本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
傳輸閘道的運作方式
傳輸閘道可做為區域虛擬路由器,可讓流量在您的 Virtual Private Cloud (VPC) 與內部部署網路間傳遞,並依據網路流量大小來彈性擴展。經過傳輸閘道的路由會在 Layer 3 運作,其中封包會依據目的地 IP 地址,傳送至下一個特定躍點連接。
架構圖
下圖說明搭配三個 VPC 連線的傳輸閘道。其中每個 VPC 的路由表都包含本機路由以及將發往另外兩個 VPC 的流量傳送到傳輸閘道的路由。
以下為上圖中所示連接的預設傳輸閘道路由表範例。每個 VPC 的 CIDR 區塊會傳播至路由表。因此,每個連接都可以將封包路由到其他兩個連接。
| 目的地 | 目標 | 路由類型 |
|---|---|---|
VPC A CIDR |
VPC A 的連接 |
傳播 |
VPC B CIDR |
VPC B 的連接 |
傳播 |
VPC C CIDR |
VPC C 的連接 |
已傳播 |
資源連接
傳輸閘道連接同時為封包的來源和目的地,您可以將下列資源連接至您的傳輸閘道:
-
一或多個 VPC。 AWS Transit Gateway 會在 VPC 子網路內部署 elastic network interface,然後傳輸閘道會使用該介面來路由所選子網路的流量。對於每個可用區域,您必須至少有一個子網路,這樣可讓流量抵達該區域中所有子網路的資源。在建立連接期間,只有在同一區域內啟用子網路時,特定可用區域內的資源才能到達傳輸閘道。如果子網路路由表包含至傳輸閘道的路由,則只有當傳輸閘道在相同可用區域的子網路中有連接時,流量才會轉送至該傳輸閘道。
-
一個或多個 VPN 連線
-
一或多個 AWS Direct Connect 閘道
-
一個或多個 Transit Gateway Connect 連接
-
一或多個傳輸閘道對等連線
-
傳輸閘道連接可以同時為封包的來源和目的地,
等價多路徑路由
AWS Transit Gateway 支援大多數附件的等成本多重路徑 (ECMP) 路由。對於 VPN 連接,您可以在建立或修改傳輸閘道時使用主控台啟用或停用 ECMP 支援。對於所有其他連接類型,下列 ECMP 限制將適用:
-
VPC - VPC 不支援 ECMP,因為 CIDR 區塊無法重疊。例如,您不能將使用 CIDR 10.1.0.0/16 的 VPC 與使用相同 CIDR 的第二個 VPC 連接至傳輸閘道,然後設定路由以負載平衡 VPC 之間的流量。
-
VPN - 停用 VPN ECMP 支援選項後,傳輸閘道會使用內部指標來決定在多個路徑之間具有相同字首時的偏好路徑。如需有關啟用或停用 VPN 連接的 ECMP 的詳細資訊,請參閱 傳輸閘道。
-
AWS Transit Gateway Connect-自動 AWS Transit Gateway Connect 附件支持 ECMP。
-
AWS Direct Connect 閘道- AWS Direct Connect 當網路前置字首、字首長度和 AS_PATH 完全相同時,閘道附件會自動支援多個直 Connect 閘道附件的 ECMP。
-
傳輸閘道對等 - 傳輸閘道對等不支援 ECMP,因為其既不支援動態路由,也不能針對兩個不同的目標設定相同的靜態路由。
注意
-
不支援 BGP Multipath AS-Path Relax,因此您無法在不同的自治系統編號 (ASN) 上使用 ECMP。
-
不同連接類型之間不支援 ECMP。例如,您無法在 VPN 和 VPN 連接之間啟用 ECMP。取而代之的是,系統會評估傳輸閘道路由,並相應地將流量路由至評估的路由。如需詳細資訊,請參閱 路由評估順序。
-
單一 Direct Connect 閘道支援跨多個傳輸虛擬介面的 ECMP。因此,我們建議您只設定並使用單一 Direct Connect 閘道,而不要設定和使用多個閘道來利用 ECMP。如需 Direct Connect 閘道和公用虛擬介面的詳細資訊,請參閱如何設定 AWS 從公用虛擬介面連線到的主動/主動/主動/被動直接連線連線
? 。
可用區域
將 VPC 附加至傳輸閘道時,您必須啟用傳輸閘道將使用的一個或多個可用區域,以將流量路由至 VPC 子網路內的資源。如要啟用每個可用區域,您必須確切指定一個子網路。傳輸閘道會使用該子網路的一個 IP 地址,將網路介面至於其中。啟用可用區域後,即可將流量路由至 VPC 中的所有子網路,而不是只路由至指定的子網路或可用區域。但只有位於有傳輸閘道連接之可用區域中的資源才能到達傳輸閘道。
如果流量來自目的地附件不存在的可用區域, AWS Transit Gateway 會在內部將該流量路由到存在附件的隨機可用區域。此類型的跨可用區域流量不需要支付額外的傳輸閘道費用。
建議您啟用多個可用區域來確保可用性。
使用設備模式支援
如果您計劃在 VPC 中配置可配置狀態的網路設備,則可以針對設備所在的 VPC 連接啟用設備模式支援。這可確保傳輸閘道在來源和目的地之間流量的存留期內,為該 VPC 連接使用相同的可用區域。它還允許傳輸閘道將流量傳送到 VPC 中的任何可用區域,只要該區域中有子網路關聯。如需詳細資訊,請參閱 範例:共享服務 VPC 中的設備。
路由
您的傳輸閘道會使用傳輸閘道路由表在連接之間路由 IPv4 和 IPv6 封包路由傳送。您可將這些路由表設定為針對已連接 VPC、VPN 連線和 Direct Connect 閘道,從路由表來傳播路由。您也可以將靜態路由新增至傳輸閘道路由表。封包從一個連接傳送時,將使用目的地 IP 地址相符的路由,路由至另一個連接。
對於傳輸閘道對等連接,只支援靜態路由。
路由表
您的傳輸閘道會自動附帶預設路由表。根據預設,此路由表為預設的相關聯路由表及傳播路由表。或者,如果您停用路由傳播和路由表關聯, AWS 就不會為傳輸閘道建立預設路由表。
您可以為傳輸閘道建立其他路由表。如此即可隔離連接的子網路。每個連接可以與一個路由表相關聯。一個連接可以將其路由傳播至一或多個路由表。
您可以在您的傳輸閘道路由表中建立 blackhole 路由,降低符合路由的流量。
當您將 VPC 連接至傳輸閘道時,您必須將路由新增至子網路路由表,才能透過傳輸閘道路由流量。如需詳細資訊,請參閱《Amazon VPC 使用者指南》https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html#route-tables-tgw中的傳輸閘道的路由傳送。
路由表關聯
您可以將傳輸閘道連接與單一路由表產生關聯。每個路由表可與零個至多個連接建立關聯,也可將封包轉送至其他連接。
路由傳播
每個連接會隨附路由,這些路由可安裝在一個或多個傳輸閘道路由表中。連接傳播至傳輸閘道路由表時,這些路由就會安裝在路由表中。您無法依公告路由篩選。
若為 VPC 連接,VPC 的 CIDR 區塊會傳播至傳輸閘道路由表。
動態路由搭配 VPN 連接或 Direct Connect 閘道連接使用時,您可以透過 BGP 將現場部署路由器的路由傳播至任一 Transit Gateway 路由表。
動態路由搭配 VPN 連接使用時,與 VPN 連接相關聯之路由表中的路由會透過 BGP 向客戶閘道公告。
對於 Connect 連接,與 Connect 連接關聯的路由表中的路由將通告給透過 BGP 在 VPC 中運行的第三方虛擬設備 (如 SD-WAN 設備)。
對於 Direct Connect 閘道附件,允許的前置詞互動控制哪些路由從客戶網路通告。 AWS
當靜態路由和傳播路由具有相同的目的地時,靜態路由具有較高的優先順序,因此傳播路由不會包含在路由表中。如果您移除靜態路由,重疊的傳播路由會包含在路由表中。
對等連接的路由
您可以使兩個傳輸閘道對等,並在其間路由流量。若要這樣做,您可以在傳輸閘道上建立互連連接,並指定用來建立互連連接的互連傳輸閘道。然後,您可以在傳輸閘道路由表中建立靜態路由,將流量路由傳送至傳輸閘道互連連接。然後,路由至互連傳輸閘道的流量可以路由至互連傳輸閘道的 VPC 和 VPN 連接。
如需詳細資訊,請參閱 範例:對等傳輸閘道。
路由評估順序
傳輸閘道路由會依下列順序評估:
-
目的地位址的最特定路由。
-
對於具有相同 CIDR 但來自不同附件類型的路線,路由優先順序如下:
-
靜態路由 (例如,Site-to-Site VPN 靜態路由)
-
參照字首清單的路由
-
VPC 人雲端傳播的路由
-
直接 Connect 閘道傳播的路由
-
傳 Transit Gateway 連線傳播的路由
-
透過私有直接連線傳播的路由上的 Site-to-Site VPN
-
網站對站台 VPN 傳播的路由
-
傳 Transit Gateway 對等傳播路由 (雲端 WAN)
-
某些附件支援透過 BGP 進行路由廣告。對於具有相同 CIDR 和相同附件類型的路由,路由優先順序由 BGP 屬性控制:
-
更短的 AS 路徑長度
-
較低的醫學價值
-
如果附件支持,則優先使用 IBGP 路由的 EBGP
重要
AWS 對於具有相同 CIDR、附件類型和 BGP 屬性的 BGP 路由,無法保證一致的路由優先順序,如上所列。
AWS Transit Gateway 僅顯示偏好的路線。備份路由只會出現在 Transit Gateway 路由表中,如果不再通告該路由,例如,如果您透過 Direct Connect 閘道和 Site-to-Site VPN 廣告相同的路由。 AWS 「公共 Transit Gateway」只會顯示從「直接 Connect」閘道路由接收到的路由,這是首選路由。Site-to-Site VPN 是備份路由,只有在不再通告 Direct Connect 閘道時才會顯示。
VPC 和傳輸閘道路由表差異
無論您使用的是 VPC 路由表還是運輸閘道路由表,路由表評估都會有所不同。
以下範例顯示 VPC 路由表。VPC 本機路由具有最高優先順序,後面接著最特定的路由。當靜態路由和傳播的路由具有相同目的地時,靜態路由具有較高優先順序。
| 目的地 | 目標 | 優先順序 |
|---|---|---|
| 10.0.0.0/16 |
區域 |
1 |
| 192.168.0.0/16 | pcx-12345 | 2 |
| 172.31.0.0/16 | vgw-12345 (靜態) 或 tgw-12345 (靜態) |
2 |
| 172.31.0.0/16 | vgw-12345 (傳播) | 3 |
| 0.0.0.0/0 | igw-12345 | 4 |
下列範例顯示傳輸閘道路由表。如果您偏好 AWS Direct Connect 閘道連接,而非 VPN 連接,則請使用 BGP VPN 連線並傳播傳輸閘道路由表中的路由。
| 目的地 | 連接 (目標) | 資源類型 | 路由類型 | 優先順序 |
|---|---|---|---|---|
| 10.0.0.0/16 | tgw-attach-123 | vpc-1234 | VPC | 靜態或傳播 | 1 |
| 192.168.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | 靜態 | 2 |
| 172.31.0.0/16 | tgw-attach-456 | dxgw_id | AWS Direct Connect 閘道 | 已傳播 | 3 |
| 172.31.0.0/16 | 東方附件 -789 | -123 tgw-connect-peer | 連接 | 已傳播 | 4 |
| 172.31.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | 已傳播 | 5 |
