本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Transit Gateway 集中網路連線
由邁德希利帕拉格米(AWS)和尼基爾馬拉普(AWS)創建
環境:生產 | 技術:網路 | AWS 服務:AWS Transit Gateway;Amazon VPC |
Summary
此模式描述最簡單的組態,其中 AWS Transit Gateway 可用來將現場部署網路連接到 AWS 區域內多個 AWS 帳戶中的虛擬私有雲 (VPC)。使用此設定,您可以建立混合式網路,以連接一個區域和內部部署網路中的多個 VPC 人雲端網路。這是透過使用傳輸閘道和內部部署網路的虛擬私人網路 (VPN) 連線來完成。
先決條件和限制
先決條件
用於託管網路服務的帳戶,以 AWS Organizations 中組織的成員帳戶進行管理
VPC 位於多個 AWS 帳戶,沒有重疊的無類別網域間路由 (CIDR) 區塊
限制
此病毒碼不支援隔離特定 VPC 或內部部署網路之間的流量。連接到傳輸閘道的所有網絡都可以互相連接。若要隔離流量,您需要在傳輸閘道上使用自訂路由表。此模式只會使用單一預設傳輸閘道路由表 (最簡單的組態) 來連接 VPC 和內部部署網路。
架構
目標技術堆疊
AWS Transit Gateway
AWS Site-to-Site VPN
VPC
AWS Resource Access Manager (AWS RAM)
目標架構
工具
AWS 服務
AWS Resource Access Manager (AWS RAM) 可協助您透過 AWS 組織在 AWS 帳戶、組織單位或整個組織之間安全地共用資源。
AWS Transit Gateway 是連接虛擬私有雲 (VPC) 和現場部署網路的中央中樞。
史诗
| 任務 | 描述 | 所需技能 |
|---|---|---|
建立傳輸閘道。 | 在您要託管網路服務的 AWS 帳戶中,在目標 AWS 區域建立傳輸閘道。如需指示,請參閱建立傳輸閘道。注意下列事項:
| 網路管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
為 VPN 連線設定客戶閘道裝置。 | 客戶閘道裝置附加在傳輸閘道與內部部署網路之間的站對站 VPN 連線的內部部署端。如需詳細資訊,請參閱 AWS 站 Site-to-Site VPN 文件中的客戶閘道裝置。識別或啟動支援的內部部署客戶裝置,並記下其公用 IP 位址。VPN 配置在這個史詩後面完成。 | 網路管理員 |
在網路服務帳戶中,建立傳輸閘道的 VPN 附件。 | 若要設定連線,請為傳輸閘道建立 VPN 附件。如需指示,請參閱傳輸閘道 VPN 附件。 | 網路管理員 |
在內部部署網路中的客戶閘道裝置上設定 VPN。 | 下載與傳輸閘道相關聯之 Site-to-Site VPN 連線的組態檔案,並在客戶閘道裝置上設定 VPN 設定。如需指示,請參閱下載組態檔案。 | 網路管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
在 AWS Organizations 管理帳戶中,開啟共用功能。 | 若要與您的組織或特定組織單位共用傳輸閘道,請在 AWS Organizations Organization 中開啟共用功能。否則,您將需要分別共享每個帳戶的傳輸閘道。如需指示,請參閱啟用 AWS Organizations 內的資源共用。 | AWS 系統管理員 |
在網路服務帳戶中建立傳輸閘道資源共用。 | 若要允許組織內其他 AWS 帳戶中的 VPC 連線到傳輸閘道,請在網路服務帳戶中使用 AWS RAM 主控台共用傳輸閘道資源。如需指示,請參閱建立資源共用。 | AWS 系統管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
在個別帳戶中建立 VPC 附件。 | 在傳輸閘道已共用的帳戶中,建立傳輸閘道 VPC 附件。如需指示,請參閱建立 VPC 的傳輸閘道附件。 | 網路管理員 |
接受 VPC 附件請求。 | 在網路服務帳戶中,接受傳輸閘道 VPC 附件要求。如需相關指示,請參閱接受共用附件。 | 網路管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
在個別帳戶 VPC 中設定路由。 | 在每個個別帳戶 VPC 中,使用傳輸閘道做為目標,將路由新增至內部部署網路和其他 VPC 網路。如需指示,請參閱從路由表中新增和移除路由。 | 網路管理員 |
在傳輸閘道路由表中設定路由。 | 應該會傳播來自 VPC 和 VPN 連線的路由,並且應該會顯示在傳輸閘道預設路由表格中。如有需要,請在傳輸閘道預設路由表格中建立任何靜態路由 (其中一個範例是靜態 VPN 連線的靜態路由)。如需指示,請參閱建立靜態路由。 | 網路管理員 |
新增安全性群組和網路存取控制清單 (ACL) 規則。 | 對於 VPC 中的 EC2 執行個體和其他資源,請確保安全群組規則和網路 ACL 規則允許 VPC 和現場部署網路之間的流量。如需指示,請參閱使用安全性群組控制資源的流量和從 ACL 新增和刪除規則。 | 網路管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
測試 VPC 之間的連線能力。 | 確定網路 ACL 和安全性群組允許網際網路控制訊息通訊協定 (ICMP) 流量,然後從 VPC 中的執行個體偵測到另一個也連線至傳輸閘道的 VPC。 | 網路管理員 |
測試 VPC 與內部部署網路之間的連線。 | 確保網路 ACL 規則、安全群組規則和任何防火牆允許 ICMP 流量,然後在現場部署網路和 VPC 中的 EC2 執行個體之間執行 Ping。必須先從內部部署網路啟動網路通訊,才能使 VPN 連線進入 | 網路管理員 |
相關資源
建立可擴展且安全的多 VPC AWS 網路基礎設施
(AWS 白皮書) 使用共用資源 (AWS 記憶體文件)
使用傳輸閘道 (AWS Transit Gateway 文件)
