使用 AWS Transit Gateway 集中网络连接

Mydhili Palagummi 和 Nikhil Marrapu，Amazon Web Services

摘要

此模式描述了AWS Transit Gateway可用于将本地网络连接到 AWS 区域内多个AWS账户中的虚拟私有云（VPC）的最简单配置。使用此设置，您可以建立一个连接区域中多个 VPC 网络和本地网络的混合网络。这是通过使用运输网关和与本地网络的虚拟专用网络（VPN）连接来完成的。

先决条件

限制

这种模式不支持某些 VPC 或本地网络之间的流量隔离。连接到运输网关的所有网络都将能够相互联系。若要隔离流量，您需要在公交网关上使用自定义路由表。这种模式仅使用单个默认中转网关路由表（这是最简单的配置）连接 VPC 和本地网络。

目标技术堆栈

目标架构

Amazon Web Services

AWS Resource Access Manager（AWS RAM）可帮助您从 AWS Organizations 在 AWS 账户、组织单位或整个组织之间安全地共享资源。
AWS Transit Gateway 是连接虚拟私有云（VPC）和本地网络的中央枢纽。

任务	描述	所需技能
创建中转网关。	在您要托管网络服务的 AWS 账户中，在目标 AWS 区域创建传输网关。有关说明，请参阅创建中转网关。请注意以下几点：选择默认路由表关联。选择默认路由表传播。	网络管理员

任务	描述	所需技能
为 VPN 连接设置客户网关设备。	客户网关设备连接在运输网关和您的本地网络之间的站点对站点 VPN 连接的本地侧。有关更多信息，请参阅 AWS Site-to-Site VPN 文档中的您的客户网关设备。识别或启动支持的本地客户设备，并记录其公共IP地址。VPN 配置将在本操作说明的稍后部分完成。	网络管理员
在网络服务账户中，创建到中转网关的 VPN 连接。	要设置连接，请为运输网关创建 VPN 附件。有关说明，请参阅公交网关 VPN 附件。	网络管理员
在本地网络中的客户网关设备上配置 VPN。	下载与运输网关关联的站点对站点 VPN 连接的配置文件，并在客户网关设备上配置 VPN 设置。有关说明，请参阅下载配置文件。	网络管理员

任务	描述	所需技能
在 AWS Organizations 管理账户，开启共享。	若要与您的组织或某些组织单位共享公交网关，请在 AWS Organizations 中开启共享。否则，您将需要分别分别为每个账户共享运输网关。有关说明，请参阅在 AWS Organizations 内启用资源共享。	AWS 系统管理员
在网络服务账户中创建中转网关资源共享。	要允许组织中其他 AWS 账户中的 VPC 连接到网络服务账户中的公交网关，请使用 AWS RAM 控制台共享运输网关资源。有关说明，请参阅创建资源共享。	AWS 系统管理员

任务	描述	所需技能
在个人账户中创建 VPC 附件。	在共享过境网关的账户，创建中转网关 VPC 附件。有关说明，请参阅创建到 VPC 的中转网关连接。	网络管理员
接受 VPC 附件请求。	在网络服务账户中，接受运输网关 VPC 附件请求。有关说明，请参阅接受共享附件。	网络管理员

任务	描述	所需技能
在个人账户 VPC 配置路由。	在每个单独的账户 VPC 中，将路由添加到本地网络和其他 VPC 网络，使用 Transit Gateway 作为目标。有关说明，请参阅在路由表中添加和删除路由。	网络管理员
在中转网关路由表中配置路由。	VPC 和 VPN 连接的路由应传播，并应显示在“运输网关”默认路由表中。如果需要，可在传输网关默认路由表中创建任何静态路由（例如，静态 VPN 连接的静态路由）。有关说明，请参阅创建静态路由。	网络管理员
添加安全组和网络访问控制列表 (ACL) 规则。	对于 VPC 中的 EC2 实例和其他资源，请确保安全组规则和网络 ACL 规则允许 VPC 和本地网络之间的流量。有关说明，请参阅使用安全组控制资源流量和在 ACL 中添加和删除规则。	网络管理员

任务	描述	所需技能
测试 VPC 间的连通性。	确保网络 ACL 和安全组允许 Internet 控制消息协议 (ICMP) 流量，然后从 VPC 中的实例执行 ping 操作，也连接至中转网关的VPC。	网络管理员
测试 VPC 和本地网络之间的连接。	确保网络 ACL 规则、安全组规则和所有防火墙允许 ICMP 流量，然后在本地网络与 VPC 中的 EC2 实例之间执行 ping 操作。必须先从本地网络启动网络通信，才能使 VPN 连接处于 `UP` 状态。	网络管理员