AWS Transit Gateway
以中心辐射型拓扑互连多个 VPC 和本地网络,大幅简化网络架构的服务
概述
AWS Transit Gateway 是一项网络中转服务,作为中心枢纽连接多个 VPC、VPN 和 Direct Connect 网关。相比传统的 VPC 对等连接(N×N 全互联),Transit Gateway 将网络拓扑简化为中心辐射型(Hub-and-Spoke),大幅降低管理复杂度。支持跨区域对等、路由表分离和多播等高级功能。
路由表与 Propagation 实现网络隔离
Transit Gateway 的路由表控制连接(Attachment)之间的流量路由。通过创建多个路由表并将不同连接关联到不同路由表,实现网络隔离。典型设计:共享服务路由表(DNS、Active Directory 等所有 VPC 都需要访问的服务)、生产路由表(生产 VPC 互通)、开发路由表(开发 VPC 互通但与生产隔离)。路由传播(Propagation)自动将连接的 CIDR 添加到路由表,无需手动维护路由条目。黑洞路由可显式丢弃特定目标的流量。跨账户共享通过 RAM(Resource Access Manager)实现,中央网络账户拥有 Transit Gateway,其他账户的 VPC 作为连接接入。
Egress VPC 模式与 NAT Gateway 成本集约
Egress VPC 模式将所有出站互联网流量集中到一个专用 VPC 的 NAT Gateway,而非在每个 VPC 中部署 NAT Gateway。Transit Gateway 路由表将 0.0.0.0/0 指向 Egress VPC,Egress VPC 中的 NAT Gateway 处理所有出站流量。这种集中化设计的优势:减少 NAT Gateway 数量(每个 AZ 每小时 0.045 美元 + 数据处理费)、集中安全审计和日志、统一出站 IP(便于合作伙伴白名单)。Inspection VPC 模式类似,将所有 VPC 间流量路由到部署了 Network Firewall 的检查 VPC 进行深度包检测。
VPC 对等连接的选择与成本判断
VPC 对等连接(Peering)是点对点连接,免费且带宽无限制(仅收数据传输费)。Transit Gateway 按连接数(每个每小时 0.05 美元)和数据处理量(每 GB 0.02 美元)计费。选择标准:2-3 个 VPC 互连且不需要集中路由控制时用 Peering(成本更低);4 个以上 VPC、需要集中路由管理、需要网络隔离或需要连接 VPN/Direct Connect 时用 Transit Gateway。跨区域场景:Transit Gateway 支持跨区域对等(Inter-Region Peering),流量通过 AWS 骨干网传输,延迟和安全性优于公网。多播支持使 Transit Gateway 可用于金融行情分发等需要一对多网络通信的场景。