构建可扩展云网络：AWS Transit Gateway 入门指南 – wiki基地

---

构建可扩展云网络：AWS Transit Gateway 入门指南

随着企业在 AWS 云上的足迹不断扩大，所管理的 VPC 数量也随之增长。从最初的几个 VPC 到数十个甚至数百个 VPC，用于连接这些网络资源的挑战也呈指数级增长。传统的网络连接方法，如点对点的 VPC 对等连接（VPC Peering）或大量的 VPN 连接，很快就会变得复杂、难以管理且难以扩展，形成所谓的“网络意大利面条”困境。AWS Transit Gateway 应运而生，为解决这一问题提供了优雅且高度可扩展的解决方案。

本文将深入探讨 AWS Transit Gateway 的概念、工作原理、核心组件、优势、常见使用场景以及如何开始使用它来构建更健壮、更灵活的云网络架构。我们将详细介绍构建和管理可扩展云网络的最佳实践，帮助您摆脱复杂的点对点连接，拥抱一个更集中、更易于管理的网络模型。

第一部分：网络扩张的困境——为什么需要 Transit Gateway？

想象一下，您的企业最初只有两个 VPC：一个用于生产环境，一个用于开发环境。您可能需要让它们相互通信，最简单的方法是创建两个 VPC 之间的对等连接（VPC Peering）。这很简单。

现在，随着业务发展，您又添加了几个 VPC：一个用于测试，一个用于共享服务（如 Active Directory、堡垒机），一个用于某个新项目。突然间，您需要生产、开发、测试、共享服务以及新项目 VPC 之间都能相互通信。如果您继续使用 VPC 对等连接，您需要创建：

• 生产 <-> 开发
• 生产 <-> 测试
• 生产 <-> 共享服务
• 生产 <-> 新项目
• 开发 <-> 测试
• 开发 <-> 共享服务
• 开发 <-> 新项目
• 测试 <-> 共享服务
• 测试 <-> 新项目
• 共享服务 <-> 新项目

总共需要 10 个对等连接！而且，随着 VPC 数量的增加，所需对等连接的数量呈几何级数增长。对于 N 个 VPC，您需要 N * (N – 1) / 2 个对等连接。对于 10 个 VPC，您需要 10 * 9 / 2 = 45 个连接。这不仅仅是创建连接的问题，更重要的是：

1. 路由管理复杂性： 每个 VPC 的路由表都需要手动或通过自动化工具更新，以包含所有其他需要通信的 VPC 的 CIDR 块。路由表会变得庞大且难以维护。
2. 非传递性： VPC 对等连接是非传递的。这意味着如果 VPC A 与 VPC B 对等，VPC B 与 VPC C 对等，VPC A 不能 直接通过 VPC B 访问 VPC C。所有通信都必须是直接的点对点连接。这限制了网络的灵活性，尤其是在需要共享服务 VPC 的场景下。
3. 连接限制： 每个 VPC 可以拥有的对等连接数量是有限制的。
4. 混合云挑战： 将本地数据中心通过 VPN 或 Direct Connect 连接到这些 VPC 时，复杂性会进一步增加。您可能需要为每个 VPC 或每对需要通信的 VPC 设置独立的 VPN/Direct Connect 连接，或者通过一个“中转”VPC 进行路由，这又增加了单点故障和路由管理的复杂性。

简而言之，当您的 AWS 网络规模超过少量 VPC 时，传统的点对点连接方法会迅速失控，成为扩展的瓶颈。这就是 AWS Transit Gateway 登场的关键时刻。

第二部分：什么是 AWS Transit Gateway？

AWS Transit Gateway 是一项网络服务，它充当一个云路由网络中心。您可以将您的 Virtual Private Clouds (VPC) 和您的本地网络通过 Transit Gateway 连接起来。这意味着您只需要将每个 VPC 或本地网络连接到 Transit Gateway 一次，然后这些连接的网络就可以通过 Transit Gateway 相互通信。

与传统的点对点连接不同，Transit Gateway 采用的是 Hub-and-Spoke（中心辐射） 模型。Transit Gateway 是中心（Hub），而连接到它的各个 VPC 或本地网络则是辐射点（Spoke）。所有连接到同一个 Transit Gateway 的网络都可以相互路由流量，只要 Transit Gateway 的路由表允许。

这种模型的核心优势在于 简化网络连接和路由管理。您不再需要管理大量的点对点连接，而是只需管理各个网络与 Transit Gateway 之间的连接以及 Transit Gateway 本身的路由策略。

第三部分：Transit Gateway 的核心组件和工作原理

理解 Transit Gateway 的工作原理需要了解几个关键组件：

1. Transit Gateway (TGW) 资源： 这是您在特定 AWS Region 中创建的核心路由中心资源。它是一个区域性资源，具有高可用性和弹性，无需您自己管理底层基础设施。
2. Attachments（附件）： 附件是将您的网络资源连接到 Transit Gateway 的方式。Transit Gateway 支持多种类型的附件：
   • VPC Attachments： 将一个 VPC 连接到 Transit Gateway。您需要指定 VPC ID、子网 ID（每个可用区至少一个，用于放置 Transit Gateway 的弹性网络接口 – ENI）以及关联的路由表（可选）。
   • VPN Attachments： 将您的本地网络通过 VPN 连接到 Transit Gateway。您可以创建站点到站点的 VPN 连接，将您的本地 VPN 设备连接到 Transit Gateway。
   • Direct Connect Gateway Attachments： 将 Transit Gateway 与 AWS Direct Connect Gateway 关联。Direct Connect Gateway 可以连接到您的 Direct Connect 连接，从而实现本地网络通过 Direct Connect 与连接到 Transit Gateway 的所有 VPC 通信。这是一个强大的混合云集成能力。
   • Peering Attachments： 将一个 Transit Gateway 与另一个 AWS Region 中的 Transit Gateway 进行对等连接。这允许不同区域的 VPC 和本地网络通过各自区域的 Transit Gateway 进行跨区域通信。
3. Transit Gateway Route Tables（路由表）： 这是 Transit Gateway 的核心路由机制。每个 Transit Gateway 可以有一个或多个路由表。
   • 关联 (Association)： 每个附件（VPC、VPN、DX Gateway、Peering）都必须与 Transit Gateway 的 一个 路由表进行关联。当流量从某个附件进入 Transit Gateway 时，Transit Gateway 会使用该附件关联的路由表来决定下一跳。
   • 传播 (Propagation)： 路由传播允许附件（主要是 VPC 和 VPN）将其路由（即其已知的 CIDR 块）动态地发布到 Transit Gateway 的一个或多个路由表。这简化了路由表的维护，因为当 VPC 的 CIDR 块发生变化时，无需手动更新 Transit Gateway 路由表。
   • 静态路由 (Static Routes)： 除了传播的路由，您还可以在 Transit Gateway 路由表中手动添加静态路由。这对于控制流量流向、实现更复杂的路由策略（如默认路由到特定的 VPN 连接或 NVA – Network Virtual Appliance）非常有用。

工作原理概览：

当一个数据包从连接到 Transit Gateway 的某个网络（例如，一个 VPC 中的 EC2 实例）发出，目的地是另一个连接网络中的资源时：

1. 数据包首先需要根据发出 VPC 的本地路由表，被路由到该 VPC 连接到 Transit Gateway 的弹性网络接口 (ENI)。
2. 数据包到达 Transit Gateway。
3. Transit Gateway 接收到数据包，并根据接收数据包的那个附件所关联的 Transit Gateway 路由表查找目的地 IP 地址。
4. 路由表中的条目会指向下一个附件。
5. Transit Gateway 将数据包转发到查找到的下一个附件。
6. 数据包通过该附件离开 Transit Gateway，并被转发到目标网络（例如，另一个 VPC 或本地网络）。

这种模型将复杂的网络连接和路由决策集中在 Transit Gateway 上，极大地简化了管理和故障排除。

第四部分：Transit Gateway 的主要优势

使用 AWS Transit Gateway 构建云网络带来了诸多显著优势：

1. 极强的可扩展性： 您可以轻松地将成百上千个 VPC 和本地网络连接到单个 Transit Gateway（或通过 Peering 连接到多个 Transit Gateway）。不再受点对点连接数量的限制。路由表的维护也因为传播机制而大大简化。
2. 简化网络管理： 将复杂的网状连接模型转换为简单的中心辐射模型。所有网络连接和路由都在 Transit Gateway 这一中心点进行配置和管理，大大降低了操作复杂性。
3. 灵活且精细的路由控制： 通过配置不同的 Transit Gateway 路由表，并将不同的附件关联到不同的路由表，您可以轻松实现网络分段（Network Segmentation）。例如，您可以设计一个路由表，只允许开发 VPC 访问测试 VPC 和共享服务 VPC，而不允许直接访问生产 VPC。这种基于路由表的策略控制比依赖安全组或 NACL 进行大范围网络隔离更有效。
4. 原生支持混合云集成： Transit Gateway 内建了对 VPN 和 Direct Connect Gateway 的支持，可以无缝地将本地网络整合到您的云网络架构中。无需通过一个特定的“VPN VPC”或“DX VPC”进行复杂的路由转发。
5. 增强的安全性：
   • 网络分段： 如前所述，通过路由表可以轻松实现网络隔离。
   • 集中流量检查： 您可以将所有或部分附件（如所有出站互联网流量）的默认路由指向一个特定的附件，该附件连接到一个包含网络虚拟设备 (NVA)，如防火墙、入侵检测/防御系统 (IDS/IPS) 的 VPC。这样，所有流量都必须经过集中式的安全检查。这种架构称为“安全检查 VPC”模式。
6. 高可用性和弹性： Transit Gateway 是一项区域性托管服务，由 AWS 负责其底层基础设施的高可用性和弹性。连接到 Transit Gateway 的 VPC 附件会自动跨所有指定的可用区创建 ENI，确保区域内的冗余。VPN 连接也可以配置为活动/备用或活动/活动模式以增强弹性。
7. 可能的成本优化： 虽然 Transit Gateway 本身有成本（每小时费用和数据处理费用），但在某些场景下，它可能比管理大量独立的 VPN 连接或 Direct Connect 连接更具成本效益。此外，集中式的安全检查也可以减少在每个 VPC 中部署安全设备的开销。
8. 支持多播： Transit Gateway 是少数 AWS 服务中支持在连接的 VPC 之间传输多播流量的。这对于某些特定的应用场景（如金融服务中的市场数据分发）非常重要。

第五部分：常见的 Transit Gateway 使用场景

Transit Gateway 的灵活性使其适用于多种复杂的网络场景：

1. 多 VPC 连接： 这是最基础也是最常见的场景。将企业内的所有应用 VPC、环境 VPC (Dev/Test/Prod) 连接到同一个 Transit Gateway，实现它们之间的简化互联。
2. 混合云网络中心： 将所有云 VPC 和本地数据中心（通过 VPN 或 Direct Connect Gateway）连接到 Transit Gateway。Transit Gateway 成为云端和本地之间以及云端各网络之间的唯一网络中转点。
3. 共享服务 VPC： 常见的架构是将共享服务（如 AD、DNS、中央日志/监控、身份认证服务、NTP、安全工具等）部署在一个或几个专门的共享服务 VPC 中。其他应用 VPC 连接到 Transit Gateway，并配置路由表，允许它们访问共享服务 VPC，同时可能限制它们之间的直接通信（除非有需求）。
4. 集中式出站流量控制与安全检查： 创建一个专门用于网络安全和出站访问的 VPC。在该 VPC 中部署防火墙、NAT 网关或其他安全设备。将所有需要访问互联网或其他外部网络的 VPC 连接到 Transit Gateway，并将它们的默认路由指向 Transit Gateway，然后配置 Transit Gateway 路由表，将这些流量转发到安全检查 VPC。这样，所有出站流量都必须经过统一的安全策略检查。
5. 跨区域网络互联： 通过 Transit Gateway Peering 连接不同 AWS 区域的 Transit Gateways。这使得位于不同地理区域的 VPC 或本地网络能够通过 AWS 的全球骨干网进行安全可靠的通信。
6. 企业级骨干网： 在大型企业中，可以使用 Transit Gateway 作为构建全球或区域性网络骨干网的基础。不同的业务单元、部门或区域可以在这个骨干网上构建自己的网络片段，同时保持必要的互联互通和隔离。

第六部分：入门指南——如何开始使用 Transit Gateway

下面是开始使用 AWS Transit Gateway 的基本步骤：

步骤 1：创建 Transit Gateway 资源

1. 打开 AWS Management Console，导航到 VPC 服务。
2. 在左侧导航栏中，找到并点击 “Transit Gateways”。
3. 点击 “Create Transit Gateway” 按钮。
4. 填写配置详情：
   • Name tag: 给您的 Transit Gateway 起一个有意义的名字（例如：My-Org-Central-TGW）。
   • Description: 可选，提供更多描述信息。
   • Amazon side Autonomous System Number (ASN): 如果您计划使用 BGP 通过 VPN 或 Direct Connect 连接，需要指定一个 ASN。如果您不确定或不使用 BGP，可以使用默认值或选择私有 ASN 范围 (64512-65534)。
   • DNS support: 启用后，连接到 Transit Gateway 的 VPC 可以通过名称解析来访问 Transit Gateway 后面的资源。通常建议启用。
   • VPN ECMP support: 启用后，如果通过多个等价路径的 VPN 连接到同一个目的地，Transit Gateway 可以使用等成本多路径路由 (ECMP) 来分发流量，提高带宽和弹性。如果使用多个 VPN 连接到本地网络，建议启用。
   • Default route table association: 选择是自动关联新的 VPC 附件到默认路由表，还是手动关联。通常建议手动关联以更好地控制流量。
   • Default route table propagation: 选择是自动将新的 VPC 附件的路由传播到默认路由表，还是手动传播。通常建议手动传播以更好地控制路由。
   • Auto accept shared attachments: 如果其他 AWS 账户共享了 Transit Gateway 附件给您，是否自动接受。通常建议禁用并手动接受以确保安全。
5. 配置标签 (Tags)，以便于资源管理和成本分配。
6. 点击 “Create Transit Gateway”。

创建过程需要几分钟时间。

步骤 2：创建 VPC 附件

为需要连接到 Transit Gateway 的每个 VPC 创建一个附件。

1. 在 Transit Gateway 详情页面或左侧导航栏的 “Transit Gateway Attachments” 下，点击 “Create Transit Gateway Attachment”。
2. 选择附件类型为 “VPC”。
3. 选择您刚刚创建的 Transit Gateway。
4. 选择要连接的 VPC。
5. 选择子网 (Subnets): 这是非常重要的一步。为每个需要 Transit Gateway 可用的可用区 (AZ) 选择一个子网。Transit Gateway 将在这些子网中放置一个弹性网络接口 (ENI)。这些 ENI 将成为 VPC 中流量进出 Transit Gateway 的目标。选择至少两个不同可用区的子网以确保高可用性。确保所选子网有足够的可用 IP 地址。
6. Transit Gateway Route Table: 选择要将此 VPC 附件关联到哪个 Transit Gateway 路由表。如果您刚开始，可以使用默认路由表，或者创建一个新的专门路由表。如前所述，手动关联是更灵活的选择。
7. 配置标签。
8. 点击 “Create attachment”。

对每个需要连接的 VPC 重复此步骤。创建附件后，您需要到每个 VPC 中接受该附件（如果 Transit Gateway 配置为手动接受）并在该 VPC 的路由表中添加指向 Transit Gateway ENI 的路由。

步骤 3：配置 VPC 的路由表

创建 VPC 附件并接受后，您需要在连接到 Transit Gateway 的每个 VPC 的路由表中进行必要的修改，以确保发往其他连接网络的流量被路由到 Transit Gateway。

1. 导航到连接到 Transit Gateway 的某个 VPC。
2. 选择该 VPC 中的某个路由表（通常是您的应用子网关联的路由表）。
3. 点击 “Routes” 选项卡，然后点击 “Edit routes”。
4. 添加新的路由条目：
   • Destination: 输入其他通过 Transit Gateway 可达网络的 CIDR 块（例如，另一个 VPC 的 CIDR 块，或者本地网络的 CIDR 块）。
   • Target: 选择 “Transit Gateway”，然后从下拉列表中选择您创建的 Transit Gateway 的 ID。
5. 重复添加所有需要通过 Transit Gateway 访问的目的地网络的路由。如果您有很多网络且 CIDR 块分散，您也可以考虑添加一个更宽泛的路由（例如，所有非本地 VPC CIDR 的流量都指向 Transit Gateway），但这需要小心规划，以免产生非预期的路由。
6. 点击 “Save changes”。

步骤 4：配置 Transit Gateway 路由表

这是定义网络互通性的核心。您需要在 Transit Gateway 的路由表中定义流量如何从一个附件流向另一个附件。

1. 回到 Transit Gateway 详情页面。
2. 选择 “Transit Gateway Route Tables” 选项卡。默认会有一个路由表。您可以创建更多路由表来实现网络分段。
3. 选择您要配置的路由表（例如，默认路由表）。
4. 查看 Associations (关联): 确认您在步骤 2 中创建的 VPC 附件是否已正确关联到此路由表。如果未自动关联，您需要手动编辑关联。
5. 配置 Propagations (传播): 选择 “Propagations” 选项卡，点击 “Create propagation”。选择要将哪个附件（例如，一个 VPC 附件）的已知路由传播到当前路由表。这样，该 VPC 的 CIDR 块就会出现在当前路由表的路由列表中。对所有需要在此路由表中发布路由的附件重复此操作。
6. 配置 Routes (路由): 选择 “Routes” 选项卡。这里会显示通过传播学到的路由以及您手动添加的静态路由。您可以手动添加静态路由来覆盖传播的路由或指向特定目标（如 NVA 或 VPN）。
   • 点击 “Create static route”。
   • Destination CIDR: 输入目标网络的 CIDR 块。
   • Transit Gateway Attachment: 选择流量应该流向的下一个附件（例如，另一个 VPC 的附件、VPN 附件）。
   • 点击 “Create static route”。

路由传播的优势： 当您将 VPC 的路由传播到 Transit Gateway 路由表时，如果该 VPC 的 CIDR 块发生变化（例如，您扩展了 VPC 并添加了新的 CIDR），这些变化会自动反映在 Transit Gateway 路由表中（通常在几分钟内），无需手动更新。这对于动态变化的网络非常有用。

手动关联/传播的优势： 手动控制关联和传播让您可以更精细地控制哪些网络可以通过特定的路由表访问哪些其他网络，从而实现强大的网络分段。例如，您可以创建一个 “Prod-Only” 路由表，只关联生产 VPC 的附件，并只传播生产 VPC 和共享服务 VPC 的路由，这样生产 VPC 只能访问共享服务和其他生产网络。其他非生产 VPC 的附件则关联到不同的路由表。

步骤 5：配置本地网络连接（如果需要）

如果您需要连接本地网络，请根据您的连接方式执行以下步骤：

• VPN: 在 Transit Gateway 详情页的 “VPN Attachments” 下创建新的 VPN 附件。您需要提供本地网络的客户网关设备信息。创建后，AWS 会提供 VPN 配置信息，您需要将其应用到您的本地 VPN 设备上。创建 VPN 附件时，您可以选择将其关联到 Transit Gateway 的某个路由表，并可以选择传播本地网络的路由到 Transit Gateway 路由表。
• Direct Connect: 如果您已有 Direct Connect 连接，并且已将其配置为连接到 Direct Connect Gateway，您可以在 Transit Gateway 详情页的 “Direct Connect Gateway Associations” 下关联您的 Transit Gateway 到 Direct Connect Gateway。关联成功后，您可以将 Transit Gateway 路由传播到 Direct Connect Gateway，并从 Direct Connect Gateway 学习本地网络的路由到 Transit Gateway 路由表。

步骤 6：测试连接

完成配置后，从连接到 Transit Gateway 的不同网络中的资源（例如，EC2 实例）之间进行连接测试（例如，使用 ping、traceroute、ssh）。

• 使用 traceroute 可以查看流量经过 Transit Gateway 的路径，帮助您确认路由是否正确。
• 检查 Transit Gateway 的路由表，确认所有预期的路由都已存在。
• 检查 VPC 的路由表，确认发往 Transit Gateway 的路由已存在。
• 检查安全组和网络 ACLs，确保它们允许预期的流量通过。Transit Gateway 本身不执行安全过滤，所有的安全策略仍需要在 VPC 层面通过安全组和 NACL 或在通过 NVA 的流量检查中实施。

第七部分：Transit Gateway 的高级概念与特性

一旦掌握了基本用法，您可以探索 Transit Gateway 的一些高级特性：

• Transit Gateway Route Tables for Segmentation: 利用多个路由表实现不同网络环境（如 Dev/Test/Prod）之间的隔离。每个环境的 VPC 附件关联到不同的路由表，这些路由表只包含该环境内部以及允许访问的共享服务的路由。
• Transit Gateway Peering: 连接不同区域的 Transit Gateways，构建全球性的云网络。配置方式与 VPC Peering 附件类似，但需在各自区域的 Transit Gateway 上创建对等附件并接受，然后在 Transit Gateway 路由表中配置指向对等附件的路由。
• Network Manager: AWS Network Manager 是一个用于集中管理和监控 Transit Gateway 和其他网络资源的工具。它可以提供网络拓扑的可视化、性能监控、事件通知等功能，对于大型和复杂的网络环境非常有用。
• 集中式网络检查： 前面提到的安全检查 VPC 模式是构建强大安全边界的关键。通过路由策略将所有需要检查的流量（例如，南北向流量或东西向流量）强制转发到包含防火墙等 NVA 的 VPC。
• Transit Gateway Flow Logs: 类似于 VPC Flow Logs，您可以为 Transit Gateway 启用 Flow Logs，以捕获进出 Transit Gateway 的 IP 流量信息。这对于监控、故障排除和安全审计非常有价值。

第八部分：实施 Transit Gateway 的注意事项和最佳实践

在规划和实施 Transit Gateway 时，考虑以下几点至关重要：

1. 详细的网络规划： 在开始配置之前，务必对您的网络拓扑、IP 地址规划（特别是避免重叠的 CIDR 块）、VPC 之间的通信需求以及与本地网络的集成需求进行详细规划。混乱的 IP 规划是网络复杂性的根源。
2. 路由策略设计： 仔细设计您的 Transit Gateway 路由表。决定是使用单个集中式路由表，还是使用多个路由表进行网络分段。规划好路由传播和静态路由的使用。
3. 手动关联与传播 vs 自动： 虽然自动关联和传播在简单场景下可能方便，但在复杂的、需要隔离的环境中，手动控制关联和传播是实现精细路由控制和安全分段的关键。大多数企业级部署会选择手动方式。
4. 高可用性考虑： 在创建 VPC 附件时，务必在至少两个可用区中选择子网，以确保区域内的弹性。对于 VPN 连接，配置多条隧道连接以实现高可用性。Direct Connect 本身也应考虑冗余连接。
5. 安全组和网络 ACLs： Transit Gateway 不执行状态或无状态过滤。所有的流量控制和安全策略仍然需要在 VPC 层面（通过安全组和 NACLs）或在集中的 NVA 中实施。不要因为有了 Transit Gateway 就忽视 VPC 内部的安全配置。
6. 成本管理： Transit Gateway 有每小时的运行费用和基于处理数据量的数据处理费用。了解这些成本模型，并根据您的流量模式进行预测。跨区域的 Transit Gateway Peering 流量费用通常高于区域内流量。
7. 监控和日志： 启用 Transit Gateway Flow Logs，将其发送到 CloudWatch Logs 或 S3，并考虑使用 AWS Network Manager 进行集中监控。这对于性能分析、故障排除和安全审计至关重要。
8. 逐步迁移： 如果您当前使用的是复杂的 VPC Peering 网络，规划一个逐步迁移到 Transit Gateway 的策略。您可以先将部分 VPC 连接到 Transit Gateway，并维持与现有对等网络的连通性，然后逐步将所有网络迁移过来。
9. IaC (Infrastructure as Code)： 强烈建议使用 CloudFormation、Terraform 等工具管理 Transit Gateway 的配置。这有助于保持配置的一致性、版本控制和自动化部署。

结论

AWS Transit Gateway 是解决大型云网络连接和管理复杂性的强大工具。它通过引入中心辐射模型，极大地简化了多 VPC 环境、混合云以及跨区域网络架构的构建和维护。从意大利面条式的点对点连接过渡到集中式的 Transit Gateway 模型，企业可以获得更好的可扩展性、灵活性、安全性和更低的运营开销。

虽然 Transit Gateway 的概念和配置涉及一些新的组件（附件、路由表、关联、传播），但一旦掌握了这些概念，您就可以构建出高度健壮、安全且易于管理的企业级云网络。

如果您正在面临 VPC 数量不断增加、网络连接日益复杂、路由表难以维护的困境，那么 AWS Transit Gateway 绝对是您值得深入了解和考虑的解决方案。通过本文的指南，希望您已经对 Transit Gateway 有了全面的认识，并能够开始规划和构建您的下一代可扩展云网络。现在就开始探索 AWS Transit Gateway 的强大能力吧！

---