本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon VPC Transit Gateways 設計最佳實務
以下是傳輸閘道設計的最佳實務:
-
為每個傳輸閘道 VPC 連接使用個別子網路。對於每個子網路,請使用小型 CIDR (例如
/28),以便擁有 EC2 資源的更多地址。當您使用獨立的子網路時,您可以設定下列項目:-
保持與傳輸閘道子網路相關聯的輸入和輸出網路 NACL 之開啟。
-
視您的流量而定,您可以將網路 NACL 套用至工作負載子網路。
-
-
建立一個網路 ACL,將其與傳輸閘道的所有關聯子網路建立關聯。在輸入和輸出方向上保持網路 ACL 開啟。
-
將同一個 VPC 路由表與傳輸閘道的所有關聯子網路建立關聯,除非您的網路設計需要多個 VPC 路由表 (例如,透過多個 NAT 閘道路由傳送流量的中間設備 VPC)。
-
使用邊界閘道通訊協定 (BGP) Site-to-Site VPN 連線。如果用於連線的客戶閘道裝置或防火牆支援多重路徑,請啟用該功能。
-
啟用 AWS Direct Connect 閘道附件和 BGP Site-to-Site VPN 附件的路由傳播。
-
從 VPC 對等互連遷移以使用傳輸閘道時。VPC 對等互連和傳輸閘道之間的 MTU 大小不匹配可能會導致某些非對稱流量的封包捨棄。同時更新兩個 VPC,以避免由於大小不匹配而捨棄巨型封包。
-
您不需要額外的傳輸閘道來獲得高可用性,因為傳輸閘道在設計上具有高可用性。
-
除非您的設計需要多個傳輸閘道路由表,否則請限制傳輸閘道路由表的數目。
-
為實現備援,請在每個區域使用單一傳輸閘道進行災難復原。
-
針對使用多個傳輸閘道的部署,建議您為每個傳輸閘道使用一個唯一的自主系統編號 (ASN)。也可以使用區域間對等互連。如需詳細資訊,請參閱使用區域 AWS Transit Gateway 間對等互連建置全球網路
。
