半小时学会Amazon Transit Gateway
Amazon Transit Gateway (TGW) 是一个强大的网络连接服务,用于在不同的VPC(虚拟私有云)之间实现高效互联。本文将指导您如何创建和配置TGW,以便实现跨账户和跨区域的VPC互联。
Amazon Transit Gateway (TGW) 是一个强大的网络连接服务,用于在不同的VPC(虚拟私有云)之间实现高效互联。本文将指导您如何创建和配置TGW,以便实现跨账户和跨区域的VPC互联。
VPC Peering的局限性
点对点连接:VPC Peering是一个点对点的连接,每次只能连接两个VPC。如果需要连接多个VPC,需要为每对VPC单独设置Peering连接,也就是我们常说的不能进行路由的传递,需要打通的VPC很多的时候会非常的麻烦。
手动路由配置:每个VPC Peering连接都需要手动配置路由表,这在大规模环境下非常繁琐。
TGW的优势
集中式管理:TGW作为一个中央枢纽,允许多个VPC和本地网络通过单个网关相互连接,简化了网络架构和管理。
自动路由传播:TGW支持自动路由传播,简化了路由配置,减少了人为错误的风险。
跨账户和跨区域支持:TGW支持跨多个亚马逊云科技账户和跨区域的连接,提供更大的灵活性和扩展性。
总结下来说,TGW就是是一个中转网关,使用时候需要在需要打通的VPC内创建一个挂载点,TGW会管理一张路由表来决定流量的转发到对应的挂载点上。本质上是EC2的请求路由到TGW,然后在查询TGW的路由表来再来决定下一跳,所以需要同时修改VPC 内子网的路由表和TGW的路由表。
TGW的网络拓扑图如下:
1. 创建TGW
登录到亚马逊云科技管理控制台,导航到"VPC"服务。
在左侧菜单中选择"Transit Gateways",点击"Create Transit Gateway"。
填写TGW名称和描述,配置DNS支持等选项。
根据要求创建TGW,如果不需要和本地网络打通,这里填写名称和描述就好。
建议开启以下三个选项:
DNS support:开启打通VPC的DNS支持,这个DNS support无法解析对端的私有R53记录,还需要使用Resolver才行 [^1]
Default route table association:自动创建一个路由表并且关联这个TGW
Default route table propagation:自动路由表自动传播,这样每次更新的时候就不用手动管理路由。
2. 在每个VPC新建挂载点
在TGW创建完成后,导航到"Transit Gateway Attachments"。
点击"Create Transit Gateway Attachment",选择目标VPC并配置相关选项。
创建挂载点需要选择关联的TGW以及挂载点的Type,除了VPC之外还有peering,DX类型的可供选择。
同样这里也要开启对DNS的支持,另外关于Appliance Mode support,如果这个功能开启的话,流量只能在相同的可用区进行转发,这个功能开启需要慎重考虑。
3. 设置TGW路由
手动新建TGW的路由表并且关联到一个TGW,如果前面开启了Default route table association和Default route table propagation不再需要此步骤。
需要在Routes 部分手动添加路由规则
4. 设置子网路由
为每个VPC配置路由表,添加到TGW的路由。确保启用路由传播,使VPC可以通过TGW相互通信。
和peering一一样,需要把对应的流量指到对端,这里10.1.0.0/16的流量到TGW。
5. 跨账户RAM分享,对端RAM 接收
如果需要跨账户打通网络,那么需要用到TGW的share功能,其实就是使用RAM进行资源共享。
如果需要跨账户共享TGW,使用AWS Resource Access Manager (RAM)。
在RAM控制台中创建资源共享并邀请其他AWS账户。
对方也是需要在RAM里进行确认,并且接收方不能二次share此TGW。
拓展阅读:
- Building a global network using Amazon Transit Gateway Inter-Region peering
https://aws.amazon.com/cn/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/
- Amazon Transit Gateway now supports Inter-Region Peering
https://aws.amazon.com/about-aws/whats-new/2019/12/aws-transit-gateway-supports-inter-region-peering/
- Transit Gateway inter-Region peering
https://docs.aws.amazon.com/solutions/latest/network-orchestration-aws-transit-gateway/transit-gateway-inter-region-peering.html
- Amazon Transit Gateway - Amazon Virtual Private Cloud Connectivity Options
https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-transit-gateway.html
- Centralized DNS management of hybrid cloud with Amazon Route 53 and AWS Transit Gateway
https://aws.amazon.com/cn/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/
通过这些文档,可以全面了解TGW在跨区域连接中的显著优势,确保在大规模和复杂网络环境中的高效、安全和可扩展性。
更多推荐
所有评论(0)