使用 AWS Transit Gateway 集中網路連線

PDF

由 Mydhili Palagummi (AWS) 和 Nikhil Marrapu (AWS) 建立

Summary

此模式描述最簡單的組態，其中 AWS Transit Gateway 可用來將內部部署網路連接到 AWS 區域內多個 AWS 帳戶中的虛擬私有雲端 (VPCs)。使用此設定，您可以建立混合網路，以連接 區域中的多個 VPC 網路和內部部署網路。這可透過使用傳輸閘道和虛擬私有網路 (VPN) 連線至內部部署網路來完成。

先決條件和限制

先決條件

• 用於託管網路服務的帳戶，以 AWS Organizations 中組織的成員帳戶進行管理

• 多個 AWS 帳戶中VPCs，沒有重疊的無類別網域間路由 (CIDR) 區塊

限制

此模式不支援隔離特定 VPCs或內部部署網路之間的流量。連接到傳輸閘道的所有網路將能夠互相連接。若要隔離流量，您需要在傳輸閘道上使用自訂路由表。此模式只會使用單一預設傳輸閘道路由表來連接 VPCs 和內部部署網路，這是最簡單的組態。

架構

目標技術堆疊

• AWS Transit Gateway

• AWS Site-to-Site VPN

• VPC

• AWS Resource Access Manager (AWS RAM)

目標架構

工具

AWS 服務

• AWS Resource Access Manager (AWS RAM) 可協助您在 AWS 帳戶、組織單位或整個組織中安全地共用資源 AWS Organizations 。

• AWS Transit Gateway 是中央中樞，可連接虛擬私有雲端 (VPCs) 和內部部署網路。

史詩

在網路服務帳戶中建立傳輸閘道

任務	描述	所需的技能
建立傳輸閘道。	在您要託管網路服務的 AWS 帳戶中，在目標 AWS 區域中建立傳輸閘道。如需說明，請參閱建立傳輸閘道。注意下列事項： 選取預設路由表關聯。 選取預設路由表傳播。	網路管理員

在網路服務帳戶中建立傳輸閘道

任務	描述	所需的技能
建立傳輸閘道。	在您要託管網路服務的 AWS 帳戶中，在目標 AWS 區域中建立傳輸閘道。如需說明，請參閱建立傳輸閘道。注意下列事項： 選取預設路由表關聯。 選取預設路由表傳播。	網路管理員

將傳輸閘道連接至您的內部部署網路

任務	描述	所需的技能
設定客戶閘道裝置以進行 VPN 連線。	客戶閘道裝置會連接到傳輸閘道與內部部署網路之間Site-to-Site連線的內部部署端。如需詳細資訊，請參閱 AWS Site-to-Site VPN 文件中的您的客戶閘道裝置。識別或啟動支援的現場部署客戶裝置，並記下其公有 IP 地址。VPN 組態稍後在此史詩中完成。	網路管理員
在網路服務帳戶中，建立傳輸閘道的 VPN 連接。	若要設定連線，請為傳輸閘道建立 VPN 連接。如需說明，請參閱傳輸閘道 VPN 附件。	網路管理員
在內部部署網路的客戶閘道裝置上設定 VPN。	下載與傳輸閘道相關聯的Site-to-Site連線組態檔案，並在客戶閘道裝置上設定 VPN 設定。如需說明，請參閱下載組態檔案。	網路管理員

將傳輸閘道連接至您的內部部署網路

任務	描述	所需的技能
設定客戶閘道裝置以進行 VPN 連線。	客戶閘道裝置會連接到傳輸閘道與內部部署網路之間Site-to-Site連線的內部部署端。如需詳細資訊，請參閱 AWS Site-to-Site VPN 文件中的您的客戶閘道裝置。識別或啟動支援的現場部署客戶裝置，並記下其公有 IP 地址。VPN 組態稍後在此史詩中完成。	網路管理員
在網路服務帳戶中，建立傳輸閘道的 VPN 連接。	若要設定連線，請為傳輸閘道建立 VPN 連接。如需說明，請參閱傳輸閘道 VPN 附件。	網路管理員
在內部部署網路的客戶閘道裝置上設定 VPN。	下載與傳輸閘道相關聯的Site-to-Site連線組態檔案，並在客戶閘道裝置上設定 VPN 設定。如需說明，請參閱下載組態檔案。	網路管理員

將網路服務帳戶中的傳輸閘道分享給其他 AWS 帳戶或您的組織

任務	描述	所需的技能
在 AWS Organizations 管理帳戶中，開啟共用。	若要與您的組織或特定組織單位共用傳輸閘道，請在 AWS Organizations 中開啟共用。否則，您需要個別共用每個帳戶的傳輸閘道。如需說明，請參閱在 AWS Organizations 中啟用資源共享。	AWS 系統管理員
在網路服務帳戶中建立傳輸閘道資源共用。	若要允許組織中其他 AWS 帳戶中VPCs 連線到傳輸閘道，請在網路服務帳戶中使用 AWS RAM 主控台來共用傳輸閘道資源。如需說明，請參閱建立資源共享。	AWS 系統管理員

將網路服務帳戶中的傳輸閘道分享給其他 AWS 帳戶或您的組織

任務	描述	所需的技能
在 AWS Organizations 管理帳戶中，開啟共用。	若要與您的組織或特定組織單位共用傳輸閘道，請在 AWS Organizations 中開啟共用。否則，您需要個別共用每個帳戶的傳輸閘道。如需說明，請參閱在 AWS Organizations 中啟用資源共享。	AWS 系統管理員
在網路服務帳戶中建立傳輸閘道資源共用。	若要允許組織中其他 AWS 帳戶中VPCs 連線到傳輸閘道，請在網路服務帳戶中使用 AWS RAM 主控台來共用傳輸閘道資源。如需說明，請參閱建立資源共享。	AWS 系統管理員

將 VPCs連接至傳輸閘道

任務	描述	所需的技能
在個別帳戶中建立 VPC 附件。	在已共用傳輸閘道的帳戶中，建立傳輸閘道 VPC 附件。如需說明，請參閱建立傳輸閘道連接至 VPC。	網路管理員
接受 VPC 連接請求。	在網路服務帳戶中，接受傳輸閘道 VPC 連接請求。如需說明，請參閱接受共用附件。	網路管理員

將 VPCs連接至傳輸閘道

任務	描述	所需的技能
在個別帳戶中建立 VPC 附件。	在已共用傳輸閘道的帳戶中，建立傳輸閘道 VPC 附件。如需說明，請參閱建立傳輸閘道連接至 VPC。	網路管理員
接受 VPC 連接請求。	在網路服務帳戶中，接受傳輸閘道 VPC 連接請求。如需說明，請參閱接受共用附件。	網路管理員

設定路由

任務	描述	所需的技能
在個別帳戶 VPCs中設定路由。	在每個個別帳戶 VPC 中，使用傳輸閘道做為目標，將路由新增至內部部署網路和其他 VPC 網路。如需說明，請參閱從路由表新增和移除路由。	網路管理員
在傳輸閘道路由表中設定路由。	應傳播 VPCs和 VPN 連線的路由，且應顯示在傳輸閘道預設路由表中。如有需要，請在傳輸閘道預設路由表中建立任何靜態路由 （其中一個範例是靜態 VPN 連線的靜態路由）。如需說明，請參閱建立靜態路由。	網路管理員
新增安全群組和網路存取控制清單 (ACL) 規則。	對於 VPC 中的 EC2 執行個體和其他資源，請確保安全群組規則和網路 ACL 規則允許 VPCs 與內部部署網路之間的流量。如需說明，請參閱使用安全群組控制資源的流量，以及從 ACL 新增和刪除規則。	網路管理員

設定路由

任務	描述	所需的技能
在個別帳戶 VPCs中設定路由。	在每個個別帳戶 VPC 中，使用傳輸閘道做為目標，將路由新增至內部部署網路和其他 VPC 網路。如需說明，請參閱從路由表新增和移除路由。	網路管理員
在傳輸閘道路由表中設定路由。	應傳播 VPCs和 VPN 連線的路由，且應顯示在傳輸閘道預設路由表中。如有需要，請在傳輸閘道預設路由表中建立任何靜態路由 （其中一個範例是靜態 VPN 連線的靜態路由）。如需說明，請參閱建立靜態路由。	網路管理員
新增安全群組和網路存取控制清單 (ACL) 規則。	對於 VPC 中的 EC2 執行個體和其他資源，請確保安全群組規則和網路 ACL 規則允許 VPCs 與內部部署網路之間的流量。如需說明，請參閱使用安全群組控制資源的流量，以及從 ACL 新增和刪除規則。	網路管理員

測試連線

任務	描述	所需的技能
測試 VPCs之間的連線。	確保網路 ACL 和安全群組允許網際網路控制訊息通訊協定 (ICMP) 流量，然後從 VPC 中的執行個體 ping 到另一個也連接到傳輸閘道的 VPC。	網路管理員
測試 VPCs與內部部署網路之間的連線。	確保網路 ACL 規則、安全群組規則和任何防火牆允許 ICMP 流量，然後在 VPCs 中的內部部署網路和 EC2 執行個體之間 ping。必須先從內部部署網路啟動網路通訊，才能將 VPN 連線變成 UP 狀態。	網路管理員

測試連線

任務	描述	所需的技能
測試 VPCs之間的連線。	確保網路 ACL 和安全群組允許網際網路控制訊息通訊協定 (ICMP) 流量，然後從 VPC 中的執行個體 ping 到另一個也連接到傳輸閘道的 VPC。	網路管理員
測試 VPCs與內部部署網路之間的連線。	確保網路 ACL 規則、安全群組規則和任何防火牆允許 ICMP 流量，然後在 VPCs 中的內部部署網路和 EC2 執行個體之間 ping。必須先從內部部署網路啟動網路通訊，才能將 VPN 連線變成 UP 狀態。	網路管理員

相關資源

• 建置可擴展且安全的多 VPC AWS 網路基礎設施 (AWS 白皮書）

• 使用共用資源 (AWS RAM 文件）

• 使用傳輸閘道 (AWS Transit Gateway 文件）