AWS Transit Gateway 常见问题

一般性问题

AWS Transit Gateway 现已在以下 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、美国西部(北加利福尼亚)、AWS GovCloud(美国东部)、AWS GovCloud(美国西部)、加拿大(中部)、南美洲(圣保罗)、非洲(开普敦)、欧洲地区(爱尔兰)、欧洲地区(斯德哥尔摩)、欧洲地区(伦敦)、欧洲地区(法兰克福)、欧洲地区(巴黎)、欧洲地区(米兰)、中东(巴林)、亚太地区(香港)、亚太地区(孟买)、亚太地区(大阪)、亚太地区(东京)、亚太地区(新加坡)、亚太地区(首尔)、亚太地区(悉尼)、亚太地区(北京)、亚太地区(宁夏)、亚太地区(雅加达)、中东(阿联酋)、欧洲(苏黎世)、欧洲(西班牙)、亚太地区(海得拉巴)、亚太地区(墨尔本)、以色列(特拉维夫)和加拿大西部(卡尔加里)。

Transit Gateway 对等连接支持现已在以下 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、美国西部(北加利福尼亚)、AWS GovCloud(美国东部)、AWS GovCloud(美国西部)、加拿大(中部)、欧洲地区(爱尔兰)、欧洲地区(法兰克福)、欧洲地区(巴黎)、欧洲地区(伦敦)、欧洲地区(斯德哥尔摩)、欧洲地区(米兰)、中东(巴林)、非洲(开普敦)、亚太地区(香港)、亚太地区(孟买)、亚太地区(东京)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(大阪)、亚太地区(北京)、亚太地区(宁夏)、南美洲(圣保罗)、亚太地区(雅加达)、中东(阿联酋)、欧洲(苏黎世)、欧洲(西班牙)、亚太地区(海得拉巴)、亚太地区(墨尔本)和以色列(特拉维夫)。

Transit Gateway Multicast 支持现已在以下 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、美国西部(北加利福尼亚)、AWS GovCloud(美国东部)、AWS GovCloud(美国西部)、加拿大(中部)、欧洲地区(爱尔兰)、欧洲地区(伦敦)、欧洲地区(法兰克福)、欧洲地区(斯德哥尔摩)、欧洲地区(巴黎)、欧洲地区(米兰)、南美洲(圣保罗)、南非(开普敦)、亚太地区(东京)、亚太地区(悉尼)、亚太地区(孟买)、亚太地区(香港)、亚太地区(大阪)、亚太地区(首尔)、亚太地区(新加坡)、中东(巴林)、亚太地区(北京)、亚太地区(宁夏)、亚太地区(雅加达)、中东(阿联酋)、欧洲(苏黎世)、欧洲(西班牙)、亚太地区(海得拉巴)、亚太地区(墨尔本)和以色列(特拉维夫)。

Transit Gateway Multicast 的 IGMP 支持现已在以下 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、美国西部(北加利福尼亚)、欧洲地区(爱尔兰)、欧洲地区(伦敦)、欧洲地区(巴黎)、欧洲地区(法兰克福)、欧洲地区(斯德哥尔摩)、欧洲地区(米兰)、亚太地区(东京)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(孟买)、亚太地区(香港)、亚太地区(北京)、亚太地区(宁夏)、亚太地区(大阪)、亚太地区(雅加达)、加拿大(中部)、南美洲(圣保罗)、非洲(开普敦)、中东(巴林)、中东(阿联酋)、欧洲(苏黎世)、欧洲(西班牙)、亚太地区(海得拉巴)、亚太地区(墨尔本)、以色列(特拉维夫)、GovCloud(美国东部)和 GovCloud(美国西部)。

Transit Gateway Connect 现已在以下 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、美国西部(北加利福尼亚)、欧洲地区(爱尔兰)、欧洲地区(伦敦)、欧洲地区(巴黎)、欧洲地区(法兰克福)、欧洲地区(斯德哥尔摩)、欧洲地区(米兰)、亚太地区(东京)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(孟买)、亚太地区(香港)、亚太地区(北京)、亚太地区(宁夏)、亚太地区(大阪)、亚太地区(雅加达)、加拿大(中部)、南美洲(圣保罗)、非洲(开普敦)、中东(巴林)、中东(阿联酋)、欧洲(苏黎世)、欧洲(西班牙)、亚太地区(海得拉巴)、亚太地区(墨尔本)、以色列(特拉维夫)、GovCloud(美国东部)和 GovCloud(美国西部)。

您可以对您的网络进行分段,方法是在 AWS Transit Gateway 中创建多个路由表,并将这些路由表关联至 Amazon VPC 和 VPN。这让您可以在 AWS Transit Gateway 内创建与传统网络中的虚拟路由转发(VRF)类似的隔离网络。AWS Transit Gateway 默认带有一个路由表。您可以选择使用多个路由表。

AWS Transit Gateway 支持在关联的 Amazon VPC 和 VPN 之间进行动态和静态路由。默认情况下,Amazon VPC、VPN、Direct Connect 网关、Transit Gateway Connect 和对等连接的 Transit Gateway 与默认路由表是关联在一起的。您可以创建其他路由表,并将其与 Amazon VPC、Direct Connect 网关、VPN、Transit Gateway Connect 和对等连接的 Transit Gateway 相关联。

路由决定下一个跃点,具体取决于数据包的目标 IP 地址。路由可以指向 Amazon VPC、VPN 连接、Direct Connect 网关、Transit Gateway Connect 或对等连接的 Transit Gateway。

有两种方式可以将路由传播到 AWS Transit Gateway:

  1. 将路由传播到/出本地网络:当您连接 VPN 或 Direct Connect Gateway 时,路由将使用边界网关协议(BGP)在 AWS Transit Gateway 与本地路由器之间传播。
  2. 将路由传播到/出 Amazon VPC:当您将 Amazon VPC 关联到 AWS Transit Gateway 或调整关联的 Amazon VPC 的大小时,Amazon VPC 无类别域间路由 (CIDR) 将使用内部 API(而非 BGP)传播到 AWS Transit Gateway 路由表。CIDR 是一种分配 IP 地址和 IP 路由的方法,可以通过 Internet 减缓路由器上路由表的增长,并有助于减缓 IPv4 地址的快速耗尽。AWS Transit Gateway 路由表中的路由不会传播到 Amazon VPC 的路由表。VPC 拥有者需要创建一个静态路由,以将流量发送到 AWS Transit Gateway。

Transit Gateway 之间的对等连接挂载不支持路由传播。您需要在 Transit gateway 路由表中创建静态路由,才能在对等挂载上发送流量。

AWS Transit Gateway 不支持具有相同 CIDR 的 Amazon VPC 之间的路由。如果您连接一个具有 CIDR 的新 Amazon VPC,与某个已连接的 Amazon VPC 相同,则 AWS Transit Gateway 不会将新的 Amazon VPC 路由传播到 AWS Transit Gateway 路由表。

AWS Transit Gateway Connect 是 AWS Transit Gateway 的一项功能。它可通过将 SD-WAN(软件定义的广域网)网络虚拟设备原生集成到 AWS Transit Gateway 中来简化分支连接。AWS Transit Gateway Connect 提供了称为 Connect 挂载的新逻辑挂载类型,利用 Amazon VPC 或 AWS Direct Connect 挂载作为底层网络传输。它通过 Connect 挂载支持标准协议,例如通用路由封装(GRE)和边界网关协议(BGP)。

AWS Transit Gateway Connect 已获得一些领先 SD-WAN 和联网合作伙伴支持。有关更多信息,请访问合作伙伴页面。

支持 GRE 和 BGP 之类标准协议的任何第三方网络设备都可与 AWS Transit Gateway Connect 共用。

是,您可以通过现有 AWS Transit Gateway 创建 Connect 挂载。

否,AWS Transit Gateway Connect 不支持静态路由。BGP 是最低要求。

是,BGP 会话通过 GRE 隧道建立。

可以,与任何其他 Transit Gateway 挂载相似,您可以将路由表关联到 Connect 挂载。此路由表可与 VPC 或 AWS Direct Connect(底层传输机制)挂载关联的路由表相同/不同。

性能和限制

有关限制和配额的详细信息,请参阅我们的文档

如果您所需的数量超出这些限制,请创建支持案例

安全性与合规性

AWS Transit Gateway 继承了Amazon VPC 的合规性,并且符合 PCI DSS Level 1、ISO 9001、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、FedRAMP Moderate、FedRAMP High 和 HIPAA 资格标准。

功能互操作性

是的,您可以将您的 AWS Transit Gateway 与其他账户中的 AWS Direct Connect 网关相关联。只有 AWS Transit Gateway 的拥有者才能创建与 Direct Connect 网关的关联。您不能使用 Resource Access Manager 将您的 AWS Transit Gateway 关联到 Direct Connect 网关。有关更多信息,请查看 Direct Connect 常见问题中的 AWS Transit Gateway Support 部分。

不可以,您不能将相同的 ASN 用于 Transit Gateway 和 Direct Connect 网关。

您可以将 VPC 附件之中和之间的多播流量路由到 Transit Gateway。AWS Direct Connect、AWS Site-to-Site VPN 和对等连接挂载不支持组播路由。

是,AWS Transit Gateway Connect 支持 IPv6。您可以使用 IPv6 地址配置 GRE 隧道和边界网关协议(BGP)地址。

是,您可将 GRE 隧道和 BGP 地址配置为相同或不同的地址系列。例如,您可以使用 IPv4 地址范围配置 GRE 隧道,而使用 IPv6 地址范围配置 BGP 地址,或者相反。

是,AWS Transit Gateway 支持使用 IGMPv2(Internet 组管理协议版本 2)处理多播流量。

是,您可以在同一多播域中同时拥有 IGMP 和静态成员。能够使用 IGMP 功能的成员可通过发送 IGMPv2 消息动态地加入或离开多播组。您可以利用控制台、CLI 或软件开发工具包在多播组中添加或删除静态成员。

是,您可以使用 AWS Resource Access Manager(RAM)在账户之间或在 AWS Organizations 中的组织之间共享用于 VPC 子网关联的传输网关多播域。

网络管理器

AWS Transit Gateway Network Manager 是 AWS Transit Gateway 的一项功能。它可以集中化管理和监控联网资源以及与远程分支站点的连接。

按照以下步骤设置和管理 Transit Gateway Network Manager:

  • 创建新的“全局网络”,最初是空对象。
  • 从所有 AWS 区域注册您的 AWS Transit Gateway
  • 添加本地资源/云资源:输入有关您的本地/云设备、站点、链接、连接、Connect 对等节点以及与它们关联的站点到站点 VPN 连接的信息。
  • 监控您的全局网络:通过网络管理器的可视化、事件和指标。

AWS Transit Gateway Network Manager 已获得一些领先 SD-WAN 合作伙伴支持。有关更多信息,请访问合作伙伴页面。他们将网络管理器集成到 SD-WAN 解决方案,从而让您能够自动化分支云连接,并能够通过单一控制面板对全局网络进行端到端监控。

“全局网络”是 AWS Transit Gateway Network Manager 中的一个对象,代表您在 AWS 中的私有全局网络。它包括您的 AWS Transit Gateway 中心、它们的挂载、AWS 合作伙伴 SD-WAN 网络虚拟设备,以及本地设备、站点、链接和连接。

对于注册的 AWS Transit Gateway,所有挂载会自动包含在内。挂载包含 VPC、VPN、Direct Connect 网关、AWS Transit Gateway Connect 以及 AWS Transit Gateway 对等连接。

AWS Transit Gateway Network Manager 控制面板会展示所有 AWS 区域和本地的 AWS Transit Gateway。它会提供网络资源和连接以及连接状态的逻辑视图和地理视图。

AWS Transit Gateway Network Manager 的控制面板还会展示以下事件和指标,例如输入/输出字节数、传进/出数据包数以及弃置的数据包数。连接状态嵌入到全局网络的拓扑和地理视图中。AWS Transit Gateway Network Manager 还通过 AWS CloudWatch 提供全局网路的实时网络事件和指标。这些事件、指标和可视化内容可以帮助您监控网络并根据需要采取行动。

在网络管理器的控制面板中,您可以看到 Transit Gateway 可用性和性能指标,例如输入/输出字节数、传进/出数据包数以及弃置的数据包数。您还可以看到针对本地设备和链接的 AWS Site-to-Site VPN up/down 指标。

AWS Transit Gateway Network Manager 提供针对网络拓扑更改、路由更新和连接状态更新的内置事件通知。这些事件通过 CloudWatch Events 交付。

SD-WAN 提供商提供与 AWS Transit Gateway Network Manager 的集成。他们将网络管理器集成到 SD-WAN 解决方案,从而能够自动化分支云连接,并能够通过单一窗格(网络管理器控制面板)对全局网络进行端到端监控。

合作伙伴的 SD-WAN 解决方案使用 AWS 应用程序编程接口(API)来代表您自动注册分支设备、创建 VPN 连接,然后将 VPN 配置应用到分支设备以建立连接。

路由分析器是 AWS Transit Gateway Network Manager 的一项功能。它可以帮助您验证全局网络中的 Transit Gateway 的路由配置。

不会,路由分析器不会发送任何数据包,但会验证给定数据源和目标之前的关联 Transit Gateway 路由表配置。

可以,只要您的 Transit Gateway 已注册到全局网络。如果您在目标路径上拥有多个 Transit Gateway,则需要将它们全部注册到全局网络。

不能,路由分析器只能验证 Transit Gateway 路由表。VPC 路由表和客户网关设备不在分析范围内。

不能,路由分析器只能验证 Transit Gateway 路由表。安全组规则和网络 ACL 规则不在分析范围内。

适用,您可以将此功能用于 Transit Gateway 上设置的中间盒设备架构。运行分析时,路由分析器将要求您确认数据源和目标之前是否存在中间盒设备。