看看AWS Transit网关

看看AWS Transit网关

Amazon Web Services在2018于11月推出了AWS Transit Gateway服务,使客户能够连接多个虚拟私有云(VPC),而不必依赖点对点IPsec隧道。 AWS Transit Gateway启用了中心辐射型模型,可集中控制在VCP之间路由的流量。 这样可以降低运营成本和管理复杂性,并在添加更多VPC时更易于扩展网络。

首先,一些背景。 VPC是AWS云中逻辑上隔离的部分,可让您控制IP地址,子网,路由表和网络网关。 这样就可以将受保护的资源放在面向私有的子网中,并将Web服务放在面向公众的子网中,从而增加了 保安 根据需要控制访问。

亚马逊发现,组织正在建立带有防火墙或路由实例的Transit VPC,以创建连接多个VPC和远程资源的全球网络。 但是,它需要大量的手动工作或仔细的脚本来设置动态路由所需的所有IPsec隧道。 开发了AWS Transit Gateway服务来解决这一常见的客户挑战。

通过Transit Gateway,可以为一个AWS区域内的多个VPC创建共享VPN。 Transit Gateway包含一个主路由表,该表还使您能够连接到各种VPC中实现的服务,例如身份验证和监视。 您甚至可以创建一个安全VPC,它位于Transit网关和Internet之间,并提供防火墙,Web应用程序筛选,数据丢失防护和其他服务。 Internet和受保护资源之间的流量将根据策略被允许或拒绝。

您可以利用其他Amazon工具,包括CloudFormation 造型 和配置工具,Lambda无服务器计算以及CloudWatch监视和警报工具。 但是,Transit Gateway仅支持AWS连接,尽管可以链接到其他 通过IPsec VPN连接。

目前,传输网关确实有一些限制。 运输网关不支持多区域连接。 在防火墙检查流量之前,您要添加更多跃点,因此增加的延迟可能是一个问题。 另外,您的路由表将变得越来越大,因为您将无法使用路由聚合。 考虑到这些限制,您必须考虑Transit Gateway是否有益。

在设计Transit Gateway时,我们首先要考虑客户的连接要求。 VPC之间的数据流模型是什么? 是否需要隔离所有东西或所有VPC是否需要互相通信? 这些是我们与客户坐下来解决方案时会提出的一些问题。 然后,我们将根据最佳实践进行发现和设计网络,并继续进行实施,部署 验证。

我们寻找的成功标准之一是Transit Gateway是否能够“附加”到我们要求附加的每个资源。 路由信息正确吗? 数据流量是否按设计流动? 此外,考虑到我们有中心辐射模型,我们还需要寻找非对称路由。 数据包需要以相同的方式进入和退出网络,以最大程度地减少差异。

具有多个VPC的组织需要一种有效的方法来将它们互连并连接到远程服务。 Rahi系统公司 网络服务 团队可以帮助您利用AWS Transit Gateway服务简化此过程。

Shreyans Desai

关于Shreyans Desai

Shreyans Desai是网络PSE团队Rahi Systems的解决方案架构师。 在加入Rahi Systems之前,他是一名专注于网络自动化和系统的解决方案工程师。 他的经验包括为多家供应商(瞻博网络,思科,Palo Alto Networks,Arista和华为)提供企业数据中心和服务提供商路由,交换和安全解决方案,并且对亚马逊网络服务的云计算解决方案有深入的了解( AWS)和OpenStack。

发表评论