本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# T AWS ransit Gateway 中的亚马逊 VPC 附件
通过与传输网关的 Amazon Virtual Private Cloud (VPC) 连接,您可以将流量路由进出一个或多个 VPC 子网。将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。指定的子网作为中转网关流量的入口和出口点。只有当中转网关连接子网的路由表中配置了指向目标子网的适当路由时,流量才能到达同一可用区内其他子网中的资源。
**限制**
+ 将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。
**注意**
在已配置中转网关连接的可用区内,流量仅会从与该连接关联的特定子网转发至中转网关。如果子网路由表中存在指向中转网关的路由,则仅当满足以下条件时流量才会转发至中转网关:该中转网关在同一可用区内存在子网关联,且关联子网的路由表包含指向 VPC 内目标位置的正确路由。
+ 对于使用 Amazon Route 53 中的私有托管区域 VPCs设置的自定义 DNS 名称,传输网关不支持 DNS 解析。要为所有 VPCs 连接到传输网关的私有托管区域配置名称解析,请参阅使用 [Amazon Route 53 和 Tr AWS ansit Gateway 对混合云进行集中化 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)。
+ 如果某个范围内的某个 CIDR VPCs 与连接的 VPC 中的 CIDR 重叠 CIDRs,则传输网关不支持在两者之间进行路由。如果将 VPC 连接至中转网关时,其 CIDR 与已连接至该网关的其他 VPC 的 CIDR 相同或存在重叠,则新连接的 VPC 的路由不会传播至中转网关的路由表。
+ 您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅[将 Local Zone 子网连接到中转网关](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)。
+ 您无法使用 IPv6仅限子网创建传输网关附件。传输网关连接子网还必须支持 IPv4 地址。
+ 在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。
## VPC 连接的路由表要求
中转网关的 VPC 连接需要特定的路由表配置才能正常工作:
+ **连接子网路由表**:与中转网关关联的子网必须为 VPC 内所有需要通过中转网关可达的目标位置配置路由表条目。这包括指向其他子网、互联网网关、NAT 网关和 VPC 端点的路由。
+ **目标子网路由表**:包含需要通过中转网关通信的资源的子网,必须拥有指向该中转网关的回程路由,以便返回外部目标位置的流量能够顺利返回。
+ **本地 VPC 流量**:中转网关连接不会自动启用同一 VPC 内子网之间的通信。标准 VPC 路由规则适用,且本地路由 (VPC CIDR) 必须存在于路由表中才能实现 VPC 内部通信。
**注意**
在同一可用区内未连接子网中配置路由不会启用流量传输。只有与传输网关连接关联的特定子网才能用作中转网关流量的 entry/exit 点。
## VPC 挂载生命周期
从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。
下图显示了挂载在单个账户配置或打开了**自动接受共享挂载**选项的跨账户配置中会经历的状态。
![\[VPC 挂载生命周期\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **待处理**:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为 `available`。
+ **即将失败**:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 `failed`。
+ **失败**:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **可用**:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 `modifying`,也可以变为 `deleting`。
+ **正在删除**:正在删除 VPC 挂载。在此阶段,挂载可以变为 `deleted`。
+ **已删除**:已删除 `available` VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **正在修改**:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 `available`,也可以变为 `rolling back`。
+ **正在回滚**:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 `available`。
下图显示了挂载在**自动接受共享挂载**选项已关闭的跨账户配置中会经历的状态。
![\[已关闭 Auto accept shared attachments(自动接受共享挂载)功能的跨账户 VPC 挂载生命周期\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **等待接受**:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为 `pending`、`rejecting` 或 `deleting`。
+ **正在拒绝**:正在拒绝 VPC 挂载。在此阶段,挂载可以变为 `rejected`。
+ **已拒绝**:`pending acceptance` VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **待处理**:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为 `available`。
+ **即将失败**:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 `failed`。
+ **失败**:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **可用**:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 `modifying`,也可以变为 `deleting`。
+ **正在删除**:正在删除 VPC 挂载。在此阶段,挂载可以变为 `deleted`。
+ **已删除**:已删除 `available` 或 `pending acceptance` VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **正在修改**:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 `available`,也可以变为 `rolling back`。
+ **正在回滚**:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 `available`。
## 设备模式
如果您计划在 VPC 中配置有状态的网络设备,则可以为在创建连接时该设备所在的 VPC 连接启用设备模式支持。这可确保 T AWS ransit Gateway 在源和目标之间的流量流的生命周期内为该 VPC 连接使用相同的可用区。它还允许中转网关将流量发送到 VPC 中的任何可用区,只要该区中存在子网关联。虽然设备模式仅支持 VPC 连接,但网络流量可来自任何其他中转网关连接类型,包括 VPC、VPN 和 Connect 连接。设备模式同样适用于源地址和目标地址跨不同 AWS 区域的网络流量。若您未在初始阶段启用设备模式,但后续编辑连接配置时启用了该模式,网络流量可能会在不同可用区之间重新平衡。您可通过控制台、命令行或 API 来启用或禁用设备模式。
T AWS ransit Gateway 中的设备模式在确定通过设备模式 VPC 的路径时,会考虑源和目标可用区,从而优化流量路由。这种方法有助于提高效率并降低延迟。具体行为因配置和流量模式而异。下面是一些示例场景。
### 场景 1:通过设备 VPC 进行可用区内流量路由
当流量从源可用区 us-east-1a 流向目标可用区 us-east-1a 时,若 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接,Transit Gateway 将从设备 VPC 内的 us-east-1a 选择一个网络接口。该可用区将在源与目标之间的整个流量流过程中保持不变。
### 场景 2:通过设备 VPC 进行跨可用区流量路由
对于从源可用区 us-east-1a 流向目标可用区 us-east-1b 的流量,当 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接时,Transit Gateway 会使用流量哈希算法,在设备 VPC 中选择 us-east-1a 或 us-east-1b。所选可用区将在流量生命周期内保持一致。
### 场景 3:通过无可用区数据的设备 VPC 进行流量路由
当流量从源可用区 us-east-1a 发往无可用区信息的目标位置(例如,面向 Internet 的流量),且设备模式 VPC 在 us-east-1a 和 us-east-1b 均有连接时,Transit Gateway 会从设备 VPC 内的 us-east-1a 选择一个网络接口。
### 场景 4:通过与源或目标不同的可用区中的设备 VPC 进行流量路由
当流量从源可用区 us-east-1a 流向目标可用区 us-east-1b 时,若设备模式的 VPC 连接位于不同可用区(例如,us-east-1c 和 us-east-1d),Transit Gateway 将使用流量哈希算法,在设备 VPC 中选择 us-east-1c 或 us-east-1d。所选可用区将在流量生命周期内保持一致。
**注意**
设备模式仅适用于 VPC 连接。确保与设备 VPC 连接关联的路由表已启用路由传播。
## 引用安全组
您可以使用此功能来简化安全组管理和控制连接到同一传输网关的 instance-to-instance流量。 VPCs 您只能在入站规则中交叉引用安全组。出站安全规则不支持安全组引用。启用或使用安全组引用不会产生额外费用。
安全组引用支持可同时配置于中转网关和中转网关 VPC 连接,且仅当中转网关及其所有 VPC 连接均已启用该功能时方可生效。
### 限制
在将安全组引用与 VPC 连接结合使用时,适用以下限制。
+ 跨中转网关对等连接不支持安全组引用。两者都 VPCs 必须连接到同一个传输网关。
+ 可用区 use1-az3 中的 VPC 连接不支持引用安全组。
+ PrivateLink 端点不支持引用安全组。我们建议将基于IP CIDR 的安全规则作为替代方案。
+ 只要在 VPC 中为 EFS 接口配置了允许所有出站流量的安全组规则,安全组引用机制对 Elastic File System (EFS) 同样有效。
+ 对于通过中转网关进行本地区域连接,仅支持以下本地区域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。
+ 对于 VPCs 位于不支持的本地区域、Outposts 和 Wavelength Zones 中的子网,我们建议在 VPC 连接级别禁用此功能 AWS ,因为这 AWS 可能会导致服务中断。
+ 如果您有检查 VPC,则通过传输网关引用的安全组不适用于跨网关 Load Balancer 或 AWS Net AWS work Firewall。
**Topics**
+ [VPC 连接的路由表要求](#vpc-attachment-routing-requirements)
+ [VPC 挂载生命周期](#vpc-attachment-lifecycle)
+ [设备模式](#tgw-appliancemode)
+ [引用安全组](#vpc-attachment-security)
+ [创建 VPC 连接](create-vpc-attachment.md)
+ [修改 VPC 连接](modify-vpc-attachment.md)
+ [修改 VPC 连接标签](modify-vpc-attachment-tag.md)
+ [查看 VPC 连接](view-vpc-attachment.md)
+ [删除 VPC 挂载](delete-vpc-attachment.md)
+ [更新安全组入站规则](tgw-sg-updates-update.md)
+ [确定引用的安全组](tgw-sg-updates-identify.md)
+ [删除过时的安全组规则](tgw-sg-updates-stale.md)
+ [排查 VPC 连接问题](transit-gateway-vpc-attach-troubleshooting.md)
# 在 AWS Transit Gateway 中创建 VPC 连接
**使用控制台创建 VPC 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
1. 对于 **Name tag**(名称标签),可选择是否输入中转网关连接的名称。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。您可以选择自己拥有的中转网关或与您共享的中转网关。
1. 对于 **Attachment type(连接类型)**,选择 **VPC**。
1. 选择是否启用 **DNS 支持**、**IPv6 支持**和**设备模式支持**。
如果选择的是设备模式,源和目标之间的流量将在该流的生命周期内,为 VPC 连接使用相同的可用区。
1. 选择是否启用**安全组引用支持**。启用此功能在连接到中转网关的不同 VPC 之间引用一个安全组。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
1. 选择是否启用 **IPvv6 支持**。
1. 对于 **VPC ID**,选择要附加到中转网关的 VPC。
此 VPC 必须至少有一个子网与其关联。
1. 对于 **Subnet IDs(子网 ID)**,为中转网关要用于路由流量的每个可用区域选择一个子网。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关挂载)。
**使用 AWS CLI 创建 VPC 连接**
使用 [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html) 命令。
# 在 T AWS ransit Gateway 中修改 VPC 附件
**使用控制台修改 VPC 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 VPC 连接,然后依次选择 **Actions**(操作) 和 **Modify Transit Gateway attachment**(修改中转网关连接)。
1. 启用或禁用以下任一选项:
+ **DNS 支持**
+ **IPv6 支持**
+ **设备模式支持**
1. 要添加或删除连接中的子网,请选中或取消选中想要添加或删除的**子网 ID** 旁边的复选框。
**注意**
当连接处于正在修改状态时,添加或修改 VPC 连接子网可能会影响数据流量。
1. 要能够引用 VPCs 连接到传输网关的安全组,请选择**安全组引用支持**。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
**注意**
如果您为现有中转网关禁用安全组引用,则所有 VPC 连接都将禁用安全组引用。
1. 选择 **Modify Transit Gateway attachment**(修改中转网关连接)。
**要修改您的 VPC 附件,请使用 AWS CLI**
使用 [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html) 命令。
# 在 AWS Transit Gateway 中修改 VPC 连接标签
**使用控制台修改 VPC 连接标签**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 VPC 连接,然后选择 **Actions**(操作)、**Manage tags**(管理标签)。
1. [添加标签]选择**添加新标签**,然后执行以下操作:
+ 对于 **Key(键)**,输入键名称。
+ 对于 **Value(值)**,输入键值。
1. [删除标签]在标签旁,选择 **Remove(删除)**。
1. 选择**保存**。
仅可使用控制台修改 VPC 连接标签。
# 在 AWS Transit Gateway 中查看 VPC 连接
**使用控制台查看 VPC 挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关挂载)**。
1. 在 **Resource type**(资源类型)栏,寻找 **VPC**。这些是 VPC 挂载。
1. 选择挂载以查看其详细信息。
**使用 AWS CLI 查看 VPC 连接**
使用 [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) 命令。
# 在 AWS Transit Gateway 中删除 VPC 连接
**使用控制台删除 VPC 挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关挂载)**。
1. 选择 VPC 挂载。
1. 选择 **Actions**(操作)、**Delete Transit Gateway attachment**(删除中转网关挂载)。
1. 当系统提示时,输入 **delete**,然后选择 **Delete**(删除)。
**使用 AWS CLI 删除 VPC 连接**
使用 [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html) 命令。
# 更新 AWS Transit Gateway 安全组入站规则
您可以更新与传输网关关联的任何入站安全组规则。您可以使用 Amazon VPC 控制台或使用命令行或 API 更新安全组规则。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
**使用控制台更新安全组规则**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Security groups**(安全组)。
1. 选择安全组,选择**操作**、**编辑入站规则**,修改入站规则。
1. 要添加规则,请选择**添加规则**,然后指定类型、协议和端口范围。对于**源**(入站规则),输入与中转网关连接的 VPC 中安全组的 ID。
**注意**
与中转网关连接的 VPC 中的安全组不会自动显示。
1. 要编辑现有的规则,请更改其值(例如,源或描述)。
1. 要删除规则,请选择该规则旁的**删除**。
1. 选择**保存规则**。
**使用命令行更新入站规则**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# 确定 AWS Transit Gateway 引用的安全组
要确定在连接到相同中转网关的 VPC 中的安全组规则中是否正在引用您的安全组,请使用以下命令之一。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# 删除过时的 AWS Transit Gateway 安全组规则
过时的安全组规则是指在同一 VPC 或连接到同一中转网关的 VPC 中引用已删除的安全组的规则。系统不会从您的安全组中自动移除过时的安全组规则,您必须手动删除它们。
您可以使用 Amazon VPC 控制台查看和删除某个 VPC 的过时安全组规则。
**查看和删除过时安全组规则**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Security Groups**(安全组)。
1. 选择 **Actions (操作)**、**Manage stale rules (管理过时规则)**。
1. 对于 **VPC**,请选择具有过时规则的 VPC。
1. 选择**编辑**。
1. 选择您希望删除的规则旁边的 **Delete**(删除)按钮。选择 **Preview changes (预览更改)**,然后选择 **Save rules (保存规则)**。
**使用命令行描述您的过时的安全组规则**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
找到过时的安全组规则后,您可以使用 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 或 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 命令将其删除。
# 排查 AWS Transit Gateway VPC 连接创建问题
以下主题可帮助您排查在创建 VPC 挂载时可能遇到的问题。
**问题**
VPC 挂载失败。
**原因**
原因可能是以下之一:
1. 正在创建 VPC 挂载的用户没有创建服务相关角色的适当权限。
1. 由于 IAM 请求太多而存在限制问题,例如,您正在使用 CloudFormation 创建权限和角色。
1. 该账户具有服务相关角色,并且服务相关角色已被修改。
1. 中转网关未处于 `available` 状态。
**解决方案**
根据原因,可以尝试以下操作:
1. 验证用户是否具有创建服务相关角色的适当权限。有关更多信息,请参阅 *IAM 用户指南*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。在用户获得权限后创建 VPC 挂载。
1. 手动创建 VPC 连接。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建 VPC 连接](create-vpc-attachment.md)。
1. 验证服务相关角色是否具有适当权限。有关更多信息,请参阅 [中转网关服务相关角色](service-linked-roles.md#tgw-service-linked-roles)。
1. 验证中转网关是否处于 `available` 状态。有关更多信息,请参阅 [在 AWS Transit Gateway 中查看中转网关信息](view-tgws.md)。