亚马逊AWS官方博客
新增功能 – 使用 AWS Transit Gateway 简化网络架构
可以肯定地说,Amazon Virtual Private Cloud 是 AWS 最实用、最核心的功能之一。我们的客户以各种各样的方式配置他们的 VPC,并利用许多连接选项和网关,包括 AWS Direct Connect(通过 Direct Connect 网关)、NAT 网关、互联网网关、Egress-Only 互联网网关、VPC Peering、AWS 托管的 VPN 连接以及 PrivateLink。
由于我们的客户受益于使用 VPC、子网、路由表、安全组,以及网络 ACL 所获得的隔离和访问控制功能,对此,他们创建了大量上述项目。为了服务多个业务领域、团队、项目等,我们经常会发现客户使用分布在 AWS 账户和区域内的数百个 VPC。
当我们的客户开始在他们的 VPC 之间建立连接时,事情会变得有点复杂。我在上面列出的所有连接选项都是严格的点对点连接,因此 VPC 到 VPC 连接的数量会迅速增长。
全新的 AWS Transit Gateway
今天,借助我们全新的 AWS Transit Gateway,您可以构建中心辐射型网络拓扑。您可以将现有的 VPC、数据中心、远程办公室和远程网关连接到托管的 Transit Gateway,即使您的 VPC、Active Directory、共享服务和其他资源跨多个 AWS 账户,也可以完全控制网络路由选择和安全性。您可以简化整体网络架构,降低运营开销,并集中管理外部连接的关键方面,包括安全性。最后还有重要的一点是,您可以使用 Transit Gateway 来整合现有的边缘连接,并通过单个入口/出口点进行路由。
Transit Gateway 易于设置和使用,旨在提供高可扩展性和弹性。您可以将多达 5,000 个 VPC 连接到每个网关,连接每个 VPC 最多可以处理 50 G/s 的突发流量。您可以现在将 AWS VPN 连接挂载到 Transit Gateway,而 Direct Connect 计划在 2019 年初进行。
创建 Transit Gateway
此项新功能使用全新的 AWS Resource Manager,这是一项全新的 AWS 服务,可让您轻松跨多个账户共享 AWS 资源。拥有资源的账户仅需创建资源共享,并指定可以访问资源的其他 AWS 账户的列表。Transit Gateway 是您能够以这种方式与路线图中的许多其他资源共享的首批资源类型之一。关于这一点,我以后会跟您分享更多内容;现在,只要将给定 AWS 资源的所有权和访问权概念区分开即可。
第一步是在我的 AWS 账户中创建 Transit Gateway。打开 VPC 控制台(也支持 CLI、API 和 CloudFormation),选择 Transit Gateways 并单击 Create Transit Gateway(创建 Transit Gateway)以启动。输入一个名称和描述,以及网关 Amazon 端的 ASN,并可以选择自动接受来自其他账户的共享请求:
我创建的网关只用几分钟就已可使用:
现在可以将其挂载到 VPC 并选择工作负载所在的子网(每个可用区最多一个子网):
之后,转到 Resource Access Manager 控制台并单击 Create a resource share(创建资源共享):
我为资源共享指定了名称,查找并添加了 Transit Gateway,并添加了想与之共享的 AWS 账户。我还可以选择与组织或组织单元 (OU) 共享。作出选择,然后单击 Create a resource share(创建资源共享)以继续:
我的资源共享已创建并可在几分钟内准备就绪:
接下来,登录到共享网关的账户,返回到 RAM 控制台,找到邀请,然后单击它:
确认接受所需的邀请,然后单击 Accept resource share(接受资源共享):
我确认了意图,然后看到系统将 Transit Gateway 以资源形式与我进行了共享:
下一步(未显示)是将其挂载到此账户中的所需 VPC!
如您所见,您可以使用 Transit Gateway 来简化网络模型。您可以轻松构建跨多个 VPC 的应用程序,并且可以跨越它们共享网络服务,而无需管理复杂的网络。例如,您可以从以下网络:
简化为:
您还可以将 Transit Gateway 连接到防火墙或 IPS(入侵防御系统),并创建一个单独的 VPC 来处理网络的所有进出流量。
注意事项
您也应了解有关 VPC Transit Gateway 的下面这些功能:
AWS 集成 – Transit Gateway 向 Amazon CloudWatch 发布指标,并生成 VPC 流日志记录。
VPN ECMP 支持 – 您可以在 VPN 连接上启用Equal-Cost Multi-Path (ECMP) 支持。如果连接播发相同的 CIDR 数据块,则流量将在它们之间平均分配。
路由选择域 – 您可以在同一个 Transit Gateway 上使用多个路由表,并根据每个附件使用它们来控制路由选择。您可以隔离 VPC 流量或将流量从某些 VPC 转移到单独的检查域。
安全性 – 您可以使用 VPC 安全组和网络 ACL 来控制本地网络之间的流量。
定价 – 您需为每挂载 Transit Gateway 一小时支付小时费用,还需支付每 GB 的数据处理费。
Direct Connect – 我们正在为 AWS Direct Connect 提供支持。
现已推出
AWS Transit Gateway 现已推出,您可以立即开始使用!
– Jeff;