中转网关 - Amazon Virtual Private Cloud
创建中转网关查看中转网关添加或编辑中转网关的标签修改中转网关共享中转网关接受资源共享接受共享挂载删除中转网关
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

中转网关

通过中转网关,您可以连接同一个区域中的 VPC 和 VPN 连接并在它们之间路由流量。中转网关可跨 AWS 账户发挥作用,您可以使用 AWS Resource Access Manager 与其他账户共享您的中转网关。在您与另一个 AWS 账户共享中转网关后,账户拥有者者可以将其 VPC 挂载到您的中转网关。任一账户的用户都可以随时删除此挂载。

您可以在中转网关上启用多播,然后创建一个中转网关多播域,允许通过与域关联的 VPC 挂载,将多播流量从多播源发送到多播组成员。

您还可以在不同 AWS 区域的中转网关之间创建对等连接挂载。这使您能够跨不同区域在中转网关的挂载之间路由流量。

每个 VPC 或 VPN 挂载均与单个路由表关联。该路由表决定来自该资源挂载的流量的下一个跃点。中转网关内的路由表同时允许 IPv4 或 IPv6 CIDR 和目标。目标为 VPC 和 VPN 连接。当在中转网关上挂载 VPC 或创建 VPN 连接时,挂载与中转网关的默认路由表关联。

您可以在中转网关内创建其他路由表,并更改 VPC 或 VPN 与这些路由表的关联。这使您可以对网络进行分段。例如,您可以将开发 VPC 与一个路由表关联,而将生产 VPC 与另一个路由表关联。这让您可以在中转网关内创建与传统网络中的虚拟路由和转发 (VRF) 类似的隔离网络。

中转网关支持在连接的 VPC 和 VPN 连接之间进行动态和静态路由。您可以针对每个挂载启用或禁用路由传播。中转网关对等连接挂载仅支持静态路由。

您可以选择将一个或多个 IPv4 或 IPv6 CIDR 块与您的中转网关关联。在为中转网关 Connect 挂载建立 Connect 对等节点时,您可以从 CIDR 块中指定 IP 地址。您可以关联任何公有或私有 IP 地址范围,但 169.254.0.0/16 范围以及与您的 VPC 挂载和本地网络地址重叠的范围中的地址除外。

创建中转网关

当您创建中转网关时,我们创建一个默认的中转网关路由表,并将其用作默认的关联路由表和默认的传播路由表。

使用控制台创建中转网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateways (中转网关)

  3. 选择 Create Transit Gateway (创建中转网关)

  4. 对于 Name tag (名称标签),(可选)输入中转网关的名称。名称标签可让您更轻松地确定网关列表中的特定网关。当您添加名称标签时,将使用 Name 键和与您输入的值相等的值创建一个标签。

  5. 对于 Description (描述),(可选)输入中转网关的描述。

  6. 对于 Amazon side ASN (Amazon 端 ASN),要么保留默认值以使用默认的自治系统编号 (ASN),要么输入您中转网关的私有 ASN。这应该是边界网关协议 (BGP) 会话的 AWS 端的 ASN。

    对于 16 位 ASN,范围为 64512 到 65534。

    对于 32 位 ASN,范围为 4200000000 到 4294967294。

    如果您有多区域部署,我们建议您为每个中转网关使用唯一的 ASN。

  7. 对于 DNS support (DNS 支持),当从连接到中转网关的某个 VPC 中的实例进行查询时,如果您需要另一个 VPC 将公共 IPv4 DNS 主机名解析为私有 IPv4 地址,则选择 enable (启用)

  8. 对于 VPN ECMP support (VPN ECMP 支持),如果您在 VPN 隧道之间需要等价多路径 (ECMP) 路由支持,则选择 enable (启用)。如果连接公布相同的 CIDR,则流量在它们之间均等分配。

    在选择该选项时,公布的 BGP ASN 和 BGP 属性(如 AS 路径和首选项社区)必须相同。

    注意

    要使用 ECMP,必须创建使用动态路由的 VPN 连接。使用静态路由的 VPN 连接不支持 ECMP。

  9. 对于 Default route table association (默认路由表关联),选择 enable (启用) 以自动将 Transit Gateway 挂载与中转网关的默认路由表关联。

  10. 对于 Default route table propagation (默认路由表传播),选择 enable (启用) 以自动将 Transit Gateway 挂载传播到中转网关的默认路由表。

  11. (可选)要使用中转网关作为多播流量的路由器,请选择 Multicast support (多播支持)

  12. 对于 Auto accept shared attachments (自动接受共享的挂载),选择 enable (启用) 以自动接受跨账户挂载。

  13. (可选)对于 Transit Gateway CIDR blocks(中转网关 CIDR 块),请选择 Add CIDR(添加 CIDR),并为您的中转网关指定一个或多个 IPv4 或 IPv6 CIDR 块。

    您可以为 IPv4 指定大小为 /24 或更大(例如 /23 或 /22)的 CIDR 块,或为 IPv6 指定大小为 /64 或更大(例如 /63 或 /62)的 CIDR 块。您可以关联任何公有或私有 IP 地址范围, 但 169.254.0.0/16 范围以及与您的 VPC 挂载和本地网络地址重叠的范围中的地址除外。

  14. 选择 Create Transit Gateway (创建中转网关)

  15. 在您看到消息 Create Transit Gateway request succeeded (创建中转网关请求成功) 后,选择 Close (关闭)

使用 AWS CLI 创建中转网关

使用 create-transit-gateway 命令。

查看中转网关

使用控制台查看您的中转网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateways (中转网关)。中转网关的详细信息显示在页面上的网关列表下方。

使用 AWS CLI 查看您的中转网关

使用 describe-transit-gateways 命令。

添加或编辑中转网关的标签

向资源添加标签以帮助整理和识别资源,例如,按用途、拥有者或环境。您可以向每个中转网关添加多个标签。每个中转网关的标签键必须是唯一的。如果您添加的标签中的键已经与中转网关关联,它将更新该标签的值。有关更多信息,请参阅标记 Amazon EC2 资源

使用控制台向中转网关添加标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateways (中转网关)

  3. 选择要为其添加或编辑标签的中转网关。

  4. 在页面的下面部分选择 Tags (标签) 选项卡。

  5. 选择添加/编辑标签

  6. 选择创建标签

  7. 输入标签的

  8. 选择 Save

修改中转网关

您可以修改中转网关的配置选项。修改中转网关时,修改后的选项将仅应用于新的 Transit Gateway 挂载。不会修改现有的 Transit Gateway 挂载。

您无法修改他人与您共享的中转网关。

如果任何 IP 地址当前用于 Connect 对等节点,您将无法删除中转网关的 CIDR 块。

修改中转网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateways (中转网关)

  3. 选择要修改的中转网关。

  4. 依次选择操作修改

  5. 根据需要修改选项,然后选择修改中转网关

使用 AWS CLI 修改您的中转网关

使用 modify-transit-gateway 命令。

共享中转网关

您可以使用 AWS Resource Access Manager (RAM) 在 AWS Organizations 中的账户之间或组织之间共享中转网关。使用以下过程共享您拥有的中转网关。

您必须从组织的管理账户启用资源共享。有关启用资源共享的信息,请参阅 AWS RAM 用户指南 中的通过 AWS Organizations 启用共享

共享中转网关

  1. 通过以下网址打开 AWS Resource Access Manager 控制台:https://console.aws.amazon.com/ram/

  2. 选择 Create a Resource Group (创建资源组)

  3. Description (描述) 下,对于 Name (名称),键入资源共享的描述性名称。

  4. 对于 Select resource type (选择资源类型),选择 Transit Gateways (中转网关)。选择中转网关。

  5. (可选)对于 Principals (委托人),将委托人添加到资源共享。对于每个 AWS 账户、OU 或组织,指定其 ID 并选择添加

    对于 Allow external accounts (允许外部账户),选择是否允许与组织外部的 AWS 账户共享此资源。

  6. (可选)在标签下,键入每个标签的标签密钥和标签值对。这些标签应用于资源共享,但不应用于中转网关。

  7. 选择 Create resource share (创建资源共享)

接受资源共享

如果已将您添加到资源共享,您将收到加入资源共享的邀请。您必须接受资源共享,然后才能访问共享的资源。

接受资源共享

  1. 通过以下网址打开 AWS Resource Access Manager 控制台:https://console.aws.amazon.com/ram/

  2. 在导航窗格中,依次选择与我共享Resource shares (资源共享)

  3. 选择资源共享。

  4. 选择 Accept resource share (接受资源共享)

  5. 要查看共享的中转网关,请在 Amazon VPC 控制台中打开 Transit Gateways (中转网关) 页面。

接受共享挂载

如果您在创建中转网关时未启用 Auto accept shared attachments (自动接受共享挂载) 功能,则必须手动接受跨账户(共享)挂载。

手动接受共享挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Transit Gateway Attachments (中转网关挂载)

  3. 选择等待接受的 Transit Gateway 挂载。

  4. 依次选择 Actions (操作)Accept (接受)

使用 AWS CLI 接受共享挂载

使用 accept-transit-gateway-vpc-attachment 命令。

删除中转网关

您不能删除带有现有挂载的中转网关。您需要先删除所有挂载,然后才能删除中转网关。

使用控制台删除中转网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 选择要删除的中转网关。

  3. 依次选择操作删除,然后选择删除以确认删除。

使用 AWS CLI 删除中转网关

使用 delete-transit-gateway 命令。