AWS Transit Gateway實踐與使用場景的思考

AWS Transit Gateway是一項服務，可以將用戶的AmazonVirtual Private Clouds(VPC)和本地網(wǎng)絡連接到一個網(wǎng)關(guān)（AWS TransitGateway簡稱TGW，下文會混用這兩個詞，但實質(zhì)就是一樣的意思）。隨著AWS上運行的工作負載數(shù)量不斷增加，必須能夠跨多個賬戶和Amazon VPC擴展您的網(wǎng)絡，才能跟上發(fā)展步伐。現(xiàn)在，您可以使用對等連接Amazon VPC對。但是，如果無法集中管理連接策略，那么管理眾多AmazonVPC之間的點對點連接會帶來高昂運營成本而且十分繁瑣。當VPC數(shù)量增加到數(shù)百時，構(gòu)建此解決方案可能非常耗時，而且難以管理。

借助AWS Transit Gateway，只需創(chuàng)建和管理一條連接，這條連接從中央網(wǎng)關(guān)連接到您網(wǎng)絡中的每個Amazon VPC、本地數(shù)據(jù)中心或遠程辦公室。Transit Gateway充當中心，控制流量在所有連接的網(wǎng)絡（相當于輻射網(wǎng)絡）之間的路由方式。這種中心和輻射模型大大簡化了管理工作并降低了運營成本，因為每個網(wǎng)絡只需連接到Transit Gateway，而無需連接到其他所有網(wǎng)絡。任何新的VPC只需連接到Transit Gateway，便可自動與連接到Transit Gateway的其他所有網(wǎng)絡建立連接。這種連接的簡便性可以隨著網(wǎng)絡發(fā)展輕松擴展網(wǎng)絡。

TGW可以支持同一Region里的VPC互聯(lián)，也可以跨Region進行VPC互聯(lián)，同時也支持VPN的互聯(lián)，下文中的實踐是基于同一Region里的VPC互聯(lián)，之后會再繼續(xù)編寫跨Region與VPN互聯(lián)的實踐方案。

PS：TGW之前在AWS中國平臺上還沒有這項服務，但前不久發(fā)現(xiàn)在AWS中國里也支持此項目功能了，但只支持VPC的互聯(lián)，應該暫時還不支持跨Region的Peering Connection與VPN模式。因此本次只基于VPC的互通，考慮到訪問速度的原因使用的平臺是AWS中國。

在沒有使用TGW時，如果有多個VPC需要進行互聯(lián)，拓撲如下，每個VPC之間都需要建立對等連接，增加了擴展難度。同時如果在VPC數(shù)量非常龐大的情況下配置將會非常的復雜，管理起來也很混亂。

如果使用了TransitGateway方案后將會簡化很多，形成一個VPC間的Hub-Spoke架構(gòu)，只需將各個VPC連接至AWS Transit Gateway，該服務就會在各個VPC之間路由流量了，簡化了VPC連接方式，拓撲如下：

我們可以把此拓撲再演變一下，如下圖：

通過一些相關(guān)配置可以實現(xiàn)所有VPC1~VPC4都可以訪問Share_VPC，同時仍然保持VCP1~VPC4之間的隔離性。

應用場景

全網(wǎng)VPC互連

構(gòu)建跨數(shù)千個VPC的應用程序，無需承擔管理分布式網(wǎng)絡的運營負擔。通過對等連接和管理成百上千個VPC需要大量路由表，這很難部署、管理，并且容易出錯。現(xiàn)在，要配置的路由要少得多，因為您只需配置到AWS Transit Gateway的路由，而不是到每個VPC的路由。

應用共享

可以在所有Amazon VPC之間輕松共享AWS服務，如DNS、ActiveDirectory和IPS/IDS。

負載均衡

TGW支持負載均衡，當需要高帶寬連接時，TGW還支持ECMP負載均衡模式，來提供鏈路帶寬，輕松滿足帶寬擴容能力。

安全防護

任何VPC之間的訪問都必須通過TGW路由至一個安全VPC（可以在里面部署防火墻、WAF等安全設備）進行中轉(zhuǎn)，以此來進行安全防護功能。

集中審計與管理

可以單獨部署一個集中審計與管理的VPC，通過TGW與所有VPC進行連接，此時可以方便的進行日志審計與集中管理，對于一些態(tài)勢感知或是SIEM等應用也同樣適應。

蜜罐部署

把蜜罐放置在一個公共VPC中，通過TGW可以讓所有VPC都可以訪問部署了蜜罐的VPC，以此解決連接性問題。

AWS TransitGateway配置實戰(zhàn)

網(wǎng)絡拓撲：

實驗目的：

在實現(xiàn)VPC1與VPC2安全隔離的同時都可以訪問VPC_Core里的實例。

配置步驟

VPC配置（配置略），配置了3個VPC，分別為VPC1、VPC2、VPC_Core。

基于VPC分別創(chuàng)建相應的VPC子網(wǎng)（配置略）。

分別為每個VPC創(chuàng)建相應的IGW，并且配置IGW的缺省路由，以使其可以訪問Internet（配置略）。

VPC1的IGW路由配置

VPC2的IGW路由配置

VPC_Core的IGW路由配置

創(chuàng)建EC2實例

分別在VPC1與VPC2里創(chuàng)建兩個EC2實例，在VPC_Core里創(chuàng)建一個EC2實例。

EC2實例標簽與私網(wǎng)地址如下：

VPC1_Subnet1_EC2A：192.168.0.151

VPC1_Subnet2_EC2A：192.168.1.20

VPC2_Subnet1_EC2A：172.16.0.250

VPC2_Subnet2_EC2A：172.16.1.81

VPC_Core_EC2A：10.1.1.14

創(chuàng)建TGW（TransitGateways）

等待TGW狀態(tài)從pending變?yōu)閍vailable后，則說明TGW創(chuàng)建完成。

Transit Gateway Attachments

把新創(chuàng)建的TGW與VPC進行關(guān)聯(lián)

分別把所有VPC與TGW進行關(guān)聯(lián)。等待Attachment變化available后則說明生效。

TGW路由配置

通過路由表的配置實現(xiàn)VPC1、VPC2與VPC_Core的互連，同時保持VPC1與VPC2的隔離。

增加VPC1路由表的配置，使VPC1可以訪問VPC_Core 10.1.1.0/24網(wǎng)段。

同理，添加VPC2至VPC_Core10.1.1.0/24的TGW路由。

添加VPC_Core至VPC1192.168.0.0/16與VPC2 172.16.0.0/16的TGW路由。

到此所有配置完成，查看TGW的TransitGateway route Tables的路由表，TGW里有至所有VPC（VPC1、VPC2）的路由，由此可以實現(xiàn)VPC間Hub-Spoke的連接，但是VCP1與VPC2的路由表里只有至VPC_Core的路由。