中转网关设计最佳实践 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

中转网关设计最佳实践

以下是您的中转网关设计的最佳实践:

  • 为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用小型 CIDR(例如 /28),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容:

    • 将与中转网关子网关联的入站和出站 NACL 保持打开状态。

    • 根据流量,您可以将 NACL 应用于工作负载子网。

  • 创建一个网络 ACL 并将其与关联到中转网关的所有子网相关联。确保网络 ACL 在入站和出站方向打开。

  • 将同一个 VPC 路由表与关联到中转网关的所有子网相关联,除非您的网络设计需要多个 VPC 路由表(例如,通过多个 NAT 网关路由流量的中间盒 VPC)。

  • 使用边界网关协议 (BGP) 站点到站点 VPN 连接。如果用于连接的客户网关设备或防火墙支持多路径,请启用该功能。

  • 为 AWS Direct Connect 网关挂载和 BGP 站点到站点 VPN 挂载启用路由传播。

  • 您不需要额外的中转网关即可实现高可用性,因为根据设计,中转网关具有高可用性。

  • 限制中转网关路由表的数量,除非您的设计需要多个中转网关路由表。

  • 对于多区域部署,我们建议您为每个中转网关使用唯一自治系统编号(Amazon 端的 ASN)。为了实现冗余,请在灾难恢复区域中使用多个中转网关。有关更多信息,请参阅使用 AWS Transit Gateway 区域间对等构建全球网络