Amazon Transit Gateway (TGW) 是一个强大的网络连接服务,用于在不同的VPC(虚拟私有云)之间实现高效互联。本文将指导您如何创建和配置TGW,以便实现跨账户和跨区域的VPC互联。

VPC Peering的局限性

点对点连接:VPC Peering是一个点对点的连接,每次只能连接两个VPC。如果需要连接多个VPC,需要为每对VPC单独设置Peering连接,也就是我们常说的不能进行路由的传递,需要打通的VPC很多的时候会非常的麻烦。

手动路由配置:每个VPC Peering连接都需要手动配置路由表,这在大规模环境下非常繁琐。

TGW的优势

集中式管理:TGW作为一个中央枢纽,允许多个VPC和本地网络通过单个网关相互连接,简化了网络架构和管理。

自动路由传播:TGW支持自动路由传播,简化了路由配置,减少了人为错误的风险。

跨账户和跨区域支持:TGW支持跨多个亚马逊云科技账户和跨区域的连接,提供更大的灵活性和扩展性。

总结下来说,TGW就是是一个中转网关,使用时候需要在需要打通的VPC内创建一个挂载点,TGW会管理一张路由表来决定流量的转发到对应的挂载点上。本质上是EC2的请求路由到TGW,然后在查询TGW的路由表来再来决定下一跳,所以需要同时修改VPC 内子网的路由表和TGW的路由表。

TGW的网络拓扑图如下:

在这里插入图片描述

1. 创建TGW

登录到亚马逊云科技管理控制台,导航到"VPC"服务。
在左侧菜单中选择"Transit Gateways",点击"Create Transit Gateway"。
填写TGW名称和描述,配置DNS支持等选项。

根据要求创建TGW,如果不需要和本地网络打通,这里填写名称和描述就好。

建议开启以下三个选项:

DNS support:开启打通VPC的DNS支持,这个DNS support无法解析对端的私有R53记录,还需要使用Resolver才行 [^1]

Default route table association:自动创建一个路由表并且关联这个TGW

Default route table propagation:自动路由表自动传播,这样每次更新的时候就不用手动管理路由。

2. 在每个VPC新建挂载点

在TGW创建完成后,导航到"Transit Gateway Attachments"。
点击"Create Transit Gateway Attachment",选择目标VPC并配置相关选项。

创建挂载点需要选择关联的TGW以及挂载点的Type,除了VPC之外还有peering,DX类型的可供选择。

同样这里也要开启对DNS的支持,另外关于Appliance Mode support,如果这个功能开启的话,流量只能在相同的可用区进行转发,这个功能开启需要慎重考虑。

3. 设置TGW路由

手动新建TGW的路由表并且关联到一个TGW,如果前面开启了Default route table association和Default route table propagation不再需要此步骤。

需要在Routes 部分手动添加路由规则

4. 设置子网路由

为每个VPC配置路由表,添加到TGW的路由。确保启用路由传播,使VPC可以通过TGW相互通信。

和peering一一样,需要把对应的流量指到对端,这里10.1.0.0/16的流量到TGW。

5. 跨账户RAM分享,对端RAM 接收

如果需要跨账户打通网络,那么需要用到TGW的share功能,其实就是使用RAM进行资源共享。

如果需要跨账户共享TGW,使用AWS Resource Access Manager (RAM)。

在RAM控制台中创建资源共享并邀请其他AWS账户。

对方也是需要在RAM里进行确认,并且接收方不能二次share此TGW。

拓展阅读:

  1. Building a global network using Amazon Transit Gateway Inter-Region peering

https://aws.amazon.com/cn/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/

  1. Amazon Transit Gateway now supports Inter-Region Peering

https://aws.amazon.com/about-aws/whats-new/2019/12/aws-transit-gateway-supports-inter-region-peering/

  1. Transit Gateway inter-Region peering

https://docs.aws.amazon.com/solutions/latest/network-orchestration-aws-transit-gateway/transit-gateway-inter-region-peering.html

  1. Amazon Transit Gateway - Amazon Virtual Private Cloud Connectivity Options

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-transit-gateway.html

  1. Centralized DNS management of hybrid cloud with Amazon Route 53 and AWS Transit Gateway

https://aws.amazon.com/cn/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/

通过这些文档,可以全面了解TGW在跨区域连接中的显著优势,确保在大规模和复杂网络环境中的高效、安全和可扩展性。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐