- 網路和內容交付›
- AWS Transit Gateway›
- 常見問答集
AWS Transit Gateway 常見問答集
一般問題
哪些 AWS 區域可使用 AWS Transit Gateway?
答:以下區域提供 AWS Transit Gateway:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、AWS GovCloud (美國東部)、AWS GovCloud (美國西部)、加拿大 (中部)、南美洲 (聖保羅)、非洲 (開普敦)、歐洲 (愛爾蘭)、歐洲 (斯德哥爾摩)、歐洲 (倫敦)、歐洲 (法蘭克福)、歐洲 (巴黎)、歐洲 (米蘭)、中東 (巴林)、亞太區域 (香港)、亞太區域 (孟買)、亞太區域 (大阪)、亞太區域 (東京)、亞太區域 (新加坡)、亞太區域 (首爾)、亞太區域 (雪梨)、亞太區域 (北京)、亞太地區 (寧夏)、亞太區域 (雅加達)、中東 (阿拉伯聯合大公國)、歐洲 (蘇黎世)、歐洲 (西班牙)、亞太區域 (海德拉巴)、亞太區域 (墨爾本)、以色列 (特拉維夫) 和加拿大西部 (卡爾加里) 等 AWS 區域。
以下區域提供 Transit Gateway 對等支援:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、AWS GovCloud (美國東部)、AWS GovCloud (美國西部)、加拿大 (中部)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、歐洲 (巴黎)、歐洲 (倫敦)、歐洲 (斯德哥爾摩)、歐洲 (米蘭)、中東 (巴林)、非洲 (開普敦)、亞太區域 (香港)、亞太區域 (孟買)、亞太區域 (東京)、亞太區域 (首爾)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (大阪)、亞太區域 (北京)、亞太地區 (寧夏)、南美洲 (聖保羅)、亞太區域 (雅加達)、中東 (阿拉伯聯合大公國) 和歐洲 (蘇黎世)、歐洲 (西班牙) 和亞太區域 (海德拉巴)、亞太區域 (墨爾本) 和以色列 (特拉維夫) 等 AWS 區域。
以下區域提供 Transit Gateway Multicast 支援︰美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、AWS GovCloud (美國東部)、AWS GovCloud (美國西部)、加拿大 (中部)、歐洲 (愛爾蘭)、歐洲 (倫敦)、歐洲 (法蘭克福)、歐洲 (斯德哥爾摩)、歐洲 (巴黎)、歐洲 (米蘭)、南美洲 (聖保羅)、南非 (開普敦)、亞太區域 (東京)、亞太區域 (雪梨)、亞太區域 (孟買)、亞太區域 (香港)、亞太區域 (大阪)、亞太區域 (首爾)、亞太區域 (新加坡)、中東 (巴林)、亞太區域 (北京)、亞太地區 (寧夏)、亞太區域 (雅加達)、中東 (阿拉伯聯合大公國) 和歐洲 (蘇黎世)、歐洲 (西班牙) 和亞太區域 (海德拉巴)、亞太區域 (墨爾本) 和以色列 (特拉維夫) 等 AWS 區域。
以下區域提供對 Transit Gateway Multicast 的 IGMP 支援:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、歐洲 (愛爾蘭)、歐洲 (倫敦)、歐洲 (巴黎)、歐洲 (法蘭克福)、歐洲 (斯德哥爾摩)、歐洲 (米蘭)、亞太區域 (東京)、亞太區域 (首爾)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (孟買)、亞太區域 (香港)、亞太區域 (北京)、亞太地區 (寧夏)、亞太區域 (大阪)、亞太區域 (雅加達)、加拿大 (中部),和南美洲 (聖保羅)、非洲 (開普敦)、中東 (巴林)、中東 (UAE)、歐洲 (蘇黎世)、歐洲 (西班牙)、亞太區域 (海德拉巴)、亞太區域 (墨爾本)、以色列 (特拉維夫)、GovCloud (美國東部) 和 GovCloud (美國西部) 等 AWS 區域。
以下區域提供 Transit Gateway Connect:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、歐洲 (愛爾蘭)、歐洲 (倫敦)、歐洲 (巴黎)、歐洲 (法蘭克福)、歐洲 (斯德哥爾摩)、歐洲 (米蘭)、亞太區域 (東京)、亞太區域 (首爾)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (孟買)、亞太區域 (香港)、亞太區域 (北京)、亞太地區 (寧夏)、亞太區域 (大阪)、亞太區域 (雅加達)、加拿大 (中部),和南美洲 (聖保羅)、非洲 (開普敦)、中東 (巴林)、中東 (UAE)、歐洲 (蘇黎世)、歐洲 (西班牙)、亞太區域 (海德拉巴)、亞太區域 (墨爾本)、以色列 (特拉維夫)、GovCloud (美國東部) 和 GovCloud (美國西部) 等 AWS 區域。
如何控制哪些 Amazon Virtual Private Clouds (VPC) 可彼此通訊?
您可以在 AWS Transit Gateway 建立多個路由表來劃分網路,並將 Amazon VPC 和 VPN 與路由表建立關聯。這可讓您在與傳統網路虛擬路由和轉送 (VRF) 相似的 AWS Transit Gateway 中,建立隔離網路。AWS Transit Gateway 有預設路由表。可選擇使用多個路由表。
AWS Transit Gateway 如何進行路由工作?
AWS Transit Gateway 在連接的 Amazon VPC 和 VPN 間,支援動態和靜態路由。根據預設,Amazon VPC、VPN、Direct Connect 閘道、Transit Gateway Connect 和對等 Transit Gateway 與預設路由表關聯。您可以建立其他路由表,並將其與 Amazon VPC、Direct Connect 閘道、VPN、Transit Gateway Connect 和對等 Transit Gateway 建立關聯。
路由會根據封包的目的地 IP 地址,決定下次跳轉。路由可以指向 Amazon VPC 或 VPN 連接、Direct Connect 閘道、Transit Gateway Connect 或對等 Transit Gateway。
路由如何傳播至 AWS Transit Gateway?
路由傳播至 AWS Transit Gateway 有 2 種方式:
- 將路由傳播至內部部署網路/從內部部署網路散佈路由:連接 VPN 或 Direct Connect Gateway 時,路由會使用邊界閘道協定 (BGP),在 AWS Transit Gateway 和內部部署路由器間散佈。
- 將路由傳播至 Amazon VPC/從 Amazon VPC 散佈路由:將 Amazon VPC 連接至 AWS Transit Gateway,或調整連接的 Amazon VPC 大小時,Amazon VPC 無類別域間路由 (CIDR) 會使用內部 API (而非 BGP) 散佈至 AWS Transit Gateway 路由表。CIDR 為分配 IP 地址和 IP 路由的方法,可減緩網際網路間路由器的路由表成長速度,並有助於減緩快速耗盡 IPv4 位址。AWS Transit Gateway 路由表的路由不會傳播至 Amazon VPC 的路由表。VPC 擁有者必須建立靜態路由,將流量傳送至 AWS Transit Gateway。
Transit Gateway 之間的對等連接不支援路由傳播。您需要在 Transit Gateway 路由表中建立靜態路由,以在對等連接附件上傳送流量。
是否可以使用相同的 CIDR 連接 Amazon VPC?
AWS Transit Gateway 不支援在具有相同 CIDR 之 Amazon VPC 之間進行路由。如果您已連接新的 Amazon VPC,且該 Amazon VPC 具有與已連接之 Amazon VPC 相同的 CIDR,AWS Transit Gateway 不會將新的 Amazon VPC 路由傳播至 AWS Transit Gateway 路由表。
什麼是 AWS Transit Gateway Connect?
AWS Transit Gateway Connect 是 AWS Transit Gateway 的一項功能。它透過原生整合 SD-WAN (軟體定義的廣域網路) 網路虛擬設備到 AWS Transit Gateway 來簡化分支連接性。AWS Transit Gateway Connect 提供名為 Connect 連接的新邏輯連接類型,其利用 Amazon VPC 或 AWS Direct Connect 連接作為底層網路傳輸。其支援 Connect 連接上的標準協定,例如 Generic Routing Encapsulation (GRE) 和邊界閘道協定 (BGP)。
哪些 AWS 合作夥伴支援 AWS Transit Gateway Connect?
衆多領先的 SD-WAN 和網路合作夥伴均支援 AWS Transit Gateway Connect。如需詳細資訊,請瀏覽合作夥伴頁面。
哪些類型的設備可與 AWS Transit Gateway Connect 搭配使用?
支援標準協定 (例如 GRE 和 BGP) 的任何第三方網路設備都可搭配 AWS Transit Gateway Connect 使用。
我是否可以建立與現有 AWS Transit Gateway 的 Connect 連接?
是,您可以在現有 AWS Transit Gateway 上建立 Connect 連接。
AWS Transit Gateway Connect 是否支援靜態路由?
否,AWS Transit Gateway Connect 不支援靜態路由。BGP 是最低要求。
BGP 工作階段是否建立在 GRE 通道上?
是,BGP 工作階段是建立在 GRE 通道上。
我是否可將路由表關聯至 Connect 連接?
是,與任何其他傳輸閘道連接類似,您可以將路由表關聯至 Connect 連接。此路由表可與 VPC 或 AWS Direct Connect (基礎傳輸機制) 連接的關聯路由表相同/不同。
安全與合規
AWS Transit Gateway 遵循哪些合規計劃?
AWS Transit Gateway 沿用來自 Amazon VPC 的合規性,且符合以下標準:PCI DSS Level 1、ISO 9001、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、FedRAMP Moderate、FedRAMP High 和 HIPAA 資格。
功能互通性
是否可將 AWS Transit Gateway 關聯到不同帳戶的 Direct Connect 閘道?
是,您可將 AWS Transit Gateway 關聯到另一個 AWS 帳戶的 AWS Direct Connect 閘道。只有 AWS Transit Gateway 擁有者可建立與 Direct Connect 閘道的關聯。您無法使用 Resource Access Manager 建立 AWS Transit Gateway 與 Direct Connect 閘道的關聯。如需詳細資訊,請參閱 Direct Connect 常見問答集中的 AWS Transit Gateway 支援部分。
我想要將 Transit Gateway 關聯至 Direct Connect 閘道。我可以為 Direct Connect 閘道和 Transit Gateway 使用相同的自治系統編號 (ASN) 嗎?
否,您無法在 Transit Gateway 和 Direct Connect 閘道使用相同 ASN。
我可以使用何種連接來路由多播流量?
您可將 VPC 連接內部和之間的多播流量路由至 Transit Gateway。多播路由無法透過 AWS Direct Connect、AWS Site-to-Site VPN 和對等連接支援。
AWS Transit Gateway Connect 是否支援 IPv6?
是,AWS Transit Gateway Connect 支援 IPv6。您可以使用 IPv6 地址設定 GRE 通道和邊界閘道協定 (BGP) 地址。
我可以為 GRE 通道和 BGP 地址使用不同的地址系列嗎?
是,您可以設定 GRE 通道和 BGP 地址使用相同或不同的地址系列。例如,您可以使用 IPv4 地址範圍設定 GRE 通道,並使用 IPv6 地址範圍設定 BGP 地址,反之亦然。
AWS Transit Gateway 是否支援將 IGMP 用於多播?
是,AWS Transit Gateway 支援 IGMPv2 (網際網路群組管理通訊協定版本 2) 用於多播流量。
我可以在同一多播網域同時擁有 IGMP 和靜態成員嗎?
是,您可以在同一多點傳送網域同時擁有 IGMP 和靜態成員。支援 IGMP 的成員可透過傳送 IGMPv2 訊息動態加入或離開多播群組。您可以使用主控台、CLI 或 SDK 新增靜態成員到多播群組或將其從中移除。
我可以共用 Transit Gateway 進行多播嗎?
是,您可以使用 AWS Resource Access Manager (RAM) 跨帳戶或 AWS Organizations 中的組織,共用 VPC 子網路關聯的傳輸閘道多播網域。
網路管理員
什麼是 AWS Transit Gateway Network Manager?
AWS Transit Gateway Network Manager 是 AWS Transit Gateway 的一項功能。它可集中管理及監控聯網資源和遠端分支位置的連接。
如何設定 AWS Transit Gateway Network Manager?
請使用下列步驟設定及管理 Transit Gateway 網路管理員:
- 建立新的「全球網路」,其一開始會是空白的物件。
- 從任何 AWS 區域註冊 AWS Transit Gateways。
- 新增內部部署資源/雲端資源:輸入關於內部部署/雲端裝置、站點、連結、連線、Connect 對等,以及將其關聯的 Site-to-Site VPN 連線的資訊。
- 監控全球網路:經由網路管理員的視覺化、事件和指標。
哪些 AWS 合作夥伴支援 AWS Transit Gateway Network Manager?
多個領先的 SD-WAN 合作夥伴均支援 AWS Transit Gateway Network Manager。如需詳細資訊,請瀏覽合作夥伴頁面。這些合作夥伴將網路管理員整合至其 SD-WAN 解決方案中,可自動連接分支與雲端,並從單一儀表板提供對全球網路的端對端監控。
什麼是全球網路?
「全球網路」是 AWS Transit Gateway Network Manager 服務中的一個物件,能代表您在 AWS 中的私有全球網路。其包含 AWS Transit Gateway 集線器、其連接、AWS 合作夥伴 SD-WAN 網路虛擬設備、內部部署裝置、站點、連結及連線。
註冊 AWS Transit Gateway 時有哪些資源會自動包含在全球網路中?
會自動包含註冊的 AWS Transit Gateway 的所有連接。連接包括有 VPC、VPN、Direct Connect 閘道、AWS Transit Gateway Connect 和 AWS Transit Gateway 對等。
如何將全球網路中的資源和連接視覺化?
AWS Transit Gateway Network Manager 儀表板可顯示跨所有 AWS 區域和內部部署的 AWS Transit Gateway。其提供網路資源與連接的邏輯檢視和地理檢視,以及連接狀態。
AWS Transit Gateway Network Manager 如何協助監控我的全球網路?
AWS Transit Gateway Network Manager 儀表板也會顯示這些事件和指標,例如傳入/傳出位元組、傳入/傳出封包和捨棄的封包。連接狀態嵌入在全球網路的拓撲和地理檢視內。AWS Transit Gateway Network Manager 也能透過 AWS CloudWatch 提供全球網路的即時網路事件和指標。這些事件、指標和視覺化可協助您監控網路,並視需要採取行動。
AWS Transit Gateway Network Manager 提供哪些指標?
您可從網路管理員儀表板檢視 Transit Gateway 的可用性和效能指標,例如傳入/傳出位元組、傳入/傳出封包和捨棄的封包。也有內部部署裝置和連結的 AWS Site-to-Site VPN 上升/下降指標可供檢視。
AWS Transit Gateway Network Manager 提供哪些網路事件?
AWS Transit Gateway Network Manager 提供關於網路拓撲變更、路由更新和連接狀態更新等內建事件通知。這些事件將透過 CloudWatch Events 傳送。
AWS 合作夥伴如何支援 AWS Transit Gateway Network Manager?
SD-WAN 提供與 AWS Transit Gateway Network Manager 的整合。這些合作夥伴將網路管理員整合至其 SD-WAN 解決方案中,可自動連接分支與雲端,並從網路管理員儀表板的單一窗格提供對全球網路的端對端監控。
如何使用合作夥伴的 SD-WAN 裝置自動連接?
合作夥伴的 SD-WAN 解決方案將代表您使用 AWS 應用程式介面 (API) 自動註冊分支裝置、建立 VPN 連接,然後將 VPN 設定套用至分支裝置,以建立連接。
什麼是 Route Analyzer?
Route Analyzer 是 AWS Transit Gateway Network Manager 的一項功能。可以協助您驗證 Transit Gateway 路由設定,範圍涵蓋全球網路。
Route Analyzer 會傳送資料封包以分析路由嗎?
不會,Route Analyzer 不會傳送任何資料封包,但會驗證指定來源和目的地之間的相關 Transit Gateway 路由表組態。
我可以在自己現有的 Transit Gateway 上使用 Route Analyzer 嗎?
是,只要您的 Transit Gateway 已註冊到您的全球網路就可以。如果您目的地的路徑中有多個 Transit Gateway,則全部都需要註冊到全球網路。
是否可以使用 Route Analyzer 分析 VPC 路由表中的路由?
不行, Route Analyzer 只能驗證 Transit Gateway 路由表。VPC 路由表和客戶閘道裝置不是分析的一部分。
是否可以使用 Route Analyzer 分析 VPC 中的安全群組規則和網路 ACL 規則?
不行, Route Analyzer 只能驗證 Transit Gateway 路由表。安全群組規則和網路 ACL 規則不是分析的一部分。
我有個連接到 Transit Gateway 的中間盒設備,這個功能可以搭配這類型的網路架構嗎?
可以,您可以使用此功能搭配設定於 Transit Gateway 的中間盒應用程式架構。執行分析時,Route Analyzer 會向您詢問,確認來源和目的地之間是否有中間盒應用程式。