深入了解 AWS Transit Gateway：是什么以及如何工作 – wiki基地

---

深入了解 AWS Transit Gateway：连接云网络的下一代中心

随着企业在 AWS 云平台上的业务规模不断扩大，所使用的 Virtual Private Cloud (VPC) 数量呈指数级增长已成为常态。应用程序、团队、环境（开发、测试、生产）以及合规性要求等因素都促使组织创建和管理多个独立的 VPC。然而，VPC 数量的激增带来了一个显著的网络挑战：如何高效、安全且可扩展地连接这些分散的 VPC 以及本地数据中心？

在 AWS Transit Gateway 出现之前，连接多个 VPC 和本地网络主要依赖于以下方法：

1. VPC Peering (VPC 对等连接): 这是连接两个 VPC 的直接方式。设置简单，性能良好。然而，VPC Peering 是非传递的。这意味着如果 VPC-A 与 VPC-B 对等，VPC-B 与 VPC-C 对等，VPC-A 无法直接通过 VPC-B 路由访问 VPC-C。随着 VPC 数量 N 的增加，所需的 VPC Peering 连接数量呈 N*(N-1)/2 的关系增长，形成一个复杂的“意大利面条式”网络，难以管理和扩展。
2. 基于 EC2 实例的 VPN/路由设备: 用户可以在一个中央 VPC 中部署一个路由或 VPN 设备（如 VPN 网关、第三方防火墙/路由器），让其他 VPC 通过 VPN 或私有 IP 连接到这个中央 VPC，再由中央 VPC 路由到目的地（包括本地数据中心）。这种方法提供了一定的中心化能力和传递路由，但维护和管理这些 EC2 设备及其高可用性、扩展性带来了额外的运营负担和成本。
3. 单个 VPC 直接连接本地网络: 每个需要访问本地资源的 VPC 都通过 AWS Direct Connect 或 Site-to-Site VPN 单独连接到本地网络。这导致本地网络设备上需要维护大量的隧道和路由信息，同样难以管理和扩展。

面对这些挑战，AWS 推出了 Transit Gateway。它被设计为解决多 VPC 和混合云连接复杂性的下一代网络服务，充当一个高度可扩展的网络中转中心（Network Transit Hub）。

什么是 AWS Transit Gateway？

AWS Transit Gateway 是一种网络中转服务，它通过中央集线器模型简化了连接多个 Amazon Virtual Private Cloud (VPC) 和本地网络的方式。借助于 Transit Gateway，您只需要将每个 VPC、本地数据中心（通过 VPN 或 Direct Connect）连接到 Transit Gateway 一次，然后 Transit Gateway 负责在它们之间路由流量。这种模式取代了复杂的点对点连接（如 VPC Peering），极大地简化了网络拓扑结构。

Transit Gateway 就像一个云中的路由器或交换机，它在一个区域内运行（跨可用区以实现高可用性），并能处理大量的网络连接和高流量吞吐。

AWS Transit Gateway 的工作原理

要理解 Transit Gateway 的工作原理，需要掌握几个核心概念：

1. 附件 (Attachments):
   附件是您将 VPC 或本地网络连接到 Transit Gateway 的连接点。Transit Gateway 支持以下类型的附件：

   • VPC 附件 (VPC Attachment): 将一个 VPC 连接到 Transit Gateway。创建 VPC 附件时，需要指定 VPC ID 以及希望 Transit Gateway 在该 VPC 中创建弹性网络接口 (ENI) 的至少一个子网（通常建议每个可用区选择一个子网以实现高可用性）。这些 ENI 作为 VPC 连接到 Transit Gateway 的实际接口。
   • VPN 附件 (VPN Attachment): 将一个 AWS Site-to-Site VPN 连接连接到 Transit Gateway。这允许您的本地网络通过 VPN 隧道与 Transit Gateway 相连。在创建 VPN 连接时，选择连接类型为 Transit Gateway 并指定目标 Transit Gateway ID。
   • Direct Connect Gateway 附件 (Direct Connect Gateway Attachment): 将一个 Direct Connect Gateway 连接到 Transit Gateway。Direct Connect Gateway 允许您将一个或多个 Direct Connect 连接聚合成一个逻辑实体，并通过它访问多个 VPC（当与 Transit Gateway 结合使用时）。通过 Direct Connect Gateway 附件，本地网络可以通过专线连接与 Transit Gateway 相连。
   • Peering 附件 (Peering Attachment): 将一个 Transit Gateway 连接到另一个区域的 Transit Gateway。这允许在不同 AWS 区域的 VPC 或网络通过两个 Transit Gateway 进行通信。

2. Transit Gateway 路由表 (Transit Gateway Route Tables):
   Transit Gateway 的核心路由逻辑由其路由表控制。每个 Transit Gateway 默认会创建一个默认路由表，但您可以创建多个自定义路由表。路由表包含一组路由规则，指示发往特定目标 IP 地址段的流量应该转发到哪个附件。
   Transit Gateway 路由表中的路由可以有两种来源：

   • 传播路由 (Propagated Routes): 通过将一个附件配置为向路由表 传播 其路由，Transit Gateway 可以自动学习该附件连接的网络（例如，VPC 的 CIDR 块，通过 VPN/DX 宣告的本地网络路由）并将其添加到路由表中。
   • 静态路由 (Static Routes): 您可以手动向路由表中添加静态路由，指定特定目标 CIDR 块应通过哪个附件发送。这对于指向特定的服务、设备或网络，或者在需要更精细控制路由时非常有用。

3. 关联 (Associations):
   每个 Transit Gateway 附件必须且只能与一个 Transit Gateway 路由表 关联。关联决定了从该附件 进入 Transit Gateway 的流量将查阅哪个路由表来确定下一跳。

4. 传播 (Propagations):
   如前所述，传播是路由的来源之一。您可以将一个附件配置为向一个或多个 Transit Gateway 路由表 传播 其路由。这意味着连接到该附件的网络（例如 VPC 的 CIDR）将被动态地添加到被传播的路由表中。当附件的连接状态或可用路由发生变化时，这些传播的路由也会自动更新。

路由决策流程:

当流量从一个连接到 Transit Gateway 的网络（例如，VPC 中的一个 EC2 实例）发出，希望到达另一个网络时，其流量会流经以下路径：

1. 流量进入 Transit Gateway： 流量从源 VPC 的子网，通过 Transit Gateway 在该子网中创建的 ENI，进入 Transit Gateway。
2. 查阅关联的路由表： Transit Gateway 确定这个流入流量来自哪个附件（即源 VPC 附件），并查找该附件关联的 Transit Gateway 路由表。
3. 路由查找： Transit Gateway 在该路由表中查找与目标 IP 地址最匹配的路由（最长前缀匹配）。
4. 流量转发： 路由表中的匹配路由会指向一个或多个目标附件。Transit Gateway 将流量转发到相应的目标附件。
5. 流量离开 Transit Gateway： 流量通过目标附件（例如，目标 VPC 附件在目标 VPC 子网中的 ENI，或 VPN 连接）离开 Transit Gateway，最终到达目的地。

举例说明：

假设您有 VPC-A、VPC-B 和本地网络，它们都连接到同一个 Transit Gateway。
* VPC-A 附件与 Default 路由表关联。
* VPC-B 附件与 Default 路由表关联。
* VPN 附件与 Default 路由表关联。
* 所有附件都向 Default 路由表传播其路由。

现在，VPC-A 中的一个 EC2 实例 (10.1.1.10) 需要访问 VPC-B 中的一个 EC2 实例 (10.2.2.20)。
1. VPC-A 路由表将 10.2.2.0/24 的流量指向 Transit Gateway 附件。
2. 流量到达 Transit Gateway，来自 VPC-A 附件。
3. VPC-A 附件关联到 Default 路由表。Transit Gateway 在 Default 路由表中查找 10.2.2.20。
4. 由于 VPC-B 附件传播了其 VPC 的 CIDR (10.2.0.0/16 或更具体的 10.2.2.0/24)，Default 路由表会有一个路由指向 VPC-B 附件。
5. Transit Gateway 将流量转发到 VPC-B 附件。
6. 流量进入 VPC-B，由 VPC-B 的路由表进一步路由到 10.2.2.20 所在的子网和实例。

如果 VPC-A 中的实例需要访问本地网络 (192.168.1.0/24)，流程类似，Default 路由表会有一个由 VPN 附件传播的路由指向 VPN 附件。

利用多个路由表实现网络分段：

Transit Gateway 的强大之处在于支持多个路由表。这使得实现网络分段变得非常灵活。例如：

• 您可以创建一个 “Shared Services” 路由表，其中包含指向共享服务 VPC（如身份认证、日志、监控服务）的路由。
• 您可以创建一个 “Production” 路由表，只允许生产环境的 VPC 相互通信并访问本地生产网络。
• 您可以创建一个 “Development” 路由表，只允许开发环境的 VPC 相互通信，并且可能限制对生产网络的访问。

通过将不同的 VPC 附件关联到不同的路由表，您可以精确控制哪些网络可以相互通信。例如，将所有生产 VPC 关联到 “Production” 路由表，所有开发 VPC 关联到 “Development” 路由表。通过精心配置路由表中的传播和静态路由，您可以构建复杂的网络访问策略。

AWS Transit Gateway 的关键特性和优势

Transit Gateway 不仅仅是简化连接，它还带来了诸多关键特性和优势：

1. 简化网络架构 (Simplified Network Architecture): 从复杂的点对点连接或中央 EC2 路由设备模型转变为简洁的 Hub-and-Spoke (中心辐射) 模型。大大降低了网络设计的复杂性。
2. 降低运营开销 (Reduced Operational Overhead): 减少了管理大量 VPC Peering 连接或维护高可用性路由设备的任务。路由的传播特性也减少了手动更新路由表的需要。
3. 高度可扩展性 (High Scalability): 一个 Transit Gateway 可以连接多达 5000 个附件。其内部架构设计为处理高流量负载和大量的路由。
4. 增强的安全性 (Enhanced Security):
   • 集中式控制: 所有流量都通过 Transit Gateway 进行路由，提供了一个集中的控制点。
   • 网络分段: 通过多个路由表可以轻松实现不同环境、不同业务单元之间的网络隔离和分段。
   • 与安全设备的集成: 可以将流量路由到一个专门的安全 VPC，其中部署了防火墙、IDS/IPS 等安全设备进行检查。结合 Transit Gateway 的 “Appliance Mode” (设备模式)，可以确保通过设备进行双向流量检查，解决非对称路由问题。
5. 高可用性 (High Availability): Transit Gateway 本身是一种托管服务，在区域内跨可用区部署，具有内置的高可用性。虽然附件的可用性取决于底层服务（如 VPN 隧道或 Direct Connect 连接的冗余配置），但 Transit Gateway 服务本身无需您管理高可用性。
6. 高性能 (High Performance): 提供高吞吐量和低延迟的网络连接。单个 Transit Gateway 的总吞吐量可以达到 Tbps 级别（虽然单个附件有其限制），满足大多数企业级需求。
7. 跨区域连接 (Inter-Region Connectivity): 通过 Transit Gateway Peering，可以轻松地将不同 AWS 区域的网络连接起来，无需通过公网或本地网络进行中转。
8. 灵活的路由控制 (Flexible Routing Control): 通过传播路由和静态路由的结合，以及多个路由表的使用，可以实现非常精细和灵活的网络路由策略。
9. 集成 Direct Connect 和 VPN: 无缝集成 AWS Direct Connect Gateway 和 Site-to-Site VPN，实现简化的混合云连接。
10. 网络流量可见性 (Network Traffic Visibility): 可以启用 Transit Gateway 的 VPC Flow Logs (需在附件上配置) 或直接启用 Transit Gateway Flow Logs (如果区域支持)，捕获经过 Transit Gateway 的流量信息，便于监控、故障排除和安全审计。

AWS Transit Gateway 的典型使用场景

1. 连接大量 VPCs: 这是 Transit Gateway 最核心的用例。当您的 AWS 环境中有 10 个或更多的 VPC 需要相互通信时，Transit Gateway 提供的 Hub-and-Spoke 模型相比 VPC Peering 的 N*(N-1)/2 连接方式，其优势将变得异常明显。
   • 架构演进: 从网状 (Mesh) VPC Peering -> 中央共享服务 VPC + VPC Peering -> Transit Gateway Hub-and-Spoke。
2. 混合云连接 (Hybrid Cloud Connectivity): 将本地数据中心通过 Direct Connect 或 Site-to-Site VPN 连接到 Transit Gateway。所有需要访问本地资源的 VPC 只需连接到同一个 Transit Gateway 即可，无需每个 VPC 单独建立连接，大大简化了本地网络的边缘路由配置。
3. 共享服务 VPC (Shared Services VPC): 部署一个或多个包含共享服务（如 Active Directory、DNS、安全扫描、中央日志收集等）的 VPC。其他所有业务 VPC 都通过 Transit Gateway 连接到这些共享服务 VPC，集中管理和提供基础服务。
4. 网络分段与安全区域 (Network Segmentation and Security Zones): 使用多个 Transit Gateway 路由表来实现不同安全级别、不同环境（开发/测试/生产）、不同业务部门之间的网络隔离。例如，可以配置路由表，使得开发 VPC 只能访问共享服务 VPC，不能访问生产 VPC。
5. 跨区域互联 (Inter-Region Interconnection): 对于跨区域部署的应用或灾备策略，使用 Transit Gateway Peering 可以构建可靠且高效的跨区域网络连接。
6. 强制流量通过安全设备 (Forcing Traffic Through Security Appliances): 在一个中心安全 VPC 中部署网络防火墙或入侵防御系统。通过配置 Transit Gateway 的路由表，将特定流量（如跨 VPC 流量或发往本地网络的流量）首先路由到安全 VPC 中的防火墙 ENI，经过检查后再路由到最终目的地。启用设备模式确保流量回程路径也经过同一设备。

配置和管理 Transit Gateway

配置 AWS Transit Gateway 通常涉及以下步骤：

1. 创建 Transit Gateway: 在 AWS Management Console、CLI 或 API 中选择一个区域创建一个新的 Transit Gateway。需要指定 ASN (Autonomous System Number，通常为私有 ASN，如 64512-65535 之间的一个值)，可以选择开启默认关联和默认传播（通常建议关闭默认行为，以实现更精细的控制）。
2. 创建附件 (Create Attachments):
   • VPC 附件: 选择要连接的 VPC，并选择至少一个子网（通常每个可用区选择一个），Transit Gateway 会在这些子网中创建 ENI。
   • VPN 附件: 在创建 Site-to-Site VPN 连接时，选择 Transit Gateway 作为目标并指定 Transit Gateway ID。
   • Direct Connect Gateway 附件: 需要先有 Direct Connect 连接和 Direct Connect Gateway，然后将其关联到 Transit Gateway。
   • Peering 附件: 在请求端 Transit Gateway 创建 Peering 请求，然后在接受端 Transit Gateway 接受请求。
3. 管理路由表 (Manage Route Tables):
   • 创建新的路由表（如果需要）。
   • 关联 (Associate): 将附件与您选择的 Transit Gateway 路由表关联。从该附件流入的流量将查阅此路由表。
   • 传播 (Propagate): 在关联的路由表中，选择希望将路由传播进来的附件。Transit Gateway 会自动学习这些附件连接的网络路由。
   • 添加静态路由 (Add Static Routes): 根据需要手动添加指向特定目标 CIDR 的静态路由，指定下一跳附件。
4. 更新 VPC 路由表: 这是关键一步。VPC 中的子网路由表需要更新，以便将发往其他 VPC、本地网络或 Internet（如果通过 TGW 出口）的流量指向 Transit Gateway 在该子网中创建的 ENI。通常，您会添加一条或多条路由，目标是 Transit Gateway 附件 ID。
5. 配置本地网络设备: 如果通过 VPN 或 Direct Connect 连接，确保本地路由设备正确配置了与 Transit Gateway 之间网络的路由（通常是通过 BGP 动态学习或配置静态路由）。
6. 监控和日志: 在 Transit Gateway 附件上启用 VPC Flow Logs 或 Transit Gateway Flow Logs，配置日志组和目的地 (如 S3 或 CloudWatch Logs)，以便监控网络流量。在 CloudWatch 中查看 Transit Gateway 相关的指标（如流量、丢包）。

设备模式 (Appliance Mode):

当需要将流量强制通过 Transit Gateway 附件后的一个网络设备（如防火墙）时，可能会出现非对称路由问题。例如，去向流量经过防火墙，但返回流量绕过防火墙。启用 Transit Gateway 附件的“设备模式”可以解决这个问题。在设备模式下，Transit Gateway 会保持发往特定目标地址的所有流量通过同一个可用区的同一附件进行路由，即使该目标可以通过多个路径到达。这对于有状态的网络设备（如防火墙）至关重要，因为它确保会话的去向和返回流量都经过同一个设备实例。

Transit Gateway vs. 其他连接方式

• vs. VPC Peering: TGW 支持传递路由和 Hub-and-Spoke 模型，扩展性远超 VPC Peering，特别是当 VPC 数量较多时。VPC Peering 适合少量 VPC 之间的直接连接。
• vs. 中央 EC2 路由器: TGW 是托管服务，无需管理底层基础设施、操作系统补丁、高可用性配置和容量扩展。它提供了更高的可用性和可扩展性，但配置的灵活性可能不如完全自定义的 EC2 设备（例如，不能在 TGW 上运行复杂的网络功能如 NAT 网关或深度包检测，这些需要在附加的 VPC 中实现）。
• vs. 每个 VPC 单独连接本地网络: TGW 显著简化了本地网络边缘设备的配置和管理，只需建立与 TGW 的连接，而不是与每个 VPC 的连接。

成本考虑

AWS Transit Gateway 的成本主要包括两部分：

1. Transit Gateway 小时费: 按 Transit Gateway 可用的小时数收费，与连接的附件数量无关。
2. 数据处理费: 按通过 Transit Gateway 处理的数据量（入站和出站）收费。这是主要的成本驱动因素。数据在通过 Transit Gateway 路由时，无论是在连接的 VPC 之间、VPC 与本地网络之间，还是通过 TGW Peering 在区域之间传输，都会产生数据处理费用。

详细的定价信息应参考 AWS 官方 Transit Gateway 定价页面，因为价格可能随区域和时间变化。

局限性或需要注意的点

• 区域性服务: Transit Gateway 是区域性服务。连接不同区域的网络需要使用 Transit Gateway Peering。
• CIDR 重叠: 虽然 Transit Gateway 可以通过更具体的路由处理部分 CIDR 重叠，但在设计网络时，避免严重的 CIDR 重叠仍然是最佳实践，特别是对于传播路由。
• 性能限制: 虽然总吞吐量很高，但单个附件（特别是 VPN 和 DX Gateway 附件）有其性能上限。设计时需考虑应用的流量模式和需求。
• 复杂场景的路由设计: 虽然简化了大部分场景，但在需要非常复杂的路由策略（如基于源 IP 的策略路由）或与其他高级网络服务（如 AWS Network Firewall, Gateway Load Balancer）集成时，需要仔细设计 Transit Gateway 路由表和相应的安全 VPC 架构。

总结

AWS Transit Gateway 是解决现代云网络连接复杂性的强大解决方案。通过提供一个可扩展、高可用且易于管理的网络中转中心，它极大地简化了连接多个 VPC、本地数据中心以及跨区域网络的架构。从点对点的“意大利面条式”网络过渡到整洁的 Hub-and-Spoke 模型，Transit Gateway 不仅降低了运营复杂性和成本，还提升了网络的可扩展性、安全性和可靠性。

对于任何在 AWS 上拥有多个 VPC 或需要集成本地网络的组织而言，深入理解和采用 AWS Transit Gateway 已不再是可选项，而是构建高效、安全且面向未来的云网络架构的必由之路。掌握 Transit Gateway 的附件、路由表、关联和传播等核心概念，并根据实际需求灵活运用多路由表和设备模式等高级特性，将帮助您充分发挥其潜力，构建一个强大的云网络骨干。随着云应用的不断演进和网络需求的日益增长，AWS Transit Gateway 将继续扮演连接分散资源的云网络核心角色。

---