使用 AWS Transit Gateway 集中化網路連線 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Transit Gateway 集中化網路連線

由米蒂利·帕拉古米 (AWS) 創建

環境:生產

技術:聯網

AWS 服務:AWS Transit Gateway;亞馬遜 VPC

Summary

此模式描述了 AWS Transit Gateway 可用於將現場部署網路連接到 AWS 區域內多個 AWS 帳戶中的虛擬私有雲 (VPC) 的最簡單組態。使用此設定,您可以建立混合式網路,連接區域中的多個 VPC 網路和內部部署網路。這是藉由使用傳輸閘道和內部署網路的虛擬私有網路 (VPN) 連線來完成。

先決條件和限制

先決條件

  • AWS 帳戶和 AWS Organizations 已設定

  • VPC 位於多個 AWS 帳戶中,而不會重疊無類別網域間路由 (CIDR) 區塊

限制

此模式不支援隔離特定 VPC 或內部部署網路之間的流量。連接到傳輸閘道的所有網絡將能夠到達對方。若要隔離流量,您需要在傳輸閘道上使用自訂路由表。此模式只會使用單一預設傳輸閘道路由表 (這是最簡單的組態) 來連線 VPC 和內部部署網路。

Architecture

目標技術堆疊

  • AWS Transit Gateway

  • AWS Site-to-Site VPN

  • VPC

  • AWS Resource Access Manager (AWS RAM)

目標架構

Tools

工具

  • AWS Transit Gateway— AWS Transit Gateway 可作為雲端路由器,可讓您將多個 AWS 帳戶和現場部署網路中的 Amazon VPC 連接到單一閘道,藉此簡化網路架構。

  • AWS Resource Access Manager— AWS Resource Access Manager (AWS RAM) 支援與 AWS 帳戶、組織單位或 AWS 組織的整個組織安全共用 AWS Organizations 資源。

Epics

任務描述所需技能
為組織中的網路服務建立專用的 AWS 帳戶。

AWS Organizations 中的這個帳戶可作為託管網路服務的帳戶。連接所有帳戶的中央交通閘道將部署在此帳戶中。

管理員
在網路服務帳戶中建立傳輸閘道。

傳輸閘道是區域性資源,可以將位於相同 AWS 區域中不同 AWS 帳戶的 VPC 連線。在所需區域啟動轉運閘道資源。開啟預設路由表關聯和傳播,以達到此模式中描述的組態。如需此說明以及其他史詩中的程序,請參閱 < 相關資源 > 一節。

管理員
任務描述所需技能
設定 VPN 連線的客戶閘道裝置。

傳輸閘道和內部署網路之間的站 Site-to-Site VPN 連線端連接客戶閘道裝置。在此工作中,識別或啟動支援的內部部署客戶裝置,並記下步驟 2 的公用 IP 位址。此裝置上的 VPN 設定是在步驟 3 中完成的。

管理員
在網路服務帳戶中,建立傳輸閘道的 VPN 附件。

若要設定連線,請為傳輸閘道建立 VPN 附件。

管理員
在您的現場部署網路中的客戶閘道裝置上設定 VPN。

下載傳輸閘道相關聯的 Site-to-Site VPN 連接組態檔,並在客戶閘道裝置上設定 VPN 設定。

管理員
任務描述所需技能
在 AWS Organizations 管理帳戶中,開啟共用功能。

若要與組織或特定組織單位共用傳輸閘道,請在 AWS Organizations 中開啟共用功能。否則,您需要個別共用每個帳戶的交通閘道。

管理員
在網路服務帳戶中建立傳輸閘道資源共用。

若要允許組織內其他 AWS 帳戶中的 VPC 連線到傳輸閘道,請在網路服務帳戶中使用 AWS RAM 主控台共用傳輸閘道資源。

管理員
任務描述所需技能
在個別帳戶中建立 VPC 附件。

在已共用轉移閘道的帳戶中,建立轉移閘道 VPC 附件。

管理員
接受 VPC 附件請求。

在網路服務帳戶中,接受傳輸閘道 VPC 附件要求。

管理員
任務描述所需技能
在個別帳戶 VPC 中設定路由。

在每個個別帳戶 VPC 中,使用傳輸閘道做為目標,將路由新增到內部署網路和其他 VPC 網路。

管理員
設定傳輸閘道路由表中的路由。

來自 VPC 和 VPN 連線的路由應該會傳播,並且應該會出現在傳輸閘道預設路由表中。如有需要,請在傳輸閘道預設路由表中建立任何靜態路由 (靜態 VPN 連線的靜態路由一個範例)。

管理員
新增安全群組和網路存取控制清單 (ACL) 規則。

對於 VPC 中的 EC2 執行個體和其他資源,請確保安全群組規則和網路 ACL 規則允許 VPC 和內部部署網路之間的流量。

管理員
任務描述所需技能
測試 VPC 之間的連線能力。

確定網路 ACL 和安全性群組允許網際網路控制訊息通訊協定 (ICMP) 流量,然後從 VPC 中的執行個體 Ping 到另一個也連線到傳輸閘道的 VPC。

管理員
測試 VPC 與內部部署網路之間的連線能力。

確定網路 ACL 規則、安全性群組規則和任何防火牆允許 ICMP 流量,然後在 VPC 中的內部部署 netwrok 和 EC2 執行個體之間執行 ping。必須先從內部部署網路啟動網路通訊,才能讓 VPN 連線進入 UP 狀態。

管理員

建立傳輸閘道

將傳輸閘道 Connect 到您的現場部署網路

共用傳輸閘道

Connect VPC

設定路由

其他資源