AWS Transit Gateway實(shí)踐與使用場(chǎng)景的思考

AWS Transit Gateway是一項(xiàng)服務(wù)，可以將用戶的AmazonVirtual Private Clouds(VPC)和本地網(wǎng)絡(luò)連接到一個(gè)網(wǎng)關(guān)（AWS TransitGateway簡(jiǎn)稱TGW，下文會(huì)混用這兩個(gè)詞，但實(shí)質(zhì)就是一樣的意思）。隨著AWS上運(yùn)行的工作負(fù)載數(shù)量不斷增加，必須能夠跨多個(gè)賬戶和Amazon VPC擴(kuò)展您的網(wǎng)絡(luò)，才能跟上發(fā)展步伐。現(xiàn)在，您可以使用對(duì)等連接Amazon VPC對(duì)。但是，如果無(wú)法集中管理連接策略，那么管理眾多AmazonVPC之間的點(diǎn)對(duì)點(diǎn)連接會(huì)帶來(lái)高昂運(yùn)營(yíng)成本而且十分繁瑣。當(dāng)VPC數(shù)量增加到數(shù)百時(shí)，構(gòu)建此解決方案可能非常耗時(shí)，而且難以管理。

借助AWS Transit Gateway，只需創(chuàng)建和管理一條連接，這條連接從中央網(wǎng)關(guān)連接到您網(wǎng)絡(luò)中的每個(gè)Amazon VPC、本地?cái)?shù)據(jù)中心或遠(yuǎn)程辦公室。Transit Gateway充當(dāng)中心，控制流量在所有連接的網(wǎng)絡(luò)（相當(dāng)于輻射網(wǎng)絡(luò)）之間的路由方式。這種中心和輻射模型大大簡(jiǎn)化了管理工作并降低了運(yùn)營(yíng)成本，因?yàn)槊總€(gè)網(wǎng)絡(luò)只需連接到Transit Gateway，而無(wú)需連接到其他所有網(wǎng)絡(luò)。任何新的VPC只需連接到Transit Gateway，便可自動(dòng)與連接到Transit Gateway的其他所有網(wǎng)絡(luò)建立連接。這種連接的簡(jiǎn)便性可以隨著網(wǎng)絡(luò)發(fā)展輕松擴(kuò)展網(wǎng)絡(luò)。

TGW可以支持同一Region里的VPC互聯(lián)，也可以跨Region進(jìn)行VPC互聯(lián)，同時(shí)也支持VPN的互聯(lián)，下文中的實(shí)踐是基于同一Region里的VPC互聯(lián)，之后會(huì)再繼續(xù)編寫跨Region與VPN互聯(lián)的實(shí)踐方案。

PS：TGW之前在AWS中國(guó)平臺(tái)上還沒有這項(xiàng)服務(wù)，但前不久發(fā)現(xiàn)在AWS中國(guó)里也支持此項(xiàng)目功能了，但只支持VPC的互聯(lián)，應(yīng)該暫時(shí)還不支持跨Region的Peering Connection與VPN模式。因此本次只基于VPC的互通，考慮到訪問(wèn)速度的原因使用的平臺(tái)是AWS中國(guó)。

在沒有使用TGW時(shí)，如果有多個(gè)VPC需要進(jìn)行互聯(lián)，拓?fù)淙缦拢總€(gè)VPC之間都需要建立對(duì)等連接，增加了擴(kuò)展難度。同時(shí)如果在VPC數(shù)量非常龐大的情況下配置將會(huì)非常的復(fù)雜，管理起來(lái)也很混亂。

如果使用了TransitGateway方案后將會(huì)簡(jiǎn)化很多，形成一個(gè)VPC間的Hub-Spoke架構(gòu)，只需將各個(gè)VPC連接至AWS Transit Gateway，該服務(wù)就會(huì)在各個(gè)VPC之間路由流量了，簡(jiǎn)化了VPC連接方式，拓?fù)淙缦拢?/span>

我們可以把此拓?fù)湓傺葑円幌?，如下圖：

通過(guò)一些相關(guān)配置可以實(shí)現(xiàn)所有VPC1~VPC4都可以訪問(wèn)Share_VPC，同時(shí)仍然保持VCP1~VPC4之間的隔離性。

應(yīng)用場(chǎng)景

全網(wǎng)VPC互連

構(gòu)建跨數(shù)千個(gè)VPC的應(yīng)用程序，無(wú)需承擔(dān)管理分布式網(wǎng)絡(luò)的運(yùn)營(yíng)負(fù)擔(dān)。通過(guò)對(duì)等連接和管理成百上千個(gè)VPC需要大量路由表，這很難部署、管理，并且容易出錯(cuò)?，F(xiàn)在，要配置的路由要少得多，因?yàn)槟恍枧渲玫紸WS Transit Gateway的路由，而不是到每個(gè)VPC的路由。

應(yīng)用共享

可以在所有Amazon VPC之間輕松共享AWS服務(wù)，如DNS、ActiveDirectory和IPS/IDS。

負(fù)載均衡

TGW支持負(fù)載均衡，當(dāng)需要高帶寬連接時(shí)，TGW還支持ECMP負(fù)載均衡模式，來(lái)提供鏈路帶寬，輕松滿足帶寬擴(kuò)容能力。

安全防護(hù)

任何VPC之間的訪問(wèn)都必須通過(guò)TGW路由至一個(gè)安全VPC（可以在里面部署防火墻、WAF等安全設(shè)備）進(jìn)行中轉(zhuǎn)，以此來(lái)進(jìn)行安全防護(hù)功能。

集中審計(jì)與管理

可以單獨(dú)部署一個(gè)集中審計(jì)與管理的VPC，通過(guò)TGW與所有VPC進(jìn)行連接，此時(shí)可以方便的進(jìn)行日志審計(jì)與集中管理，對(duì)于一些態(tài)勢(shì)感知或是SIEM等應(yīng)用也同樣適應(yīng)。

蜜罐部署

把蜜罐放置在一個(gè)公共VPC中，通過(guò)TGW可以讓所有VPC都可以訪問(wèn)部署了蜜罐的VPC，以此解決連接性問(wèn)題。

AWS TransitGateway配置實(shí)戰(zhàn)

網(wǎng)絡(luò)拓?fù)洌?/span>

實(shí)驗(yàn)?zāi)康模?/span>

在實(shí)現(xiàn)VPC1與VPC2安全隔離的同時(shí)都可以訪問(wèn)VPC_Core里的實(shí)例。

配置步驟

VPC配置（配置略），配置了3個(gè)VPC，分別為VPC1、VPC2、VPC_Core。

基于VPC分別創(chuàng)建相應(yīng)的VPC子網(wǎng)（配置略）。

分別為每個(gè)VPC創(chuàng)建相應(yīng)的IGW，并且配置IGW的缺省路由，以使其可以訪問(wèn)Internet（配置略）。

VPC1的IGW路由配置

VPC2的IGW路由配置

VPC_Core的IGW路由配置

創(chuàng)建EC2實(shí)例

分別在VPC1與VPC2里創(chuàng)建兩個(gè)EC2實(shí)例，在VPC_Core里創(chuàng)建一個(gè)EC2實(shí)例。

EC2實(shí)例標(biāo)簽與私網(wǎng)地址如下：

VPC1_Subnet1_EC2A：192.168.0.151

VPC1_Subnet2_EC2A：192.168.1.20

VPC2_Subnet1_EC2A：172.16.0.250

VPC2_Subnet2_EC2A：172.16.1.81

VPC_Core_EC2A：10.1.1.14

創(chuàng)建TGW（TransitGateways）

等待TGW狀態(tài)從pending變?yōu)閍vailable后，則說(shuō)明TGW創(chuàng)建完成。

Transit Gateway Attachments

把新創(chuàng)建的TGW與VPC進(jìn)行關(guān)聯(lián)

分別把所有VPC與TGW進(jìn)行關(guān)聯(lián)。等待Attachment變化available后則說(shuō)明生效。

TGW路由配置

通過(guò)路由表的配置實(shí)現(xiàn)VPC1、VPC2與VPC_Core的互連，同時(shí)保持VPC1與VPC2的隔離。

增加VPC1路由表的配置，使VPC1可以訪問(wèn)VPC_Core 10.1.1.0/24網(wǎng)段。

同理，添加VPC2至VPC_Core10.1.1.0/24的TGW路由。

添加VPC_Core至VPC1192.168.0.0/16與VPC2 172.16.0.0/16的TGW路由。

到此所有配置完成，查看TGW的TransitGateway route Tables的路由表，TGW里有至所有VPC（VPC1、VPC2）的路由，由此可以實(shí)現(xiàn)VPC間Hub-Spoke的連接，但是VCP1與VPC2的路由表里只有至VPC_Core的路由。