uu加速器会员区别
/3.png?width=200&name=3.png "uu加速器会员区别 - techarchist.com")
AWS Transit Gateway 在 2018 年 11 月的 Re:Invent 大会上发布,它可以大规模简化涉及多个 VPC、VPN 和共享服务的联网。
本职位包括以下内容:
uu加速器会员区别
none
试运行阶段和生产阶段之间不能有任何连接。
这是 Transit Gateway 的一个很好的使用案例--幸好其简洁的AWS 文档最近已得到充实,以更好地描述 "隔离 VPC"。
uu加速器会员区别
过境通道》(大部分)对其进行了详细描述。AWS 转接网关文档:
引用文件中的话
过境通道- 网络中转枢纽,可用于实现虚拟私有云 (VPC) 和内部网络的互联。
附件- 您可以将 VPC、AWS Direct Connect 网关或 VPN 连接附加到中转网关。
中转网关路由表- 中转网关有一个默认路由表,还可以选择其他路由表。 路由表包括动态和静态路由,可根据数据包的目标 IP 地址决定下一跳。 这些路由的目标可以是 VPC 或 VPN 连接。 默认情况下,连接到中转网关的 VPC 和 VPN 连接与默认中转网关路由表相关联。
协会- 每个附件正好与一个路由表相关联。 每个路由表可以关联 0 到多个附件。
路由传播- VPC 或 VPN 连接可将路由动态传播到中转网关路由表。 使用 VPC 时,必须创建静态路由才能将流量发送到中转网关。 通过 VPN 连接,路由会使用边界网关协议(BGP)从中转网关传播到内部路由器。
我觉得路由传播说得不太清楚,所以下面是我的另一种解释,不那么正式,也比较啰嗦!
#@#A transit gateway route table has a set of routes (a mapping of CIDR blocks to destinations, so AWS can determine the next hop for routing an IP packet). In the route table's configuration, if you choose to "propagate" a VPC, it will automatically add the CIDR block of that VPC to the route table. Similarly if you "propagate" an uu加速器会员区别, it automatically adds the CIDR blocks for uu加速器会员区别 (which could be statically defined in uu加速器会员区别, or dynamically if using BGP).#@#
当您将 VPC 与路由表关联时,您就是在告诉它对来自该 VPC 的数据包使用该路由表(即它可以路由到传播到该路由表的所有内容,以及您添加的其他静态定义的路由)。
一个 VPC(或 VPN)最多只能与一个路由表相关联。 但是,一个 VPC(或 VPN)可以传播到多个路由表。
要允许 VPC 中的 EC2 实例通过中转网关中定义的路由发送流量,必须重新配置 VPC 子网的路由表。 您需要为所需的 CIDR 块添加指向中转网关的静态路由。
让我们来看一个具体的例子。
uu加速器会员区别
在下面的说明中,我将手动进行配置,这样我们就能了解它是如何连接在一起的。 不过,使用 CloudFormation 进行配置要好得多。
uu加速器会员区别
none
- 暂存:包含一个 VPC,CIDR 块为 172.10.0.0/16
- 生产:包含一个 VPC,CIDR 块为 172.11.0.0/16
我在内部已经有一个 VPN 设备,内部地址范围是 172.31.0.0/16。
我会在 "生产 "账户中创建中转网关和 VPN。 (另一个不错的选择是使用 "共享服务 "账户。 为了简单起见,我还是使用 "生产 "账户,这样你就需要在生产账户中拥有 IAM 权限才能影响生产。
uu加速器会员区别
uu加速器会员区别
要在 "生产 "账户中创建中转网关,我需要进入'VPC'服务,选择 "转接网关",然后选择 "创建转接网关"。 我填写的详细信息如下所示:
我选择了不使用默认路由表是因为我不想要一个平面网络,流量可以在暂存和生产之间流动。 相反,我将在稍后创建路由表、关联和传播(这也能更好地展示概念)。
uu加速器会员区别
我想在组织内的多个账户间共享这个中转网关。 因此,我必须在 AWS 资源访问管理器中允许这样做。
在主账户中,根据资源访问管理器文档我打开none并 "在您的 AWS 组织内启用共享"。 (我还记下了组织 ID,以后会用到)。
在 "生产 "账户中,根据过境网关文件我创建了一个资源共享。 我使用我的组织 ID 作为委托人,并确保取消勾选 "允许外部账户"。
uu加速器会员区别
然后,我从两个不同的账户(依次登录到每个账户)将我的两个 VPC 连接到中转网关。
uu加速器会员区别
同样,我会将 VPN 连接到中转网关。
首先,我创建了一个客户网关:
接下来,我创建 VPN 连接。 请注意,这是通过 "过境网关附件 "创建和管理的,而不是在 AWS 控制台的 VPN 部分创建和管理的(尽管它随后被列在 VPN 部分)。 但是,如果需要删除 VPN 连接,则必须通过 VPN 部分完成。
uu加速器会员区别
#@#I create the first route table that uu加速器会员区别 will use. I'll "associate" uu加速器会员区别 so that it can make use of this route table; I'll "propagate" the VPCs so that their CIDR block(s) are added to the route table. This allows packets from uu加速器会员区别 to be routed to the VPCs.#@#
VPN 使用的路由表配置如下所示:
这表明 VPN 已与中转网关路由表 "关联",因此来自该 VPN 的流量可以使用该路由表。 两个 VPC 将其 CIDR 块 "传播 "到路由表中,因此 VPN 的流量可以路由到这两个 VPC。
uu加速器会员区别
#@#Next I repeat these steps for a route table that the VPCs will use. I'll "associate" the VPCs so that they can make use of this route table; I'll "propagate" uu加速器会员区别 so that its CIDR block(s) are added to the route table.#@#
VPC 使用的路由表配置如下所示:
如果我在 VPN 上使用的是 BGP,我们就大功告成了。 但我勾选了 "静态"。 这意味着路由表不知道要为 VPN 连接传播哪些路由。 因此,我在 "路由 "下点击了 "创建路由"。 我给出了内部 CIDR 并选择了 VPN 附件。 这样就为 VPN 连接的两个隧道所使用的两个 IP 创建了一个有两个附件的路由。
uu加速器会员区别
我们仍然需要告诉 VPC 子网';路由表将流量路由到中转网关。
我打开第一个 VPC 子网的路由表(在'VPC'服务我点击子网,找到我的子网,然后点击路由表链接)。
#@#I add a route so that traffic being sent from the VPC to on-prem will go via the Transit Gateway. I choose the on-prem CIDR (172.31.0.0/16) and from the drop-down I choose "Transit Gateway" and then my transit gateway's ID.#@#
我在该 VPC 的其他子网中重复了这一操作,并在 ';生产';VPC 中做了同样的操作。
uu加速器会员区别
我们完成了! 让我们测试一下这是否有效。
我有三个私有虚拟机,每个虚拟机都监听一个开放的 TCP 端口:每个 VPC 中有一个虚拟机,内部有一个。 我检查从内部虚拟机是否可以连接到每个 VPC 虚拟机,反之亦然。 我检查从暂存虚拟机是否无法访问生产虚拟机,反之亦然。
uu加速器会员区别
#@#There are a few really important things I've not covered in this blog. Getting from the example in a blog or from AWS "getting started" documentation to a production-quality system is a huge gap. This is particularly true for an enterprise that requires buy-in from infosec and operations, and who need to maintain and evolve the systems over many years.#@#
以下是几个值得考虑的主题:
- 锁定网络连接--您是否真的需要内部部署的所有设备都能访问 VPC 中的所有设备,反之亦然? 除了用安全组和 NACL 锁定 VPC 外,您可能还想限制 CIDR,只允许真正需要访问的人访问。
- 根据最小权限原则,锁定用户对所有这些 AWS 资源的 IAM 访问权限。 这包括中转网关、VPN 和 VPC 路由的配置。
- 启用监控功能,以便在出现问题时进行检测(请参阅文档中的监控您的转接网关)
- 使用 "即代码配置"(如 CloudFormation 或 Terraform)来设置转接网关,并随后管理对其配置的更改。
#@#3317921#@#
uu加速器会员区别
这AWS 文档给出了 AWS Transit Gateway 使用案例的更多想法。 还有更多的可能性。 如果您的 VPC 互联需求较小且简单,请坚持使用 VPC 对等互联和直接连接到单个 VPC 的 VPN。 但是,如果您需要非同小可的互联性,已经在使用或考虑使用转接网关,请考虑转接网关。转接 VPC需要 "共享服务 "VPC,或有更高级的路由要求,如入侵防御系统 (IPS)。