As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhe com o AWS Transit Gateway
É possível trabalhar com gateways de trânsito usando o console da Amazon VPC ou a AWS CLI. Para obter informações sobre como habilitar e gerenciar o suporte de criptografia para seu gateway de trânsito, consulte[Suporte de criptografia para AWS Transit Gateway](tgw-encryption-support.md).
**Topics**
+ [Gateways de trânsito compartilhados](#transit-gateway-share)
+ [Gateways de trânsito](tgw-transit-gateways.md)
+ [Anexos da VPC](tgw-vpc-attachments.md)
+ [Anexos de funções de rede](tgw-nf-fw.md)
+ [Anexos da VPN](tgw-vpn-attachments.md)
+ [Anexos do VPN Concentrator](tgw-vpn-concentrator-attachments.md)
+ [Anexos do gateway de trânsito a um gateway do Direct Connect](tgw-dcg-attachments.md)
+ [Anexos de emparelhamento](tgw-peering.md)
+ [Anexos do Connect e pares do Connect](tgw-connect.md)
+ [Tabela de rotas do gateway de trânsito](tgw-route-tables.md)
+ [Tabelas de políticas de gateway de trânsito](tgw-policy-tables.md)
+ [Multicast em gateways de trânsito](tgw-multicast-overview.md)
+ [Alocação flexível de custos](metering-policy.md)
## Gateways de trânsito compartilhados
Você pode usar o AWS Resource Access Manager (RAM) para compartilhar um gateway de trânsito para anexos de VPC entre contas ou em toda a sua organização em. AWS Organizations A RAM deve estar habilitada e os recursos compartilhados com uma organização. Para obter mais informações, consulte [Habilitar o compartilhamento de recursos com o AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) no *Manual do usuário do AWS RAM *.
### Considerações
Considere o seguinte quando quiser compartilhar um gateway de trânsito.
+ Um AWS Site-to-Site VPN anexo deve ser criado na mesma AWS conta proprietária do gateway de trânsito.
+ Um anexo a um gateway Direct Connect usa uma associação de gateway de trânsito e pode estar na mesma AWS conta do gateway Direct Connect ou em uma conta diferente do gateway Direct Connect.
Por padrão, os usuários não têm permissão para criar ou modificar AWS RAM recursos. Para permitir que os usuários criem ou alterem recursos e realizem tarefas, é necessário criar políticas do IAM que concedam permissão para usar os recursos e as ações de API específicos necessários. Em seguida, anexe essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Apenas o proprietário do recurso pode realizar as seguintes operações:
+ Criar o compartilhamento de um recurso.
+ Atualizar o compartilhamento de um recurso.
+ Exibir o compartilhamento de um recurso.
+ Visualizar os recursos compartilhados por sua conta em todos os compartilhamentos de recursos.
+ Visualizar as entidades principais com as quais os recursos estão sendo compartilhados, em todos os compartilhamentos de recursos. Visualizar as entidades principais com as quais os recursos estão sendo compartilhados permite determinar quem tem acesso aos recursos compartilhados.
+ Excluir o compartilhamento de um recurso.
+ Execute todas as tabelas do gateway de trânsito, anexo do gateway de trânsito e rotas do gateway de trânsito APIs.
É possível executar as operações a seguir nos recursos compartilhados:
+ Aceitar ou rejeitar o convite de um compartilhamento de recursos.
+ Exibir o compartilhamento de um recurso.
+ Visualizar os recursos compartilhados que podem ser acessados.
+ Visualizar uma lista de todas as entidades principais que estão compartilhando recursos. É possível ver quais recursos e compartilhamentos de recursos foram compartilhados.
+ É possível executar a API do `DescribeTransitGateways`.
+ Execute os APIs que criam e descrevem anexos, por exemplo `CreateTransitGatewayVpcAttachment` e`DescribeTransitGatewayVpcAttachments`, em seus. VPCs
+ Deixar o compartilhamento de um recurso.
Quando um gateway de trânsito é compartilhado, não é possível criar, modificar nem excluir as tabelas de rotas do gateway de trânsito ou as propagações e associações da tabela de rotas do gateway de trânsito.
Ao criar um gateway de trânsito, ele é criado na zona de disponibilidade que é mapeada para sua conta, sendo independente de outras contas. Quando o gateway de trânsito e as entidades de anexo estiverem em contas diferentes, use o ID da zona de disponibilidade para identificar a zona de disponibilidade de maneira exclusiva e consistente. Por exemplo, use1-az1 é uma ID AZ para a região us-east-1 e mapeia para o mesmo local em todas as contas. AWS
### Cancelar o compartilhamento de um gateway de trânsito
Quando o proprietário cancelar o compartilhamento o gateway de trânsito, serão aplicadas as seguintes regras:
+ O anexo do gateway de trânsito permanece funcional.
+ A conta compartilhada não pode descrever o gateway de trânsito.
+ Tanto proprietário do gateway de trânsito como o proprietário do compartilhamento podem excluir o anexo do gateway de trânsito.
Quando um gateway de trânsito não é compartilhado com outra AWS conta, ou se a AWS conta com a qual o gateway de trânsito está compartilhado for removida da organização, o gateway de trânsito em si não será afetado.
### Sub-redes compartilhadas
O proprietário da VPC pode anexar um gateway de trânsito a uma sub-rede de VPC compartilhada. Os participantes não podem fazer isso. O tráfego dos recursos do participante pode usar os anexos dependendo das rotas configuradas na sub-rede da VPC compartilhada pelo proprietário da VPC.
Para obter informações, consulte [Compartilhar sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário da Amazon VPC*.
# Gateways de trânsito no AWS Transit Gateway
Um gateway de trânsito permite que você conecte conexões VPN VPCs e roteie o tráfego entre elas. Um gateway de trânsito funciona Contas da AWS transversalmente e você pode usá-lo AWS RAM para compartilhar seu gateway de trânsito com outras contas. Depois de compartilhar um gateway de trânsito com outro Conta da AWS, o proprietário da conta pode anexá-lo VPCs ao seu gateway de trânsito. Um usuário de qualquer uma das contas pode excluir o anexo a qualquer momento.
É possível ativar o multicast em um gateway de trânsito e, depois, criar um domínio de multicast do gateway de trânsito que permita ao tráfego de multicast ser enviado da origem de multicast para membros do grupo de multicast em anexos da VPC associados ao domínio.
Cada anexo da VPC ou VPN está associado a uma única tabela de rotas. Essa tabela decide o próximo salto para o tráfego que vem do anexo do recurso. Uma tabela de rotas dentro do gateway de trânsito permite os alvos IPv4 ou IPv6 CIDRs e. Os alvos são VPCs conexões VPN. Quando uma VPC é anexada ou uma conexão VPN é criada em um gateway de trânsito, o anexo é associado à tabela de rotas padrão do gateway de trânsito.
É possível criar tabelas de rotas adicionais dentro do gateway de trânsito e alterar as associações de VPN e VPC em cada uma das tabelas. Assim, é possível segmentar a rede. Por exemplo, você pode associar o desenvolvimento VPCs a uma tabela de rotas e a produção VPCs a uma tabela de rotas diferente. Isso permite criar redes isoladas dentro de um gateway de trânsito semelhante ao roteamento e encaminhamento virtuais (VRFs) nas redes tradicionais.
Os gateways de trânsito oferecem suporte ao roteamento dinâmico e estático entre conexões conectadas VPCs e VPN. É possível habilitar ou desabilitar a propagação de rotas em cada anexo. Os anexos do VPN Concentrator oferecem suporte somente ao roteamento BGP (dinâmico). Os anexos de emparelhamento do gateway de trânsito são compatíveis somente com roteamento estático. Também é possível apontar rotas nas tabelas de rotas do gateway de trânsito para o anexo de emparelhamento para rotear o tráfego entre os gateways de trânsito emparelhados.
Opcionalmente, você pode associar um IPv4 ou mais blocos IPv6 CIDR ao seu gateway de trânsito. Especifique um endereço IP do bloco CIDR ao estabelecer um par do Transit Gateway Connect para um [anexo do Transit Gateway Connect](tgw-connect.md). É possível associar qualquer intervalo de endereços IP públicos ou privados, exceto endereços no intervalo `169.254.0.0/16` e intervalos que se sobrepõem a endereços para os anexos VPC e redes on-premises. Para obter mais informações sobre blocos IPv6 CIDR IPv4 e blocos, consulte [Endereçamento IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) no Guia do usuário da *Amazon VPC*.
**Topics**
+ [Criar um gateway de trânsito](create-tgw.md)
+ [Visualizar um gateway de trânsito](view-tgws.md)
+ [Gerenciar tags do gateway de trânsito](tgw-tagging.md)
+ [Modificar um gateway de trânsito](tgw-modifying.md)
+ [Aceitar um compartilhamento de recursos](share-accept-tgw.md)
+ [Aceitar um anexo compartilhado](acccept-tgw-attach.md)
+ [Excluir um gateway de trânsito](delete-tgw.md)
+ [Support à criptografia](tgw-encryption-support.md)
# Crie um gateway de trânsito no AWS Transit Gateway
Ao criar um um gateway de trânsito, uma tabela de rotas padrão é criada para ele, sendo usada como tabela padrão de associação e propagação. Se não desejar criar a tabela de rotas padrão do gateway de trânsito, poderá criar uma posteriormente. Para obter mais informações sobre rotas e tabelas de rotas, consulte [Roteamento](how-transit-gateways-work.md#tgw-routing-overview).
**nota**
Se você quiser habilitar o suporte à criptografia em um gateway de trânsito, não poderá habilitá-lo ao criar o gateway. Depois de criar o gateway de trânsito e ele estar no estado disponível, você poderá modificá-lo para ativar o suporte à criptografia. Para obter mais informações, consulte [Suporte de criptografia para AWS Transit Gateway](tgw-encryption-support.md).
**Como criar um gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Escolha **Create transit gateway** (Criar gateway de trânsito).
1. Opcionalmente, insira um nome para o gateway de trânsito em **Tag de nome**. Uma tag de nome pode facilitar a identificação de um gateway de trânsito a partir de uma lista de gateways. Ao adicionar uma **Tag de nome**, uma tag é criada com uma chave de **Nome** e um valor igual ao valor que você inserir.
1. Como opção, em **Descrição**, insira uma descrição para o gateway de trânsito.
1. Em **Número de sistema autônomo (ASN) da Amazon**, deixe o valor padrão para usar o ASN padrão ou insira o ASN privado para o gateway de trânsito. Esse deve ser o ASN do AWS lado de uma sessão do Border Gateway Protocol (BGP).
O intervalo é de 64512 a 65534 para 16 bits. ASNs
O intervalo é de 4200000000 a 4294967294 para 32 bits. ASNs
Se houver uma implantação em várias regiões, recomenda-se usar um ASN exclusivo para cada um dos gateways de trânsito.
1. Para **suporte a DNS**, selecione essa opção se precisar que a VPC resolva nomes de host DNS IPv4 públicos em endereços IPv4 privados quando consultados de instâncias em outra VPC conectada ao gateway de trânsito.
1. Para **suporte de referência de grupos de segurança**, ative esse recurso para referenciar um grupo de segurança VPCs conectado a um gateway de trânsito. Para obter mais informações sobre referência de grupo de segurança, consulte [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
1. Em **Compatibilidade com ECMP da VPN**, selecione essa opção se precisar de suporte ao roteamento de Equal Cost Multipath (ECMP – Múltiplos caminhos de mesmo custo) entre os túneis da VPN. Se as conexões anunciarem o mesmo CIDRs, o tráfego será distribuído igualmente entre elas.
Ao selecionar essa opção, o BGP ASN anunciado, os atributos do BGP, como AS-path, devem ser iguais.
**nota**
Para usar o ECMP, é necessário criar uma conexão VPN que use roteamento dinâmico. Conexões VPN que usam roteamento estático não oferecem suporte a ECMP.
1. Selecione **Associação de tabela de rotas padrão**, para associar automaticamente os anexos de gateway de trânsito à tabela de rotas padrão para o gateway de trânsito.
1. Selecione **Propagação de tabela de rotas padrão**, para propagar automaticamente os anexos de gateway de trânsito à tabela de rotas padrão para o gateway de trânsito.
1. (Opcional) Para usar o gateway de trânsito como roteador para tráfego de multicast, selecione **Suporte a multicast**.
1. (Opcional) Na seção de **opções de Configure-cross-account compartilhamento**, escolha se deseja **aceitar anexos compartilhados automaticamente**. Se habilitado, os anexos serão aceitos automaticamente. Se não, será necessário aceitar ou rejeitar as solicitações de anexos.
Em **Aceitar automaticamente anexos compartilhados**, selecione essa opção para aceitar automaticamente anexos entre contas.
1. (Opcional) Para **blocos CIDR do Transit Gateway**, especifique um IPv4 ou mais blocos IPv6 CIDR para o Transit Gateway.
Você pode especificar um bloco CIDR de tamanho /24 ou maior (por exemplo, /23 ou /22) para IPv4, ou um bloco CIDR de tamanho /64 ou maior (por exemplo, /63 ou /62) para. IPv6 É possível associar qualquer intervalo de endereços IP público ou privado, exceto os endereços no intervalo 169.254.0.0/16 e intervalos que se sobrepõem aos endereços dos anexos da VPC e das redes on-premises.
**nota**
Os blocos CIDR do Transit Gateway são usados se você estiver configurando anexos Connect (GRE) ou PrivateIP. VPNs O Transit Gateway atribui IPs os endpoints do túnel (GRE/PrivateIP VPN) desse intervalo.
1. Selecione **Criar gateway de trânsito**.
**Para criar um gateway de trânsito usando o AWS CLI**
Use o comando [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).
# Visualizar informações do gateway de trânsito no AWS Transit Gateway
Visualize qualquer gateway de trânsito.
**Como visualizar um gateway de trânsito usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**. Os detalhes do gateway de trânsito são exibidos sob a lista de gateways na página.
**Como visualizar um gateway de trânsito usando a AWS CLI**
Use o comando [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).
# Gerenciar um gateway de trânsito no AWS Transit Gateway
Adicione tags aos recursos para ajudar a organizá-los e identificá-los, por exemplo, por finalidade, proprietário ou ambiente. É possível adicionar várias tags a cada gateway de trânsito. As chaves de tag devem ser exclusivas para cada gateway de trânsito. Se uma tag for adicionada com uma chave que já esteja associada ao gateway de trânsito, o valor dessa tag será atualizado. Para obter mais informações, consulte: [Adicionar tags a recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Adicionar tags a um gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Escolha o gateway de trânsito para o qual deseja adicionar ou editar tags.
1. Selecione a guia **Tags** na parte inferior da página.
1. Selecione **Gerenciar tags**.
1. Selecione **Adicionar nova tag**.
1. Insira uma **Chave** e um **Valor** para a tag.
1. Escolha **Salvar**.
# Modificar um gateway de trânsito no AWS Transit Gateway
É possível modificar as opções de configuração de um gateway de trânsito. Ao modificar um gateway de trânsito, nenhum anexo existente do gateway de trânsito sofre nenhuma interrupção do serviço.
Não é possível modificar um gateway de trânsito que tenha sido compartilhado com você.
Não é possível remover um bloco CIDR para o gateway de trânsito se algum dos endereços IP estiver sendo usado para um [par Connect](tgw-connect.md).
**nota**
Os gateways de trânsito que têm o Encryption Support ativado podem ser conectados VPCs com controles de criptografia no modo monitor ou no modo Enforce, ou aqueles VPCs que não tenham os controles de criptografia ativados. VPCs que têm controles de criptografia no modo Enforce SÓ podem ser conectados a gateways de trânsito que tenham o Encryption Support ativado.
Para obter mais informações detalhadas, consulte [Suporte de criptografia para AWS Transit Gateway](tgw-encryption-support.md).
**Modificar um gateway de trânsito**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateways (Gateways de trânsito)**.
1. Escolha o gateway de trânsito que será modificado.
1. Selecione **Ações**, **Modificar gateway de trânsito**.
1. Modifique as opções conforme necessário e selecione **Modificar gateway de trânsito**.
**Para modificar seu gateway de trânsito usando o AWS CLI**
Use o comando [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).
# Aceite um compartilhamento de recursos do AWS Transit Gateway usando o AWS Resource Access Manager console
Ao ser adicionado a um compartilhamento de recursos, você receberá um convite para participar desse compartilhamento. É necessário aceitar o compartilhamento de recurso por meio do console do AWS Resource Access Manager (AWS RAM) antes de acessar os recursos compartilhados.
**Aceitar um compartilhamento de recursos**
1. Abra o AWS RAM console em [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. No painel de navegação, selecione **Shared with me (Compartilhados comigo)**, **Resource shares (Compartilhamento de recursos)**.
1. Selecione o compartilhamento de recursos.
1. Selecione **Aceitar compartilhamento de recursos**.
1. Para visualizar o gateway de trânsito compartilhado, abra a página **Gateways de trânsito** no console da Amazon VPC.
# Aceitar um anexo de emparelhamento no AWS Transit Gateway
Se a funcionalidade **Aceitar anexos compartilhados automaticamente** não foi habilitada ao criar o gateway de trânsito, é necessário aceitar manualmente os anexos entre contas compartilhadas usando o Console Amazon VPC ou a CLI AWS.
**Como aceitar manualmente um anexo compartilhado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Selecione o anexo do gateway de trânsito que está pendente de aceitação.
1. Selecione**Actions** (Ações), **Accept transit gateway attachment** (Aceitar anexo do gateway de trânsito).
**Como aceitar um anexo compartilhado usando a AWS CLI**
Use o comando [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).
# Excluir um gateway de trânsito no AWS Transit Gateway
Não é possível excluir um gateway de trânsito com anexos existentes. É preciso excluir todos os anexos para conseguir excluir um gateway de trânsito.
**Como excluir um gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha o gateway de trânsito a ser excluído.
1. Selecione **Ações**, **Excluir gateway de trânsito**. Para confirmar a exclusão, digite **delete** e selecione **Excluir**.
**Para excluir um gateway de trânsito usando o AWS CLI**
Use o comando [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).
# Suporte de criptografia para AWS Transit Gateway
O Encryption Controls permite que você audite o status de criptografia dos fluxos de tráfego em sua VPC e, em seguida, aplique encryption-in-transit para todo o tráfego dentro da VPC. Quando o VPC Encryption Control estiver no modo obrigatório, todas as interfaces de rede elástica (ENI) nessa VPC estarão restritas a serem anexadas somente a instâncias com capacidade de criptografia AWS Nitro; e somente AWS serviços que criptografam dados em trânsito poderão se conectar à VPC aplicada pelo Encryption Controls. [Para obter mais informações sobre os controles de criptografia de VPC, consulte esta documentação.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)
## Suporte à criptografia do Transit Gateway e controle de criptografia VPC
O suporte à criptografia no Transit Gateway permite que você imponha encryption-in-transit o tráfego entre VPCs conectados a um Transit Gateway. Você precisará ativar manualmente o Encryption Support no Transit Gateway usando o [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)comando para criptografar o tráfego entre o. VPCs Uma vez ativado, todo o tráfego atravessará links 100% criptografados entre os VPCs que estão no modo Enforce (sem exclusões) por meio do Transit Gateway. Você também pode se conectar sem VPCs os Controles de Criptografia ativados ou no modo Monitor por meio de um Transit Gateway que tenha o Encryption Support ativado. Nesse cenário, é garantido que o Transit Gateway criptografe o tráfego até o anexo do Transit Gateway na VPC, não sendo executado no modo obrigatório. Além disso, depende da instância para a qual o tráfego está sendo enviado na VPC e não está sendo executada no modo obrigatório.
Você só pode adicionar suporte à criptografia a um gateway de trânsito existente e não ao criar um. À medida que o Transit Gateway fizer a transição para o estado Encryption Support Enabled, não haverá tempo de inatividade no Transit Gateway ou nos anexos. A migração é perfeita e transparente, sem perda de tráfego. Para obter as etapas para modificar um gateway de trânsito para adicionar o Encryption Support, consulte[Modificar um gateway de trânsito](tgw-modifying.md#tgw-modifying.title).
### Requisitos
Antes de ativar o suporte à criptografia em um gateway de trânsito, certifique-se de que:
+ O gateway de trânsito não tem anexos Connect
+ O gateway de trânsito não tem anexos de emparelhamento
+ O gateway de trânsito não tem anexos do Firewall de Rede
+ O gateway de trânsito não tem anexos do VPN Concentrator
+ O gateway de trânsito não tem referências de grupos de segurança habilitadas
+ O gateway de trânsito não tem recursos de multicast habilitados
### Estados do Encryption Support
Um gateway de trânsito pode ter um dos seguintes estados de criptografia:
+ **habilitação** - O gateway de trânsito está habilitando o suporte à criptografia. Esse processo pode levar até 14 dias para ser concluído.
+ **ativado** - O suporte à criptografia está ativado no gateway de trânsito. Você pode criar anexos de VPC com o Controle de Criptografia aplicado.
+ **desativando** - O gateway de trânsito está desativando o suporte à criptografia.
+ **desativado** - O suporte à criptografia está desativado no gateway de trânsito.
### Regras de anexação do Transit Gateway
Quando um gateway de trânsito tem o suporte à criptografia ativado, as seguintes regras de anexo se aplicam:
+ Quando o estado de criptografia do Transit Gateway está **ativado** ou **desativado**, você pode criar anexos do Direct Connect, anexos VPN e anexos de VPC que não estejam no modo obrigatório ou obrigatório do Controle de Criptografia.
+ Quando o estado de criptografia do gateway de trânsito está **ativado**, você pode criar anexos VPC, Direct Connect, VPN e VPC em qualquer modo de controle de criptografia.
+ Quando o estado de criptografia do gateway de trânsito está **desativado**, você não pode criar novos anexos de VPC com o controle de criptografia aplicado.
+ Os anexos do Connect, os anexos de emparelhamento, as referências de grupos de segurança e os recursos de multicast não são compatíveis com o Encryption Support.
A tentativa de criar anexos incompatíveis falhará com um erro de API.
# Anexos da Amazon VPC no Transit Gateway AWS
Um anexo Amazon Virtual Private Cloud (VPC) a um gateway de trânsito permite rotear o tráfego de e para uma ou mais sub-redes VPC. Quando uma VPC é anexada a um gateway de trânsito, é necessário especificar uma sub-rede de cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. As sub-redes especificadas servem como pontos de entrada e saída para o tráfego do gateway de trânsito. O tráfego só pode alcançar recursos em outras sub-redes dentro da mesma zona de disponibilidade se as sub-redes do anexo do gateway de trânsito tiverem rotas apropriadas configuradas em suas tabelas de rotas apontando para as sub-redes de destino.
**Limites**
+ Quando uma VPC é anexada a um gateway de trânsito, nenhum recurso nas zonas de disponibilidade em que não houver um anexo do gateway de trânsito alcançará este gateway de trânsito.
**nota**
Nas zonas de disponibilidade que têm anexos do gateway de trânsito, o tráfego só é encaminhado para o gateway de trânsito a partir das sub-redes específicas associadas ao anexo. Se houver uma rota para o gateway de trânsito em uma tabela de rotas de sub-rede, o tráfego será enviado ao gateway de trânsito somente quando este tiver um anexo em uma sub-rede na mesma zona de disponibilidade e o anexo da tabela de rotas da sub-rede contiver rotas apropriadas para o destino pretendido do tráfego dentro da VPC.
+ Um gateway de trânsito não oferece suporte à resolução de DNS para nomes DNS personalizados da VPCs configuração anexada usando zonas hospedadas privadas no Amazon Route 53. Para configurar a resolução de nomes para zonas hospedadas privadas para todas VPCs conectadas a um gateway de trânsito, consulte [Gerenciamento centralizado de DNS da nuvem híbrida com o Amazon Route 53 e o AWS Transit](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/) Gateway.
+ Um gateway de trânsito não oferece suporte ao roteamento entre VPCs idênticos CIDRs, ou se um CIDR em um intervalo se sobrepõe a um CIDR em uma VPC conectada. Se uma VPC for anexada a um gateway de trânsito e seu CIDR for idêntico ao CIDR de outra VPC, ou se sobrepor ao CIDR de outra VPC, que já esteja anexada ao gateway de trânsito, as rotas para a VPC recém-anexada não serão propagadas para a tabela de rotas do gateway de trânsito.
+ Não é possível criar um anexo para uma sub-rede da VPC que resida em uma zona local. Porém, é possível configurar a rede para que as sub-redes na Zona Local se conectem a um gateway de trânsito por meio da Zona de Disponibilidade principal. Para obter mais informações, consulte [Conectar sub-redes da Zona Local a um gateway de trânsito](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ Você não pode criar um anexo de gateway de trânsito usando IPv6 sub-redes somente. As sub-redes de anexos do Transit Gateway também devem oferecer suporte IPv4 a endereços.
+ Um gateway de trânsito deve ter pelo menos um anexo de VPC antes que esse gateway de trânsito possa ser adicionado a uma tabela de rotas.
## Requisitos de tabela de rotas para anexos de VPC
Os anexos da VPC do Transit Gateway exigem configurações específicas da tabela de rotas para funcionarem adequadamente:
+ **Tabelas de rotas de sub-redes de anexos**: as sub-redes associadas ao anexo do gateway de trânsito devem ter entradas na tabela de rotas para qualquer destino dentro da VPC que precise ser acessado por meio do gateway de trânsito. Isso inclui rotas para outras sub-redes, gateways da Internet, gateways NAT e endpoints da VPC.
+ **Tabelas de rotas de sub-rede de destino: as** sub-redes que contêm recursos que precisam se comunicar por meio do gateway de trânsito devem ter rotas apontando de volta para o gateway de trânsito para retornar o tráfego aos destinos externos.
+ **Tráfego local da VPC**: o anexo do gateway de trânsito não habilita automaticamente a comunicação entre sub-redes dentro da mesma VPC. As regras padrão de roteamento da VPC se aplicam, e a rota local (CIDR da VPC) deve estar presente nas tabelas de rotas para comunicação intra-VPC.
**nota**
Ter rotas configuradas em sub-redes sem anexos dentro da mesma zona de disponibilidade não permite o fluxo de tráfego. Somente as sub-redes específicas associadas ao anexo do gateway de trânsito podem servir como entry/exit pontos para o tráfego do gateway de trânsito.
## Ciclo de vida do anexo da VPC
Um anexo da VPC passa por vários estágios, começando quando a solicitação é iniciada. Em cada etapa, pode haver ações possíveis, e, ao final do ciclo de vida, o anexo da VPC permanece visível no Amazon Virtual Private Cloud Console e na API ou na saída de linha de comando por um período.
O diagrama a seguir mostra os estados pelos quais um anexo pode passar em uma única configuração de conta ou em uma configuração para várias contas que tenha a opção **Aceitar automaticamente os anexos compartilhados** ativada.
![\[Ciclo de vida do anexo da VPC\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pendente**: uma solicitação de anexo da VPC foi iniciada e está no processo de provisionamento. Nesta fase, o anexo pode falhar, ou pode ir para `available`.
+ **Falhando**: uma solicitação de anexo da VPC está mostrando falhas. Nesta fase, o anexo da VPC vai para `failed`.
+ **Falha**: a solicitação de anexo da VPC falhou. Enquanto estiver neste estado, ela não pode ser excluída. O anexo da VPC com falha permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Disponível**: o anexo da VPC está disponível e o tráfego pode fluir entre a VPC e o gateway de trânsito. Nesta fase, o anexo pode ir para `modifying`, ou para `deleting`.
+ **Excluindo**: um anexo da VPC que está em processo de ser excluído. Nesta fase, o anexo pode ir para `deleted`.
+ **Excluído**: um anexo da VPC `available` foi excluído. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Modificando**: foi feita uma solicitação para modificar as propriedades do anexo da VPC. Nesta fase, o anexo pode ir para `available`, ou para `rolling back`.
+ **Revertendo**: a solicitação de modificação do anexo da VPC não pode ser concluída e o sistema está desfazendo todas as alterações feitas. Nesta fase, o anexo pode ir para `available`.
O diagrama a seguir mostra os estados pelos quais um anexo pode passar em uma configuração de várias contas que tenha a opção **Aceitar automaticamente os anexos compartilhados** desativada.
![\[Ciclo de vida dos anexos da VPC entre contas que estão com a opção Aceitar automaticamente os anexo compartilhados desativada\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Aceitação pendente**: a solicitação de anexo da VPC está aguardando aceitação. Nesta fase, o anexo pode ir para `pending`, para `rejecting` ou para `deleting`.
+ **Rejeitando**: um anexo da VPC que está em processo de ser rejeitado. Nesta fase, o anexo pode ir para `rejected`.
+ **Rejeitado**: um anexo da VPC `pending acceptance` foi rejeitado. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Pendente**: um anexo da VPC foi aceito e está no processo de provisionamento. Nesta fase, o anexo pode falhar, ou pode ir para `available`.
+ **Falhando**: uma solicitação de anexo da VPC está mostrando falhas. Nesta fase, o anexo da VPC vai para `failed`.
+ **Falha**: a solicitação de anexo da VPC falhou. Enquanto estiver neste estado, ela não pode ser excluída. O anexo da VPC com falha permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Disponível**: o anexo da VPC está disponível e o tráfego pode fluir entre a VPC e o gateway de trânsito. Nesta fase, o anexo pode ir para `modifying`, ou para `deleting`.
+ **Excluindo**: um anexo da VPC que está em processo de ser excluído. Nesta fase, o anexo pode ir para `deleted`.
+ **Excluída**: um anexo da VPC `available` ou `pending acceptance` foi excluído. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Modificando**: foi feita uma solicitação para modificar as propriedades do anexo da VPC. Nesta fase, o anexo pode ir para `available`, ou para `rolling back`.
+ **Revertendo**: a solicitação de modificação do anexo da VPC não pode ser concluída e o sistema está desfazendo todas as alterações feitas. Nesta fase, o anexo pode ir para `available`.
## Modo do dispositivo
Se há planos para configurar um dispositivo de rede com estado na VPC, é possível habilitar o suporte ao modo de dispositivo para o anexo da VPC no qual o dispositivo está localizado ao criar um anexo. Isso garante que o AWS Transit Gateway use a mesma zona de disponibilidade para esse anexo de VPC durante toda a vida útil do fluxo de tráfego entre a origem e o destino. Também permite que um gateway de trânsito envie tráfego para qualquer zona de disponibilidade na VPC, desde que haja uma associação de sub-rede nessa zona. Embora o modo dispositivo seja suportado apenas em anexos VPC, o fluxo de rede pode vir de qualquer outro tipo de anexo do gateway de trânsito, incluindo anexos VPC, VPN e Connect. O modo dispositivo também funciona para fluxos de rede que têm origens e destinos diferentes Regiões da AWS. Os fluxos de rede podem ser potencialmente rebalanceados em diferentes zonas de disponibilidade se você não ativar inicialmente o modo de dispositivo, mas depois editar a configuração do anexo para habilitá-lo. Você pode habilitar ou desabilitar o modo de dispositivo usando o console, a linha de comando ou a API.
O modo de dispositivo no AWS Transit Gateway otimiza o roteamento de tráfego considerando as zonas de disponibilidade de origem e destino ao determinar o caminho por meio de uma VPC no modo de dispositivo. Essa abordagem aumenta a eficiência e reduz a latência. O comportamento varia dependendo da configuração e dos padrões de tráfego específicos. Estes são cenários de exemplo:
### Cenário 1: roteamento de tráfego de zona intra-disponibilidade via Appliance VPC
Quando o tráfego flui da zona de disponibilidade us-east-1a de destino para a zona de disponibilidade us-east-1a, com anexos da VPC do modo de dispositivo em us-east-1a e us-east-1b, o Transit Gateway seleciona uma interface de rede de us-east-1a dentro da VPC do dispositivo. Essa zona de disponibilidade é mantida por toda a duração do fluxo de tráfego entre a origem e o destino.
### Cenário 2: roteamento de tráfego de zona intra-disponibilidade via Appliance VPC
Para o tráfego flui da zona de disponibilidade us-east-1a de destino para a zona de disponibilidade us-east-1b, com anexos da VPC do modo de dispositivo em us-east-1a e us-east-1b, o Transit Gateway seleciona uma interface de rede de us-east-1a ou us-east-1b dentro da VPC do dispositivo. A zona de disponibilidade escolhida é usada de forma consistente durante a vida útil do fluxo.
### Cenário 3: roteamento de tráfego por meio de uma VPC de dispositivo sem dados da zona de disponibilidade
Quando o tráfego se origina da zona de disponibilidade de origem us-east-1a para um destino sem informações de zona de disponibilidade (por exemplo, tráfego com destino à internet), com anexos VPC no modo dispositivo em us-east-1a e us-east-1b, o Gateway de Trânsito seleciona uma interface de rede de us-east-1a dentro da VPC do dispositivo.
### Cenário 4: roteamento de tráfego por meio de uma VPC de dispositivo em uma zona de disponibilidade distinta da origem ou do destino
Quando o tráfego flui da Zona de Disponibilidade de origem us-east-1a para a zona de disponibilidade de destino us-east-1b, com anexos VPC no modo dispositivo em diferentes zonas de disponibilidade, por exemplo, us-east-1c e us-east-1d, o Transit Gateway usa um algoritmo de hash de fluxo para selecionar us-east-1c ou us-east-1d na VPC do dispositivo. A zona de disponibilidade escolhida é usada de forma consistente durante a vida útil do fluxo.
**nota**
O modo dispositivo só é compatível com anexos de VPC. Certifique-se de que a propagação de rotas esteja habilitada para uma tabela de rotas associada a um anexo VPC do appliance.
## Referenciamento de grupo de segurança
Você pode usar esse recurso para simplificar o gerenciamento de grupos de segurança e o controle do instance-to-instance tráfego entre VPCs aqueles conectados ao mesmo gateway de trânsito. Só é possível fazer referência cruzada a grupos de segurança em regras de entrada. As regras de segurança de saída não são compatíveis com o referenciamento de grupos de segurança. Não há custos adicionais associados à ativação ou ao uso da referenciamento de grupos de segurança.
O suporte de referência do grupo de segurança pode ser configurado tanto para gateways de trânsito quanto para anexos do VPC do gateway de trânsito e só funcionará se tiver sido habilitado tanto para um gateway de trânsito quanto para seus anexos de VPC.
### Limitações
As limitações a seguir se aplicam ao utilizar a referência ao grupo de segurança com um anexo do VPC.
+ A referência ao grupo de segurança não oferece suporte para as conexões de emparelhamento do Transit Gateway. Ambos VPCs devem estar conectados ao mesmo gateway de trânsito.
+ Não há suporte para a referência de grupos de segurança para anexos da VPC na zona de disponibilidade use1-az3.
+ A referência a grupos de segurança não é suportada para PrivateLink endpoints. Recomendamos o uso de regras de segurança baseadas em IP CIDR como alternativa.
+ A referência do grupo de segurança funciona para o Elastic File System (EFS), desde que uma regra de grupo de segurança de permissão para todas as saídas esteja configurada para as interfaces EFS na VPC.
+ Para conectividade de Zona Local por meio de um gateway de trânsito, há suporte apenas para as seguintes Zonas Locais: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a e us-west-2-phx-2a.
+ Recomendamos desativar esse recurso no nível de anexo da VPC VPCs para sub-redes em Zonas Locais, AWS Outposts e Zonas de AWS Wavelength sem suporte, pois isso pode causar interrupção do serviço.
+ Se você tiver uma VPC de inspeção, a referência ao grupo de segurança por meio do gateway de trânsito não funcionará no Gateway Load AWS Balancer ou no Network Firewall. AWS
**Topics**
+ [Requisitos de tabela de rotas para anexos de VPC](#vpc-attachment-routing-requirements)
+ [Ciclo de vida do anexo da VPC](#vpc-attachment-lifecycle)
+ [Modo do dispositivo](#tgw-appliancemode)
+ [Referenciamento de grupo de segurança](#vpc-attachment-security)
+ [Criar um anexo de VPC](create-vpc-attachment.md)
+ [Modificar um anexo de VPC](modify-vpc-attachment.md)
+ [Modificar as tags de anexo da VPC](modify-vpc-attachment-tag.md)
+ [Visualizar um anexo da VPC](view-vpc-attachment.md)
+ [Excluir um anexo de VPC](delete-vpc-attachment.md)
+ [Regras de entrada do grupo de segurança](tgw-sg-updates-update.md)
+ [Identificar grupos de segurança referenciados](tgw-sg-updates-identify.md)
+ [Remover regras de grupo de segurança obsoletas](tgw-sg-updates-stale.md)
+ [Solucionar problemas de anexos da VPC](transit-gateway-vpc-attach-troubleshooting.md)
# Criar um anexo de VPC no AWS Transit Gateway
**Como criar um anexo de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
1. Em **Tag de nome**. Como opção, insira um nome para o anexo do gateway de trânsito.
1. Em **Transit Gateway ID** (ID do gateway de trânsito), escolha o gateway de trânsito para o anexo. Você pode escolher um gateway de trânsito de sua propriedade ou um que tenha sido compartilhado com você.
1. Em **Attachment type (Tipo de anexo)**, escolha **VPC**.
1. Escolha se quer habilitar o **Suporte a DNS**, o **Suporte a IPv6** e o **Suporte ao modo de dispositivo**.
Se o modo de dispositivo for escolhido, o fluxo de tráfego entre uma origem e um destino usará a mesma zona de disponibilidade para o anexo da VPC durante o tempo de vida desse fluxo.
1. Escolha se deseja ativar o **suporte de referência de grupos de segurança**. Ative esse atributo para referenciar um grupo de segurança entre VPCs conectadas a um gateway de trânsito. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
1. Escolha se quer habilitar o **Suporte a IPv6**.
1. Em **ID da VPC**, escolha a VPC a ser anexada ao gateway de trânsito.
Essa VPC precisa estar associada a pelo menos uma sub-rede.
1. Em **IDs de sub-rede**, selecione uma sub-rede para cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. É necessário selecionar pelo menos uma sub-rede. É possível selecionar somente uma sub-rede por zona de disponibilidade.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
**Como criar uma VPC usando a AWS CLI**
Use o comando [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Modificar um anexo de VPC no Transit AWS Gateway
**Como modificar seus anexos de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha o anexo da VPC e selecione **Ações**, **Modificar anexo do gateway de trânsito**.
1. Ative ou desative qualquer uma das seguintes opções:
+ **Suporte a DNS**
+ **IPv6 apoio**
+ **Suporte ao modo de dispositivo**
1. Para adicionar ou remover uma sub-rede do anexo, selecione ou desmarque a caixa de seleção ao lado da **ID da sub-rede** que você deseja adicionar ou remover.
**nota**
Adicionar ou modificar uma sub-rede de anexos de VPC pode afetar o tráfego de dados enquanto o anexo estiver sendo modificado.
1. Para poder referenciar um grupo de segurança VPCs conectado a um gateway de trânsito, selecione **Suporte de referência de grupos de segurança**. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
**nota**
Se você desativar a referência de grupos de segurança para um gateway de trânsito existente, ela será desativada em todos os anexos da VPC.
1. Selecione **Modificar anexo do gateway de trânsito**.
**Para modificar seus anexos de VPC usando o AWS CLI**
Use o comando [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Modificar as tags de anexo da VPC no AWS Transit Gateway
**Como modificar as tags de anexo da VPC usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione o anexo da VPC e então, **Ações**, **Gerenciar tags**.
1. [Adicionar uma tag] Selecione **Adicionar nova tag** e faça o seguinte:
+ Em **Chave**, insira o nome da chave.
+ Em **Valor** insira o valor da chave.
1. [Remover uma tag] Ao lado da tag, selecione **Remover**.
1. Selecione **Salvar**.
As tags de anexo da VPC só podem ser modificadas usando o console.
# Visualizar um anexo do VPC no AWS Transit Gateway
**Como visualizar seus anexos da VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Na coluna **Tipo de recurso**, procure por **VPC**. Os anexos da VPC serão exibidos.
1. Escolha um anexo para visualizar seus detalhes.
**Como visualizar seus anexos da VPC usando a AWS CLI**
Use o comando [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Excluir um anexo VPC no AWS Transit Gateway
**Como excluir um anexo de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Escolha o anexo de VPC.
1. Selecione **Ações**, **Excluir anexo do gateway de trânsito**.
1. Quando solicitado, digite **delete** e escolha **Excluir**.
**Como excluir um anexo de VPC usando a AWS CLI**
Use o comando [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# Atualizar as regras de entrada do grupo de segurança AWS Transit Gateway
É possível atualizar qualquer uma das regras de entrada do grupo de segurança associadas a um gateway de trânsito. É possível atualizar regras do grupo de segurança usando o console do Amazon VPC, a linha de comando ou a API. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
**Atualizar as regras do grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Escolha o grupo de segurança e selecione **Ações**, **Editar regras de entrada** para modificar as regras de entrada.
1. Para adicionar uma regra, selecione **Adicionar regra** e especifique o tipo, protocolo e intervalo de porta. Em **Origem** (regra de entrada), insira o ID do grupo de segurança na VPC conectada ao gateway de trânsito.
**nota**
Os grupos de segurança em uma VPC conectada ao gateway de trânsito não são exibidos automaticamente.
1. Para editar uma regra existente, altere seus valores (por exemplo, a origem ou a descrição).
1. Para excluir uma regra, selecione **Excluir**, próximo à regra.
1. Selecione **Salvar rules**.
**Como atualizar regras de entrada usando a linha de comando**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identificar grupos de segurança AWS Transit Gateway referenciados
Para determinar se o grupo de segurança está sendo referenciado nas regras de um grupo de segurança em uma VPC conectada ao mesmo gateway de trânsito, use um dos comandos a seguir.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Remover regras de grupo de segurança do AWS Transit Gateway obsoletas
Uma regra de grupo de segurança obsoleta é uma regra que referencia um grupo de segurança excluído na mesma VPC ou na VPC anexada ao mesmo gateway de trânsito. Quando uma regra de grupo de segurança se torna obsoleta, ela não é automaticamente removida do grupo de segurança, portanto, é preciso removê-la manualmente.
É possível visualizar e excluir as regras de grupo de segurança obsoletas para uma VPC usando o console da Amazon VPC.
**Como visualizar e excluir regras do grupo de segurança obsoletas**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione **Ações**, **Gerenciar regras obsoletas**.
1. Em **VPC**, escolha a VPC com as regras obsoletas.
1. Selecione **Editar**.
1. Selecione o botão **Excluir** ao lado da regra que deseja excluir. Selecione **Visualizar alterações**, **Salvar regras**.
**Como descrever as regras desatualizadas do seu grupo de segurança usando a linha de comando**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Depois de identificar as regras de grupo de segurança obsoletas, é possível excluí-las usando os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) ou [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
# Solução de problemas na criação de anexos de VPC do AWS Transit Gateway
O tópico a seguir pode ajudar a solucionar problemas que possam surgir quando ao criar um anexo da VPC.
**Problema**
Falha no anexo da VPC.
**Causa**
A causa pode ser uma das seguintes:
1. O usuário que estiver criando o anexo da VPC não tem as permissões corretas para criar o perfil vinculada ao serviço.
1. Há um problema de controle de utilização devido a muitas solicitações do IAM. Por exemplo, o CloudFormation está sendo usado para criar permissões e perfis.
1. A conta tem o perfil vinculado a serviços e esse perfil foi modificado.
1. O gateway de trânsito não está no estado `available`.
**Solução**
Dependendo da causa, tente o seguinte:
1. Verifique se o usuário tem as permissões corretas para criar perfis vinculados a serviços. Para obter mais informações, consulte [Permissões de perfis vinculados a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*. Uma vez que o usuário tenha as permissões, crie o anexo da VPC.
1. Crie o anexo do VPC manualmente. Para obter mais informações, consulte [Criar um anexo de VPC no AWS Transit Gateway](create-vpc-attachment.md).
1. Verifique se a função vinculada a serviços tem as permissões corretas. Para obter mais informações, consulte [Função vinculada ao serviço do gateway de trânsito](service-linked-roles.md#tgw-service-linked-roles).
1. Verifique se o gateway de trânsito está no estado `available`. Para obter mais informações, consulte [Visualizar informações do gateway de trânsito no AWS Transit Gateway](view-tgws.md).
# Anexos da função de rede do AWS Transit Gateway
Você pode criar um anexo de função de rede para conectar diretamente um gateway de trânsito ao AWS Network Firewall. Isso elimina a necessidade de criar e gerenciar VPCs de inspeção.
Com um anexo de firewall, a AWS provisiona e gerencia automaticamente todos os recursos necessários nos bastidores. Você verá um novo anexo do gateway de trânsito em vez de um endpoint de firewall individual. Isso simplifica o processo de implementação da inspeção centralizada do tráfego de rede.
Antes de usar um anexo de firewall, você deve primeiramente criar o anexo no AWS Network Firewall. Para ver as etapas de criação do anexo, consulte [Getting Started with AWS Network Firewall Management](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) no *Guia do desenvolvedor do AWS Network Firewall*. Depois que o firewall for criado, você poderá visualizar o anexo no console do Transit Gateway na seção **Anexos.** O anexo será listado com um tipo de **Função de rede**.
**Topics**
+ [Aceitar ou rejeitar um anexo de função de rede do gateway de trânsito](accept-reject-firewall-attachment.md)
+ [Visualizar anexos de funções de rede](view-nf-attachment-nm.md)
+ [Rotear o tráfego por meio de um anexo de função de rede do gateway de trânsito](route-traffic-nf-attachment.md)
# Aceitar ou rejeitar um anexo de função de rede do AWS Transit Gateway
Você pode usar o console Amazon VPC ou a AWS Network Firewall CLI ou a API para aceitar ou rejeitar um anexo de função de rede do Transit Gateway, incluindo anexos do Firewall de Rede. Se você for proprietário de um gateway de trânsito e alguém tiver criado um anexo de firewall para seu gateway de trânsito a partir de outra conta, você precisará aceitar ou rejeitar a solicitação de anexo.
Para aceitar ou rejeitar um anexo de função de rede usando a CLI do Firewall de Rede, consulte `AcceptNetworkFirewallTransitGatewayAttachment` ou `RejectNetworkFirewallTransitGatewayAttachment` APIs na Referência da [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html).
## Aceitar ou rejeitar um anexo de função de rede usando o console
Use o console da Amazon VPC para aceitar ou rejeitar um anexo de função de rede do gateway de trânsito.
**Para aceitar ou rejeitar um anexo de função de rede usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Selecione **Anexos do gateway de trânsito**
1. Selecione o anexo com um estado de **aceitação pendente** e um tipo de **função de rede**.
1. Escolha **Ações** e, em seguida, escolha **Aceitar anexo** ou **Rejeitar anexo**.
1. Na caixa de diálogo de confirmação, escolha **Aceitar** ou **Rejeitar**.
Se você aceitar o anexo, ele ficará ativo e o firewall poderá inspecionar o tráfego. Se você rejeitar o anexo, ele entrará em um estado rejeitado e, por fim, será excluído.
# Exibir anexos da função de rede do AWS Transit Gateway
Você pode visualizar seus anexos de funções de rede, incluindo seus AWS Network Firewall anexos, usando o console da Amazon VPC ou o console do Network Manager para obter uma representação visual da sua topologia de rede.
## Visualizar anexo de função de rede usando o console do Gerenciador de Rede
Você pode visualizar anexos de uma função de rede usando o console do Gerenciador de Rede.
**Para ver os anexos do firewall no Gerenciador de Rede**
1. Abra o console do Network Manager em [https://console.aws.amazon.com/networkmanager/casa/](https://console.aws.amazon.com/networkmanager/home).
1. Crie uma rede global no Gerenciador de Rede, se você ainda não tiver uma.
1. Registrar o gateway de trânsito com o Gerenciador de Rede.
1. Em **Redes Globais**, escolha a rede global em que o anexo está localizado.
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Escolha o gateway de trânsito para o qual deseja visualizar anexos.
1. Escolha a visualização em **Árvore de topologia**. Os anexos do Network Firewall aparecem com um ícone de função de rede.
1. Para ver detalhes sobre um anexo de firewall específico, selecione o gateway de trânsito na visualização de topologia e, em seguida, selecione a guia **Função de rede**.
O console do Gerenciador de Rede fornece informações detalhadas sobre os anexos do firewall, incluindo seu status, gateway de trânsito associado e zonas de disponibilidade.
## Visualize anexo de função de rede usando o console do Amazon VPC
Use o console do VPC para ver uma lista dos tipos de anexos do gateway de trânsito.
**Como visualizar tipos de anexo do gateway de trânsito usando o console do VPC**
+ Consulte [Visualizar um anexo da VPC](view-vpc-attachment.md).
# Roteie o tráfego por meio de um anexo de função de rede do AWS Transit Gateway
Depois de criar um anexo de função de rede, você precisa atualizar as tabelas de rotas do gateway de trânsito para enviar tráfego pelo firewall para inspeção usando o console da Amazon VPC ou a CLI. Para obter as etapas de como atualizar uma associação da tabela de rotas do gateway de trânsito, consulte [Associar uma tabela de rotas do gateway de trânsito](associate-tgw-route-table.md).
## Rotear o tráfego por meio de um anexo de firewall usando o console
Use o console da Amazon VPC para rotear o tráfego por meio de um anexo de função de rede de gateway de trânsito.
**Para rotear o tráfego por meio de um anexo de função de rede usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Selecione **Tabela de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas que você queira modificar.
1. Escolha **Ações** e **Criar rota estática**.
1. Para **CIDR**, insira o bloco CIDR de destino para a rota.
1. Em **Anexo**, selecione o anexo da função de rede. Por exemplo, isso pode ser um AWS Network Firewall anexo.
1. Selecione **Criar rota estática**.
**nota**
Somente rotas estáticas são permitidas.
O tráfego correspondente ao bloco CIDR em sua tabela de rotas agora será enviado ao anexo do firewall para inspeção antes de ser encaminhado ao seu destino final.
## Rotear o tráfego por meio de um anexo de função de rede usando a CLI ou uma API
Use a linha de comando ou a API para rotear um anexo da função de rede do gateway de trânsito.
**Para rotear o tráfego por meio de um anexo de função de rede usando a CLI ou uma API**
+ Use [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html).
Por exemplo, a solicitação pode ser rotear um anexo de firewall de rede:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
A saída é:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
O tráfego correspondente ao bloco CIDR em sua tabela de rotas agora será enviado ao anexo do firewall para inspeção antes de ser encaminhado ao seu destino final.
# AWS Site-to-Site VPN anexos no Transit Gateway AWS
Você pode conectar um anexo Site-to-Site VPN a um gateway de trânsito no AWS Transit Gateway, permitindo que você conecte sua VPCs rede à rede local. Tanto as rotas dinâmicas quanto as estáticas são suportadas, assim como IPv4 IPv6 e.
**Requisitos**
+ Anexar uma conexão VPN ao gateway de trânsito requer a especificação do gateway do cliente da VPN, que tem requisitos específicos do dispositivo. Antes de criar um anexo de Site-to-Site VPN, revise os requisitos do gateway do cliente para garantir que seu gateway esteja configurado corretamente. Para obter mais informações sobre esses requisitos, incluindo exemplos de arquivos de configuração de gateway, consulte [Requisitos para seu dispositivo de gateway de cliente Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) no *Guia AWS Site-to-Site VPN do usuário*.
+ Para estática VPNs, você também precisará primeiro adicionar as rotas estáticas à tabela de rotas do gateway de trânsito. As rotas estáticas em uma tabela de rotas de gateway de trânsito que têm como alvo um anexo de VPN não são filtradas pela Site-to-Site VPN, pois isso pode permitir um fluxo de tráfego de saída não intencional ao usar uma VPN baseada em BGP. Para ver as etapas necessárias para adicionar uma rota estática à tabela de rotas de gateway de trânsito, consulte [Criar uma rota estática](tgw-create-static-route.md).
Você pode criar, visualizar ou excluir um anexo Site-to-Site VPN do Transit Gateway usando o console Amazon VPC ou usando a CLI AWS .
**Topics**
+ [Criar um anexo do gateway de trânsito para uma VPN](create-vpn-attachment.md)
+ [Visualizar um anexo da VPN](view-vpn-attachment.md)
+ [Excluir um anexo da VPN](delete-vpn-attachment.md)
# Criar um anexo do gateway de trânsito para uma VPN no AWS Transit Gateway
**Como criar um anexo da VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione **Criar anexo do gateway de trânsito**.
1. Em **ID do gateway de trânsito**, escolha o gateway de trânsito para o anexo. É possível escolher um gateway de trânsito que você possua.
1. Em **Tipo de anexo**, escolha **VPN**.
1. Em **Gateway do cliente**, siga uma destas opções:
+ Para usar um gateway do cliente existente, selecione **Existente** e escolha o gateway que deseja usar.
Se o gateway do cliente estiver atrás de um dispositivo de conversão de endereços de rede (NAT), que esteja habilitado para NAT traversal (NAT-T), use o endereço IP público do dispositivo NAT e ajuste as regras de firewall para desbloquear a porta UDP 4500.
+ Para criar um gateway do cliente, selecione **Novo**, em **Endereço IP**, insira um endereço IP público estático e **BGP ASN**.
Em **Opções de roteamento**, escolha entre **Dinâmico** ou **Estático**. Para obter mais informações, consulte [Opções de Roteamento de VPN Site-to-Site](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html) no *Guia do usuário do AWS Site-to-Site VPN*.
1. Em **Opções de túnel**, insira os intervalos CIDR e as chaves pré-compartilhadas para o túnel. Para obter mais informações, consulte [Arquiteturas da VPN Site-to-Site](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html).
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
**Para criar um anexo da VPN usando a AWS CLI**
Use o comando [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html).
# Visualizar um anexo da VPN no AWS Transit Gateway
**Como visualizar seus anexos da VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Na coluna **Tipo de recurso**, procure por **VPN**. Os anexos da VPN serão exibidos.
1. Escolha um anexo para visualizar os detalhes ou adicionar tags.
**Como visualizar seus anexos da VPN usando a AWS CLI**
Use o comando [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).
# Excluir um anexo VPN no AWS Transit Gateway
**Como excluir um anexo da VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Selecione o anexo da VPN.
1. Escolha o ID do recurso da conexão VPN para acessar a página **Conexões VPN**.
1. Selecione **Ações**, **Excluir**.
1. Quando a confirmação for solicitada, escolha **Excluir**.
**Para excluir um anexo da VPN usando a AWS CLI**
Use o comando [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html).
# Anexos do VPN Concentrator no Transit Gateway AWS
AWS Site-to-Site O VPN Concentrator é um novo recurso que simplifica a conectividade de vários sites para empresas distribuídas. O VPN Concentrator é adequado para clientes que precisam conectar mais de 25 locais remotos AWS, com cada site precisando de baixa largura de banda (menos de 100 Mbps).
## Como funciona o VPN Concentrator
Um concentrador de VPN aparece como um único anexo em seu gateway de trânsito, mas pode hospedar várias conexões Site-to-Site VPN.
O tráfego de todas as conexões VPN no Concentrator é roteado pelo mesmo anexo de gateway de trânsito, permitindo que você aplique políticas de roteamento e regras de segurança consistentes em todos os sites conectados. O Concentrator se integra perfeitamente às tabelas de rotas do Transit Gateway, permitindo que você controle o fluxo de tráfego entre seus locais remotos e outros anexos VPCs, como outras conexões VPN e conexões de peering.
## Benefícios do VPN Concentrator
+ **Otimização de custos**: reduza os custos consolidando várias conexões VPN de baixa largura de banda em um único anexo de gateway de trânsito, o que é especialmente benéfico quando sites individuais não exigem capacidade total de conexão de VPN.
+ **Gerenciamento simplificado**: gerencie várias conexões de sites remotos por meio de um anexo unificado, mantendo o controle e o monitoramento individuais da conexão VPN.
+ **Roteamento consistente**: aplique políticas de roteamento unificadas em todos os sites conectados por meio de uma única associação de tabela de rotas do gateway de trânsito.
+ **Arquitetura escalável**: conecte até 100 locais remotos usando um único concentrador, com suporte para até 5 concentradores por gateway de trânsito.
+ **Recursos de VPN padrão**: cada conexão VPN oferece suporte aos mesmos recursos de segurança, monitoramento e roteamento das conexões Site-to-Site VPN padrão.
**Requisitos e limitações**
+ Somente **roteamento BGP: o VPN Concentrator suporta somente** roteamento BGP (dinâmico). O roteamento estático não é suportado no lançamento.
+ **Requisitos do gateway do cliente**: cada local remoto exige um gateway do cliente que ofereça suporte ao roteamento BGP. Antes de criar conexões VPN em um concentrador, revise os requisitos de gateway do cliente em [Requisitos para seu dispositivo Site-to-Site VPN de gateway do cliente](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) no *Guia do AWS Site-to-Site VPN usuário*.
+ **Considerações de desempenho**: Cada conexão VPN em um concentrador foi projetada para uma largura de banda máxima de 100 Mbps. Para maiores requisitos de largura de banda, considere usar anexos VPN padrão do Transit Gateway.
Você pode criar, visualizar ou excluir um anexo do VPN Concentrator usando o console AWS VPC ou a CLI. AWS As conexões VPN individuais no Concentrator são gerenciadas por meio da conexão VPN padrão APIs e das interfaces do console.
**Topics**
+ [Como funciona o VPN Concentrator](#vpn-concentrator-how-it-works)
+ [Benefícios do VPN Concentrator](#vpn-concentrator-benefits)
+ [Crie um anexo do VPN Concentrator](create-vpn-concentrator-attachment.md)
+ [Exibir um anexo do VPN Concentrator](view-vpn-concentrator-attachment.md)
+ [Excluir um anexo do VPN Concentrator](delete-vpn-concentrator-attachment.md)
# Crie um anexo do VPN Concentrator no AWS Transit Gateway
**Pré-requisitos**
+ Você deve ter um gateway de trânsito existente em sua conta.
**Para criar um anexo do VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Concentrators**.
1. Escolha **Criar Site-to-Site VPN Concentrator**.
1. (Opcional) Em **Etiqueta de nome**, insira um nome para seu Site-to-Site VPN Concentrator.
1. Para **Transit Gateway**, selecione um gateway de trânsito existente.
1. (Opcional) Para adicionar outras tags, escolha **Adicionar nova tag** e especifique a chave e o valor de cada tag.
1. Escolha **Criar Site-to-Site VPN Concentrator**.
**Depois de criar o anexo do VPN Concentrator, ele aparece na lista de anexos com um tipo de recurso de **VPN Concentrator** e um estado inicial de Pendente.** Quando o anexo estiver pronto, o estado mudará para **Disponível**. Em seguida, você pode criar conexões Site-to-Site VPN neste concentrador.
**Para criar um anexo do VPN Concentrator usando o AWS CLI**
Use o comando [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html).
**Para criar uma conexão VPN em um VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
1. Para **Target Gateway Type**, escolha **Site-to-Site VPN Concentrator**.
1. Para **Site-to-Site VPN Concentrator**, escolha o VPN Concentrator onde você deseja criar a conexão VPN.
1. Em **Gateway do cliente**, siga uma destas opções:
+ Para usar um gateway do cliente existente, selecione **Existente** e escolha o gateway que deseja usar. Certifique-se de que o gateway do cliente ofereça suporte ao roteamento BGP.
+ Para criar um gateway do cliente, escolha **New (Novo)**. Em **Endereço IP**, insira o endereço IP público estático do seu dispositivo de gateway do cliente. Para **BGP ASN**, insira o Número do Sistema Autônomo (ASN) do Border Gateway Protocol (BGP) para o gateway do cliente.
Se o gateway do cliente estiver atrás de um dispositivo de conversão de endereços de rede (NAT), que esteja habilitado para NAT traversal (NAT-T), use o endereço IP público do dispositivo NAT e ajuste as regras de firewall para desbloquear a porta UDP 4500.
1. Para **opções de roteamento**, **Dinâmico (requer BGP) é selecionado automaticamente**. O VPN Concentrator suporta somente roteamento dinâmico com BGP.
1. Para **armazenamento de chaves pré-compartilhadas**, selecione **Standard** ou **Secrets Manager**.
1. Para **largura de banda do túnel**, **Padrão** é selecionado automaticamente. O VPN Concentrator suporta apenas a largura de banda padrão do túnel.
1. Para **Túnel dentro da versão IP**, selecione **IPv4**ou **IPv6**.
1. (Opcional) Selecione **Ativar aceleração** para melhorar o desempenho dos túneis VPN.
1. (Opcional) Para **CIDR IPv4 de rede local**, forneça um intervalo de IPv4 CIDR.
1. (Opcional) Para **CIDR de IPv4 rede remota**, forneça um intervalo de IPv4 CIDR.
1. Para **Tipo de endereço IP externo**, você pode selecionar **Público IPv4** ou **IPv6**endereço.
1. (Opcional) Para **Opções de túnel**, você pode definir configurações de túnel, como endereços IP internos do túnel e chaves pré-compartilhadas. Para obter mais informações, consulte [Arquiteturas de Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html) no *Guia do AWS Site-to-Site VPN usuário*.
1. (Opcional) Para adicionar outras tags, escolha **Adicionar nova tag** e especifique a chave e o valor de cada tag.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
A conexão VPN aparece na lista de conexões VPN com o VPN Concentrator ID na coluna **Transit Gateway ID** e um estado inicial de **Pendente**. Quando a conexão VPN estiver pronta, o estado mudará para **Disponível**.
**Para criar uma conexão VPN em um concentrador de VPN usando o AWS CLI**
Use o [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)comando e especifique o ID do VPN Concentrator usando o `--vpn-concentrator-id` parâmetro.
# Exibir um anexo do VPN Concentrator no AWS Transit Gateway
**Para visualizar seus anexos do VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Na coluna **Tipo de recurso**, procure **VPN Concentrator**. Esses são os anexos do VPN Concentrator.
1. Escolha um anexo para visualizar seus detalhes.
**Para visualizar conexões VPN em um VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Na lista de conexões VPN, identifique as conexões que mostram um VPN Concentrator ID na coluna **Transit Gateway ID**. Essas são as conexões VPN hospedadas nos VPN Concentrators.
1. Escolha uma conexão VPN para ver seus detalhes.
**Para visualizar seus anexos do VPN Concentrator usando o AWS CLI**
Use o [describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html)comando para visualizar os detalhes do VPN Concentrator ou use o [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)comando com um filtro para o tipo de `vpn-concentrator` recurso.
**Para visualizar conexões VPN em um concentrador de VPN usando o AWS CLI**
Use o [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)comando com um filtro `vpn-concentrator-id` para visualizar as conexões VPN associadas a um concentrador específico.
# Excluir um anexo do VPN Concentrator no AWS Transit Gateway
**Pré-requisitos**
+ Todas as conexões VPN no VPN Concentrator devem ser excluídas antes que você possa excluir o anexo do Concentrator.
+ Certifique-se de ter atualizado suas configurações de roteamento para considerar a remoção do VPN Concentrator e suas conexões VPN associadas.
**Para excluir conexões VPN em um VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Identifique as conexões VPN associadas ao seu VPN Concentrator procurando o VPN Concentrator ID na coluna **Transit Gateway ID**.
1. Selecione uma conexão VPN que você deseja excluir.
1. Selecione **Ações**, **Excluir**.
1. Quando a confirmação for solicitada, escolha **Excluir**.
1. Repita as etapas 4 a 6 para cada conexão VPN associada ao VPN Concentrator.
**Para excluir um anexo do VPN Concentrator usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione o anexo do VPN Concentrator que você deseja excluir. Verifique se nenhuma conexão VPN está associada a esse concentrador.
1. Escolha **Ações**, **Excluir anexo**.
1. Quando a confirmação for solicitada, escolha **Excluir**.
O anexo do VPN Concentrator entra no estado de **exclusão** e será removido da sua conta. Esse processo pode levar alguns minutos para ser concluído.
**Para excluir conexões VPN em um concentrador de VPN usando o AWS CLI**
Use o [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)comando para cada conexão VPN associada ao VPN Concentrator.
**Para excluir um anexo do VPN Concentrator usando o AWS CLI**
Use o [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html)comando depois que todas as conexões VPN tiverem sido excluídas.
# Anexos do gateway de trânsito a um gateway do Direct Connect no AWS Transit Gateway
Anexe um gateway de trânsito a um gateway do Direct Connect usando uma interface virtual de trânsito. Essa configuração oferece os benefícios abaixo. É possível:
+ Gerenciar uma única conexão para várias VPCs ou VPNs que estão na mesma região.
+ Anunciar prefixos de on-premises para a AWS e da AWS para on-premises.
O diagrama a seguir ilustra como o gateway do Direct Connect permite criar uma única conexão com a conexão do Direct Connect que pode ser usada por todas as suas VPCs.
![\[Gateway do Direct Connect conectado ao gateway de trânsito\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/direct-connect-tgw.png)
A solução envolve os componentes abaixo:
+ Um gateway de trânsito
+ Gateway do Direct Connect
+ Uma associação entre o gateway do Direct Connect e o gateway de trânsito.
+ Uma interface virtual de trânsito que é anexada ao gateway do Direct Connect.
Para obter informações sobre como configurar gateways do Direct Connect com gateways de trânsito, consulte [Associações de gateway de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) no *Manual do usuário do AWS Direct Connect*.
# Anexos de emparelhamento de gateway de trânsito no AWS Transit Gateway
É possível emparelhar gateways de trânsito de dentro e for ada Região e direcionar o tráfego entre eles, incluindo tráfego de IPv4 e IPv6. Para fazer isso, crie um anexo de emparelhamento no seu gateway de trânsito e especifique um gateway de trânsito. O gateway de trânsito de par pode estar em sua conta ou em outra conta. Você também pode solicitar um anexo de emparelhamento de sua própria conta a um gateway de trânsito em outra conta.
Depois de criar uma solicitação de anexo de emparelhamento, o proprietário do gateway de trânsito de mesmo nível (também chamado de *gateway de trânsito do aceitante*) deve aceitar a solicitação. Para rotear o tráfego entre os gateways de trânsito, adicione uma rota estática à tabela de rotas do gateway de trânsito que aponte para o anexo de emparelhamento do gateway de trânsito.
Recomenda-se o uso de ASNs exclusivos para cada gateway de trânsito emparelhado, a fim de aproveitar as funcionalidades futuras de propagação de rotas.
O emparelhamento do gateway de trânsito não oferece suporte à resolução de nomes de host de DNS IPv4 públicos ou privados em endereços IPv4 privados em VPCs em ambos os lados do anexo de emparelhamento do transit gateway usando o Amazon Route 53 Resolver em outra região. Para obter mais informações sobre o Route 53 Resolver, consulte [O que é Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) no *Guia do desenvolvedor do Amazon Route 53*.
O emparelhamento de gateway entre regiões usa a mesma infraestrutura de rede que o emparelhamento da VPC. Portanto, o tráfego é criptografado usando criptografia AES-256 na camada de rede virtual à medida que viaja entre regiões. O tráfego também é criptografado usando criptografia AES-256 na camada física quando atravessa os links de rede que estão fora do controle físico da AWS. Como resultado, o tráfego é criptografado duas vezes em links de rede fora do controle físico da AWS. Dentro da mesma região, o tráfego é criptografado na camada física somente quando atravessa links de rede que estão fora do controle físico da AWS.
Para obter informações sobre quais regiões oferecem suporte a anexos de emparelhamento de gateway de trânsito, consulte [Perguntas frequentes sobre o AWS Transit Gateway](https://aws.amazon.com/transit-gateway/faqs/).
## Considerações sobre a adesão de regiões da AWS
É possível emparelhar gateways de trânsito através dos limites da região de adesão. Para obter mais informações sobre essas regiões e sobre como aderir, consulte [Managing AWS Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Leve o seguinte em consideração ao usar o emparelhamento de gateway de trânsito nestas regiões:
+ É possível emparelhar em uma região de adesão, desde que a conta que aceita o anexo de emparelhamento tenha aderido à essa região.
+ Independentemente do status de adesão da região, a AWS compartilha os seguintes dados de conta com a conta que aceita o anexo de emparelhamento:
+ Conta da AWSID do
+ ID de gateway de trânsito
+ Código da região
+ Quando o anexo do gateway de trânsito é excluído, os dados da conta acima também são excluídos.
+ Recomenda-se excluir o anexo de emparelhamento do gateway de trânsito antes de cancelar a adesão à região. Caso o anexo de emparelhamento não seja excluído, o tráfego poderá continuar a passar pelo anexo e as cobranças continuarão sendo recebidas. Se o anexo não for excluído, é possível aderir novamente e, em seguida, excluir o anexo.
+ Em geral, o gateway de trânsito tem um modelo de pagamento de remetente. Ao usar um anexo de emparelhamento de gateway de trânsito em um limite de opção, pode-se incorrer em cobranças em uma Região que aceita o anexo, incluindo as Regiões não aderidas. Para obter mais informações, consulte [Preços do AWS Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/).
**Topics**
+ [Considerações sobre a adesão de regiões da AWS](#opt-in-considerations)
+ [Criar um anexo de emparelhamento](tgw-peering-create.md)
+ [Aceitar ou rejeitar uma solicitação de emparelhamento](tgw-peering-accept-reject.md)
+ [Adicionar uma rota a uma tabela de rotas do gateway de trânsito](tgw-peering-add-route.md)
+ [Excluir um anexo de emparelhamento](tgw-peering-delete.md)
# Criar um anexo de emparelhamento no AWS Transit Gateway
Antes de começar, confirme o ID do gateway de trânsito a ser anexada. Se o gateway de trânsito estiver em outra Conta da AWS, confirme o ID da Conta da AWS do proprietário do gateway de trânsito. Após a criação do anexo de emparelhamento, o proprietário do gateway de trânsito aceitante deverá aceitar ou rejeitar a solicitação de anexo.
**Como criar um anexo de emparelhamento usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione **Criar anexo do gateway de trânsito**.
1. Em **ID do gateway de trânsito**, escolha o gateway de trânsito para o anexo. É possível escolher um gateway de trânsito que se possua. Os gateways de trânsito compartilhados não estão disponíveis para emparelhamento.
1. Em **Tipo de anexo**, selecione **Conexão de emparelhamento**.
1. Se desejar, insira uma tag de nome para o anexo.
1. Em **Conta**, siga um destes procedimentos:
+ Se o gateway de trânsito estiver em sua conta, selecione **Minha conta**.
+ Se o gateway de trânsito estiver em outra Conta da AWS, selecione **Outra conta**. Em **ID da conta**, insira o ID da Conta da AWS.
1. Em **Região**, selecione a região na qual o gateway de trânsito está localizado.
1. Em **Gateway de trânsito (aceitante)**, insira o ID do gateway de trânsito que deseja anexar.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
**Como criar um anexo de emparelhamento usando a AWS CLI**
Use o comando [create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html).
# Aceite ou rejeite uma solicitação de emparelhamento de anexo no AWS Transit Gateway
Quando criado, um anexo de emparelhamento de gateway de trânsito é criado automaticamente em um estado `pendingAcceptance` e permanece nesse estado indefinidamente até ser aceito ou rejeitado. Para ativar o anexo de emparelhamento, o proprietário do gateway de trânsito do aceitante deve aceitar a solicitação de anexo de emparelhamento, mesmo que os dois gateways de trânsito estejam na mesma conta. Aceite a solicitação de anexo de emparelhamento da região em que o gateway de trânsito do aceitante está localizado. Como alternativa, se você rejeitar o anexo de emparelhamento, deve rejeitar a solicitação da região em que o gateway de trânsito do aceitante está localizado.
**Como aceitar uma solicitação de anexo emparelhamento usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Selecione o anexo de emparelhamento do gateway de trânsito que está com a aceitação pendente.
1. Selecione**Ações**, **Aceitar anexo do gateway de trânsito**.
1. Adicione a rota estática à tabela de rotas do gateway de trânsito. Para obter mais informações, consulte [Criar uma rota estática no AWS Transit Gateway](tgw-create-static-route.md).
**Como rejeitar uma solicitação de anexo emparelhamento usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Selecione o anexo de emparelhamento do gateway de trânsito que está com a aceitação pendente.
1. Selecione**Ações**, **Rejeitar anexo do gateway de trânsito**.
**Como aceitar ou rejeitar um anexo de emparelhamento usando a AWS CLI**
Use os comandos [accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) e [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html).
# Adicionar uma rota a uma tabela de rotas do Transit Gateway usando o AWS Transit Gateway
Para rotear o tráfego entre os gateways de trânsito emparelhados, é necessário adicionar uma rota estática à tabela de rotas do gateway de trânsito que aponte para o anexo de emparelhamento do gateway de trânsito. O proprietário do gateway de trânsito aceitante também deve adicionar uma rota estática à tabela de rotas do gateway de trânsito.
**Como criar uma rota estática usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Route Tables (Tabelas de rotas do gateway de trânsito)**.
1. Selecione a tabela de rotas para a qual a rota será criada.
1. Selecione **Ações**, **Criar rota estática**.
1. Na página **Criar rota estática**, insira o bloco CIDR para o qual deseja criar a rota. Por exemplo, especifique o bloco CIDR de uma VPC anexada ao gateway de trânsito de mesmo nível.
1. Escolha o anexo de emparelhamento para a rota.
1. Selecione **Criar rota estática**.
**Para criar uma rota estática usando o AWS CLI**
Use o comando [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).
**Importante**
Depois de criar a rota, o anexo de emparelhamento do gateway de trânsito deve ser associado a tabela de rotas do gateway de trânsito. Para obter mais informações, consulte [Associar uma tabela de rotas do gateway de trânsito no AWS Transit Gateway](associate-tgw-route-table.md).
# Excluir um anexo de emparelhamento no AWS Transit Gateway
É possível excluir um anexo de emparelhamento do gateway de trânsito. O proprietário de qualquer um dos gateways de trânsito pode excluir o anexo.
**Como excluir um anexo de emparelhamento usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Selecione o anexo de emparelhamento do gateway de trânsito.
1. Selecione**Ações**, **Excluir anexo do gateway de trânsito**.
1. Insira **delete** e selecione **Excluir**.
**Como excluir um anexo de emparelhamento usando a AWS CLI**
Use o comando [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html).
# Conecte anexos e conecte pares no Transit Gateway AWS
É possível criar um *anexo do Transit Gateway Connect* para estabelecer uma conexão entre um gateway de trânsito e dispositivos virtuais de terceiros (como dispositivos SD-WAN) em execução na VPC. Um anexo do Connect é compatível com o protocolo de túnel do Generic Routing Encapsulation (GRE) para alta performance, e o Border Gateway Protocol (BGP) para o roteamento dinâmico. Depois de criar um anexo do Connect, é possível criar um ou mais túneis GRE (também conhecidos como *pares do Transit Gateway Connect*) nesse anexo para conectar o gateway de trânsito e o dispositivo de terceiros. Estabeleça duas sessões BGP sobre o túnel GRE para trocar informações de roteamento.
**Importante**
Um peer do Transit Gateway Connect consiste em duas sessões de emparelhamento do BGP que terminam na infraestrutura gerenciada. AWS As duas sessões de emparelhamento BGP fornecem redundância do ambiente de roteamento, garantindo que a perda de uma sessão de emparelhamento BGP não afete a operação de roteamento. As informações de roteamento recebidas de ambas as sessões de emparelhamento BGP são acumuladas para o par de Connect em questão. As duas sessões de emparelhamento BGP também protegem contra qualquer operação na infraestrutura da AWS , como manutenção de rotina, aplicação de patches, atualizações e substituições de hardware. Se seu peer Connect estiver operando sem a sessão de peering BGP dupla recomendada configurada para redundância, ele poderá sofrer uma perda momentânea de conectividade durante as operações de infraestrutura. AWS É altamente recomendável configurar ambas as sessões de emparelhamento BGP no par de Connect. Ao configurar vários pares de Connect para garantir alta disponibilidade no lado do equipamento, é recomendável configurar ambas as sessões de emparelhamento BGP em cada um dos pares de Connect.
Um anexo do Connect usa um anexo da VPC ou do Direct Connect já existente como mecanismo de transporte subjacente. Isto é chamado *anexo de transporte*. O gateway de trânsito identifica pacotes GRE combinados do dispositivo de terceiros como tráfego do anexo do Connect. Ele trata todos os outros pacotes, incluindo pacotes GRE com informação incorreta da origem ou do destino, como o tráfego do anexo do transporte.
**nota**
Para usar um anexo do Direct Connect como mecanismo de transporte, primeiro você precisará integrar o Direct Connect ao AWS Transit Gateway. Para ver as etapas para criar essa integração, consulte [Integrar dispositivos SD-WAN com o AWS Transit Gateway e. Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/)
## Pares do Connect
Um par do Connect (túnel GRE) consiste nos seguintes componentes.
**Blocos CIDR internos (endereços BGP)**
Os endereços IP internos que são usados para o peering BGP. Você deve especificar um bloco CIDR /29 do `169.254.0.0/16` intervalo para. IPv4 Opcionalmente, você pode especificar um bloco CIDR /125 do `fd00::/8` intervalo para. IPv6 Os blocos CIDR a seguir são reservados e não podem ser usados:
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
Você deve configurar o primeiro endereço do IPv4 intervalo no equipamento como o endereço IP do BGP. Ao usar IPv6, se o bloco CIDR interno for fd00: :/125, você deverá configurar o primeiro endereço nesse intervalo (fd00: :1) na interface de túnel do equipamento.
Os endereços BGP devem ser exclusivos em todos os túneis em um gateway de trânsito.
**Endereço IP do par**
O endereço IP de par (endereço IP externo GRE) no lado do dispositivo do par do Connect. Pode ser qualquer endereço IP. O endereço IP pode ser um IPv6 endereço IPv4 or, mas deve ser da mesma família de endereços IP do endereço do gateway de trânsito.
**Endereço do gateway de trânsito**
O endereço IP do par (endereço IP externo GRE) no lado do gateway de trânsito do par do Connect. O endereço IP deve ser especificado no bloco CIDR do gateway de trânsito e deve ser exclusivo nos anexos do Connect no gateway de trânsito. Se um endereço IP não for especificado, o primeiro endereço disponível do bloco CIDR do gateway de trânsito será utilizado.
Ao [criar](create-tgw.md) ou [modificar](tgw-modifying.md) um gateway de trânsito, é possível adicionar um bloco CIDR de gateway de trânsito.
O endereço IP pode ser um IPv6 endereço IPv4 or, mas deve ser da mesma família de endereços IP que o endereço IP do mesmo nível.
O endereço IP do par e o endereço do gateway de trânsito são usados para identificar exclusivamente o túnel GRE. É possível reutilizar um ou outro endereço através de vários túneis, mas não ambos no mesmo túnel.
O Transit Gateway Connect para emparelhamento BGP suporta somente BGP multiprotocolo (MP-BGP), em que o endereçamento Unicast é necessário para estabelecer também uma sessão BGP para IPv4 Unicast. IPv6 Você pode usar os dois IPv6 endereços IPv4 e para os endereços IP externos do GRE.
O exemplo a seguir mostra um anexo do Connect entre um gateway de trânsito e um dispositivo em uma VPC.
![\[Anexo do Connect do gateway de trânsito e par do Connect\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| Componente diagrama | Description |
| --- | --- |
| ![\[Mostra como os anexos da VPC são representados no diagrama de exemplo.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/VPC-attachment.png) | Anexo da VPC |
| ![\[Mostra como os anexos do Connect são representados no diagrama de exemplo.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/connect-attachment.png) | anexo do Connect |
| ![\[Mostra como os túneis do GRE são representados no diagrama de exemplo.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/GRE-tunnel.png) | Túnel GRE (par do Connect) |
| ![\[Mostra como as sessões de emparelhamento do BGP são representadas no diagrama de exemplo.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/bgp-peering.png) | Sessão de emparelhamento BGP |
No exemplo anterior, um anexo do Connect é criado em um anexo da VPC existente (o anexo de transporte). Um par do Connect é criado no anexo do Connect para estabelecer uma conexão com um dispositivo na VPC. O endereço de gateway de trânsito é `192.0.2.1`, e o intervalo de endereços BGP é `169.254.6.0/29`. O primeiro endereço IP no intervalo (`169.254.6.1`) é configurado no dispositivo como o endereço IP do par BGP.
A tabela de rotas de sub-rede para a VPC C tem uma rota que aponta o tráfego destinado ao bloco CIDR do gateway de trânsito para o gateway de trânsito.
| Destino | Destino |
| --- | --- |
| 172.31.0.0/16 | Local |
| 192.0.2.0/24 | tgw-id |
## Requisitos e considerações
Veja a seguir requisitos e considerações para o anexo do Connect.
+ Para obter informações sobre quais regiões oferecem suporte a anexos do Connect, consulte [Perguntas frequentes sobre os AWS Transit Gateways](https://aws.amazon.com/transit-gateway/faqs/).
+ O dispositivo de terceiros deve ser configurado para enviar e receber tráfego através de um túnel GRE de e para o gateway de trânsito usando o anexo do Connect.
+ O dispositivo de terceiros deve ser configurado para usar o BGP para atualizações de rotas dinâmicas e verificações de integridade.
+ Os seguintes tipos de BGP são compatíveis:
+ O BGP exterior (eBGP): usado para conexão com os roteadores que estão em um sistema autônomo diferente do gateway de trânsito. Se você usar o eBGP, deverá configurar o ebgp-multihop com um valor time-to-live (TTL) de 2.
+ BGP interno (iBGP): usado para conexão com os roteadores que estão no mesmo sistema autônomo que o gateway de trânsito. O gateway de trânsito não instalará rotas de um peer iBGP (dispositivo de terceiros), a menos que as rotas sejam originadas de um peer eBGP e devam ter sido configuradas. next-hop-self As rotas anunciadas pelo dispositivo de terceiros sobre o emparelhamento do iBGP devem ter um ASN.
+ MP-BGP (extensões multiprotocolo para BGP): usado para oferecer suporte a vários tipos de protocolos, como famílias de endereços. IPv4 IPv6
+ O tempo limite padrão do keep-alive do BGP é de 10 segundos e o temporizador de espera padrão é de 30 segundos.
+ IPv6 O emparelhamento BGP não é suportado; somente o emparelhamento BGP IPv4 baseado é suportado. IPv6 prefixos são trocados pelo peering BGP usando IPv4 MP-BGP.
+ Não há suporte para Detecção de encaminhamento bidirecional (BFD).
+ Não há suporte para reinício normal do BGP.
+ Ao criar um par de gateway de trânsito, se um número ASN de par não for especificado, será atribuído um número ASN do gateway de trânsito. Isso significa que o dispositivo e o gateway de trânsito estarão no mesmo sistema autônomo executando iBGP.
+ Quando houver dois pares do Connect, a rota preferencial será um par do Connect usando o atributo BGP AS-PATH.
Para usar o roteamento vários caminhos de mesmo custo (ECMP) entre dispositivos múltiplos, é necessário configurar o dispositivo para anunciar os mesmos prefixos ao gateway de trânsito com o mesmo atributo BGP AS-PATH. Para que o gateway de trânsito escolha todos os caminhos ECMP disponíveis, o AS-PATH deve corresponder ao Número de sistema autônomo (ASN). O gateway de trânsito pode usar o ECMP entre pares do Connect para o mesmo anexo do Connect ou entre anexos dele no mesmo gateway de trânsito. O transit gateway não pode usar o ECMP entre os dois pares redundantes do BGP que um único par estabelece a ele.
+ Com um anexo do Connect, as rotas são propagadas para uma tabela de rotas de gateway de trânsito por padrão.
+ Não há compatibilidade com rotas estáticas.
+ Configure a MTU do túnel GRE para ser menor que a MTU da interface externa subtraindo a sobrecarga do cabeçalho GRE (24 bytes) e do cabeçalho IP externo (20 bytes). Por exemplo, se a MTU da interface externa for de 1500 bytes, defina a MTU do túnel GRE para 1456 bytes (1500 - 24 - 20 = 1456) para evitar a fragmentação do pacote.
**Topics**
+ [Pares do Connect](#tgw-connect-peer)
+ [Requisitos e considerações](#tgw-connect-requirements)
+ [Criar um anexo do Connect](create-tgw-connect-attachment.md)
+ [Criar um par do Connect](create-tgw-connect-peer.md)
+ [Visualizar anexos e pares do Connect](view-tgw-connect-attachments.md)
+ [Modificar o anexo do Connect e as tags de pares do Connect](modify-connect-attachment-tag.md)
+ [Excluir um par do Connect](delete-tgw-connect-peer.md)
+ [Excluir um anexo Connect](delete-tgw-connect-attachment.md)
# Criar um anexo do Connect no AWS Transit Gateway
Para criar um anexo do Connect, é necessário especificar um anexo já existente como anexo de transporte. É possível especificar um anexo da VPC ou um anexo do Direct Connect como o anexo de transporte.
**Como criar um anexo do Connect usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
1. (Opcional) Em **Tag de nome**, especifique uma tag de nome para o anexo.
1. Em **ID do gateway de trânsito**, escolha o gateway de trânsito para o anexo.
1. Em **Tipo do anexo**, selecione **Connect**.
1. Em **ID do anexo de transporte**, escolha o ID de um anexo existente (o anexo de transporte).
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
**Como criar um anexo do Connect usando a AWS CLI**
Use o comando [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html).
# Criar um par do Connect no AWS Transit Gateway
É possível criar um par do Connect (túnel GRE) para um anexo do Connect existente. Antes de começar, certifique-se de ter configurado um bloco CIDR de gateway de trânsito. Pode-se configurar um bloco CIDR de gateway de trânsito ao [criar](create-tgw.md) ou [modificar](tgw-modifying.md) um gateway de trânsito.
Ao criar o par do Connect, é necessário especificar o endereço IP externo GRE no lado do dispositivo do par do Connect.
**Como criar um par do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha o anexo do Connect, e selecione **Ações**, **Criar um par do Connect**.
1. (Opcional) Em **Tag de nome**, especifique uma tag de nome para o par do Connect.
1. (Opcional) Em **Endereço GRE do gateway de trânsito**, especifique o endereço IP externo de GRE para o gateway de trânsito. Por padrão, o primeiro endereço disponível do bloco CIDR do gateway de trânsito é usado.
1. Em **Endereço de GRE do par**, especifique o endereço IP externo GRE para o lado do dispositivo do par do Connect.
1. Em **BGP em blocos CIDR IPv4**, especifique o intervalo de endereços IPv4 internos que são usados para o emparelhamento BGP. Especifique um bloco CIDR /29 no intervalo `169.254.0.0/16`.
1. (Opcional) Em **BGP em blocos CIDR IPv6**, especifique o intervalo de endereços IPv6 internos que são usados para o emparelhamento BGP. Especifique um bloco CIDR /125 no intervalo `fd00::/8`.
1. (Opcional) Em **ASN do par**, especifique o número de sistema autônomo (ASN) do Protocolo de Gateway da Borda (BGP) para o dispositivo. É possível usar um ASN já existente e atribuído para a rede. Se não possuir um, é possível usar um ASN privado no intervalo de 64512–65534 (ASN de 16 bits) ou 4200000000–4294967294 (ASN de 32 bits).
O padrão é o mesmo ASN que o gateway de trânsito. Se o **ASN do par** for configurado de maneira diferente do ASN de gateway de trânsito (eBGP), configure o ebgp-multihop com um TTL de 2.
1. Selecione **Criar par do Connect**.
**Como criar um par do Connect usando a AWS CLI**
Use o comando [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html).
# Visualize anexos do Connect e pares do Connect no Transit Gateway AWS
Visualize os anexos e os pares do Connect.
**Como visualizar anexos e pares do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione o anexo do Connect.
1. Para visualizar os pares do Connect para o anexo, selecione a guia **Pares do Connect**.
**Para visualizar seus anexos do Connect e seus pares do Connect usando o AWS CLI**
Use os comandos [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html)e [describe-transit-gateway-connect-peers.](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html)
# Modifique o anexo Connect e as tags Connect peer no AWS Transit Gateway
É possível modificar as tags do anexo do Connect.
**Como modificar as tags do anexo do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha o anexo do Connect e selecione **Ações**, **Gerenciar tags**.
1. Para adicionar uma etiqueta, selecione **Add new tag** (Adicionar nova etiqueta) e especifique o nome e o valor da chave.
1. Para remover uma tag, selecione **Remover**.
1. Escolha **Salvar**.
É possível modificar as tags do par do Connect.
**Para modificar as tags do par do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments**.
1. Escolha o anexo do Connect e, em seguida, selecione **Pares do Connect**.
1. Escolha o par do Connect e selecione **Ações**, **Gerenciar tags**.
1. Para adicionar uma etiqueta, selecione **Add new tag** (Adicionar nova etiqueta) e especifique o nome e o valor da chave.
1. Para remover uma tag, selecione **Remover**.
1. Escolha **Salvar**.
**Para modificar o anexo do Connect e as tags de peer do Connect usando o AWS CLI**
Use os comandos [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) e [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html).
# Excluir um par do Connect no AWS Transit Gateway
É possível excluir um par do Connect, caso ele não seja mais necessário.
**Para excluir um par do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione o anexo do Connect.
1. Na aba **Pares do Connect **, selecione o par do Connect e, em seguida, **Ações**, **Excluir par do Connect**.
**Para excluir um par do Connect usando a AWS CLI**
Use o comando [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html).
# Excluir um anexo do Connect no AWS Transit Gateway
É possível excluir um anexo do Connect, caso ele não seja mais necessário. Primeiro, você deve excluir todos os pares do Connect para o anexo.
**Como excluir um anexo do Connect usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Anexos do gateway de trânsito**.
1. Selecione o anexo do Connect e então, **Ações**, **Excluir anexo do gateway de trânsito**.
1. Insira **delete** e selecione **Excluir**.
**Como excluir um anexo do Connect usando a AWS CLI**
Use o comando [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html).
# Tabelas de rotas do Transit Gateway no AWS Transit Gateway
Use tabelas de rotas de gateway de trânsito para configurar o roteamento para os anexos de gateway de trânsito. Uma tabela de rotas é uma tabela que contém regras que direcionam como seu tráfego de rede é roteado entre você VPCs e. VPNs Cada rota na tabela contém o intervalo de endereços IP para os destinos para os quais deseja-se enviar tráfego.
As tabelas de rotas do gateway de trânsito permitem a associação de uma tabela a um anexo do gateway de trânsito. Todos os anexos VPC, VPN, VPN Concentrator, Direct Connect Gateway, Peering e Connect são compatíveis. Quando associadas, as rotas desses anexos são propagadas do anexo para a tabela de rotas do gateway de trânsito de destino. Um anexo pode ser propagado para várias tabelas de rotas.
Além disso, é possível criar e gerenciar rotas estáticas com uma tabela de rotas. Por exemplo, pode-se usar uma rota estática como rota de backup no caso de uma interrupção na rede que afete qualquer rota dinâmica.
**Topics**
+ [Criar uma tabela de rotas do gateway de trânsito](create-tgw-route-table.md)
+ [Visualizar tabelas de rotas do gateway de trânsito](view-tgw-route-tables.md)
+ [Associar uma tabela de rotas do gateway de trânsito](associate-tgw-route-table.md)
+ [Desassociar uma tabela de rotas do gateway de trânsito](disassociate-tgw-route-table.md)
+ [Habilitar a propagação de rotas](enable-tgw-route-propagation.md)
+ [Desabilitar a propagação de rotas](disable-tgw-route-propagation.md)
+ [Criar uma rota estática](tgw-create-static-route.md)
+ [Excluir uma rota estática](tgw-delete-static-route.md)
+ [Substituir uma rota estática](tgw-replace-static-route.md)
+ [Exportar tabelas de rotas para o Amazon S3](tgw-export-route-tables.md)
+ [Excluir uma tabela de rotas do gateway de trânsito](delete-tgw-route-table.md)
+ [Criar uma referência de lista de prefixos](create-prefix-list-reference.md)
+ [Modificar uma referência da lista de prefixos](modify-prefix-list-reference.md)
+ [Excluir uma referência da lista de prefixos](delete-prefix-list-reference.md)
# Criar uma tabela de rotas de gateway de trânsito no AWS Transit Gateway
**Como criar uma tabela de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Tabelas de rotas do gateway de trânsito**.
1. Escolha **Create transit gateway route table** (Criar tabela de roteamento do gateway de trânsito).
1. (Opcional) Em **Tag de nome**, digite um nome para a tabela de rotas do gateway de trânsito. Essa ação cria uma tag com a chave "Nome", e o valor da tag é o nome que você especificou.
1. Em **ID do gateway de trânsito**, selecione o gateway de trânsito para a tabela de rotas.
1. Selecione **Criar tabela de rotas do gateway de trânsito**.
**Como criar uma tabela de rotas de gateway de trânsito usando a AWS CLI**
Use o comando [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html).
# Exibir tabelas de rotas do Transit Gateway usando o AWS Transit Gateway
**Como visualizar as tabelas de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Tabelas de rotas do gateway de trânsito**.
1. (Opcional) Para encontrar uma tabela ou um conjunto de tabelas de rotas específico, digite o nome completo ou parte dele, palavra-chave ou atributo no campo do filtro.
1. Marque a caixa de seleção de uma tabela de rotas ou escolha sua ID para exibir informações sobre suas associações, propagações, rotas e tags.
**Para visualizar as tabelas de rotas do gateway de trânsito usando o AWS CLI**
Use o comando [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html).
**Para visualizar as rotas de uma tabela de rotas do Transit Gateway usando o AWS CLI**
Use o comando [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html).
**Para visualizar as propagações de rotas para uma tabela de rotas do Transit Gateway usando o AWS CLI**
Use o comando [get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html).
**Para visualizar as associações de uma tabela de rotas de gateway de trânsito usando o AWS CLI**
Use o comando [get-transit-gateway-route-table-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html).
# Associar uma tabela de rotas do gateway de trânsito no AWS Transit Gateway
É possível associar uma tabela de rotas do gateway de trânsito a um anexo de gateway de trânsito.
**Como associar uma tabela de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas.
1. Na parte inferior da página, selecione a guia **Associações**.
1. Selecione **Criar associação**.
1. Escolha o anexo para associar e selecione **Criar associação**.
**Como associar uma tabela de rotas do gateway de trânsito usando a AWS CLI**
Use o comando [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html).
# Excluir uma associação para uma tabela de rotas do Transit Gateway no AWS Transit Gateway
É possível desassociar uma tabela de rotas do gateway de trânsito de um anexo do gateway de trânsito.
**Como desassociar uma tabela de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas.
1. Na parte inferior da página, selecione a guia **Associações**.
1. Escolha o anexo para desassociar e selecione **Excluir associação**.
1. Quando a confirmação for solicitada, selecione **Excluir associação**.
**Para desassociar uma tabela de rotas do Transit Gateway usando o AWS CLI**
Use o comando [disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html).
# Habilitar a propagação de rotas para uma tabela de rotas do Transit Gateway no AWS Transit Gateway
Use a propagação de rotas para adicionar uma rota de um anexo a uma tabela de rotas.
**Como propagar uma rota para uma tabela de rotas de anexo de gateway de trânsito**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Tabelas de rotas do gateway de trânsito**.
1. Escolha a tabela de rotas para a qual você criará a propagação.
1. Selecione **Ações**, **Criar propagação**.
1. Na página **Criar propagação**, escolha o anexo.
1. Selecione **Criar propagação**.
**Para habilitar a propagação de rotas usando o AWS CLI**
Use o comando [enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html).
# Desabilitar a propagação de rotas no AWS Transit Gateway
Remova uma rota propagada de um anexo da tabela de roteamento.
**Como desativar a propagação de rotas usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Route Tables (Tabelas de rotas do gateway de trânsito)**.
1. Selecione a tabela de rotas da qual você excluirá a propagação.
1. Na parte inferior da página. selecione a guia **Propagações**.
1. Selecione o anexo, e então, **Excluir propagação**.
1. Quando a confirmação for solicitada, selecione **Excluir propagação**.
**Como desabilitar a propagação de rotas usando a AWS CLI**
Use o comando [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html).
# Criar uma rota estática no AWS Transit Gateway
É possível criar uma rota estática para uma VPC, para uma VPN ou para um anexo de emparelhamento de gateway de trânsito ou criar uma rota blackhole que descarta o tráfego correspondente à rota.
As rotas estáticas em uma tabela de rotas do gateway de trânsito para um anexo da VPN não são filtradas pela VPN de local a local. Isso pode permitir que o tráfego de saída flua de maneira não intencional ao usar uma VPN baseada em BGP.
**Como criar uma rota estática usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas para a qual a rota será criada.
1. Selecione **Ações**, **Criar rota estática**.
1. Na página **Criar rota estática**, insira o bloco CIDR para o qual deseja criar a rota e escolha **Ativa**.
1. Escolha o anexo para a rota.
1. Escolha **Create static route** (Criar rota estática).
**Como criar uma rota blackhole usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas para a qual a rota será criada.
1. Escolha **Actions** (Ações), **Create static route** (Criar rota estática).
1. Na página **Criar rota estática**, insira o bloco CIDR para o qual deseja criar a rota e escolha **Blackhole**.
1. Escolha **Create static route** (Criar rota estática).
**Para criar uma rota estática ou blackhole usando a AWS CLI**
Use o comando [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).
# Excluir uma rota estática no AWS Transit Gateway
Exclua rotas estáticas de uma tabela de rotas do gateway de trânsito.
**Como excluir uma rota estática usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Route Tables (Tabelas de rotas do gateway de trânsito)**.
1. Escolha a tabela de rotas da qual excluirá a rota e selecione **Rotas**.
1. Escolha a rota e ser excluída.
1. Selecione **Excluir rota estática**.
1. Na caixa de diálogo de confirmação, selecione **Excluir rota estática**.
**Como excluir uma rota estática usando a AWS CLI**
Use o comando [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html).
# Substituir uma rota estática no AWS Transit Gateway
Substitua uma rota estática em uma tabela de rotas do gateway de trânsito por outra rota estática.
**Como substituir uma rota estática usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Tabelas de rotas do gateway de trânsito**.
1. Escolha a rota que você deseja substituir na tabela de rotas.
1. Na seção de detalhes, selecione a guia **Rotas**.
1. Selecione **Ações**, **Substituir rota estática**.
1. Em **Tipo**, escolha **Ativo** ou **Blackhole**.
1. No menu suspenso **Selecionar anexo**, escolha o gateway de trânsito que substituirá o atual na tabela de rotas.
1. Selecione **Substituir rota estática**.
**Como substituir uma rota estática usando a AWS CLI**
Use o comando [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html).
# Exportar tabelas de rotas para o Amazon S3 no AWS Transit Gateway
É possível exportar as rotas nas tabelas de rotas do gateway de trânsito para um bucket do Amazon S3. As rotas são salvas no bucket do Amazon S3 especificado em um arquivo JSON.
**Como exportar tabelas de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Route Tables (Tabelas de rotas do gateway de trânsito)**.
1. Escolha a tabela e roteamento que inclui as rotas para exportar
1. Selecione **Ações**, **Exportar rotas**.
1. Na página **Exportar rotas**, em **nome do bucket do S3**, digite o nome do bucket S3.
1. Para filtrar as rotas exportadas, especifique os parâmetros de filtro na seção **Filtros** da página.
1. Selecione **Exportar rotas**.
Para acessar as rotas exportadas, abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) e navegue até o bucket especificado. O nome do arquivo inclui o ID da Conta da AWS, a região da AWS, o ID da tabela de rotas e um carimbo de data/hora. Escolha o arquivo e selecione **Download**. Veja a seguir um exemplo de um arquivo JSON que contém informações sobre duas rotas propagadas para anexos da VPC.
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# Excluir uma tabela de rotas de gateway de trânsito no AWS Transit Gateway
**Como excluir uma tabela de rotas do gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Route Tables (Tabelas de rotas do gateway de trânsito)**.
1. Selecione a tabela de rotas a ser excluída.
1. Selecione **Ações**, **Excluir tabela de rotas do gateway de trânsito**.
1. Para confirmar a exclusão, digite **delete** e escolha **Delete** (Excluir).
**Para excluir uma tabela de rotas do gateway de trânsito usando a AWS CLI**
Use o comando [delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html).
# Criar uma referência de lista de prefixos de tabela de rotas no AWS Transit Gateway
É possível fazer referência a uma lista de prefixos na tabela de rotas do gateway de trânsito. Uma lista de prefixos é um conjunto de uma ou mais entradas de bloco CIDR que pode ser definida e gerenciada. É possível usar uma lista de prefixos para simplificar o gerenciamento dos endereços IP referenciados nos recursos para rotear o tráfego de rede. Por exemplo, caso os mesmos CIDRs de destino sejam especificados frequentemente em várias tabelas de rotas de gateway de trânsito, é possível gerenciar esses CIDRs em uma única lista de prefixos, em vez de referenciar repetidamente os mesmos CIDRs em cada tabela de rotas. Caso seja necessário remover um bloco CIDR de destino, pode-se remover a entrada da lista de prefixos em vez de remover a rota de cada tabela de rotas afetada.
Ao criar uma referência de lista de prefixos na tabela de rotas do gateway de trânsito, cada entrada na lista de prefixos é representada como uma rota na tabela de rotas do gateway de trânsito.
Para obter mais informações sobre listas de prefixos, consulte [Listas de prefixos](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) no *Guia do usuário da Amazon VPC*.
**Como criar uma referência de lista de prefixos usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Escolha a tabela de rotas do gateway de trânsito.
1. Selecione **Ações**, **Criar referência da lista de prefixos**.
1. Em **ID da lista de prefixos**, selecione o ID da lista de prefixos.
1. Em **Tipo**, escolha se o tráfego para essa lista de prefixos deve ser permitido (**Ativo**) ou desconectado (**Blackhole**).
1. Em **ID do anexo do gateway de trânsito**, selecione o ID do anexo para o qual deseja rotear o tráfego.
1. Selecione **Criar referência da lista de prefixos**.
**Para criar uma referência da lista de prefixos usando a AWS CLI**
Use o comando [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html).
# Modificar uma referência da lista de prefixos no AWS Transit Gateway
É possível modificar uma referência da lista de prefixos alterando o anexo para o qual o tráfego é roteado ou indicando se o tráfego correspondente à rota deve ser descartado.
Não é possível modificar as rotas individuais de uma lista de prefixos na guia **Rotas**. Para modificar as entradas na lista de prefixos, use a tela **Listas de prefixos gerenciadas**. Para obter mais informações, consulte [Modificar uma lista de prefixos](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list) no *Guia do usuário da Amazon VPC*.
**Como modificar uma referência da lista de prefixos usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Selecione a tabela de rotas do gateway de trânsito.
1. No painel inferior, selecione **Referências de lista de prefixos**.
1. Escolha a referência da lista de prefixos e selecione **Modificar referências**.
1. Em **Tipo**, escolha se o tráfego para essa lista de prefixos deve ser permitido (**Activo** ) ou desconectado (**Blackhole**).
1. Em **ID do anexo do gateway de trânsito**, selecione o ID do anexo para o qual deseja rotear o tráfego.
1. Selecione **Modificar referência da lista de prefixos**.
**Como modificar uma referência da lista de prefixos usando a AWS CLI**
Use o comando [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html).
# Excluir uma referência da lista de prefixos no AWS Transit Gateway
Caso uma referência da lista de prefixos não seja mais necessária, é possível excluí-la da tabela de rotas do gateway de trânsito. Excluir a referência não exclui a lista de prefixos.
**Como excluir uma referência da lista de prefixos usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de rotas do gateway de trânsito**.
1. Escolha a tabela de rotas do gateway de trânsito.
1. Escolha a referência da lista de prefixos e selecione **Excluir referências**.
1. Selecione **Excluir referências**.
**Como modificar uma referência da lista de prefixos usando a AWS CLI**
Use o comando [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html).
# Tabelas de política de gateway de trânsito no AWS Transit Gateway
O roteamento dinâmico de gateways de trânsito usa tabelas de políticas para rotear o tráfego de rede para o AWS Cloud WAN. A tabela contém regras de política para comparar o tráfego de rede com os atributos da política e, em seguida, mapear o tráfego que corresponde à regra para uma tabela de rotas de destino.
É possível usar o roteamento dinâmico em gateways de trânsito para a troca automática informações de roteamento e acessibilidade com tipos de gateway de trânsito emparelhados. Ao contrário do que acontece com uma rota estática, o tráfego pode ser roteado por um caminho diferente com base nas condições da rede, como falhas de caminho ou congestionamento. O roteamento dinâmico também adiciona mais uma camada de segurança, pois é mais fácil redirecionar o tráfego no caso de uma violação ou invasão de rede.
**nota**
No momento, as tabelas de políticas de gateway de trânsito só são compatíveis com o Cloud WAN ao criar uma conexão de emparelhamento de gateway de trânsito. Ao criar uma conexão de emparelhamento, pode-se associar essa tabela à conexão. Em seguida, a associação preenche a tabela automaticamente com as regras de política.
Para obter mais informações sobre emparelhamento de conexões no Cloud WAN, consulte [Emparelhamentos](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html) no *Guia do usuário do AWS Cloud WAN*.
**Topics**
+ [Criar uma tabela de políticas de gateway de trânsito](tgw-policy-tables-create.md)
+ [Excluir uma tabela de políticas de gateway de trânsito](tgw-policy-tables-disable.md)
# Crie uma tabela de políticas do Transit Gateway no AWS Transit Gateway
**Como criar uma tabela de políticas de gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabela de políticas de gateway de trânsito**.
1. Selecione **Criar tabela de políticas de gateway de trânsito**.
1. (Opcional) Em **Tag de nome**, insira um nome para a política de gateway de trânsito. Isso cria uma tag cujo valor é o nome especificado.
1. Em ID do gateway de trânsito, selecione o gateway de trânsito para a tabela de políticas.
1. Escolha **Create transit gateway route table** (Criar tabela de políticas de gateway de trânsito).
**Para criar uma tabela de políticas de gateway de trânsito usando o AWS CLI**
Use o comando [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html).
# Excluir uma tabela de políticas do Transit Gateway no AWS Transit Gateway
Exclua uma tabela de políticas de gateway de trânsito. Quando uma tabela é excluída, todas as regras de políticas incluídas nessa tabela são excluídas.
**Como excluir uma tabela de políticas de gateway de trânsito usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Tabelas de políticas de gateway de trânsito**.
1. Escolha a tabela de políticas de gateway de trânsito a ser excluída.
1. Selecione **Ações** e, em seguida, **Excluir tabela de políticas**.
1. Confirme a exclusão da tabela.
**Para excluir uma tabela de políticas de gateway de trânsito usando o AWS CLI**
Use o comando [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html).
# Multicast no AWS Transit Gateway
Multicast é um protocolo de comunicação usado para fornecer um único streaming de dados para vários computadores de recebimento simultaneamente. O Transit Gateway é compatível com o roteamento de tráfego multicast entre sub-redes de VPCs anexadas e serve como um roteador multicast para instâncias que enviam tráfego destinado a várias instâncias de recebimento.
**Topics**
+ [Conceitos de multicast](#concepts)
+ [Considerações](#limits)
+ [Roteamento multicast](#how-multicast-works)
+ [Domínios de multicast](multicast-domains-about.md)
+ [Domínios de multicast compartilhados](multicast-share-domain.md)
+ [Registrar origens com um grupo de multicast](add-source-multicast-group.md)
+ [Registrar membros com um grupo de multicast](add-members-multicast-group.md)
+ [Cancelar o registro de origens de um grupo de multicast](remove-source-multicast-group.md)
+ [Cancelar o registro de membros de um grupo de multicast](remove-members-multicast-group.md)
+ [Visualizar os grupos multicast](view-multicast-group.md)
+ [Configurar multicast para Windows Server](multicastwin.md)
+ [Exemplo: Gerenciar configurações IGMP](multicast-configurations-igmp.md)
+ [Exemplo: Gerenciar configurações de origem estáticas](multicast-configurations-no-igmp.md)
+ [Exemplo: Gerenciar configurações de membros de grupo estático](multicast-configurations-no-igmp-source.md)
## Conceitos de multicast
Veja a seguir os principais conceitos de multicast:
+ **Domínio multicast**: permite a segmentação de uma rede multicast em diferentes domínios e faz com que o gateway de trânsito atue como vários roteadores multicast. A associação do domínio multicast é definida no nível da sub-rede.
+ **Grupo multicast**: identifica um grupo de anfitriões que enviarão e receberão o mesmo tráfego multicast. Um grupo de multicast é identificado por um endereço IP do grupo. A associação a grupos multicast é definida por interfaces de rede elástica individuais anexadas às instâncias do EC2.
+ **Protocolo de gerenciamento de grupo da internet (IGMP)**: um protocolo de Internet que permite que anfitriões e roteadores gerenciem dinamicamente a associação de grupo multicast. Um domínio multicast IGMP contém hosts que usam o protocolo IGMP para ingressar, sair e enviar mensagens. A AWS oferece suporte tanto ao protocolo IGMPv2 e a domínios multicast de associação de grupo IGMP como ao estático (baseado em API).
+ **Origem multicast**: uma interface de rede elástica associada a uma instância do EC2 compatível que está configurada estaticamente para enviar tráfego multicast. Uma origem multicast aplica-se somente às configurações de origem estática.
Um domínio multicast de origem estática contém hosts que não usam o protocolo IGMP para unir, sair e enviar mensagens. Use a AWS CLI para adicionar uma origem e membros do grupo. A origem estaticamente adicionada envia o tráfego multicast e os membros recebem esse tráfego.
+ **Membro do grupo de multicast**: uma interface de rede elástica associada a uma instância do EC2 compatível que recebe tráfego de multicast. Um grupo de multicast tem vários membros. Em uma configuração de associação de grupo de origem estática, os membros do grupo multicast podem somente receber o tráfego. Em uma configuração de grupo IGMP, os membros podem enviar e receber tráfego.
## Considerações
+ O multicast do Transit Gateway pode não ser adequado para transações de alta frequência ou aplicativos sensíveis ao desempenho. Recomendamos veementemente que você reveja as [cotas de multicast](transit-gateway-quotas.md#multicast-quotas) para verificar os limites. Entre em contato com sua equipe de conta ou de Solution Architect para obter uma análise detalhada de seus requisitos de desempenho.
+ Para obter informações sobre regiões compatíveis, consulte Perguntas frequentes sobre o [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/faqs/).
+ É necessário criar um gateway de trânsito para ser compatível com o multicast.
+ A associação ao grupo de multicast é gerenciada usando o Amazon Virtual Private Cloud Console ou a AWS CLI ou IGMP.
+ Uma sub-rede só pode estar em um domínio multicast.
+ Se uma instância que não é do Nitro for usada, será necessário desativar a caixa de seleção **Origem/Destino**. Para obter informações sobre como desabilitar a caixa de seleção, consulte [Alterar a verificação da origem ou do destino](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check) no *Guia do usuário do Amazon EC2*.
+ Uma instância que não é do Nitro não pode ser um remetente multicast.
+ O roteamento multicast não é compatível com o Direct Connect, a VPN Site-to-Site, os anexos de emparelhamento ou anexos do Connect de gateway de trânsito.
+ Um gateway de trânsito não é compatível com a fragmentação de pacotes de multicast. Pacotes multicast fragmentados são descartados. Para obter mais informações, consulte [Unidade de transmissão máxima (MTU)](transit-gateway-quotas.md#mtu-quotas).
+ Na inicialização, um host IGMP envia mensagens JOIN IGMP múltiplas para se juntar a um grupo multicast (tipicamente 2 a 3 novas tentativas). No caso improvável que todas as mensagens JOIN IGMP se percam, o host não será parte do grupo multicast do gateway de trânsito. Em tal cenário, será necessário reacionar a mensagem JOIN IGMP do host usando métodos específicos da aplicação.
+ Uma associação ao grupo começa com o recebimento da mensagem JOIN IGMPv2 pelo transit gateway e termina com o recebimento da mensagem LEAVE IGMPv2. O gateway de trânsito mantém o controle dos hosts que se uniram com sucesso ao grupo. Como um roteador multicast em nuvem, o transit gateway emite uma mensagem QUERY IGMPv2 para todos os membros a cada dois minutos. Cada membro envia uma mensagem JOIN IGMPv2 em resposta, que é como os membros renovam sua associação. Se um membro não responder a três consultas consecutivas, o transit gateway removerá essa associação de todos os grupos associados. No entanto, ele continua enviando consultas a esse membro por 12 horas antes de remover permanentemente o membro de sua lista a ser consultada. Uma mensagem LEAVE IGMPv2 explícita remove imediatamente e permanentemente o host de qualquer processamento multicast adicional.
+ O gateway de trânsito mantém o controle dos hosts que se uniram com sucesso ao grupo. No caso de uma interrupção do transit gateway, o transit gateway continua enviando dados multicast ao host por sete minutos (420 segundos) após a última mensagem IGMP JOIN bem sucedida. O gateway de trânsito continua a enviar consultas de associação ao host por até 12 horas ou até receber uma mensagem LEAVE IGMP do host.
+ O gateway de trânsito envia pacotes de consulta de associação a todos os membros IGMP de modo que possa seguir a associação do grupo multicast. O IP de origem desses pacotes de consulta IGMP é 0.0.0.0/32. O IP de destino é 224.0.0.1/32 e o protocolo é 2. A configuração de grupo de segurança nos hosts IGMP (instâncias) e qualquer configuração de ACLs nas sub-redes de host devem permitir essas mensagens de protocolo IGMP.
+ Quando a origem e o destino multicast estão na mesma VPC, não é possível usar a referência do grupo de segurança para definir o grupo de segurança de destino para aceitar o tráfego do grupo de segurança de origem.
+ Para grupos e fontes de multicast estáticos, o AWS Transit Gateway remove automaticamente grupos e fontes estáticos de ENIs que não existem mais. Isso é feito assumindo-se periodicamente a [função vinculada ao serviço do Transit Gateway](service-linked-roles.md#tgw-service-linked-roles) para descrever ENIs na conta.
+ Somente o multicast estático oferece suporte a IPv6. O multicast dinâmico não.
## Roteamento multicast
Ao permitir o multicast em um gateway de trânsito, este atua como um roteador de multicast. Ao adicionar uma sub-rede a um domínio multicast, todo o tráfego multicast é enviado para o gateway de trânsito que está associado a esse domínio multicast.
### Network ACLs
As regras de ACL da rede operam no nível da sub-rede. Elas se aplicam ao tráfego multicast, porque os gateways de trânsito residem fora da sub-rede. Para obter mais informações, consulte [ACLs da rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon VPC*
Para tráfego multicast de Internet Group Management Protocol (IGMP), é necessário ter no mínimo as regras de entrada a seguir. O host remoto é aquele que envia o tráfego multicast.
| Type | Protocolo | Origem | Descrição |
| --- | --- | --- | --- |
| Protocolo personalizado | IGMP (2) | 0.0.0.0/32 | Consulta IGMP |
| Protocolo UDP personalizado | UDP | Endereço IP do host remoto | Tráfego multicast de entrada |
A seguir estão as regras mínimas de saída para IGMP.
| Tipo | Protocolo | Destino | Descrição |
| --- | --- | --- | --- |
| Protocolo personalizado | IGMP (2) | 224.0.0.2/32 | IGMP sai |
| Protocolo personalizado | IGMP (2) | Endereço IP do grupo de multicast | IGMP entra |
| Protocolo UDP personalizado | UDP | Endereço IP do grupo de multicast | Tráfego multicast de saída |
### Grupos de segurança
As regras do grupo de segurança operam no nível da instância. Elas podem ser aplicadas ao tráfego multicast de entrada e de saída. O comportamento é o mesmo do tráfego de unicast. Para todas as instâncias membro do grupo, é necessário permitir o tráfego de entrada da origem do grupo. Para obter mais informações, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) no *Manual do usuário da Amazon VPC*.
É necessário ter no mínimo as regras de entrada a seguir para o tráfego multicast do IGMP. O host remoto é aquele que envia o tráfego multicast. Não é possível especificar um grupo de segurança como a origem da regra de entrada UDP.
| Tipo | Protocolo | Origem | Descrição |
| --- | --- | --- | --- |
| Protocolo personalizado | 2 | 0.0.0.0/32 | Consulta IGMP |
| Protocolo UDP personalizado | UDP | Endereço IP do host remoto | Tráfego multicast de entrada |
É necessário estabelecer ao menos as regras de saída para o tráfego multicast do IGMP.
| Type | Protocolo | Destino | Descrição |
| --- | --- | --- | --- |
| Protocolo personalizado | 2 | 224.0.0.2/32 | IGMP sai |
| Protocolo personalizado | 2 | Endereço IP do grupo de multicast | IGMP entra |
| Protocolo UDP personalizado | UDP | Endereço IP do grupo de multicast | Tráfego multicast de saída |
# Domínios de multicast no AWS Transit Gateway
Um domínio de multicast permite a segmentação de uma rede multicast em diferentes domínios. Para começar a usar a multicast com um gateway de trânsito, crie um domínio de multicast e associe sub-redes ao domínio.
## Atributos do domínio de multicast
A tabela a seguir detalha os atributos do domínio de multicast. Você não pode habilitar ambos os atributos ao mesmo tempo.
| Atributo | Descrição |
| --- | --- |
| Igmpv2Support (AWS CLI) **Compatibilidade com IGMPv2** (console) | Esse atributo determina como os membros do grupo se unem ou saem de um grupo de multicast. Quando esse atributo estiver desabilitado, é necessário adicionar manualmente os membros do grupo ao domínio. Habilite esse atributo quando pelo menos um membro usar o protocolo IGMP. Os membros se juntam ao grupo e multicast de uma das seguintes maneiras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/multicast-domains-about.html) Ao registrar membros do grupo multicast, também é necessário cancelar o registro deles. O gateway de trânsito ignora uma mensagem IGMP `LEAVE` enviada por um membro do grupo adicionado manualmente. |
| StaticSourcesSupport (AWS CLI) **Compatibilidade com fontes estáticas** (console) | Esse atributo determina se há origens multicast estáticas para o grupo. Quando esse atributo é habilitado, é necessário adicionar fontes para um domínio de multicast usando [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html). Somente origens multicast podem enviar tráfego multicast. Quando esse atributo é desabilitado, não há fontes multicast designadas. Todas as instâncias que estão nas sub-redes associadas ao domínio de multicast podem enviar tráfego multicast, e os membros do grupo recebem esse tráfego. |
# Crie um domínio multicast IGMP no AWS Transit Gateway
Revise os atributos de domínio de multicast disponíveis, caso isso ainda não tenha sido feito. Para obter mais informações, consulte [Domínios de multicast no AWS Transit Gateway](multicast-domains-about.md).
**Como criar um domínio de multicast do IGMP usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Escolha **Create transit gateway multicast domain** (Criar domínio de multicast do gateway de trânsito).
1. Em **Tag de nome**, insira um nome para o domínio.
1. Em **Transit gateway ID** (ID do gateway de trânsito), selecione o gateway de trânsito que processa o tráfego multicast.
1. Para obter **IGMPv2 suporte**, marque a caixa de seleção.
1. Em **Compatibilidade com fontes estáticas**, desmarque a caixa de seleção.
1. Para aceitar automaticamente associações de sub-rede entre contas para este domínio multicast, selecione **Aceitar automaticamente associações compartilhadas**.
1. Escolha **Create transit gateway multicast domain** (Criar domínio de multicast do gateway de trânsito).
**Para criar um domínio multicast IGMP usando o AWS CLI**
Use o comando [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# Criar um domínio de multicast de origem estática no AWS Transit Gateway
Revise os atributos de domínio de multicast disponíveis, caso isso ainda não tenha sido feito. Para obter mais informações, consulte [Domínios de multicast no AWS Transit Gateway](multicast-domains-about.md).
**Como criar um domínio de multicast estático usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Multicast do gateway de trânsito**.
1. Escolha **Create transit gateway multicast domain** (Criar domínio de multicast do gateway de trânsito).
1. Em **Tag de nome**, insira um nome para identificar o domínio.
1. Em **Transit gateway ID** (ID do gateway de trânsito), selecione o gateway de trânsito que processa o tráfego multicast.
1. Em **Compatibilidade com IGMPv2**, desmarque a caixa de seleção.
1. Em **Compatibilidade com fontes estáticas**, marque a caixa de seleção.
1. Para aceitar automaticamente associações de sub-rede entre contas para este domínio multicast, selecione **Aceitar automaticamente associações compartilhadas**.
1. Escolha **Create transit gateway multicast domain** (Criar domínio de multicast do gateway de trânsito).
**Como criar um domínio de multicast estático usando a AWS CLI**
Use o comando [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# Associando anexos e sub-redes VPC a um domínio multicast no Transit Gateway AWS
Use o procedimento a seguir para associar um anexo da VPC a um domínio de multicast. Ao criar uma associação, você pode selecionar as sub-redes para incluir o domínio de multicast.
Antes de começar, é necessário criar um anexo da VPC no gateway de trânsito. Para obter mais informações, consulte [Anexos da Amazon VPC no Transit Gateway AWS](tgw-vpc-attachments.md).
**Como associar anexos da VPC a um domínio de multicast usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio de multicast e depois **Ações**, **Criar associação**.
1. Em **Selecione o anexo para associar**, escolha o anexo do gateway de trânsito.
1. Em **Selecione sub-redes para associar**, escolha as sub-redes nas quais deseja incluir o domínio de multicast.
1. Selecione **Criar associação**.
**Para associar anexos de VPC a um domínio multicast usando o AWS CLI**
Use o comando [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html).
# Desassociar sub-redes de um domínio de multicast no AWS Transit Gateway
Use o procedimento a seguir para desassociar sub-redes de um domínio de multicast.
**Como desassociar sub-redes usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Selecione a guia **Associações**.
1. Escolha a sub-rede e selecione **Ações**, **Excluir associação**.
**Como desassociar sub-redes usando a AWS CLI**
Use o comando [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html).
# Exibir associações de domínio multicast no AWS Transit Gateway
É possível visualizar os domínios de multicast para verificar se estão disponíveis e se eles contêm as sub-redes e anexos apropriados.
**Como visualizar um domínio de multicast usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Selecione a guia **Associações**.
**Para visualizar um domínio multicast usando o AWS CLI**
Use o comando [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html).
# Adicione tags a um domínio de multicast do gateway do AWS Transit Gateway
Adicione tags aos recursos para ajudar a organizá-los e identificá-los, por exemplo, por finalidade, proprietário ou ambiente. É possível adicionar várias tags a cada domínio de multicast. As chaves de tag devem ser exclusivas para cada domínio de multicast. Uma tag com uma chave que já está associada ao domínio de multicast for adicionada, o valor dessa tag será atualizado. Para obter mais informações, consulte [Marcar recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Como adicionar tags a um domínio de multicast usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Selecione **Ações**, **Gerenciar tags**.
1. Para cada tag, selecione **Adicionar nova tag** e insira uma **Chave** e um **Valor** para a tag.
1. Escolha **Salvar**.
**Como adicionar tags a um domínio de multicast usando a AWS CLI**
Use o comando [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html).
# Excluir um domínio de multicast no AWS Transit Gateway
Use o procedimento a seguir para excluir um domínio de multicast.
**Para excluir um domínio de multicast usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Multicast (Multicast do gateway de trânsito)**.
1. Selecione o domínio de multicast e, em seguida, **Ações**, **Excluir domínio de multicast**.
1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.
**Para excluir um domínio de multicast usando a AWS CLI**
Use o comando [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html).
# Domínios multicast compartilhados no AWS Transit Gateway
Com o compartilhamento de domínio de multicast, os proprietários de domínio de multicast podem compartilhar o domínio com outras contas da AWS dentro da organização ou entre organizações no AWS Organizations. O proprietário do domínio de multicast, pode criar e gerenciar esse domínio de forma centralizada. Uma vez compartilhado, esses usuários podem executar as seguintes operações sobre um domínio de multicast compartilhado:
+ Registrar e cancelar o registro de membros do grupo ou origens de grupo no domínio multicast
+ Associar uma sub-rede ao domínio multicast e desassociar sub-redes desse domínio
Um proprietário de domínio de multicast pode compartilhar um domínio de multicast com:
+ AWS contas dentro de sua organização ou entre organizações em AWS Organizations
+ Uma unidade organizacional dentro de sua organização em AWS Organizations
+ Toda a sua organização em AWS Organizations
+ AWS contas externas de AWS Organizations.
Para compartilhar um domínio multicast com uma AWS conta fora da sua organização, você deve criar um compartilhamento de recursos usando e AWS Resource Access Manager, em seguida, escolher **Permitir compartilhamento com qualquer pessoa** ao selecionar os principais com os quais compartilhar o domínio multicast. Para obter mais informações sobre como criar um compartilhamento de recursos, consulte [Como criar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *Guia do usuário do AWS RAM *.
**Topics**
+ [Pré-requisitos para compartilhar um domínio de multicast](#sharing-prereqs)
+ [Serviços relacionados](#sharing-related)
+ [Permissões do domínio de multicast compartilhado](#sharing-perms)
+ [Faturamento e medição](#sharing-billing)
+ [Cotas](#sharing-quotas)
+ [Compartilhamento de recursos entre zonas de disponibilidade](sharing-azs.md)
+ [Compartilhar um domínio de multicast](sharing-share.md)
+ [Cancelar o compartilhamento de um domínio de multicast compartilhado](sharing-unshare.md)
+ [Identificar um domínio de multicast compartilhado](sharing-identify.md)
## Pré-requisitos para compartilhar um domínio de multicast
+ Para compartilhar um domínio multicast, você deve possuí-lo em sua AWS conta. Não é possível compartilhar um domínio de multicast que tenha sido compartilhado com você.
+ Para compartilhar um domínio multicast com sua organização ou uma unidade organizacional em AWS Organizations, você deve habilitar o compartilhamento com AWS Organizations. Para obter mais informações, consulte [Habilitar o compartilhamento com o AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) no *Guia do usuário do AWS RAM *.
## Serviços relacionados
O compartilhamento de domínio multicast se integra com AWS Resource Access Manager ()AWS RAM. AWS RAM é um serviço que permite que você compartilhe seus AWS recursos com qualquer AWS conta ou por meio de AWS Organizations. Com o AWS RAM, pode-se compartilhar recursos possuídos criando um *compartilhamento de recursos*. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os usuários com os quais compartilhá-los. Os consumidores podem ser AWS contas individuais, unidades organizacionais ou uma organização inteira em AWS Organizations.
Para obter mais informações sobre AWS RAM, consulte o *[Guia AWS RAM do usuário](https://docs.aws.amazon.com/ram/latest/userguide/)*.
## Permissões do domínio de multicast compartilhado
### Permissões para proprietários
Os proprietários são responsáveis por gerenciar o domínio de multicast, assim como os membros e anexos que eles registram ou associam ao domínio. Os proprietários podem alterar ou revogar o acesso compartilhado a qualquer momento. Eles podem usar AWS Organizations para visualizar, modificar e excluir recursos que os consumidores criam em domínios multicast compartilhados.
### Permissões para clientes
Os clientes podem executar as seguintes operações em domínios de multicast compartilhados da mesma maneira que fariam em domínios de multicast criados por eles:
+ Registrar e cancelar o registro de membros do grupo ou origens de grupo no domínio multicast
+ Associar uma sub-rede ao domínio multicast e desassociar sub-redes desse domínio
Os clientes são responsáveis por gerenciar os recursos que criados por eles no domínio de multicast compartilhado.
Os clientes não podem visualizar ou modificar recursos pertencentes a outros clientes ou a outro proprietário do domínio de multicast e não podem modificar domínios de multicast compartilhados com eles.
## Faturamento e medição
Proprietários e clientes não recebem cobranças adicionais para compartilhar domínios de multicast.
## Cotas
Um domínio de multicast compartilhado conta para as cotas de domínio de multicast do proprietário e do usuário compartilhado.
# Compartilhe recursos entre zonas de disponibilidade no AWS Transit Gateway
Para garantir que os recursos sejam distribuídos pelas zonas de disponibilidade de uma região, o AWS Transit Gateway mapeia de forma independente as zonas de disponibilidade s para os nomes de cada conta. Isso pode resultar em diferenças na nomenclatura de zonas de disponibilidade entre contas. Por exemplo, a zona de disponibilidade da `us-east-1a` sua AWS conta pode não ter a mesma localização `us-east-1a` de outra AWS conta.
Para identificar o local dos domínios de multicast relativos às suas contas, use o *ID da Zona de Disponibilidade* (AZ ID). O ID AZ é um identificador exclusivo e consistente para uma zona de disponibilidade em todas as AWS contas. Por exemplo, `use1-az1` é uma ID AZ para a `us-east-1` região e está no mesmo local em todas as AWS contas.
**Para visualizar o AZ IDs das zonas de disponibilidade em sua conta**
1. Abra o AWS RAM console em [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home).
1. As AZ IDs da região atual são exibidas no painel **Sua ID de AZ** no lado direito da tela.
# Compartilhe um domínio multicast no AWS Transit Gateway
Quando um proprietário compartilha um domínio de multicast com você, as seguintes ações são possíveis:
+ Registrar e cancelar o registro de membros do grupo ou origens do grupo
+ Associar e desassociar sub-redes
**nota**
Para compartilhar um domínio de multicast, você deve adicioná-lo a um compartilhamento de recursos. Um compartilhamento de recursos é um AWS RAM recurso que permite que você compartilhe seus recursos entre AWS contas. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os clientes com os quais compartilhá-los. Ao compartilhar um domínio multicast usando o Amazon Virtual Private Cloud Console, você o adiciona a um compartilhamento de recursos existente. Para adicionar o domínio de multicast a um novo compartilhamento de recursos, primeiro crie o compartilhamento de recursos usando o [console do AWS RAM](https://console.aws.amazon.com/ram).
Se você faz parte de uma organização AWS Organizations e o compartilhamento dentro de sua organização está habilitado, os consumidores em sua organização recebem automaticamente acesso ao domínio multicast compartilhado. Caso contrário, os clientes receberão um convite para integrar o compartilhamento de recursos e recebem acesso ao domínio de multicast depois de aceitar o convite.
Você pode compartilhar um domínio multicast de sua propriedade usando o Amazon Virtual Private Cloud console, o AWS RAM console ou o. AWS CLI
**Como compartilhar um domínio de multicast que você possui usando a \$1Amazon Virtual Private Cloud Console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Domínios de multicast**.
1. Escolha o domínio de multicast e, em seguida, **Ações**, **Excluir domínio de multicast**.
1. Selecione seu compartilhamento de recurso e escolha **Compartilhar domínio de multicast**.
**Para compartilhar um domínio multicast que você possui usando o console AWS RAM**
Consulte [Criar um compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) no *Manual do usuário do AWS RAM *.
**Para compartilhar um domínio multicast que você possui usando o AWS CLI**
Use o comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
# Cancelar o compartilhamento de um domínio multicast compartilhado no AWS Transit Gateway
Quando o compartilhamento de um domínio de multicast compartilhado é cancelado, acontece o seguinte com os recursos do domínio de multicast do cliente:
+ As sub-redes do cliente são desassociadas do domínio de multicast. As sub-redes permanecem na conta do cliente.
+ Os membros do grupo e os origens do grupo de clientes são desassociados do domínio de multicast e, em seguida, excluídos da conta de cliente.
Para cancelar o compartilhamento de um domínio de multicast, você deve removê-lo do compartilhamento de recursos. Você pode fazer isso no AWS RAM console ou no AWS CLI.
Para cancelar o compartilhamento de um domínio de multicast que você possui, é preciso removê-lo do compartilhamento de recursos. Você pode fazer isso usando o Amazon Virtual Private Cloud, AWS RAM console ou AWS CLI o.
**Para cancelar o compartilhamento de um domínio de multicast compartilhado que você possui usando o \$1Amazon Virtual Private Cloud Console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Domínios de multicast**.
1. Escolha seu domínio de multicast e, em seguida, **Ações**, **Encerrar compartilhamento**.
**Para cancelar o compartilhamento de um domínio multicast compartilhado que você possui usando o console AWS RAM**
Consulte [Atualização de um compartilhamento de atributos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) no *Guia do usuário do AWS RAM *.
**Para cancelar o compartilhamento de um domínio multicast compartilhado que você possui usando o AWS CLI**
Use o comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
# Identifique um domínio multicast compartilhado no AWS Transit Gateway
Proprietários e consumidores podem identificar domínios multicast compartilhados usando o e Amazon Virtual Private Cloud AWS CLI
**Como identificar um domínio de multicast compartilhado usando o \$1Amazon Virtual Private Cloud Console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Domínios de multicast**.
1. Selecione seu domínio de multicast.
1. Na página **Detalhes do Domínio Multicast de Trânsito**, visualize a **ID do Proprietário** para identificar a ID da AWS conta do domínio multicast.
**Para identificar um domínio multicast compartilhado usando o AWS CLI**
Use o comando [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html). O comando retorna os domínios multicast que você possui e os domínios multicast que são compartilhados com você. `OwnerId`mostra o ID da AWS conta do proprietário do domínio multicast.
# Registre fontes com um grupo multicast no AWS Transit Gateway
**nota**
Esse procedimento só é necessário quando o atributo **suporte para origens estáticas** for definido como **habilitar**.
Use o procedimento a seguir para registrar fontes com um grupo de multicast. A origem é a interface de rede que envia um tráfego de multicast.
Antes de adicionar uma fonte, são necessárias as informações a seguir:
+ ID do domínio de multicast
+ As IDs interfaces de rede das fontes
+ Endereço IP do grupo de multicast
**Como registrar as fontes usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio de multicast e, em seguida, **Ações**, **Adicionar fontes do grupo**.
1. Em **Endereço IP do grupo**, insira o bloco IPv4 CIDR ou o bloco IPv6 CIDR a ser atribuído ao domínio multicast.
1. Em **Selecionar interfaces de rede**, selecione as interfaces da rede dos remetentes multicast.
1. Selecione **Adicionar origens**.
**Para registrar fontes usando o AWS CLI**
Use o comando [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html).
# Registre membros com um grupo multicast no AWS Transit Gateway
Use o procedimento a seguir para registrar membros do grupo com um grupo de multicast.
Antes de adicionar membros, são necessárias as informações a seguir:
+ ID do domínio multicast
+ As IDs interfaces de rede dos membros do grupo
+ Endereço IP do grupo de multicast
**Como registrar membros usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast e, em seguida, **Ações**, **Adicionar membros do grupo**.
1. Em **Endereço IP do grupo**, insira o bloco IPv4 CIDR ou o bloco IPv6 CIDR a ser atribuído ao domínio multicast.
1. Em **Selecionar interfaces de rede**, selecione as interfaces de rede dos receptores de multicast.
1. Selecione **Adicionar membros**.
**Para registrar membros usando o AWS CLI**
Use o comando [register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html).
# Cancelar fontes de um grupo de multicast no AWS Transit Gateway
Não é necessário seguir este procedimento a menos que seja adicionada uma origem ao grupo multicast manualmente.
**Como remover uma origem usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Selecione a guia **Grupos**.
1. Escolha as origens e escolha **Remover origem**.
**Como remover uma origem usando a AWS CLI**
Use o comando [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html).
# Cancele o registro de membros de um grupo multicast no Transit Gateway AWS
Não é necessário seguir este procedimento, a menos que tenha adicionado manualmente um membro ao grupo de multicast.
**Como cancelar o registro de membros usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Escolha a guia **Grupos**.
1. Selecione os membros e escolha **Remover membro**.
**Para cancelar o registro de membros usando o AWS CLI**
Use o comando [deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html).
# Exibir grupos multicast no AWS Transit Gateway
Você pode visualizar informações sobre seus grupos multicast para verificar se os membros foram descobertos usando o IGMPv2 protocolo. O **tipo de membro** (no console) ou `MemberType` (no AWS CLI) exibe IGMP quando são AWS descobertos membros com o protocolo.
**Como visualizar grupos de multicast usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Multicast do gateway de trânsito**.
1. Selecione o domínio multicast.
1. Selecione a guia **Grupos**.
**Para visualizar grupos multicast usando o AWS CLI**
Use o comando [search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html).
O exemplo a seguir mostra que o protocolo IGMP descobriu membros do grupo multicast.
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# Configurar multicast para Windows Server no AWS Transit Gateway
São necessárias etapas adicionais ao configurar o multicast para funcionar com gateways de trânsito no Windows Server 2019 ou 2022. Para esta configuração, é necessário usar o PowerShell e executar os seguintes comandos:
**Como configurar o multicast para Windows Server usando o PowerShell**
1. Altere o Windows Server para usar IGMPv2 em vez de IGMPv3 para a pilha TCP/IP:
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**nota**
`New-ItemProperty` é um índice de propriedades que especifica a versão IGMP. Como o IGMP v2 é a versão compatível com multicast, a propriedade `Value` deve ser `3`. Em vez de editar o registro do Windows, o comando a seguir pode ser executado para definir a versão IGMP para 2.:
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. O Firewall do Windows elimina a maior parte do tráfego UDP por padrão. Primeiro, é necessário verificar qual perfil de conexão está sendo usado para o multicast:
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. Atualize o perfil de conexão da etapa anterior para permitir o acesso às portas UDP necessárias:
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. Reinicialize a instância do EC2.
1. Teste sua aplicação multicast para garantir que o tráfego esteja fluindo conforme o esperado.
# Exemplo: Gerenciar configurações IGMP usando AWS o Transit Gateway
Quando há pelo menos um host que usa o protocolo IGMP para tráfego multicast, a AWS cria automaticamente o grupo multicast quando recebe uma mensagem IGMP `JOIN` de uma instância e, em seguida, adiciona a instância como membro nesse grupo. Você também pode adicionar estaticamente hosts não IGMP como membros de um grupo usando o. AWS CLI Todas as instâncias que estão nas sub-redes associadas ao domínio de multicast podem enviar tráfego, e os membros do grupo recebem o tráfego multicast.
Siga as etapas a seguir para concluir essa configuração:
1. Crie uma VPC. Para obter mais informações, consulte [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) no *Guia do usuário da Amazon VPC*.
1. Crie uma sub-rede na VPC. Para obter mais informações, consulte [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) no *Guia do usuário da Amazon VPC*.
1. Crie um gateway de trânsito configurado para o tráfego multicast. Para obter mais informações, consulte [Crie um gateway de trânsito no AWS Transit Gateway](create-tgw.md).
1. Crie um anexo da VPC Para obter mais informações, consulte [Criar um anexo de VPC no AWS Transit Gateway](create-vpc-attachment.md).
1. Crie um domínio de multicast configurado para ser compatível com IGMP. Para obter mais informações, consulte [Crie um domínio multicast IGMP no AWS Transit Gateway](create-tgw-igmp-domain.md).
Use as seguintes configurações:
+ Ative o **IGMPv2 suporte**.
+ Desabilite **Compatibilidade com fontes estáticas**.
1. Crie uma associação entre sub-redes no anexo VPC do gateway de trânsito e no domínio multicast. Para obter mais informações, consulte [Associando anexos e sub-redes VPC a um domínio multicast no Transit Gateway AWS](associate-attachment-to-domain.md).
1. A versão padrão do IGMP para o EC2 é. IGMPv3 Você precisa mudar a versão para todos os membros do grupo IGMP. Você pode executar o seguinte comando:
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. Adicione os membros que não usam o protocolo IGMP ao grupo multicast. Para obter mais informações, consulte [Registre membros com um grupo multicast no AWS Transit Gateway](add-members-multicast-group.md).
# Exemplo: Gerenciar configurações de origem estática no AWS Transit Gateway
Este exemplo adiciona estaticamente origens multicast a um grupo. Os hosts não usam o protocolo IGMP para se juntar ou sair de grupos multicast. Você precisa adicionar estaticamente os membros do grupo que recebem o tráfego multicast.
Siga as etapas a seguir para concluir essa configuração:
1. Crie uma VPC. Para obter mais informações, consulte [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) no *Guia do usuário da Amazon VPC*.
1. Crie uma sub-rede na VPC. Para obter mais informações, consulte [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) no *Guia do usuário da Amazon VPC*.
1. Crie um gateway de trânsito configurado para o tráfego multicast. Para obter mais informações, consulte [Crie um gateway de trânsito no AWS Transit Gateway](create-tgw.md).
1. Crie um anexo da VPC Para obter mais informações, consulte [Criar um anexo de VPC no AWS Transit Gateway](create-vpc-attachment.md).
1. Crie um domínio de multicast configurado para não ser compatível com IGMP e para ser compatível com a adição de origens estaticamente. Para obter mais informações, consulte [Criar um domínio de multicast de origem estática no AWS Transit Gateway](create-tgw-domain.md).
Use as seguintes configurações:
+ Desative **IGMPv2 o suporte**.
+ Para adicionar fontes manualmente, habilite a **Compatibilidade com fontes estáticas**.
As fontes são os únicos recursos que podem enviar o tráfego multicast quando o atributo está habilitado. Caso contrário, todas as instâncias que estão nas sub-redes associadas ao domínio de multicast podem enviar tráfego multicast, e os membros do grupo recebem esse tráfego.
1. Crie uma associação entre sub-redes no anexo VPC do gateway de trânsito e no domínio multicast. Para mais informações, consulte [Associando anexos e sub-redes VPC a um domínio multicast no Transit Gateway AWS](associate-attachment-to-domain.md).
1. Se habilitar **Compatibilidade com fontes estáticas**, adicione a fonte ao grupo multicast. Para obter mais informações, consulte [Registre fontes com um grupo multicast no AWS Transit Gateway](add-source-multicast-group.md).
1. Adicione os membros ao grupo multicast. Para obter mais informações, consulte [Registre membros com um grupo multicast no AWS Transit Gateway](add-members-multicast-group.md).
# Exemplo: Gerenciar configurações estáticas de membros do grupo no AWS Transit Gateway
Este exemplo mostra adicionar estaticamente membros multicast a um grupo. Os hosts não podem usar o protocolo IGMP para se unir ou deixar grupos multicast. Todas as instâncias que estão nas sub-redes associadas ao domínio multicast podem enviar tráfego multicast, e os membros do grupo recebem esse tráfego.
Siga as etapas a seguir para concluir essa configuração:
1. Crie uma VPC. Para obter mais informações, consulte [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) no *Guia do usuário da Amazon VPC*.
1. Crie uma sub-rede na VPC. Para obter mais informações, consulte [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) no *Guia do usuário da Amazon VPC*.
1. Crie um gateway de trânsito configurado para o tráfego multicast. Para obter mais informações, consulte [Crie um gateway de trânsito no AWS Transit Gateway](create-tgw.md).
1. Crie um anexo da VPC Para obter mais informações, consulte [Criar um anexo de VPC no AWS Transit Gateway](create-vpc-attachment.md).
1. Crie um domínio de multicast configurado para não ser compatível com IGMP e para ser compatível com a adição de origens estaticamente. Para obter mais informações, consulte [Criar um domínio de multicast de origem estática no AWS Transit Gateway](create-tgw-domain.md).
Use as seguintes configurações:
+ Desative **IGMPv2 o suporte**.
+ Desabilite **Compatibilidade com fontes estáticas**.
1. Crie uma associação entre sub-redes no anexo VPC do gateway de trânsito e no domínio multicast. Para obter mais informações, consulte [Associando anexos e sub-redes VPC a um domínio multicast no Transit Gateway AWS](associate-attachment-to-domain.md).
1. Adicione os membros ao grupo multicast. Para obter mais informações, consulte [Registre membros com um grupo multicast no AWS Transit Gateway](add-members-multicast-group.md).
# Alocação flexível de custos
Por padrão, o Transit Gateway usa um modelo de alocação de custos baseado no remetente, no qual as cobranças de processamento de dados são alocadas à conta proprietária do anexo de origem. Você pode criar políticas de medição personalizadas que definam quais contas devem ser cobradas com base nas propriedades do fluxo de tráfego, como tipos de anexos IDs, anexos específicos ou endereços de rede.
As políticas de medição consistem em regras ordenadas que são avaliadas do menor para o maior número de regras. Quando o tráfego corresponde a uma regra, a conta especificada é cobrada de acordo com a configuração da regra. Você pode especificar o responsável pela conta para alocar custos a partir das seguintes opções:
+ **Proprietário do anexo de origem** - As cobranças são alocadas à conta proprietária do anexo de origem (comportamento padrão)
+ **Proprietário do anexo de destino** - As cobranças são alocadas à conta proprietária do anexo de destino
+ **Proprietário do Transit Gateway** - As cobranças são alocadas à conta proprietária do Transit Gateway
A alocação flexível de custos permite um melhor gerenciamento de custos para organizações que usam arquiteturas de rede centralizadas, permitindo que os custos sejam alocados às unidades de negócios ou proprietários de aplicativos apropriados, independentemente da topologia da rede.
**nota**
A alocação flexível de custos permite a alocação flexível do uso da medição e, por sua vez, dos custos para os proprietários de contas de sua escolha. No entanto, as implicações fiscais para as AWS contas podem variar significativamente com base na localização geográfica, nos padrões de uso e em outros fatores. Analise as implicações de cobrança, impostos e gerenciamento de custos para contas em sua AWS organização antes de ativar esse recurso. Referência: [O que é AWS Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)?
## Políticas de medição
As políticas de medição permitem que você configure regras de alocação de custos para seu gateway de trânsito para controlar quais contas são cobradas pelo processamento de dados e custos de transferência com base nas propriedades do fluxo de tráfego. Esse recurso permite um melhor gerenciamento de custos e recursos de cobrança retroativa para organizações que usam arquiteturas de rede centralizadas.
Uma política de medição é composta pelo seguinte:
+ **Política de medição** - O contêiner de configuração geral que contém as regras da política de medição. Quando criado, ele contém uma única entrada de política de medição padrão que é configurada para cobrar todo o tráfego do proprietário do anexo de origem. Cada gateway de trânsito pode ter somente uma política de medição.
+ **Entrada da política de medição** - regras individuais dentro de uma política de medição que definem critérios de correspondência específicos e a conta para medir o uso. Cada entrada inclui um número de regra para a ordem de avaliação, condições de correspondência de tráfego (como tipos de anexo de origem e destino IDs, anexo, blocos CIDR, portas e protocolos) e qual proprietário da conta cobrar pelo tráfego correspondente. Uma política pode conter até 50 entradas, avaliadas em ordem do menor para o maior número de regras.
Você pode alocar o uso da medição para qualquer um dos seguintes:
+ **Proprietário do anexo de origem**: aloca o uso da medição para a conta proprietária do anexo de origem do tráfego (comportamento padrão)
+ **Proprietário do anexo de destino**: aloca o uso da medição para a conta proprietária do anexo em que o tráfego termina e
+ **proprietário do gateway de trânsito**: aloca o uso da medição para a conta proprietária do gateway de trânsito.
+ Anexos do **Middlebox - (opcional) anexos** de gateway de trânsito designados que roteiam o tráfego por meio de dispositivos de rede para inspeção de segurança, balanceamento de carga ou outras funções de rede. O uso de dados para o tráfego que atravessa os anexos do middlebox é medido ao proprietário da conta especificado na política de medição. Você pode especificar no máximo 10 anexos de caixa intermediária. Os tipos de anexo de middlebox compatíveis são anexos de Função de AWS Rede (Firewall de Rede), VPC e VPN.
### Como as políticas de medição funcionam
Por padrão, o Transit Gateway usa um modelo de alocação de custos baseado no remetente, no qual as cobranças de processamento de dados são calculadas para a conta proprietária do anexo de origem. Com as políticas de medição, você pode criar regras personalizadas para medir com flexibilidade o uso com base nas seguintes propriedades do fluxo de tráfego:
+ Tipos de anexo de origem e destino (VPC, VPN, Direct Connect Gateway, Peering, Network Function e VPN Concentrator)
+ Anexo de origem e destino IDs
+ Endereços IP de origem e destino, intervalos de portas e protocolos
As políticas de medição consistem em regras ordenadas que são avaliadas do menor para o maior número de regras. Quando o tráfego corresponde a uma regra, a conta especificada é cobrada de acordo com a configuração da conta medida da regra. As políticas de medição abordam vários cenários organizacionais comuns:
+ **Alocação de custos do ambiente híbrido**: aloque os custos AWS da entrada de dados do local por meio do Direct Connect Gateway para o proprietário da conta VPC de destino, em vez do proprietário da conta de administrador de TI central.
+ **Arquitetura de inspeção centralizada**: aloque custos para proprietários individuais de aplicativos ou contas de VPC, em vez da equipe de segurança central, para tráfego atravessado por meio de inspeção. VPCs
+ **Estorno baseado em aplicativos**: aloque todos os custos de uso de dados de uma carga de trabalho para o proprietário da VPC, independentemente da direção do tráfego.
+ **Alocação de custos do cliente**: aloque os custos de dados às contas dos clientes quando eles criam anexos ao seu gateway de transporte público.
### Anexos Middlebox
As políticas de medição do Transit Gateway oferecem suporte aos anexos do Middlebox, permitindo que você aloque com flexibilidade as taxas de processamento de dados para o tráfego de rede roteado por meio de dispositivos middlebox, como firewalls de rede e balanceadores de carga. Exemplos de anexos de middlebox são anexos de Função de Rede ao AWS Firewall de Rede ou anexos de VPC que roteiam o tráfego para dispositivos de segurança de terceiros em uma VPC. O tráfego entre os anexos do gateway de trânsito de origem e destino passa por esses anexos de middlebox para casos de uso típicos de inspeção de segurança. Você pode definir políticas de medição para alocar de forma flexível o uso do processamento de dados em anexos do middlebox ao anexo de origem original, ao anexo de destino final ou ao proprietário da conta do gateway de trânsito. Para anexos da Função de Rede, as cobranças de processamento de dados do Firewall de AWS Rede também são alocadas à conta limitada.
### Alocação flexível de custos - tipos de uso de medição
A alocação flexível de custos por meio de políticas de medição se aplica aos seguintes tipos de uso de dados:
+ Uso do processamento de dados do Transit Gateway em anexos VPC, VPN, VPN Concentrator e Direct Connect
+ Site-to-site Uso de transferência de dados de VPN para fora em anexos de VPN
+ Uso da transferência de dados do Direct Connect em anexos do Direct Connect.
+ Uso da transferência de dados em anexos de emparelhamento TGW
+ Uso do processamento de dados do Transit Gateway em anexos da função de rede
+ AWS uso do processamento de dados do firewall de rede (NFW) em anexos da função de rede.
A alocação flexível de custos não se aplica ao uso horário de anexos e ao uso do processamento de dados multicast. Para anexos do Transit Gateway Connect, a política de medição pode ser definida para o anexo VPC de transporte ou Direct Connect subjacente. Para anexos VPN IP privados, a política de medição pode ser definida para o anexo subjacente do Direct Connect de transporte.
### Considerações e limitações
Considere o seguinte ao implementar políticas de medição para seu gateway de trânsito.
#### Permissões
+ Somente o proprietário do gateway de trânsito pode criar, modificar ou excluir políticas de medição.
+ As configurações de alocação de custos se aplicam no nível do gateway de trânsito.
+ Os proprietários do anexo não podem substituir as configurações de alocação de custos definidas pelo proprietário do gateway de trânsito.
#### Emparelhamento do Transit Gateway
Quando o tráfego atravessa as conexões de emparelhamento do gateway de trânsito:
+ Cada gateway de trânsito aplica sua própria política de medição de forma independente.
+ As cobranças de dados são alocadas separadamente por cada gateway de trânsito com base em sua política local.
+ O tráfego pode ser considerado como dois fluxos separados: conexão de origem ao peering e peering ao anexo de destino.
#### Integração de WAN em nuvem
Quando um gateway de trânsito é conectado a uma rede principal do Cloud WAN:
+ As taxas de transferência de dados do Transit Gateway em conexões de peering são alocadas de acordo com a política de medição do Transit Gateway.
+ As políticas de medição não são suportadas nas redes principais do Cloud WAN.
#### Impacto no desempenho
+ As políticas de medição não introduzem nenhuma latência adicional no caminho de dados.
+ As políticas de medição não têm impacto na largura de banda máxima por anexo.
+ Não há alterações nos recursos de compartilhamento de recursos do gateway de trânsito.
#### Integração de faturamento
+ As etiquetas de alocação de custos continuam funcionando com políticas de medição para organizar os custos por unidade de negócios.
+ As políticas de medição definem quais contas incorrem em custos, enquanto as etiquetas de alocação de custos ajudam a categorizar esses custos.
+ As alterações nas políticas de medição entrarão em vigor no final da próxima hora de cobrança.
#### IPv6 apoio
As políticas de medição são suportadas tanto para o tráfego IPv4 quanto para o IPv6 tráfego. A correspondência de blocos CIDR nas entradas de política funciona com ambas as famílias de endereços.
#### Suporte de anexo Middlebox
+ A política de medição da caixa intermediária pressupõe que o tráfego entre o anexo original de origem e o de destino seja fixado por meio do anexo da caixa intermediária especificado (exemplo, inspeção leste-oeste do tráfego). VPC-to-VPC Portanto, a rede de 5 tuplas (source/destination IPs, source/destinationportas e protocolo) para fluxos que entram e saem dos anexos intermediários deve corresponder. Fluxos com incompatibilidades de 5 tuplas em anexos de caixa intermediária (por exemplo, transformação NAT na VPC de inspeção) são tratados como fluxos regulares de anexos de origem e destino (em oposição aos fluxos de anexos de caixa intermediária).
+ Todos os fluxos somente de saída no anexo da caixa intermediária (por exemplo, tráfego norte-sul para a Internet via IGW em uma VPC de inspeção) são tratados como fluxos regulares de origem e destino (em oposição aos fluxos de conexão da caixa intermediária).
+ Para anexos da função de rede quando o firewall de AWS rede descarta pacotes, todo o uso do processamento de dados é cobrado de volta na conta do remetente, independentemente da configuração da política de medição.
# Crie uma política de medição do AWS Transit Gateway
Para habilitar políticas de medição, você deve criar uma política de medição para seu gateway de trânsito e configurar entradas de política que definam como o uso da medição é alocado. A política de medição estabelece a estrutura e as configurações padrão, enquanto as entradas da política contêm as regras específicas que determinam quais contas são monitoradas com base nas características do tráfego.
As entradas da política de medição funcionam como regras ordenadas que são aplicadas sequencialmente do menor para o maior número de regras para o tráfego que flui pelo gateway de trânsito. Cada entrada define critérios de correspondência, como tipos de anexo de origem e destino, blocos CIDR, protocolos e intervalos de portas, junto com a conta que deve ser medida para o tráfego correspondente. Quando um fluxo de tráfego corresponde a várias entradas, a entrada com o menor número de regra tem precedência. Se nenhuma entrada corresponder a um fluxo específico, a conta medida padrão especificada na política será cobrada.
Depois de criar uma política, você precisará adicionar entradas de política para implementar sua lógica de alocação de custos. Para obter as etapas para criar uma entrada de política de medição, consulte[Crie uma entrada de política de medição](create-metering-policy-entry.md).
## Crie uma política de medição usando o console
Crie uma política para definir regras flexíveis de alocação de custos para o uso de dados do gateway de trânsito. Por padrão, todos os fluxos são medidos para o proprietário do anexo de origem. Crie entradas para faturar fluxos de rede específicos para contas diferentes.
**Para criar uma política de medição**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Escolha **Criar política de medição**.
1. Para **ID do gateway de trânsito**, escolha o gateway de trânsito para o qual você gostaria de criar uma política de medição.
1. (Opcional) Para **anexo de caixa intermediária IDs**, escolha um ou mais anexos de caixa intermediária. Por padrão, o uso de dados é medido para o proprietário do middlebox. O suporte a anexos do Middlebox permite que a política de medição seja aplicada ao tráfego que atravessa os anexos do Middlebox. Anexos adicionais podem ser adicionados posteriormente.
1. (Opcional) Na seção **Tags**, adicione tags para ajudá-lo a identificar e organizar sua política de medição:
1. Selecione **Adicionar nova tag**.
1. Insira uma **chave** de tag e, opcionalmente, um **valor** de tag.
1. Selecione **Adicionar nova tag** para adicionar mais tags ou vá para a próxima etapa. É possível adicionar até 50 tags.
1. Escolha **Criar política de medição do gateway de trânsito**.
**nota**
A conta monitorada padrão é o proprietário do anexo de origem e, depois de criar uma política de medição, você pode adicionar entradas que definem qual conta será cobrada com base nas propriedades do fluxo de tráfego, observando que a entrada de política padrão (que é a última entrada) não pode ser modificada ou excluída como outras entradas de política.
## Crie uma política de medição usando o AWS CLI
Uma política de medição define o comportamento padrão de alocação de custos e as configurações globais para seu gateway de trânsito. Use a [create-transit-gateway-meteringpolítica -.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html)
Parâmetros obrigatórios:
+ `--transit-gateway-id`- O ID do gateway de trânsito para criar a política para
Parâmetros opcionais:
+ `--middle-box-attachment-ids`- IDs de anexo de gateway de trânsito compatíveis para adicionar à política como caixa intermediária
+ `--tag-specifications`- etiquetas para política de medição
**Para criar uma política de medição usando o AWS CLI**
1. Execute o **create-transit-gateway-metering-policy** comando para criar uma nova política de medição com anexos opcionais do middlebox.
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
Esse comando cria uma política de medição para o gateway de trânsito especificado com os anexos e tags de middlebox fornecidos.
1. O comando retorna a seguinte saída quando a política é criada com sucesso:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
Observe o ID da política de medição retornado na resposta para uso em comandos subsequentes. **describe-transit-gateway-metering-policies**o comando pode ser usado para obter a política de medição associada ao gateway de trânsito.
# Gerenciar políticas AWS de medição do Transit Gateway
Depois de criar uma política de medição, você pode gerenciá-la visualizando as configurações atuais, modificando as opções de configuração ou excluindo a política quando não for mais necessária. As operações de gerenciamento permitem que você adicione ou remova anexos de middlebox à medida que seus requisitos de rede mudam. Você só pode criar ou excluir uma entrada de política. Se precisar modificar uma regra existente, você pode excluir a entrada e criar uma nova com a configuração modificada. Todas as operações de gerenciamento exigem permissões do proprietário do gateway de trânsito e entram em vigor após duas horas de cobrança.
O gerenciamento eficaz da política de medição é crucial para manter a alocação precisa de custos à medida que sua arquitetura de rede evolui. Muitas vezes, as organizações precisam ajustar suas políticas quando as unidades de negócios mudam, novos aplicativos são implantados ou as topologias de rede são modificadas. Por exemplo, as configurações de suporte à medição do middlebox podem exigir atualizações quando as arquiteturas de segurança do firewall mudam ou quando novos serviços de inspeção são introduzidos no caminho do tráfego.
As modificações de políticas oferecem suporte a vários cenários operacionais, incluindo mudanças sazonais no padrão de tráfego, atividades de fusão e aquisição e atualizações de requisitos de conformidade. Ao gerenciar políticas, considere o impacto nos acordos de cobrança existentes e comunique as mudanças às partes interessadas afetadas antes da implementação.
As revisões regulares das políticas ajudam a garantir que a alocação de custos permaneça alinhada aos objetivos de negócios e às estruturas organizacionais. As melhores práticas incluem documentar mudanças nas políticas, testar modificações em ambientes que não sejam de produção, quando possível, e coordenar com as equipes financeiras para entender as implicações do faturamento. Além disso, considere o momento das mudanças na política para minimizar a interrupção dos ciclos de cobrança mensal e dos processos de relatórios financeiros.
**Topics**
+ [Editar uma política de medição](metering-policy-edit.md)
+ [Excluir uma política de medição](metering-policy-delete.md)
# Editar uma política de medição do AWS Transit Gateway
Edite as políticas de medição existentes para modificar as configurações de anexos do middlebox. As modificações da política entrarão em vigor na próxima hora de cobrança e se aplicam a todos os fluxos de tráfego futuros por meio de seu gateway de trânsito.
## Editar uma política de medição usando o console
Use o console para modificar as configurações de política de medição existentes para seu gateway de trânsito.
**Para editar uma política de medição existente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Selecione a política de medição que você deseja modificar escolhendo sua ID de política
1. Modifique as configurações de política disponíveis em **Ações**. O console só permite adicionar e remover anexos da caixa central.
1. Anexos do **Middlebox - adicione ou remova anexos** do Transit Gateway que devem ser tratados como caixas intermediárias para faturamento especializado.
## Edite uma política de medição usando o AWS CLI
Use o **modify-transit-gateway-metering-policy** comando para visualizar e modificar as políticas de medição.
Parâmetros necessários para operações de modificação:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição a ser modificada
+ `--add-middle-box-attachment-ids`ou `--remove-middle-box-attachment-ids` - IDs de anexo do Transit Gateway compatíveis para adicionar ou remover da política como caixa intermediária
**Para visualizar e editar políticas de medição usando a CLI AWS**
1. (Opcional) Visualize as políticas de medição existentes usando o **describe-transit-gateway-metering-policies** comando para ver as configurações atuais:
```
aws ec2 describe-transit-gateway-metering-policies
```
Esse comando retorna todas as políticas de medição em sua conta, mostrando seu estado atual e os anexos habilitados como caixa intermediária para cada política de medição.
1. Modifique uma política de medição usando o **modify-transit-gateway-metering-policy** comando para atualizar as opções de configuração:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
Esse comando modifica uma política de medição adicionando a and/or remoção de anexos da caixa intermediária.
1. O comando retorna a seguinte saída quando a política é modificada com sucesso:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
As alterações podem levar até duas horas de cobrança para entrarem em vigor.
# Excluir uma política de medição do AWS Transit Gateway
Exclua as políticas de medição quando elas não forem mais necessárias para sua estratégia de alocação de custos do gateway de trânsito. A exclusão de uma política reverte a alocação de custos para o modelo padrão baseado no remetente, em que as cobranças de processamento e transferência de dados são alocadas à conta proprietária do anexo de origem. Todas as entradas de política associadas à política de medição excluída também são removidas.
## Excluir uma política de medição usando o console
Use o console para remover políticas de medição que não são mais necessárias.
**Para excluir uma política de medição usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Selecione a política que você deseja excluir escolhendo sua ID de política.
1. Escolha **Actions** (Ações) e então **Delete** (Excluir).
1. Confirme a exclusão digitando **delete** na caixa de diálogo de confirmação.
1. Escolha **Excluir**.
**Importante**
A exclusão de uma política de medição é irreversível. Todas as entradas de política e definições de configuração serão removidas permanentemente, e a alocação de custos será revertida para o modelo padrão baseado no remetente.
## Exclua uma política de medição usando o AWS CLI
Use o **delete-transit-gateway-metering-policy** comando para excluir as políticas de medição programaticamente.
Requisitos:
+ Permissões do proprietário do gateway de trânsito
Parâmetros obrigatórios:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição a ser excluída
**Para visualizar e excluir políticas de medição usando a AWS CLI**
1. (Opcional) Visualize as políticas de medição existentes usando o **describe-transit-gateway-metering-policies** comando para ver as configurações atuais:
```
aws ec2 describe-transit-gateway-metering-policies
```
Esse comando retorna todas as políticas de medição em sua conta, mostrando o estado e a configuração atuais.
1. Exclua uma política de medição usando o **delete-transit-gateway-metering-policy** comando para remover permanentemente a política:
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
Esse comando remove permanentemente a política de medição especificada e todas as entradas associadas. A alocação de custos será revertida para o modelo padrão baseado no remetente para todos os fluxos de tráfego futuros. Essa alteração também leva 2 horas de cobrança para entrar em vigor.
1. O comando retorna a seguinte saída quando a política é excluída com sucesso:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
A resposta confirma que a política está sendo excluída com um `deleting` estado enquanto a remoção é processada na infraestrutura do gateway de trânsito.
# Crie uma entrada de política de medição do AWS Transit Gateway
Por padrão, todos os fluxos são medidos para o proprietário do anexo de origem. Para medir fluxos específicos para contas diferentes, crie entradas de política individuais que definam qual conta será cobrada com base nas propriedades do fluxo de tráfego.
As entradas da política de medição funcionam como regras condicionais que são avaliadas em ordem sequencial com base em seus números de regras quando o tráfego flui pelo gateway de trânsito. Cada entrada atua como uma declaração “if-then”: se o tráfego corresponder aos critérios especificados (como tipo de anexo de origem, bloco CIDR de destino ou protocolo), então cobre a conta designada. O sistema avalia as entradas do menor para o maior número de regras, e a primeira entrada correspondente determina a conta de cobrança desse fluxo de tráfego.
As entradas oferecem suporte a uma ampla variedade de critérios de correspondência, incluindo tipos de anexo (VPC, VPN, Direct Connect Gateway), anexos específicos IDs, blocos CIDR de origem e destino, tipos de protocolo e intervalos de portas. Você pode combinar vários critérios em uma única entrada para criar regras de segmentação precisas. Por exemplo, você pode criar uma entrada que corresponda a todo o tráfego HTTPS (porta 443) dos anexos da VPC a um intervalo CIDR de destino específico e cobrar esses fluxos na conta de uma equipe de segurança. Se nenhuma entrada corresponder a um fluxo de tráfego específico, a conta medida padrão especificada na política de medição principal será cobrada, garantindo que todo o tráfego seja cobrado adequadamente. A criação de uma entrada leva 2 horas de cobrança para entrar em vigor.
**Importante**
Planeje os números das regras com cuidado — deixe espaços (por exemplo, 10, 20, 30) para permitir futuras inserções
Teste as entradas com condições menos específicas antes de adicionar regras mais restritivas
Use condições de correspondência específicas para evitar cobranças não intencionais
## Crie uma entrada de política de medição usando o console
Uma política de medição define o comportamento padrão de alocação de custos e as configurações globais para seu gateway de trânsito.
**Para criar uma entrada de política de medição usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Selecione o link do ID da política de medição para ver seus detalhes.
1. Escolha a guia **Entradas da política de medição**.
1. Escolha **Criar entrada de política de medição**.
1. **Número da regra de política** - Esse deve ser um número exclusivo (1 a 32.766) que determina a ordem de avaliação. Números mais baixos têm maior prioridade.
1. **Conta medida** - Escolha um dos seguintes tipos de conta a serem cobrados pela correspondência dos fluxos de tráfego:
1. **Proprietário do anexo de origem**
1. **Proprietário do anexo de destino**
1. **Proprietário do anexo do Transit Gateway**
1. (Opcional) Escolha **condições de regra** - Essas condições opcionais definem critérios para corresponder ao tráfego específico:
+ **Tipo de anexo de origem ou ID** - Filtre por tipo de anexo (VPC, VPN, Direct Connect Gateway, Peering) ou ID.
+ **Tipo de anexo ou ID de destino** - Filtrar por tipo de anexo ou ID de destino
+ **Bloco CIDR de origem** - Combine o tráfego de intervalos de IP específicos
+ **Bloco CIDR de destino** - Combine o tráfego com intervalos de IP específicos
+ **Intervalo de portas de origem** - Combine portas de origem específicas
+ **Intervalo de portas de destino** - Combine portas de destino específicas
+ **Protocolo** - Filtre por protocolo para a regra (1, 6, 17, etc.)
1. Escolha **Criar entrada de política de medição** para salvar a configuração.
## Crie uma entrada de política de medição usando o AWS CLI
As entradas de política definem regras específicas para alocação de custos com base nas características do tráfego. As regras são avaliadas na ordem do menor para o maior número de regras.
Parâmetros obrigatórios:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição à qual adicionar a entrada
+ `--policy-rule-number`- Um número exclusivo (1-32.766) que determina a ordem de avaliação
+ `--metered-account`- tipo de jogador (source-attachment-owner/ destination-attachment-owner/ transit-gateway-owner)
Parâmetros opcionais:
Esses parâmetros opcionais que definem critérios para corresponder ao tráfego específico:
+ `--source-transit-gateway-attachment-id`- A ID do anexo do gateway de trânsito de origem.
+ `--source-transit-gateway-attachment-type`- O tipo do anexo do gateway de trânsito de origem.
+ `--source-cidr-block`- O bloco CIDR de origem da regra.
+ `--source-port-range`- O intervalo de portas de origem da regra.
+ `--destination-transit-gateway-attachment-id`- A ID do anexo do gateway de trânsito de destino.
+ `--destination-transit-gateway-attachment-type`- O tipo do anexo do gateway de trânsito de destino.
+ `--destination-cidr-block`- O bloco CIDR de destino da regra.
+ `--destination-port-range`- O intervalo de portas de destino da regra.
+ `--protocol`- O número do protocolo da regra
**Para criar uma entrada de política de medição usando o AWS CLI**
1. Use o **create-transit-gateway-metering-policy-entry** comando para criar uma nova entrada de política que roteie o tráfego da VPC para uma conta limitada específica:
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
Esse comando cria uma entrada de política com a regra número 100 que corresponde ao tráfego destinado a anexos de VPC e cobra do proprietário do anexo de destino por esses fluxos.
1. O comando retorna a seguinte saída quando a entrada é criada com sucesso:
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
A resposta confirma que a entrada foi criada com um estado “disponível” enquanto está sendo ativada na infraestrutura do gateway de trânsito.
# Excluir uma entrada da política de medição do AWS Transit Gateway
Exclua as entradas da política de medição quando as regras específicas de alocação de custos não forem mais necessárias para seus fluxos de tráfego de rede. A exclusão de entradas ajuda a simplificar o gerenciamento de políticas, removendo regras desatualizadas ou desnecessárias, mantendo a estrutura geral da política. Quando você exclui uma entrada, o tráfego que correspondia anteriormente à regra excluída será avaliado em relação às entradas restantes na ordem numérica da regra ou retornará ao comportamento da política padrão se nenhuma outra entrada corresponder.
Antes de excluir as entradas, considere o impacto nos atuais acordos de cobrança e nos fluxos de tráfego. Depois de excluída, a alteração leva até 2 horas de cobrança para entrar em vigor e não pode ser desfeita. Portanto, coordene as alterações com os proprietários da conta e as equipes financeiras afetadas. Analise as entradas restantes para garantir a cobertura adequada do tráfego e a alocação de faturamento após a exclusão. A ordem de avaliação das regras para as entradas restantes permanece inalterada, mantendo um comportamento previsível de alocação de custos para fluxos de tráfego contínuos.
**Importante**
A exclusão é irreversível
O tráfego que anteriormente correspondia a essa entrada será reavaliado em relação às entradas restantes
Revise as entradas restantes para garantir a cobertura adequada do tráfego
## Excluir uma entrada de política de medição usando o console
Use o console para remover entradas de política por meio de uma interface intuitiva que fornece caixas de diálogo de confirmação para evitar exclusões acidentais.
**Para excluir uma entrada de política usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Selecione a política de medição que contém a entrada que você deseja excluir.
1. Selecione a entrada que você deseja remover e escolha **Excluir**.
1. Na caixa de diálogo de confirmação, revise os detalhes da entrada e digite **delete** para confirmar a remoção.
1. Escolha **Excluir** para remover permanentemente a entrada.
## Exclua uma entrada da política de medição usando o AWS CLI
Use o **delete-transit-gateway-metering-policy-entry** comando para remover entradas de política de forma programática.
Requisitos:
+ Permissões do proprietário do gateway de trânsito
+ ID da política de medição e número da regra de entrada válidos
Parâmetros obrigatórios:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição
+ `--policy-rule-number`- O número da regra da entrada a ser excluída
**Para visualizar e excluir entradas de política usando a AWS CLI**
1. (Opcional) Visualize as entradas de política existentes usando o **get-transit-gateway-metering-policy-entries** comando para ver as configurações atuais:
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
Esse comando retorna todas as entradas da política especificada, mostrando seus números de regras, critérios de correspondência e contas monitoradas.
1. Exclua uma entrada de política usando o **delete-transit-gateway-metering-policy-entry** comando para remover permanentemente a entrada:
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
Esse comando remove permanentemente a entrada especificada da política. O tráfego que correspondia anteriormente a essa entrada será imediatamente reavaliado em relação às entradas restantes ou retornará ao comportamento de política padrão.
1. O comando retorna a seguinte saída quando a entrada é excluída com sucesso:
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
A resposta confirma que a entrada está sendo excluída com um estado “excluído” enquanto a remoção é processada na infraestrutura do gateway de trânsito.
# Gerenciar anexos da middlebox da política de medição do AWS Transit Gateway
as políticas de medição de gateway de trânsito oferecem suporte a anexos do Middlebox, permitindo que você aloque com flexibilidade as taxas de processamento de dados para o tráfego de rede roteado por meio de dispositivos middlebox, como firewalls de rede e balanceadores de carga. Exemplos de anexos de middlebox são anexos de Função de Rede ao AWS Firewall de Rede ou anexos de VPC que roteiam o tráfego para dispositivos de segurança de terceiros em uma VPC. O tráfego entre os anexos do gateway de trânsito de origem e destino passa por esses anexos de middlebox para casos de uso típicos de inspeção de segurança. Você pode definir políticas de medição para alocar de forma flexível o uso do processamento de dados em anexos do middlebox ao anexo de origem original, ao anexo de destino final ou ao proprietário da conta do gateway de trânsito. Para anexos da Função de Rede, as cobranças de processamento de dados do Firewall de AWS Rede também são alocadas à conta limitada.
Anexos de gateway de trânsito designados que roteiam o tráfego por meio de dispositivos de rede para inspeção de segurança, balanceamento de carga ou outras funções de rede. O uso de dados para o tráfego que atravessa os anexos do middlebox é medido ao proprietário da conta especificado na política de medição. Você pode especificar no máximo 10 anexos de caixa intermediária. Os tipos de anexo de middlebox compatíveis são anexos de Função de AWS Rede (Firewall de Rede), VPC e VPN.
**Topics**
+ [Adicionar anexos do middlebox](create-middlebox-attachment.md)
+ [Remova os anexos da caixa intermediária](edit-middlebox-attachment.md)
# Adicionar anexos da caixa intermediária da política de medição do AWS Transit Gateway
Você pode adicionar anexos de middlebox para integrar dispositivos de rede à sua política de medição do Transit Gateway. Isso permite rotear tráfego específico por meio de dispositivos de segurança, balanceadores de carga ou outras funções de rede, mantendo o controle granular da alocação de custos.
**Importante**
Garanta que os dispositivos middlebox estejam configurados e acessíveis adequadamente
Teste o roteamento de tráfego antes de aplicá-lo às cargas de trabalho de produção
Monitore o desempenho do middlebox para evitar a introdução de latência
Configure o comportamento de failover adequado para alta disponibilidade
## Adicione anexos do middlebox usando o console
**Para adicionar uma entrada de anexo de caixa intermediária**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha Políticas de **medição**.
1. Selecione o link do ID da política de medição para ver seus detalhes.
1. Escolha a guia **Anexos do Middlebox**.
1. Escolha **Adicionar**.
1. Quando solicitado, selecione o anexo da caixa intermediária IDs que deve ser tratado como caixas intermediárias para cobrança especializada. Você pode selecionar até 10 anexos de caixa intermediária.
1. Escolha **Adicionar anexos do middlebox para salvar a configuração.**
## Adicione anexos do middlebox usando o AWS CLI
Use o **modify-transit-gateway-metering-policy** comando para adicionar anexos.
Antes de começar, verifique se você tem os seguintes parâmetros obrigatórios:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição existente
+ `--add-middle-box-attachment-ids`- Um ou mais IDs anexos para adicionar à política (para adicionar anexos)
**Para adicionar anexos de middlebox a uma política existente usando a CLI AWS**
1. No exemplo a seguir, **modify-transit-gateway-metering-policy** é usado para adicionar quatro anexos de caixa intermediária a uma política de medição existente. O comando adiciona o anexo especificado IDs à lista existente sem remover os anexos atuais:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. No exemplo de resposta a seguir, a saída JSON mostra a configuração de política atualizada com todos os quatro anexos de middlebox agora incluídos:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# Remover os anexos da caixa intermediária da política de medição do AWS Transit Gateway
Por padrão, os custos de medição são atribuídos ao proprietário do anexo da caixa intermediária. No entanto, você pode modificar essas atribuições para garantir que os custos sejam alocados adequadamente à origem ou ao destino real do tráfego. Você pode adicionar ou remover até 10 anexos totais de middlebox para uma política de medição.
## Remova os anexos do middlebox usando o console
Use o console da Amazon VPC para remover anexos de middlebox da sua configuração de política de medição.
**Para remover anexos do middlebox**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateways**, **Metering** policies.
1. Selecione a política de medição que você deseja modificar.
1. Escolha a guia **Anexos do Middlebox**.
1. Selecione até 10 anexos de caixa intermediária para remover da política de medição.
1. Escolha **Remover **.
1. Quando solicitado, você pode atualizar os anexos do middlebox escolhidos para removê-los. O tráfego por meio de anexos removidos será medido para o proprietário do anexo do middlebox.
1. Escolha **Remover anexos do middlebox.**
## Remova os anexos da caixa intermediária usando o AWS CLI
Use o **modify-transit-gateway-metering-policy** comando para remover anexos.
Antes de começar, verifique se você tem os seguintes parâmetros obrigatórios:
+ `--transit-gateway-metering-policy-id`- O ID da política de medição existente
+ `--remove-middle-box-attachment-ids`- Um ou mais IDs anexos a serem removidos da política (para remover anexos)
**Para remover anexos do middlebox de uma política existente usando a CLI AWS**
1. No exemplo a seguir, **modify-transit-gateway-metering-policy** é usado para remover dois anexos específicos de middlebox de uma política de medição existente. O comando remove somente o anexo especificado IDs enquanto preserva os anexos restantes:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. No exemplo de resposta a seguir, a saída JSON mostra a configuração de política atualizada com os anexos especificados removidos e os demais anexos ainda ativos:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [Políticas de medição](#metering-policies-main)
+ [Crie uma política de medição](metering-policy-create-policy.md)
+ [Gerenciar políticas de medição](metering-policy-manage-policy.md)
+ [Crie uma entrada de política de medição](create-metering-policy-entry.md)
+ [Excluir uma entrada de política de medição](metering-policy-entry-delete.md)
+ [Gerenciar anexos da caixa intermediária da política de medição](metering-policy-middlebox.md)