本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Transit Gateway 设计最佳实操 以下是您的中转网关设计的最佳实践: + 为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用小型 CIDR(例如 `/28`),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容: + 将与中转网关子网关联的入站和出站网络 ACL 保持打开状态。 + 根据流量,您可以将网络 ACL 应用于工作负载子网。 + 创建一个网络 ACL 并将其与关联到中转网关的所有子网相关联。确保网络 ACL 在入站和出站方向打开。 + 将同一个 VPC 路由表与关联到中转网关的所有子网相关联,除非您的网络设计需要多个 VPC 路由表(例如,通过多个 NAT 网关路由流量的中间盒 VPC)。 + 使用边界网关协议 (BGP) Site-to-Site VPN 连接。如果用于连接的客户网关设备或防火墙支持多路径,请启用该功能。 + 为 Direct Connect 网关连接和 BGP Site-to-Site VPN 连接启用路由传播。 + 从 VPC 对等连接迁移出来,转而使用中转网关。如果 VPC 对等连接和 Transit Gateway 之间的 MTU 大小不匹配,则可能会因非对称流量而导致一些丢包。同时更新两个 VPC,以避免由于大小不匹配而导致的巨型数据包丢包。 + 您不需要额外的中转网关即可实现高可用性,因为根据设计,中转网关具有高可用性。 + 限制中转网关路由表的数量,除非您的设计需要多个中转网关路由表。 + 为确保冗余,请在每个区域中使用单个中转网关进行灾难恢复。 + 对于带多个中转网管的部署,我们建议您为每个中转网关使用唯一自治系统编号 (ASN)。您还可以使用区域间对等功能。有关更多信息,请参阅[使用 AWS Transit Gateway 区域间对等构建全球网络](https://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/)。