亚马逊云直连-AWS Transit Gateway

AWS Transit Gateway是AWS提供的全球网络解决方案，国内的云厂商也推出类似的产品，例如阿里云的云企业网和云连接网，腾讯云的云联网。本文主要是分析一下AWS Transit Gateway的网络解决方案。

1. Transit Gateway和Network Manager简介

1.1  AWS Transit Gateway

Transit Gateway（中转网关）是网络中转中心，用来互连Virtual Private Cloud (VPC) 和本地网络。

优势

连接更轻松。AWS Transit Gateway 用作云路由器，可简化网络架构。随着网络发展，管理增量连接的复杂性也不会降低速度，在构建全球应用程序时，可以使用区域间对等连接 AWS Transit Gateway。

更好的可见性和控制力。使用AWS Transit Gateway Network Manager，可以从一个中央控制台轻松监控您的 Amazon VPC 和边缘连接。AWS Transit Gateway Network Manager 通过与常用的 SD-WAN 设备集成，可以快速识别问题并对您的全球网络上的事件做出反应。

提高安全性。Amazon VPC 与 AWS Transit Gateway 之间的流量一直位于 AWS 全球私有网络上，不会暴露到公共 Internet。AWS Transit Gateway 区域间对等连接可以加密所有流量，而且没有单点故障或带宽瓶颈。这可以帮助防止分布式拒绝服务 (DDoS) 攻击和其他常见的攻击。

灵活多播。AWS Transit Gateway 多播放支持可将相同内容分发至多个指定目标。这样就不需要配置昂贵的本地多播网络，而且可以减少高吞吐量应用程序的带宽需求，例如视频会议、媒体或电话会议。

1.2 AWS Transit Gateway Network Manager

AWS Transit Gateway Network Manager（网络管理器）能够提供有关专用网络的单个全局视图。再借用AWS的合作伙伴，例如 Cisco、Aruba、Silver Peak、Aviatrix 和 Versa Networks，已配置其软件定义的广域网 (SD-WAN) 设备，与 Transit Gateway Network Manager进行连接，然后将 Transit Gateway Network Manager控制面板中显示的资源定义为设备、站点和链接。这样就可以在拓扑图和地理地图中可视化全局网络，也可以查看利用率指标（例如字节输入/输出、数据包输入/输出、数据包丢弃）以及拓扑、路由和上/下连接状态变更警报。

优势

集中式网络监控。AWS Transit Gateway Network Manager包含可在 AWS 中和在本地监控全球网络质量的事件和指标。事件警报会指定拓扑、路由和连接状态方面的更改。使用情况指标提供有关上/下连接、字节输入/输出、数据包输入/输出和数据包丢弃的信息。

全球网络可见性。单独通过 AWS Transit Gateway Network Manager的控制面板可视化和监控全球网络。查看网络资源和连接性的列表视图、逻辑视图和映射视图。Transit Gateway Network Manager会通知您跨 AWS 区域和本地站点的连接状况不佳、可用性和性能变化。

SD-WAN 集成。AWS Transit Gateway Network Manager与 Cisco、Aruba、Silver Peak、Aviatrix 和 Versa Networks 的 SD-WAN 解决方案无缝集成，使其成为统一界面，可跨 AWS 和本地位置管理您的全球网络。这些 SD-WAN 管理控制台配置为自动创建从本地到 AWS 的 AWS 站点到站点 VPN 连接。

1.3 Zendesk网络演进到Transit Gateway

注：本案例是aws官方的用户用例场景

Zendesk是一家全球CRM公司，致力于开发旨在改善客户关系的软件。

Zendesk服务全球的多个国家的用户和组织，网络架构通过vpc peer互通，网络架构比较复杂，通过迁移到 Transit Gateway ，极大的降低了运维的复杂性，也降低了成本。

Zendesk原始网络架构

transit gateway的网络架构

Transit Gateway Peer全球网络架构

2.  Transit Gateway工作原理

Transit Gateway充当区域虚拟路由器，用于路由在 VPC和 本地网络连接之间流动的流量。Transit Gateway根据网络流量的规模灵活地进行扩展。通过Transit Gateway进行路由是在第 3 层运行的，其中，数据包根据其目的地 IP 地址发送到特定的下一个跃点挂载。

2.1 数据面实现举例

网络场景：VPC A，VPCB，VPN full mesh互通。

2.2 路由表

VPC路由表：将 VPC Attach（附加或者挂载）到Transit Gateway后，需要在子网路由表添加路由，以使流量通过Transit Gateway进行路由，路由可以是明细的指定具体网段，也可以使用0.0.0.0/0 ，下一跳指向tgw-id。

Transit Gateway的默认路由表：Transit Gateway自动附带默认路由表，默认情况下，此路由表是默认的关联路由表和默认的传播路由表。如果route type为propagated时，路由会进行传播。默认路由表的来源，可以见路由传播表述。

Transit Gateway的其他路由表：可以在Transit Gateway创建多个路由表，可以用来隔离连接的子网。每个连接可以与一个路由表相关联。一个连接可以将其路由传播到一个或多个路由表。

路由传播：每个Attach（附加或者挂载）的实例都附带可以安装到一个或多个Transit Gateway路由表的路由。当Attach的实例传播到Transit Gateway路由表时，这些路由下发到Transit Gateway路由表中。

对于 VPC 连接挂载，VPC 的 CIDR 块将传播到Transit Gateway路由表。

要附加 VPN 连接挂载，Transit Gateway路由表中的路由会使用边界网关协议 (BGP) 在Transit Gateway和本地路由器之间往返传播，通过 BGP 会话通告的前缀将传播到Transit Gateway路由表。

Transit Gateway Peer路由：两个不同地域的Transit Gateway 是通过Peer进行连接，通过创建静态路由指向Peer的Id，以将流量路由到Transit Gateway Peer上，实现跨地域的互通。见Peered transit gateways示例。

路由评估顺序

目标地址的最具体路由。

如果不同目标具有相同的路由：

静态路由的优先级高于传播的路由。

对于传播的路由，采用以下顺序：

VPC 具有最高优先级

Direct Connect 网关具有第二高优先级

站点到站点 VPN 的优先级为第三。

以下 VPC 路由表。VPC 本地路由具有最高的优先级，然后是最具体的路由。在静态路由和传播的路由具有相同的目标时，静态路由具有更高的优先级。

下面的Transit Gateway路由表。在静态路由和传播的路由具有相同的目标时，静态路由具有更高的优先级。如果要通过 VPN 挂载使用 AWS Direct Connect 网关挂载，则使用 BGP VPN 挂载并传播Transit Gateway路由表中的路由。

3. Transit Gateway网络示例

3.1 集中式路由器

每个 VPC 具有一个路由表，并且Transit Gateway具有一个路由表。

vpc路由表

每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目；此条目允许此 VPC 中的实例相互通信。第二个条目将所有其他 IPv4 子网流量路由到Transit Gateway。

Transit gateway路由表

默认路由，其中启用了路由传播。

Customer gateway BGP路由表

客户网关 BGP 表包含以下 VPC IP CIDR。

10.1.0.0/16

10.2.0.0/16

10.3.0.0/16

3.2 隔离 VPC

将Transit Gateway配置为多个隔离的路由器。每个隔离的路由器都有单个路由表。所有与隔离的路由器关联的连接都传播其路由表并与这些路由表关联。与一个隔离的路由器关联的连接可以将数据包路由到彼此，但无法将数据包路由到另一个隔离路由器的连接或从中接收数据包。

每个 VPC 都有一个路由表，而Transit Gateway有两个路由表：一个用于 VPC，另一个用于 VPN 连接。

vpc路由表

每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目。此条目使该 VPC 中的实例能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到Transit Gateway。

Transit Gateway路由表

VPC 连接与以下路由表相关联，该路由表具有 VPN 连接的传播路由。

VPN 连接与以下路由表相关联，该路由表具有每个 VPC 连接的传播路由。

Customer gateway BGP路由表

客户网关 BGP 表包含以下 VPC IP CIDR。

10.1.0.0/16

10.2.0.0/16

10.3.0.0/16

3.3  具有共享服务的隔离 VPC

每个 VPC 都有一个路由表，Transit Gateway有两个路由表：一个用于 VPC，另一个用于 VPN 连接和共享服务 VPC。

vpc路由表

每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目；此条目允许此 VPC 中的实例相互通信。第二个条目将所有其他 IPv4 子网流量路由到Transit Gateway。下表显示了 VPC A 路由。

Transit Gateway路由表

此方案为 VPC 使用一个路由表，为 VPN 连接使用一个路由表。

VPC A、B 和 C 连接与以下路由表相关联，该路由表具有 VPN 连接的传播路由以及 VPC D 的连接的传播路由。

VPN 连接和共享服务 VPC (VPC D) 连接与以下路由表相关联，该路由表具有指向各个 VPC 连接的条目。这样可以通过 VPN 连接和共享服务 VPC 与 VPC 进行通信。

Customer gateway BGP路由表

客户网关 BGP 表包含以下 VPC IP CIDR。

10.1.0.0/16

10.2.0.0/16

10.3.0.0/16

10.4.0.0/16

3.4 对等Transit Gateway

可以在位于不同区域的Transit Gateway之间创建Transit Gateway对等连接，然后可以在各个Transit Gateway的连接之间路由流量。在该场景中，VPC 和 VPN 连接与Transit Gateway默认路由表相关联，并传播到Transit Gateway默认路由表。每个Transit Gateway路由表都有一个指向Transit Gateway对等连接的静态路由。

每个 VPC 都有一个路由表，每个中转网关都有一个路由表。

vpc路由表

每个 VPC 具有一个包含 2 个条目的路由表。第一个条目是 VPC 中本地 IPv4 路由的默认条目。此默认条目使该 VPC 中的资源能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。下表显示了 VPC A 路由。

Transit Gateway路由表

默认路由表，其中启用了路由传播。

Transit Gateway路由表

Transit Gateway2路由表

Customer gateway BGP路由表

客户网关 BGP 表包含以下 VPC IP CIDR。

10.0.0.0/16

10.2.0.0/16

3.5 SD_WAN和Transit Gateway结合场景

SD-WAN 的全称是 Software Defined Wide Area Network，指用软件来控制、管理本地网络和远程分支机构或云之间的连接，通常由控制平面和数据平面组成，有专门的控制器作为控制层面，物理的路由器/交换机作为数据转发平面。

一般来说，SD-WAN 可以充分利用企业内不同的线路类型（MPLS，普通 Internet，专线，4G/5G），根据线路状态（丢包，负载等）动态选择路径，进行线路的负载均衡，智能路由，从而可以在使用低廉线路的情况下，得到有 SLA 保障的线路质量。

AWS实现SD-WAN 的网络场景是借用合作伙伴来做的。在VPC中创建服务器，然后把合作伙伴的SD-WAN 镜像安装到服务器中，其中VPC的外网能力是提供internet网关来实现外网互通。

本章节主要参考aws的博客文章

利用 AWS Transit Gateway 和 SD-WAN 优化企业全球组网

Transit Gateway 和 SD-WAN 的部署方案

在AWS侧每个region利用Transit Gateway + Transit VPC的架构，专线从各region的Edge VPC接入到SD-WAN主设备；

在Edge VPC中部署SD-WAN设备，本地SD-WAN设备和云端的SD-WAN设备分别通过专线以及internet各自建立VPN隧道，并且进行链路捆绑，基于流及链路状态实现负载分担或选路。

海外的大型分支机构同样采用专线及internet两种方式就近接入AWS对应region的Edge VPC。通过Edge VPC中的SD-WAN设备和杭州IDC实现路由互通和流量转发。

海外的小型分支机构则利用Transit Gateway的accelerate VPN 功能接入到Transit Gateway，从而接入整个公司网络，用户也可以通过 Transit Gateway的路由表来控制其可访问的网络域。

详细路由配置说明

SD-WAN 产品会在原有网络基础上创建自己的 overlay 网络，如下图所示，控制器会监控各个节点的公网地址、带宽能力等，基于专线和互联网建立各自独立的隧道，所有互联网接口之间可以建立起 full-mesh 的全网状隧道。

sd-wan网络的overlay 网络架构

4. Transit Gateway Network Manager

使用 Transit Gateway Network Manager (Network Manager)，需要创建一个表示网络的全局网络，然后在全球网络中注册Transit Gateway并定义本地资源，就能够可视化并监控AWS 资源和本地网络。

在 Network Manager 控制台上的控制面板监控网络，可以使用 Amazon CloudWatch 指标和 Amazon CloudWatch Events 查看网络活动和运行状况。Network Manager 控制台也可帮助确定网络中的问题是由 AWS 资源、本地资源还是它们之间的连接所导致。

Transit Gateway Network Manager全局视图

Network Manager 控制台提供了一个控制面板，能够可视化并监控全球网络。它包括全球网络中的资源、其地理位置、网络拓扑、Amazon CloudWatch 指标和事件的相关信息，并使您能够执行路径分析。

Amazon CloudWatch 实时监控您的 AWS 资源以及在 AWS 上运行的应用程序。

Amazon CloudWatch Events 提供几乎实时的系统事件流，这些事件描述 AWS 资源的更改。

路由分析器分析指定源与目的地之间的路由路径，并返回有关组件之间的连接的信息。

地理位置

拓扑

事件

监控

路由分析器

从AWS Transit Gateway Network Manager 提供的能力，用户可以集中管理围绕Transit Gateway构建的网络，也可以跨 AWS 区域及本地位置可视化并监控您的全球网络，有SD-WAN网络和云网络结合的方向。

5. 思考

Transit Gateway本质上是实现本地域网络分层和汇聚，在实现跨地域互通时，需要用Peer进行连接，如果地域多的情况下，管理也是比较复杂。如果默认实现各个地域的FullMesh互通时，底层的资源和带宽预留还是比较多的。后期看看AWS有没有对Peer的复杂性进行优化。

Transit GateWay的SD-WAN是借用合作伙伴的能力，这样会比较容易覆盖，国内的云厂商主要是自己来做云上SD-WAN接入和云下的接入设备。

Transit GateWay整合了先前AWS优秀的网络产品，例如VPN，专线接入，也可以复用流日志等功能，为用户提供全方位的网络能力，产品构建能力很棒。

Transit GateWay Network Manager为网络提供全局的视图，更便于网络管理、监控、排障，有SD-WAN的即视感。虽然这些功能都是先前功能的集成，全面展示出来还是比较惊艳，对用户需求的洞悉还是很深刻的。

我们的云专线产品可以不仅对接AWS云，像腾讯云、阿里云等主流公有云都可以在全球范围内直接对接，为企业用户提供到IDC，办公室的专线服务，如果你需要国内AWS专线，或需要香港、日本、美国或欧洲的AWS专线，可以联系我们，我们可以提供快速的服务。