本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中转网关对等连接挂载
您可以使区域内和区域间中转网关对等并在它们之间路由流量,包括 IPv4 和 IPv6 流量。为此,请在您的中转网关上创建对等挂载,然后指定中转网关。对等中转网关可以位于您的账户或其他 Amazon Web Services 账户 中。
创建对等连接挂载请求后,对等中转网关(也称为接受方中转网关)的拥有者必须接受该请求。要在中转网关之间路由流量,请向中转网关路由表添加一个指向中转网关对等挂载的静态路由。
我们建议为每个对等中转网关使用唯一 ASN,以利用以后的路由传播功能。
中转网关对等连接不支持在另一个地区使用 Amazon Route 53 Resolver 的中转网关对等连接挂载任一端的各 VPC 中将公有或私有 IPv4 DNS 主机名解析为私有 IPv4 地址。有关 Route 53 解析器的更多信息,请参阅《Amazon Route 53 开发人员指南》中的什么是 Route 53 解析器?。
区域间网关对等连接使用与 VPC 对等连接相同的网络基础设施。因此,当流量在区域之间传输时,在虚拟网络层将使用 AES-256 加密技术进行加密。在其经过超出 Amazon 物理控制范围的网络链路时,也会在物理层使用 AES-256 加密技术进行加密。因此,当流量位于超出 Amazon 物理控制范围的网络链路时,将会进行双重加密。在同一区域内时,流量将仅在其经过超出 Amazon 物理控制范围的网络链路时进行物理层加密。
有关哪些区域支持中转网关对等连接的信息,请参阅 Amazon Transit Gateway 常见问题
创建对等连接挂载
在开始之前,请确保您获得了所要连接的中转网关的 ID。如果中转网关位于另一个 Amazon Web Services 账户 中,则请确保您具有中转网关拥有者的 Amazon Web Services 账户 ID。
创建对等挂载后,接受方中转网关的拥有者必须接受挂载请求。
使用控制台创建对等连接挂载
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。
-
选择 Create Transit Gateway Attachment(创建中转网关挂载)。
-
对于 Transit Gateway ID (中转网关 ID),选择要用于挂载的中转网关。您可以选择自己拥有的中转网关或与您共享的中转网关。
-
对于 Attachment type (挂载类型),选择 Peering Connection (对等连接)。
-
(可选)输入挂载的名称标签。
-
对于 Account (账户),执行以下操作之一:
-
如果中转网关在您的账户中,请选择 My account (我的账户)。
-
如果中转网关位于其他 Amazon Web Services 账户 中,则请选择“其他账户”。对于 Account ID (账户 ID),输入 Amazon Web Services 账户 ID。
-
-
对于 Region (区域),选择中转网关所在的区域。
-
对于 Transit gateway ID (accepter) (中转网关 ID(接受方)),输入您希望连接的中转网关的 ID。
-
选择 Create Transit Gateway Attachment (创建中转网关挂载)。
使用 Amazon CLI 创建对等连接
使用 create-transit-gateway-peering-attachment 命令。
接受或拒绝对等连接挂载请求
若要激活对等连接挂载,接受方中转网关的拥有者必须接受对等连接挂载请求。即使两个中转网关位于同一账户中,也必须执行此操作。对等连接挂载必须处于 pendingAcceptance 状态。接受来自接受方中转网关所在区域的对等连接挂载请求。
或者,您可以拒绝您收到的处于 pendingAcceptance 状态的任何对等连接请求。您必须拒绝来自接受方中转网关所在区域的请求。
使用控制台接受对等连接挂载请求
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Attachments (中转网关挂载)。
-
选择等待接受的中转网关对等挂载。
-
选择 Actions (操作)、Accept transit gateway attachment (接受中转网关挂载)。
-
将静态路由添加到中转网关路由表中。有关更多信息,请参阅 创建静态路由。
使用控制台拒绝对等连接挂载请求
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Attachments (中转网关挂载)。
-
选择等待接受的中转网关对等挂载。
-
选择 Actions (操作)、Reject transit gateway attachment (拒绝中转网关挂载)。
使用 Amazon CLI 接受或拒绝对等连接
使用 accept-transit-gateway-peering-attachment 和 reject-transit-gateway-peering-attachment 命令。
将路由添加到中转网关路由表
要在对等中转网关之间路由流量,必须向中转网关路由表添加一个指向中转网关对等连接挂载的静态路由。接受方中转网关的拥有者还必须向其中转网关的路由表添加静态路由。
使用控制台创建静态路由
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Route Tables(中转网关路由表)。
-
选择要为其创建路由的路由表。
-
选择 Actions (操作)、Create static route (创建静态路由)。
-
在 Create static route (创建静态路由) 页面上,输入为其创建路由的 CIDR 块。例如,指定连接到对等中转网关的 VPC 的 CIDR 块。
-
选择路由的对等连接挂载。
-
选择 Create static route (创建静态路由)。
使用 Amazon CLI 创建静态路由
使用 create-transit-gateway-route 命令。
重要
创建路由后,将中转网关路由表与中转网关对等挂载相关联。有关更多信息,请参阅 关联中转网关路由表。
查看中转网关对等连接的挂载
您可以查看中转网关对等连接挂载及其相关信息。
使用控制台查看对等连接挂载
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Attachments(中转网关挂载)。
-
在 Resource type (资源类型) 专栏,寻找 Peering (对等节点)。这些是对等节点挂载。
-
选择挂载以查看其详细信息。
使用 Amazon CLI 查看中转网关对等连接
使用 describe-transit-gateway-peering-attachments 命令。
删除对等连接挂载
您可以删除中转网关对等挂载。任何一个中转网关的拥有者都可以删除挂载。
使用控制台删除对等连接挂载
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Transit Gateway Attachments (中转网关挂载)。
-
选择中转网关对等挂载。
-
选择 Actions (操作)、Delete transit gateway attachment (删除中转网关挂载)。
-
输入
delete,然后选择 Delete (删除)。
使用 Amazon CLI 删除对等连接
使用 delete-transit-gateway-peering-attachment 命令。
选择加入 Amazon 区域注意事项
您可以跨选择加入的区域边界对等连接中转网关。有关这些区域以及如何选择加入的信息,请参阅 Amazon Web Services 一般参考 中的管理 Amazon 区域。在这些区域中使用中转网关对等连接时,请考虑以下事项:
-
只要接受对等连接挂载的账户已选择加入该区域,您就可以对等进入选择加入的区域。
-
无论区域选择加入的状态如何,Amazon 都会与接受对等连接挂载的账户共享以下账户数据:
-
Amazon Web Services 账户 ID
-
中转网关 ID
-
区域代码
-
-
删除中转网关挂载时,上述账户数据将被删除。
-
我们建议您在选择退出该区域之前删除中转网关对等连接挂载。如果不删除对等连接挂载,流量可能会继续通过挂载,并继续产生费用。如果您不删除挂载,则可以选择重新加入,然后删除挂载。
-
通常情况下,中转网关有发送人付款模式。通过跨选择加入边界使用中转网关对等连接挂载,您可能会在接受挂载的区域(包括您尚未选择加入的区域)中产生费用。有关更多信息,请参阅 Amazon Transit Gateway 定价
。