AWS Transit Gateway實踐與使用場景的思考,aws 大數據AWS Transit Gateway實踐與使用場景的思考AWS Transit Gateway是一項服務,可以將用戶的AmazonVirtual Private Clouds(VPC)和本地網絡連接到一個網關(AWS TransitGatewa......
AWS Transit Gateway是一項服務,可以將用戶的AmazonVirtual Private Clouds(VPC)和本地網絡連接到一個網關(AWS TransitGateway簡稱TGW,下文會混用這兩個詞,但實質就是一樣的意思)。隨著AWS上運行的工作負載數量不斷增加,必須能夠跨多個賬戶和Amazon VPC擴展您的網絡,才能跟上發展步伐。現在,您可以使用對等連接Amazon VPC對。但是,如果無法集中管理連接策略,那么管理眾多AmazonVPC之間的點對點連接會帶來高昂運營成本而且十分繁瑣。當VPC數量增加到數百時,構建此解決方案可能非常耗時,而且難以管理。
借助AWS Transit Gateway,只需創建和管理一條連接,這條連接從中央網關連接到您網絡中的每個Amazon VPC、本地數據中心或遠程辦公室。Transit Gateway充當中心,控制流量在所有連接的網絡(相當于輻射網絡)之間的路由方式。這種中心和輻射模型大大簡化了管理工作并降低了運營成本,因為每個網絡只需連接到Transit Gateway,而無需連接到其他所有網絡。任何新的VPC只需連接到Transit Gateway,便可自動與連接到Transit Gateway的其他所有網絡建立連接。這種連接的簡便性可以隨著網絡發展輕松擴展網絡。
TGW可以支持同一Region里的VPC互聯,也可以跨Region進行VPC互聯,同時也支持VPN的互聯,下文中的實踐是基于同一Region里的VPC互聯,之后會再繼續編寫跨Region與VPN互聯的實踐方案。
PS:TGW之前在AWS中國平臺上還沒有這項服務,但前不久發現在AWS中國里也支持此項目功能了,但只支持VPC的互聯,應該暫時還不支持跨Region的Peering Connection與VPN模式。因此本次只基于VPC的互通,考慮到訪問速度的原因使用的平臺是AWS中國。
在沒有使用TGW時,如果有多個VPC需要進行互聯,拓撲如下,每個VPC之間都需要建立對等連接,增加了擴展難度。同時如果在VPC數量非常龐大的情況下配置將會非常的復雜,管理起來也很混亂。
如果使用了TransitGateway方案后將會簡化很多,形成一個VPC間的HubSpoke架構,只需將各個VPC連接至AWS Transit Gateway,該服務就會在各個VPC之間路由流量了,簡化了VPC連接方式,拓撲如下:
我們可以把此拓撲再演變一下,如下圖:
通過一些相關配置可以實現所有VPC1~VPC4都可以訪問ShareVPC,同時仍然保持VCP1~VPC4之間的隔離性。
應用場景
全網VPC互連
構建跨數千個VPC的應用程序,無需承擔管理分布式網絡的運營負擔。通過對等連接和管理成百上千個VPC需要大量路由表,這很難部署、管理,并且容易出錯。現在,要配置的路由要少得多,因為您只需配置到AWS Transit Gateway的路由,而不是到每個VPC的路由。
應用共享
可以在所有Amazon VPC之間輕松共享AWS服務,如DNS、ActiveDirectory和IPS/IDS。
負載均衡
TGW支持負載均衡,當需要高帶寬連接時,TGW還支持ECMP負載均衡模式,來提供鏈路帶寬,輕松滿足帶寬擴容能力。
安全防護
任何VPC之間的訪問都必須通過TGW路由至一個安全VPC(可以在里面部署防火墻、WAF等安全設備)進行中轉,以此來進行安全防護功能。
集中審計與管理
可以單獨部署一個集中審計與管理的VPC,通過TGW與所有VPC進行連接,此時可以方便的進行日志審計與集中管理,對于一些態勢感知或是SIEM等應用也同樣適應。
蜜罐部署
把蜜罐放置在一個公共VPC中,通過TGW可以讓所有VPC都可以訪問部署了蜜罐的VPC,以此解決連接性問題。
AWS TransitGateway配置實戰
網絡拓撲:
實驗目的:
在實現VPC1與VPC2安全隔離的同時都可以訪問VPCCore里的實例。
配置步驟
VPC配置(配置略),配置了3個VPC,分別為VPC1、VPC2、VPCCore。
基于VPC分別創建相應的VPC子網(配置略)。
分別為每個VPC創建相應的IGW,并且配置IGW的缺省路由,以使其可以訪問Internet(配置略)。
VPC1的IGW路由配置
VPC2的IGW路由配置
VPCCore的IGW路由配置
創建EC2實例
分別在VPC1與VPC2里創建兩個EC2實例,在VPCCore里創建一個EC2實例。
EC2實例標簽與私網地址如下:
VPC1Subnet1EC2A:192.168.0.151
VPC1Subnet2EC2A:192.168.1.20
VPC2Subnet1EC2A:172.16.0.250
VPC2Subnet2EC2A:172.16.1.81
VPCCoreEC2A:10.1.1.14
創建TGW(TransitGateways)
等待TGW狀態從pending變為available后,則說明TGW創建完成。
Transit Gateway Attachments
把新創建的TGW與VPC進行關聯
分別把所有VPC與TGW進行關聯。等待Attachment變化available后則說明生效。
TGW路由配置
通過路由表的配置實現VPC1、VPC2與VPCCore的互連,同時保持VPC1與VPC2的隔離。
增加VPC1路由表的配置,使VPC1可以訪問VPCCore 10.1.1.0/24網段。
同理,添加VPC2至VPCCore10.1.1.0/24的TGW路由。
添加VPCCore至VPC1192.168.0.0/16與VPC2 172.16.0.0/16的TGW路由。
到此所有配置完成,查看TGW的TransitGateway route Tables的路由表,TGW里有至所有VPC(VPC1、VPC2)的路由,由此可以實現VPC間HubSpoke的連接,但是VCP1與VPC2的路由表里只有至VPCCore的路由。
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部