本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Transit Gateway 集中網路連線
<a name="centralize-network-connectivity-using-aws-transit-gateway"></a>

*Mydhili Palagummi 和 Nikhil Marrapu，Amazon Web Services*

## 總結
<a name="centralize-network-connectivity-using-aws-transit-gateway-summary"></a>

此模式描述最簡單的組態，其中 AWS Transit Gateway 可用來將內部部署網路連線到 AWS 區域內多個 AWS 帳戶中的虛擬私有雲端 (VPCs)。使用此設定，您可以建立混合網路，連接區域中的多個 VPC 網路和內部部署網路。這可透過使用傳輸閘道和虛擬私有網路 (VPN) 連線至內部部署網路來完成。

## 先決條件和限制
<a name="centralize-network-connectivity-using-aws-transit-gateway-prereqs"></a>

**先決條件**
+ 託管網路服務的帳戶，作為 AWS Organizations 中組織的成員帳戶進行管理
+ 多個 AWS 帳戶中VPCs，沒有重疊的無類別網域間路由 (CIDR) 區塊

**限制**

此模式不支援隔離特定 VPCs或內部部署網路之間的流量。連接到傳輸閘道的所有網路將能夠互相連接。若要隔離流量，您需要在傳輸閘道上使用自訂路由表。此模式只會使用單一預設傳輸閘道路由表來連接 VPCs 和內部部署網路，這是最簡單的組態。

## Architecture
<a name="centralize-network-connectivity-using-aws-transit-gateway-architecture"></a>

**目標技術堆疊**
+ AWS Transit Gateway
+ AWS Site-to-Site VPN
+ VPC
+ AWS Resource Access Manager (AWS RAM)

 

**目標架構**

![\[AWS Transit Gateway 會將內部部署網路連接到區域內多個 AWS 帳戶中VPCs。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/e23f5faf-e75e-42a3-80e3-142516a2db4e/images/1ecf7e04-bbf8-4304-88c8-6aceb7271d1e.jpeg)


## 工具
<a name="centralize-network-connectivity-using-aws-transit-gateway-tools"></a>

**AWS 服務**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可協助您在 AWS 帳戶、組織單位或整個組織中安全地共用資源 AWS Organizations 。
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是中央中樞，可連接虛擬私有雲端 (VPCs) 和內部部署網路。

## 史詩
<a name="centralize-network-connectivity-using-aws-transit-gateway-epics"></a>

### 在網路服務帳戶中建立傳輸閘道
<a name="create-a-transit-gateway-in-the-network-services-account"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 建立傳輸閘道。 | 在您要託管網路服務的 AWS 帳戶中，在目標 AWS 區域中建立傳輸閘道。如需說明，請參閱[建立傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。注意下列事項：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/centralize-network-connectivity-using-aws-transit-gateway.html) | 網路管理員 | 

### 將傳輸閘道連接至您的內部部署網路
<a name="connect-the-transit-gateway-to-your-on-premises-network"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 設定 VPN 連線的客戶閘道裝置。 | 客戶閘道裝置連接到傳輸閘道與內部部署網路之間Site-to-Site連線的內部部署端。如需詳細資訊，請參閱 AWS Site-to-Site VPN 文件中的[您的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)。識別或啟動支援的現場部署客戶裝置，並記下其公有 IP 地址。VPN 組態稍後在此史詩中完成。 | 網路管理員 | 
| 在網路服務帳戶中，建立傳輸閘道的 VPN 連接。 | 若要設定連線，請為傳輸閘道建立 VPN 連接。如需說明，請參閱[傳輸閘道 VPN 連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)。 | 網路管理員 | 
| 在內部部署網路的客戶閘道裝置上設定 VPN。 | 下載與傳輸閘道相關聯的Site-to-Site連線組態檔案，並在客戶閘道裝置上設定 VPN 設定。如需說明，請參閱[下載組態檔案](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-download-config)。 | 網路管理員 | 

### 將網路服務帳戶中的傳輸閘道分享給其他 AWS 帳戶或您的組織
<a name="share-the-transit-gateway-in-the-network-services-account-to-other-aws-accounts-or-your-organization"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 在 AWS Organizations 管理帳戶中，開啟共用。 | 若要與您的組織或特定組織單位共用傳輸閘道，請在 AWS Organizations 中開啟共用。否則，您需要個別共用每個帳戶的傳輸閘道。如需說明，請參閱在 [ AWS Organizations 中啟用資源共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 | AWS 系統管理員 | 
| 在網路服務帳戶中建立傳輸閘道資源共享。 | 若要允許組織中其他 AWS 帳戶中VPCs 連線至傳輸閘道，請在網路服務帳戶中使用 AWS RAM 主控台來共用傳輸閘道資源。如需說明，請參閱[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。 | AWS 系統管理員 | 

### 將 VPCs連接至傳輸閘道
<a name="connect-vpcs-to-the-transit-gateway"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 在個別帳戶中建立 VPC 連接。 | 在已共用傳輸閘道的帳戶中，建立傳輸閘道 VPC 連接。如需說明，請參閱[建立傳輸閘道連接至 VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment)。 | 網路管理員 | 
| 接受 VPC 連接請求。 | 在網路服務帳戶中，接受傳輸閘道 VPC 連接請求。如需說明，請參閱[接受共用附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-accept-shared-attachment)。 | 網路管理員 | 

### 設定路由
<a name="configure-routing"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 在個別帳戶 VPCs中設定路由。 | 在每個個別帳戶 VPC 中，使用傳輸閘道做為目標，將路由新增至內部部署網路和其他 VPC 網路。如需說明，請參閱[從路由表新增和移除路由](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。 | 網路管理員 | 
| 在傳輸閘道路由表中設定路由。 | 來自 VPCs和 VPN 連接的路由應傳播，並應顯示在傳輸閘道預設路由表中。如有需要，請在傳輸閘道預設路由表中建立任何靜態路由 （其中一個範例是靜態 VPN 連接的靜態路由）。如需說明，請參閱[建立靜態路由](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#tgw-create-static-route)。 | 網路管理員 | 
| 新增安全群組和網路存取控制清單 (ACL) 規則。 | 對於 VPC 中的 EC2 執行個體和其他資源，請確保安全群組規則和網路 ACL 規則允許 VPCs 與內部部署網路之間的流量。如需說明，請參閱[使用安全群組控制資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules)，以及[從 ACL 新增和刪除規則](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules)。 | 網路管理員 | 

### 測試連線能力
<a name="test-connectivity"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 測試 VPCs之間的連線。 | 確保網路 ACL 和安全群組允許網際網路控制訊息通訊協定 (ICMP) 流量，然後從 VPC 中的執行個體 ping 到另一個也連接到傳輸閘道的 VPC。 | 網路管理員 | 
| 測試 VPCs與內部部署網路之間的連線。 | 確保網路 ACL 規則、安全群組規則和任何防火牆允許 ICMP 流量，然後 ping 內部部署網路和 VPCs 中的 EC2 執行個體之間。您必須先從內部部署網路啟動網路通訊，才能讓 VPN 連線進入 `UP` 狀態。 | 網路管理員 | 

## 相關資源
<a name="centralize-network-connectivity-using-aws-transit-gateway-resources"></a>
+ [建置可擴展且安全的多 VPC AWS 網路基礎設施](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf) (AWS 白皮書）
+ [使用共用資源](https://docs.aws.amazon.com/ram/latest/userguide/working-with.html) (AWS RAM 文件）
+ [使用傳輸閘道 ](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html)(AWS Transit Gateway 文件）