点击上方蓝字关注我们
Transit Gateway中转网关,相当于一台云路由器,将Amazon 虚拟私有云(VPC)、VPN连接、本地网络(IDC)连接到一个中转网关中,实现互联互通。
您可以挂载以下各项:
一个或多个 VPC
Connect SD-WAN/第三方网络设备
一个 AWS Direct Connect 网关
与另一个中转网关的对等连接
与中转网关的 VPN 连接
网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小(以字节为单位)。
对于 VPC、AWS Direct Connect、Transit Gateway Connect 和对等连接挂载之间的流量,中转网关支持的 MTU 为 8500 字节。
VPN 连接上的流量可以具有的 MTU 为 1500 字节。
中转网关具有默认的路由表,且可选具有其他路由表。路由表包含动态路由和静态路由。
默认情况下,Transit Gateway 挂载与默认的中转网关路由表关联。
每个挂载与一个路由表关联。每个路由表可以与零到多个附件关联。
VPC、VPN 连接或 Direct Connect 网关可以动态地将路由传播到中转网关路由表。
默认情况下,使用 Connect 挂载,路由会传播到中转网关路由表。
使用 VPC 时,您必须创建静态路由以将流量发送到中转网关。
使用 VPN 连接时,路由使用边界网关协议 (BGP) 从中转网关传播到本地路由器。
使用 Direct Connect 网关时,允许的前缀使用 BGP 溯源至本地路由器。
使用对等连接的连接时,您必须在中转网关路由表中创建静态路由以指向对等连接。
需求:使用AWS Transit Gateway,打通VPC之间内网,主机ABCD相互ping通。
环境:四个VPC,每个VPC下有台测试主机分别为:主机A-10.1.1.154、主机B-10.2.2.169、主机C-10.3.3.60、主机D-10.4.4.222
实验前记录测试结论:登录主机A,分别ping主机BCD测试连通性——均ping不通。
通过本实验掌握:
配置 Transit Gateway;
将 VPC 附加到 Transit Gateway;
使用 AWS Transit Gateway 控制和自定义路由;
在 AWS 管理控制台中,使用 AWS 搜索栏搜索 VPC,然后从结果列表中选择该服务->在左侧导航窗格中,向下滚动到 Transit Gateway 部分->选择 Transit Gateway:
在页面顶部,选择 Create transit gateway(创建 Transit Gateway)。此时将显示 Create transit gateway(创建 Transit Gateway)页面:
配置以下各项:
Name tag(名称标签):maintransitgw
Amazon side ASN(Amazon 端 ASN):65001
取消选中 VPN ECMP support(VPN ECMP 支持) ----附上此 Transit Gateway 的 VPN 连接的等成本多路径 (ECMP) 路由。
取消选中 Default route table association(默认路由表关联) ----使用此 Transit Gateway 的原定设置路由表自动关联 Transit Gateway 挂载。
取消选中 Default route table propagation(默认路由表传播)----使用此 Transit Gateway 的原定设置路由表自动传播 Transit Gateway 挂载。
选择 Create transit gateway(创建 Transit Gateway)按钮。
You successfully created tgw-0fbxxxxxccd / maintransitgw.(您已成功创建 tgw-0fbxxxxxccd / maintransitgw。):
注意:Transit Gateway 处于 Pending(待处理)状态几分钟后,会变为 Available(可用)状 态。
在此任务中,您需要将 VPC 附加到 Transit Gateway,如下图所示:
在左侧导航窗格的 Transit Gateway 部分中,选择 Transit Gateway Attachments( Transit Gateway 挂载)。
在页面顶部,选择 Create transit gateway attachment(创建 Transit Gateway 挂载)按钮
配置以下各项:
• Name tag - optional(名称标签 - 可选):vpc-a
• Transit Gateway ID:选择 Transit Gateway ID
• Attachment type(挂载类型):VPC
• VPC ID:选择名为 vpc-a 的 VPC
• 选择 Create transit gateway attachment(创建 Transit Gateway 挂载)按钮。
You successfully created VPC attachment tgw-attach-09f2xxxxxx52e.(您已成功创建 VPC 挂载 tgw-attach-09f2xxxxxx52e。)
重复上述步骤,将 vpc-b、vpc-c 和 vpc-d 附加到 Transit Gateway。
使用中转网关路由表为中转网关挂载配置路由。路由表控制所有关联挂载的流量的流动方式。
在左侧导航窗格的 Transit Gateway 部分中,选择 Transit Gateway Route Tables( Transit Gateway 路由表):
在页面顶部,选择 Create transit gateway route table(创建 Transit Gateway 路由表)按钮:
配置以下各项:
• Name tag - optional(名称标签 - 可选):maintransitgw-rt
• Transit Gateway ID:选择 Transit Gateway ID
• 选择 Create transit gateway route table(创建 Transit Gateway 路由表)按钮。
请刷新页面,直到状态显示为 Available(可用):
将中转网关路由表与中转网关挂载相关联。将挂载与路由表关联之后,流量 就可以从挂载发送到目标路由表。
注意:一个 Transit Gateway 挂载只能与一个路由表相关联。每个路由表可以关联零到多个挂载 ,并可以将数据包转发到其他挂载。
选择 maintransitgw-rt Transit Gateway 路由表-> 选择 Associations(关联)选项卡->选择 Create association(创建关联):
Choose attachment to associate(选择要关联的挂载):选择名称标签为 vpc-a 的挂载 ID:
创建每个关联可能需要几分钟时间。请刷新页面,直到所有挂载的状态都显示为Associated(已关联):
重复上述步骤,将 vpc-b、vpc-c 和 vpc-d 的关联添加到路由表中。
使用路由传播将路由表中的路由添加到挂载。添加传播之后,路由可以从挂载传播到目标中转网关路由表。一个挂载可以传播到多个路由表。如下创建前的截图:
选择 Create propagation(创建传播)按钮。此时将显示 Create propagation(创建传播)页面->Choose attachment to propagate(选择要传播的挂载):选择名称标签为 vpc-a 的挂载 ID:
页面顶部将显示一条绿色边框以及以下消息:Transit gateway route table propagation succeeded.(Transit Gateway 路由表传播已成功创建)
重复上述步骤,为 vpc-b、vpc-c 和 vpc-d 创建传播:
传播创建完成后,您可以在 Routes(路由)选项卡上查看填充的所有 VPC 的子网:
将为每个 VPC 中的私有子网添加一个路由,指向作为目标目的地的中转网关。这样发往本地子网以外的任何私有子网的任何流量都将通过路由流向中转网关
在左侧导航窗格中,向上滚动到 Virtual Private Cloud 部分,然后选择 Route Tables(路由表)—> 选择名为 vpc_a-public 的路由表—>从页面顶部的 Actions (操作)菜单中,选择 Edit routes(编辑路由):
选择 Add route(添加路由),然后配置以下各项:
• Destination(目的地):10.0.0.0/8
• Target(目标):复制并粘贴您在任务 1 中复制的 Transit Gateway ID
• 选择 Save changes(保存更改)按钮。
Updated routes for rtb-0e6eXXXX8eda9 / vpc_X-XXXXXX successfully(已成功更新 rtb-0e6eXXXX8eda9 / vpc_X-XXXXXX 的路由):
重复上述步骤,为每个路由使用相同目的地,将相应路由添加到 vpc_b-private、vpc_c-private 和 vpc_d-private 路由表。
实验前记录测试结论:登录主机A,分别ping主机BCD测试连通性——均ping通
以下是您的中转网关设计的最佳实践:
为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用小型 CIDR(例如 /28),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容:
将与中转网关子网关联的入站和出站网络 ACL 保持打开状态。
根据流量,您可以将网络 ACL 应用于工作负载子网。
创建一个网络 ACL 并将其与关联到中转网关的所有子网相关联。确保网络 ACL 在入站和出站方向打开。
将同一个 VPC 路由表与关联到中转网关的所有子网相关联,除非您的网络设计需要多个 VPC 路由表(例如,通过多个 NAT 网关路由流量的中间盒 VPC)。
使用边界网关协议 (BGP) Site-to-Site VPN 连接。如果用于连接的客户网关设备或防火墙支持多路径,请启用该功能。
为 AWS Direct Connect 网关挂载和 BGP Site-to-Site VPN 挂载启用路由传播。
从 VPC 对等连接迁移以使用 AWS Transit Gateway 时,
Transit Gateway 不支持安全组引用。
如果 VPC 对等连接和 Transit Gateway 之间的 MTU 大小不匹配,则可能会因非对称流量而导致一些丢包。同时更新两个 VPC,以避免由于大小不匹配而导致的巨型数据包丢包。
您不需要额外的中转网关即可实现高可用性,因为根据设计,中转网关具有高可用性。
限制中转网关路由表的数量,除非您的设计需要多个中转网关路由表。
为确保冗余,请在每个区域中使用单个 Transit Gateway 进行灾难恢复。
对于带多个中转网管的部署,我们建议您为每个中转网关使用唯一自治系统编号 (ASN)。Transit Gateway 还支持区域内对等连接。
https://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/what-is-transit-gateway.html
https://aws.amazon.com/cn/transit-gateway/
扫码关注 了解更多