本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 架构 3： AWS Transit Gateway
<a name="architecture-3"></a>

[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)是一种托管路由服务，用于连接 VPCs 和本地网络。Transit Gateway 可以帮助您简化网络拓扑，避免大量网络之间存在复杂的对 VPCs等关系。

中转网关充当云路由器。每个新连接仅在 VPC 和中转网关之间建立一次。将中转网关作为支持中转路由的枢纽，您无需在网状拓扑中的每个 VPC 之间添加对等关系。有关中转网关及其限额的更多信息，请参阅 [Quotas for your transit gateways](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html)。

使用中转网关集成第三方服务具有以下好处：
+ 支持您 VPCs 和第三方网络之间的双向流量
+ 支持所有类型的 IP 流量（TCP 和 UDP）
+ 在您的网络 VPCs 和第三方网络之间部署集中式流量检查点
+ 随着 VPCs 参与整合的人数的变化，可以轻松扩展 

使用中转网关解决方案的缺点包括：
+ 此选项通常比直接对等选项更昂贵。
+ 不支持重叠的 CIDR 块。
+ 许多第三方提供商不支持此解决方案，因为他们希望保持完全控制，尽量减少与客户共享组件。

以下架构图显示了使用 Transit Gateway 将您 VPCs 连接到第三方提供商的架构图的简化示意图。每个 VPC 都连接到传输网关，并且该网关支持所有连接 VPCs的网关之间的传递路由。

![使用 Transit Gateway 连接 VPCs 不同的 AWS 账户](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/integrate-third-party-services/images/p3-2_transit-gateway.png)


但是，实际配置更为细致，这种架构分为不同的部署注意事项和选项。

## 集中网络检查
<a name="centralized-network-inspection"></a>

如果您使用中转网关，可以部署一个集中式网络流量检查点，即专用检查 VPC。通过在与区域内对等连接关联的路由表中使用静态路由，您可以将来自第三方网络的流量定向到检查 VPC。要检查流量，您可以使用 AWS Network Firewall 或与部署在亚马逊弹性计算云 (Amazon EC2) 实例上的虚拟安全设备配对的 AWS Gateway Load Balancer。有关更多信息，请参阅*部署模型中的集中式*[部署模型 AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)（AWS 博客文章）。

中转网关必须处于[设备模式](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html#transit-gateway-appliance-support)，以便检查 VPC 连接对称路由双向流量。如以下架构图所示，传输网关将流量从连接的引导 VPCs 至检查 VPC 中的弹性网络接口。

![在专用 VPC 中创建集中检查点。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/integrate-third-party-services/images/p3-3_transit-gateway.png)


## 选择部署选项
<a name="selecting-deployment-options"></a>

首先要考虑的是，您是要使用网络中的现有中转网关，还是创建新的专用中转网关。我们建议部署一个新的专用中转网关，因为它能提供更多的控制，并与第三方网络隔离。本指南中的示例架构创建了一个新的中转网关，您可以在现有网关和新网关之间创建对等连接。

其次要考虑的是哪种架构最适合您的用例：

1. **[架构 3.1：Transit Gateway AWS RAM](architecture-3-1.md)** - 在此部署选项中，您与第三方账户共享一个中转网关。您可以使用 AWS Resource Access Manager (AWS RAM) 来配置共享关系。

1. **[架构 3.2：中转网关对等](architecture-3-2.md)** - 在此部署选项中，您可以在两个中转网关之间创建对等连接，一个在您的账户中，一个在第三方账户中。

在选择这些选项时，请考虑每种选项的优缺点。


****  


- ****优点****
  - **[架构 3.1：Transit Gateway AWS RAM](architecture-3-1.md):** 第三方账户中不需要中转网关，从而使架构更加精简。 / **[架构 3.2：中转网关对等](architecture-3-2.md):** 第三方可能认为这种解决方案更容易接受，因为其为他们提供了对网络配置的更多控制。
  - **[架构 3.1：Transit Gateway AWS RAM](architecture-3-1.md):** 作为共享中转网关的所有者，您可以增强控制和可见性。 / **[架构 3.2：中转网关对等](architecture-3-2.md):** 由于第三方维护自己的 VPC 连接，因此可以减少运营工作量。

- ****劣势****
  - **[架构 3.1：Transit Gateway AWS RAM](architecture-3-1.md):** 第三方可能不愿意，因为这会减弱他们对网络配置的控制。 / **[架构 3.2：中转网关对等](architecture-3-2.md):** 网络架构更为复杂。
  - **[架构 3.1：Transit Gateway AWS RAM](architecture-3-1.md):** 您负责在第三方账户 VPCs 中配置公交网关附件。 / **[架构 3.2：中转网关对等](architecture-3-2.md):** 该架构在流量路径中创建一个额外的跃点。



### 成本考虑因素
<a name="cost-considerations-3"></a>

在选择这些选项时，还要考虑以下成本影响：
+ 中转网关连接的小时费由连接账户所有者（或 *VPC*）支付。有些费用将由您自己承担，而其他费用则由第三方承担。
+ 数据处理费用由通过中转网关发送流量的 VPC 所有者承担。从中转网关接收数据无需支付费用。
+ 在两个对等中转网关之间发送的数据不收取数据处理费用。

有关更多信息，请参阅 [Transit Gateway pricing](https://aws.amazon.com/transit-gateway/pricing/)。