本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS Transit Gateway 集中网络连接
<a name="centralize-network-connectivity-using-aws-transit-gateway"></a>

*Mydhili Palagummi 和 Nikhil Marrapu，Amazon Web Services*

## Summary
<a name="centralize-network-connectivity-using-aws-transit-gateway-summary"></a>

此模式描述了最简单的配置，在该配置中，AWS Transit Gateway 可用于将本地网络连接到 AWS 区域内多个 AWS 账户中的虚拟私有云 (VPCs)。使用此设置，您可以建立一个连接区域中多个 VPC 网络和本地网络的混合网络。这是通过使用运输网关和与本地网络的虚拟专用网络（VPN）连接来完成的。

## 先决条件和限制
<a name="centralize-network-connectivity-using-aws-transit-gateway-prereqs"></a>

**先决条件**
+ 托管网络服务的账户，作为 AWS Organizations 组织的会员账户管理
+ VPCs 在多个 AWS 账户中，没有重叠的无类域间路由 (CIDR) 块

**限制**

此模式不支持在特定网络 VPCs 或本地网络之间隔离流量。连接到运输网关的所有网络都将能够相互联系。若要隔离流量，您需要在公交网关上使用自定义路由表。此模式仅使用单个默认中转网关路由表（这是最简单的配置）来连接 VPCs 和本地网络。

## 架构
<a name="centralize-network-connectivity-using-aws-transit-gateway-architecture"></a>

**目标技术堆栈**
+ AWS Transit Gateway
+ AWS Site-to-Site VPN
+ VPC
+ AWS Resource Access Manager (AWS RAM)

 

**目标架构 **

![\[AWS Transit Gateway 将本地网络连接到一个区域 VPCs 内的多个 AWS 账户。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/e23f5faf-e75e-42a3-80e3-142516a2db4e/images/1ecf7e04-bbf8-4304-88c8-6aceb7271d1e.jpeg)


## 工具
<a name="centralize-network-connectivity-using-aws-transit-gateway-tools"></a>

**Amazon Web Services**
+ [AWS Resource Access Manager（AWS RAM）](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)可帮助您从 AWS Organizations 在 AWS 账户、组织单位或整个组织之间安全地共享资源。
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是一个连接虚拟私有云 (VPCs) 和本地网络的中心枢纽。

## 操作说明
<a name="centralize-network-connectivity-using-aws-transit-gateway-epics"></a>

### 在网络服务账户创建中转网关
<a name="create-a-transit-gateway-in-the-network-services-account"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 创建中转网关。 | 在您要托管网络服务的 AWS 账户中，在目标 AWS 区域创建传输网关。有关说明，请参阅[创建中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。注意以下几点：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/centralize-network-connectivity-using-aws-transit-gateway.html) | 网络管理员 | 

### 将中转网关连接至本地网络
<a name="connect-the-transit-gateway-to-your-on-premises-network"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 为 VPN 连接设置客户网关设备。 | 客户网关设备连接在传输网关和您的本地网络之间的 Site-to-Site VPN 连接的本地端。有关更多信息，请参阅 AWS Site-to-Site VPN 文档中的[您的客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)。识别或启动支持的本地客户设备，并记录其公共IP地址。VPN 配置将在本操作说明的稍后部分完成。 | 网络管理员 | 
| 在网络服务账户中，创建到中转网关的 VPN 连接。 | 要设置连接，请为运输网关创建 VPN 附件。有关说明，请参阅[公交网关 VPN 附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)。 | 网络管理员 | 
| 在本地网络中的客户网关设备上配置 VPN。 | 下载与传输网关关联的 Site-to-Site VPN 连接的配置文件，并在客户网关设备上配置 VPN 设置。有关说明，请参阅[下载配置文件](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-download-config)。 | 网络管理员 | 

### 在网络服务账户中与其他 AWS 账户或您的组织共享运输网关
<a name="share-the-transit-gateway-in-the-network-services-account-to-other-aws-accounts-or-your-organization"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 在 AWS Organizations 管理账户，开启共享。 | 若要与您的组织或某些组织单位共享公交网关，请在 AWS Organizations 中开启共享。否则，您将需要分别分别为每个账户共享运输网关。有关说明，请参阅[在 AWS Organizations 内启用资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 | AWS 系统管理员 | 
| 在网络服务账户中创建中转网关资源共享。 | 要允许组织 VPCs 内的其他 AWS 账户连接到公交网关，请在网络服务账户中使用 AWS RAM 控制台共享公交网关资源。有关说明，请参阅[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。 | AWS 系统管理员 | 

### Connect VPCs 连接到公交网关
<a name="connect-vpcs-to-the-transit-gateway"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 在个人账户中创建 VPC 附件。 | 在共享过境网关的账户，创建中转网关 VPC 附件。有关说明，请参阅[创建到 VPC 的中转网关连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment)。 | 网络管理员 | 
| 接受 VPC 附件请求。 | 在网络服务账户中，接受运输网关 VPC 附件请求。有关说明，请参阅[接受共享附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-accept-shared-attachment)。 | 网络管理员 | 

### 配置路由
<a name="configure-routing"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 在个人账户中配置路由 VPCs。 | 在每个单独的账户 VPC 中，将路由添加到本地网络和其他 VPC 网络，使用 Transit Gateway 作为目标。有关说明，请参阅[在路由表中添加和删除路由](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。 | 网络管理员 | 
| 在中转网关路由表中配置路由。 | 应传播来自 VPCs 和 VPN 连接的路由，并应出现在传输网关的默认路由表中。如果需要，可在传输网关默认路由表中创建任何静态路由（例如，静态 VPN 连接的静态路由）。有关说明，请参阅[创建静态路由](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#tgw-create-static-route)。 | 网络管理员 | 
| 添加安全组和网络访问控制列表 (ACL) 规则。 | 对于 VPC 中的 EC2 实例和其他资源，请确保安全组规则和网络 ACL 规则允许本地网络之间的 VPCs 流量。有关说明，请参阅[使用安全组控制资源流量](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules)和[在 ACL 中添加和删除规则](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules)。 | 网络管理员 | 

### 测试连接
<a name="test-connectivity"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 测试两者之间的连通性 VPCs。 | 确保网络 ACL 和安全组允许 Internet 控制消息协议 (ICMP) 流量，然后从 VPC 中的实例执行 ping 操作，也连接至中转网关的VPC。 | 网络管理员 | 
| 测试 VPCs 与本地网络之间的连接。 | 确保网络 ACL 规则、安全组规则和所有防火墙允许 ICMP 流量，然后在本地网络和中的 EC2 实例之间执行 ping 操作。 VPCs必须先从本地网络启动网络通信，才能使 VPN 连接处于 `UP` 状态。 | 网络管理员 | 

## 相关资源
<a name="centralize-network-connectivity-using-aws-transit-gateway-resources"></a>
+ [构建可扩展的安全多 VPC AWS 网络基础设施](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf)（AWS 白皮书）
+ [使用共享资源](https://docs.aws.amazon.com/ram/latest/userguide/working-with.html)（AWS RAM 文档）
+ [使用中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html)（AWS Transit Gateway 文档）