使用 AWS Transit Gateway 构建中心辐射型网络 - 多 VPC 连接设计
通过中心辐射型架构集中管理多个 VPC 和本地网络,利用路由表隔离建立安全边界。同时介绍通过对等连接实现多区域互联。
Transit Gateway 概述
Transit Gateway 是以中心辐射型架构连接多个 VPC 和本地网络的服务。VPC 对等连接是一对一的连接方式,当 VPC 数量增加时全网状管理变得困难。Transit Gateway 作为单一中心枢纽,集中管理所有 VPC 和 VPN 连接。
路由表隔离与多账户
通过隔离 Transit Gateway 的路由表,可以实现生产 VPC 之间可通信但与开发 VPC 不可通信、共享服务 VPC 可从所有 VPC 访问等网段划分。通过 RAM 将 Transit Gateway 共享给其他账户,各账户的 VPC 进行挂载。与 Direct Connect Gateway 集成后,可从本地通过 Transit Gateway 访问所有 VPC,无需为每个 VPC 单独构建 VPN。
对等连接与多区域互联
通过 Transit Gateway 对等连接将不同区域的 Transit Gateway 相连,可构建多区域的中心辐射型网络。对等连接通过 AWS 全球骨干网传输,提供不经过互联网的低延迟通信。对等连接的路由通过静态路由设置,各区域的 CIDR 块相互通告。使用 Transit Gateway Connect 挂载可与 SD-WAN 设备建立 GRE 隧道和 BGP 对等,通过动态路由与本地网络集成。还可以在 Transit Gateway 上创建组播域,在 VPC 之间分发组播流量。 从基础到应用系统学习网络设计,书籍(Amazon)可供参考。
Transit Gateway 的定价结构
Transit Gateway 的定价由挂载数(每个 VPC、VPN、Direct Connect Gateway 按小时计费)和数据处理量构成。每个挂载约 0.05 美元/小时(约 36 美元/月),在 VPC 数量较多的环境中,挂载费用成为主要成本因素。数据处理费约 0.02 美元/GB。对等连接挂载还会产生跨区域数据传输费用。通过分析 VPC 间的流量模式,对通信量大的 VPC 之间并用 VPC 对等连接(无数据处理费),可降低 Transit Gateway 的数据处理成本。利用 Flow Logs 可视化通过 Transit Gateway 的流量,作为成本优化的决策依据。
总结
Transit Gateway 是以中心辐射型架构集中管理多 VPC 网络的服务。通过路由表隔离建立生产、开发和共享服务的安全边界,通过对等连接构建多区域网络。利用 Connect 挂载实现与 SD-WAN 的 GRE/BGP 集成,通过 Flow Logs 可视化流量模式作为成本优化的决策依据。