸閘道的擁有者,您可以增強控制力和可見性。 | 由於第三方維護自己的 VPC 連接,因此您減少了營運工作量。 | |
| 缺點 | 第三方可能不願意,因為減少了他們對網路組態的控制。 | 網路架構更複雜。 |
| 您負責在第三方帳戶中設定與 VPC 的傳輸閘道連接。 | 此架構在流量路徑中建立了一個額外的躍點。 |
成本考量
在這些選項之間做出決定時,另請考慮下列成本影響:
-
傳輸閘道連接的每小時費用由連接的帳戶擁有者 (或 VPC) 收取。一些成本將由您承擔,其他成本將由第三方承擔。
-
資料處理費用由透過傳輸閘道傳送流量的 VPC 擁有者承擔。從傳輸閘道接收資料是免費的。
-
在兩個對等傳輸閘道之間傳送的資料不收取資料處理費用。
如需詳細資訊,請參閱 Transit Gateway 定價
