本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 T AWS ransit Gateway
您可以通过 Amazon VPC 控制台或 AWS CLI使用中转网关。有关为传输网关启用和管理加密支持的信息,请参阅[T AWS ransit Gateway 的加密支持](tgw-encryption-support.md)。
**Topics**
+ [共享中转网关](#transit-gateway-share)
+ [中转网关](tgw-transit-gateways.md)
+ [VPC 连接](tgw-vpc-attachments.md)
+ [网络功能连接](tgw-nf-fw.md)
+ [VPN 挂载](tgw-vpn-attachments.md)
+ [VPN 集中器附件](tgw-vpn-concentrator-attachments.md)
+ [将中转网关连接到 Direct Connect 网关](tgw-dcg-attachments.md)
+ [对等节点连接](tgw-peering.md)
+ [Connect 挂载和 Connect 对等节点](tgw-connect.md)
+ [中转网关路由表](tgw-route-tables.md)
+ [中转网关策略表](tgw-policy-tables.md)
+ [中转网关上的组播](tgw-multicast-overview.md)
+ [灵活的成本分配](metering-policy.md)
## 共享中转网关
您可以使用 Res AWS ource Access Manager (RAM) 在中跨账户或整个组织共享 VPC 附件的传输网关 AWS Organizations。必须启用 RAM,并与组织共享资源。有关更多信息,请参阅《*AWS RAM 用户指南*》中的[允许与 AWS Organizations共享资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
### 注意事项
如果要共享中转网关,请考虑以下因素。
+ 必须在拥有传输网关的同一个 AWS 账户中创建 AWS Site-to-Site VPN 附件。
+ Direct Connect 网关的连接使用传输网关关联,可以与 Direct Connect 网关位于同一个 AWS 账户中,也可以与 Direct Connect 网关位于不同的账户中。
默认情况下,用户无权创建或修改 AWS RAM 资源。要允许用户创建或修改资源和执行任务,您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。
仅资源拥有者能够执行以下操作:
+ 创建资源共享。
+ 更新资源共享。
+ 查看资源共享。
+ 查看您的账户在所有资源共享中共享的资源。
+ 在所有资源共享中查看您与其共享资源的委托人。通过查看您与其共享资源的委托人,您可以确定谁有权访问您共享的资源。
+ 删除资源共享。
+ 运行所有公交网关、中转网关连接和中转网关路由表 APIs。
您可以对与您共享的资源执行以下操作:
+ 接受或拒绝资源共享邀请。
+ 查看资源共享。
+ 查看您可以访问的共享资源。
+ 查看与您共享资源的所有委托人的列表。您可以查看他们与您共享的资源和资源共享。
+ 可以运行 `DescribeTransitGateways` API。
+ 运行用于创建和描述附件的,例如`CreateTransitGatewayVpcAttachment`和`DescribeTransitGatewayVpcAttachments`,在其中 VPCs。 APIs
+ 退出资源共享。
与您共享中转网关时,您无法创建、修改或删除其中转网关路由表或其中转网关路由表传播和关联。
在创建中转网关时,将在映射到您的账户并独立于其他账户的可用区中创建中转网关。如果中转网关和连接实体位于不同的账户中,请使用可用区 ID 唯一且一致地标识可用区。例如,use1-az1 是 us-east-1 区域的可用区 ID,它映射到每个账户中的相同位置。 AWS
### 取消共享中转网关
当共享拥有者取消共享中转网关时,以下规则适用:
+ Transit Gateway 连接保持正常工作。
+ 共享账户无法描述中转网关。
+ 中转网关拥有者和共享拥有者可以删除 Transit Gateway 连接。
当公交网关与另一个 AWS 账户取消共享时,或者如果与之共享公交网关的 AWS 账户已从组织中移除,则公交网关本身不会受到影响。
### 共享子网
仅 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。来自参与者资源的流量可以使用附件,具体取决于 VPC 所有者在共享 VPC 子网上设置的路由。
有关更多信息,请参阅《Amazon VPC 用户指南》中的 [与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)**。
# Transit Gateway 中的 AWS 公交
传输网关允许您连接 VPCs 和 VPN 连接并在它们之间路由流量。公交网关跨平台运行 AWS 账户,您可以使用 AWS RAM 公交网关与其他账户共享您的公交网关。在您与其他人共享公交网关后 AWS 账户,账户所有者可以将其 VPCs 连接到您的公交网关。任一账户的用户都可以随时删除此挂载。
您可以在中转网关上启用多播,然后创建一个中转网关多播域,允许通过与域关联的 VPC 挂载,将多播流量从多播源发送到多播组成员。
每个 VPC 或 VPN 挂载均与单个路由表关联。该路由表决定来自该资源挂载的流量的下一个跃点。传输网关内部的路由表允许同时使用 IPv4 或 IPv6 CIDRs 和目标。目标是 VPCs和 VPN 连接。当在中转网关上挂载 VPC 或创建 VPN 连接时,挂载与中转网关的默认路由表关联。
您可以在中转网关内创建其他路由表,并更改 VPC 或 VPN 与这些路由表的关联。这使您可以对网络进行分段。例如,您可以将开发 VPCs 与一个路由表相关联,将生产 VPCs与另一个路由表相关联。这使您能够在传输网关内创建隔离网络,类似于传统网络中的虚拟路由和转发 (VRFs)。
传输网关支持连接连接和 VPN 连接之间的动态 VPCs 和静态路由。您可以针对每个挂载启用或禁用路由传播。VPN 集中器连接仅支持 BGP(动态)路由。中转网关对等连接挂载仅支持静态路由。您可以将中转网关路由表中的路由指向对等节点连接,以便在对等传输网关之间路由流量。
您可以选择将一个或多个 IPv4 或 IPv6 CIDR 块与您的传输网关相关联。在为[中转网关 Connect 挂载](tgw-connect.md)建立中转网关 Connect 对等节点时,您可以从 CIDR 块中指定 IP 地址。您可以关联任何公有或私有 IP 地址范围,但 `169.254.0.0/16` 范围以及与您的 VPC 挂载和本地网络地址重叠的范围中的地址除外。有关 IPv4 和 IPv6 CIDR 块的更多信息,请参阅 *Amazon VPC 用户指南*中的 [IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)。
**Topics**
+ [创建中转网关](create-tgw.md)
+ [查看中转网关](view-tgws.md)
+ [管理中转网关的标签](tgw-tagging.md)
+ [修改中转网关](tgw-modifying.md)
+ [接受资源共享](share-accept-tgw.md)
+ [接受共享连接](acccept-tgw-attach.md)
+ [删除中转网关](delete-tgw.md)
+ [加密 Support](tgw-encryption-support.md)
# 在 Transit Gateway 中创建 AWS 公交网关
当您创建中转网关时,我们创建一个默认的中转网关路由表,并将其用作默认的关联路由表和默认的传播路由表。如果您选择不创建默认的中转网关路由表,则可以稍后创建一个。有关路由和路由表的更多信息,请参见 [路由](how-transit-gateways-work.md#tgw-routing-overview)。
**注意**
如果要在传输网关上启用加密支持,则无法在创建网关时启用加密支持。创建传输网关且其处于可用状态后,您可以对其进行修改以启用加密支持。有关更多信息,请参阅 [T AWS ransit Gateway 的加密支持](tgw-encryption-support.md)。
**使用控制台创建中转网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways**(中转网关)。
1. 选择 **Create Transit Gateway**(创建中转网关)。
1. 对于 **Name tag**(名称标签),(可选)输入中转网关的名称。名称标签可让您更轻松地确定网关列表中的特定网关。当您添加 **Name tag**(名称标签)时,将使用 **Name**(名称)键和与您输入的值相等的值创建一个标签。
1. 对于 **Description**(描述),(可选)输入中转网关的描述。
1. 对于 **Amazon side Autonomous System Number (ASN)**(Amazon 自治系统号 (ASN)),要么保留默认值以使用默认的 ASN,要么输入您中转网关的私有 ASN。这应该是边界网关协议 (BGP) 会话一 AWS 侧的 ASN。
16 位的范围为 64512 到 65534。 ASNs
32位的区间为42亿至4294967294。 ASNs
如果您有多区域部署,我们建议您为每个中转网关使用唯一的 ASN。
1. 要获**得 DNS 支持**,如果您需要 VPC 在从连接到传输网关的其他 VPC 中的实例进行查询时将公有 IPv4 DNS 主机名解析为私有 IPv4 地址,请选择此选项。
1. 要获得**安全组引用支持**,请启用此功能以引用 VPCs 连接到传输网关的安全组。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
1. 对于 **VPN ECMP support**(VPN ECMP 支持),如果您在 VPN 隧道之间需要等价多路径(ECMP) 路由支持,则选择此选项。如果连接通告相同 CIDRs,则流量将在它们之间平均分配。
在选择该选项时,公布的 BGP ASN 和 BGP 属性(如 AS 路径)必须相同。
**注意**
要使用 ECMP,必须创建使用动态路由的 VPN 连接。使用静态路由的 VPN 连接不支持 ECMP。
1. 对于 **Default route table association**(默认路由表关联),选择此选项以自动将中转网关连接与中转网关的默认路由表关联。
1. 对于 **Default route table propagation**(默认路由表传播),选择此选项以自动将中转网关连接传播到中转网关的默认路由表。
1. (可选)要使用中转网关作为多播流量的路由器,请选择 **Multicast support(多播支持)**。
1. (可选)在**Configure-cross-account 共享选项**部分,选择是否**自动接受共享附件**。如果已启用,则会自动接受连接。否则,必须接受或拒绝连接请求。
对于 **Auto accept shared attachments**(自动接受共享的连接),选择此选项以自动接受跨账户连接。
1. (可选)对于**公交网关 CIDR 块**,请为您的传输网关指定一个 IPv4 或多个 IPv6 CIDR 块。
您可以为指定大小为 /24 或更大的 CIDR 块(例如 /23 或 /22),也可以为 IPv4指定大小为 /64 或更大的 CIDR 块(例如 /63 或 /62)。 IPv6您可以关联任何公有或私有 IP 地址范围,但 169.254.0.0/16 范围以及与您的 VPC 连接和本地网络地址重叠的范围中的地址除外。
**注意**
如果您正在配置 Connect (GRE) 附件或 Private VPNs IP,则使用传输网关 CIDR 块。Transit Gateway IPs 为该范围内的隧道终端节点(GRE/PrivateIP VPN)进行分配。
1. 选择 **Create Transit Gateway**(创建中转网关)。
**要使用创建公交网关 AWS CLI**
使用 [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html) 命令。
# 在 AWS Transit Gateway 中查看中转网关信息
查看任一中转网关。
**使用控制台查看中转网关**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateways**(中转网关)。中转网关的详细信息显示在页面上的网关列表下方。
**使用AWS CLI查看中转网关**
使用 [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html) 命令。
# 在 AWS Transit Gateway 中管理中转网关标签
向资源添加标签以帮助整理和识别资源,例如,按用途、拥有者或环境。您可以向每个中转网关添加多个标签。每个中转网关的标签键必须是唯一的。如果您添加的标签中的键已经与中转网关关联,它将更新该标签的值。有关更多信息,请参阅[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
**使用控制台向中转网关添加标签**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateways**(中转网关)。
1. 选择要为其添加或编辑标签的中转网关。
1. 在页面的下面部分选择 **Tags(标签)** 选项卡。
1. 选择 **Manage tags(管理标签)**。
1. 选择 **Add new tag(添加新标签)**。
1. 输入标签的**键**和**值**。
1. 选择**保存**。
# 在 Transit Gateway 中修改 AWS 公交网关
您可以修改中转网关的配置选项。当您修改中转网关时,任何现有的中转网关连接都不会出现任何服务中断。
您无法修改他人与您共享的中转网关。
如果任何 IP 地址当前用于 [Connect 对等节点](tgw-connect.md),您将无法删除中转网关的 CIDR 块。
**注意**
启用了 Encryption Support 的公交网关可以连接到 VPCs 处于监控或强制模式的加密控件,也可以连接到未启用加密控制的公交 VPCs 网关。 VPCs 处于强制模式的加密控制只能连接到启用了加密支持的传输网关。
有关更多详细信息,请参阅 [T AWS ransit Gateway 的加密支持](tgw-encryption-support.md)。
**修改中转网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways(中转网关)**。
1. 选择要修改的中转网关。
1. 选择 **Actions**(操作)、**Modify Transit Gateways**(修改中转网关)。
1. 根据需要修改选项,然后选择 **Modify Transit Gateway(修改中转网关)**。
**要修改您的中转网关,请使用 AWS CLI**
使用 [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 命令。
# 使用 AWS Resource Access Manager 控制台接受 T AWS ransit Gateway 资源共享
如果已将您添加到资源共享,您将收到加入资源共享的邀请。您必须通过 AWS Resource Access Manager (AWS RAM) 控制台接受资源共享,然后才能访问共享的资源。
**接受资源共享**
1. 打开 AWS RAM 控制台,网址为[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)。
1. 在导航窗格中,依次选择**与我共享**和 **Resource shares (资源共享)**。
1. 选择资源共享。
1. 选择 **Accept resource share(接受资源共享)**。
1. 要查看共享的中转网关,请在 Amazon VPC 控制台中打开 **Transit Gateways(中转网关)** 页面。
# 在 AWS Transit Gateway 中接受共享连接
如果您在创建中转网关时未启用**自动接受共享连接**功能,则必须使用 Amazon VPC 控制台或 AWS CLI 手动接受跨账户(共享)连接。
**手动接受共享连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择等待接受的中转网关连接。
1. 选择 **Actions**(操作)、**Accept Transit Gateway attachment**(接受中转网关连接)。
**使用 AWS CLI 接受共享连接**
使用 [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html) 命令。
# 在 Transit Gateway 中删除 AWS 公交网关
您不能删除带有现有连接的中转网关。您需要先删除所有连接,然后才能删除中转网关。
**使用控制台删除中转网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 选择要删除的中转网关。
1. 选择 **Actions**(操作)、**Delete Transit Gateway**(删除中转网关)。输入 **delete** 然后选择 **Delete**(删除) 以确认删除。
**要使用删除公交网关 AWS CLI**
使用 [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html) 命令。
# T AWS ransit Gateway 的加密支持
加密控制允许您审计 VPC 中流量流的加密状态,然后对 VPC 内的所有流量强制执行 encryption-in-transit加密状态。当 VPC 加密控制处于强制模式时,该 VPC 中的所有弹性网络接口 (ENI) 都只能连接到支持 AWS Nitro 加密的实例;只有加密传输中数据的 AWS 服务才允许连接到加密控制实施的 VPC。有关 VPC 加密控制的更多信息,请参阅此[文档](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)。
## Transit Gateway 加密支持和 VPC 加密控制
Transit Gateway 上的加密支持允许你强制 encryption-in-transit VPCs连接到 Transit Gateway 之间的流量。您需要使用[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)命令在 Transit Gateway 上手动激活 Encryption Support 以加密两者之间的流量 VPCs。启用后,所有流量都将通过 Transit Gateway 在 “强制” 模式(不 VPCs 包含排除项)之间的 100% 加密链路之间穿行。您还可以通过启用了加密支持 VPCs 的 Transit Gateway 连接未开启加密控制或处于监控模式的 Transit Gateway。在这种情况下,Transit Gateway 可以保证对未在强制模式下运行的 VPC 中直到 Transit Gateway 连接的流量进行加密。除此之外,它还取决于在未以强制模式运行的 VPC 中将流量发送到的实例。
您只能为现有的公交网关添加加密支持,而不能在创建公交网关时添加加密支持。当 Transit Gateway 过渡到 “启用加密支持” 状态时,Transit Gateway 或附件将不会出现停机时间。迁移是无缝和透明的,不会丢弃任何流量。有关修改传输网关以添加 Encryption Support 的步骤,请参阅[修改中转网关](tgw-modifying.md#tgw-modifying.title)。
### 要求
在对传输网关启用加密支持之前,请确保:
+ 公交网关没有 Connect 附件
+ 公交网关没有对等连接附件
+ 传输网关没有 Network Firewall 附件
+ 传输网关没有 VPN 集中器附件
+ 传输网关未启用安全组引用
+ 传输网关未启用多播功能
### 加密 Support 状态
传输网关可以具有以下加密状态之一:
+ **启用**-传输网关正在启用加密支持。此过程最多可能需要 14 天才能完成。
+ **已启用**-传输网关已启用加密支持。您可以在强制执行加密控制的情况下创建 VPC 附件。
+ **禁用**-传输网关正在禁用加密支持。
+ **已禁用**-传输网关上已禁用加密支持。
### Transit Gateway 的
当传输网关启用了加密支持时,以下连接规则适用:
+ 当传输网关加密状态为**启用**或**禁用**时,您可以创建未处于加密控制强制或强制模式的 Direct Connect 附件、VPN 附件和 VPC 附件。
+ **启用传输网关加密状态后**,您可以在任何加密控制模式下创建 VPC、Direct Connect 附件、VPN 附件和 VPC 附件。
+ 当传输网关加密状态为**禁用**时,您无法在强制加密控制的情况下创建新的 VPC 附件。
+ 加密支持(Encryption Support)不支持 Connect 附件、对等连接附件、安全组引用和多播功能。
尝试创建不兼容的附件将失败,并出现 API 错误。
# T AWS ransit Gateway 中的亚马逊 VPC 附件
通过与传输网关的 Amazon Virtual Private Cloud (VPC) 连接,您可以将流量路由进出一个或多个 VPC 子网。将 VPC 连接到中转网关时,必须从每个可用区中指定一个子网,供中转网关用于路由流量。指定的子网作为中转网关流量的入口和出口点。只有当中转网关连接子网的路由表中配置了指向目标子网的适当路由时,流量才能到达同一可用区内其他子网中的资源。
**限制**
+ 将 VPC 挂载到中转网关时,可用区中没有中转网关挂载的任何资源无法到达中转网关。
**注意**
在已配置中转网关连接的可用区内,流量仅会从与该连接关联的特定子网转发至中转网关。如果子网路由表中存在指向中转网关的路由,则仅当满足以下条件时流量才会转发至中转网关:该中转网关在同一可用区内存在子网关联,且关联子网的路由表包含指向 VPC 内目标位置的正确路由。
+ 对于使用 Amazon Route 53 中的私有托管区域 VPCs设置的自定义 DNS 名称,传输网关不支持 DNS 解析。要为所有 VPCs 连接到传输网关的私有托管区域配置名称解析,请参阅使用 [Amazon Route 53 和 Tr AWS ansit Gateway 对混合云进行集中化 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)。
+ 如果某个范围内的某个 CIDR VPCs 与连接的 VPC 中的 CIDR 重叠 CIDRs,则传输网关不支持在两者之间进行路由。如果将 VPC 连接至中转网关时,其 CIDR 与已连接至该网关的其他 VPC 的 CIDR 相同或存在重叠,则新连接的 VPC 的路由不会传播至中转网关的路由表。
+ 您不能为驻留在本地区域中的 VPC 子网创建连接。但可以将网络配置为允许本地区域中的子网通过父可用区连接到中转网关。有关更多信息,请参阅[将 Local Zone 子网连接到中转网关](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)。
+ 您无法使用 IPv6仅限子网创建传输网关附件。传输网关连接子网还必须支持 IPv4 地址。
+ 在将中转网关添加到路由表之前,中转网关必须至少有一个 VPC 挂载。
## VPC 连接的路由表要求
中转网关的 VPC 连接需要特定的路由表配置才能正常工作:
+ **连接子网路由表**:与中转网关关联的子网必须为 VPC 内所有需要通过中转网关可达的目标位置配置路由表条目。这包括指向其他子网、互联网网关、NAT 网关和 VPC 端点的路由。
+ **目标子网路由表**:包含需要通过中转网关通信的资源的子网,必须拥有指向该中转网关的回程路由,以便返回外部目标位置的流量能够顺利返回。
+ **本地 VPC 流量**:中转网关连接不会自动启用同一 VPC 内子网之间的通信。标准 VPC 路由规则适用,且本地路由 (VPC CIDR) 必须存在于路由表中才能实现 VPC 内部通信。
**注意**
在同一可用区内未连接子网中配置路由不会启用流量传输。只有与传输网关连接关联的特定子网才能用作中转网关流量的 entry/exit 点。
## VPC 挂载生命周期
从请求发起开始,VPC 挂载会经历各个不同阶段。在每个阶段中,您都可以执行一些操作,在生命周期结束后,VPC 挂载仍会在 Amazon Virtual Private Cloud Console 和 API 或命令行输出中继续显示一段时间。
下图显示了挂载在单个账户配置或打开了**自动接受共享挂载**选项的跨账户配置中会经历的状态。
![\[VPC 挂载生命周期\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **待处理**:已发起了 VPC 挂载请求,正在进行配置。在此阶段,挂载可能会失败,也可能会变为 `available`。
+ **即将失败**:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 `failed`。
+ **失败**:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **可用**:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 `modifying`,也可以变为 `deleting`。
+ **正在删除**:正在删除 VPC 挂载。在此阶段,挂载可以变为 `deleted`。
+ **已删除**:已删除 `available` VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **正在修改**:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 `available`,也可以变为 `rolling back`。
+ **正在回滚**:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 `available`。
下图显示了挂载在**自动接受共享挂载**选项已关闭的跨账户配置中会经历的状态。
![\[已关闭 Auto accept shared attachments(自动接受共享挂载)功能的跨账户 VPC 挂载生命周期\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **等待接受**:VPC 挂载请求正在等待接受。在此阶段,挂载可以变为 `pending`、`rejecting` 或 `deleting`。
+ **正在拒绝**:正在拒绝 VPC 挂载。在此阶段,挂载可以变为 `rejected`。
+ **已拒绝**:`pending acceptance` VPC 挂载已被拒绝。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **待处理**:已接受 VPC 挂载并正在进行配置。在此阶段,挂载可能会失败,也可能会变为 `available`。
+ **即将失败**:VPC 挂载请求将会失败。在此阶段,VPC 挂载会变为 `failed`。
+ **失败**:VPC 挂载请求失败。在此状态下,无法删除 VPC 挂载。失败的 VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **可用**:VPC 挂载可用,流量可以在 VPC 和中转网关之间流动。在此阶段,挂载可以变为 `modifying`,也可以变为 `deleting`。
+ **正在删除**:正在删除 VPC 挂载。在此阶段,挂载可以变为 `deleted`。
+ **已删除**:已删除 `available` 或 `pending acceptance` VPC 挂载。当 VPC 挂载处于此状态时,无法对其进行修改。VPC 挂载仍会继续显示 2 小时,之后不再显示。
+ **正在修改**:已请求修改 VPC 挂载的属性。在此阶段,挂载可以变为 `available`,也可以变为 `rolling back`。
+ **正在回滚**:无法完成 VPC 挂载修改请求,系统正在撤消所做的任何更改。在此阶段,挂载可以变为 `available`。
## 设备模式
如果您计划在 VPC 中配置有状态的网络设备,则可以为在创建连接时该设备所在的 VPC 连接启用设备模式支持。这可确保 T AWS ransit Gateway 在源和目标之间的流量流的生命周期内为该 VPC 连接使用相同的可用区。它还允许中转网关将流量发送到 VPC 中的任何可用区,只要该区中存在子网关联。虽然设备模式仅支持 VPC 连接,但网络流量可来自任何其他中转网关连接类型,包括 VPC、VPN 和 Connect 连接。设备模式同样适用于源地址和目标地址跨不同 AWS 区域的网络流量。若您未在初始阶段启用设备模式,但后续编辑连接配置时启用了该模式,网络流量可能会在不同可用区之间重新平衡。您可通过控制台、命令行或 API 来启用或禁用设备模式。
T AWS ransit Gateway 中的设备模式在确定通过设备模式 VPC 的路径时,会考虑源和目标可用区,从而优化流量路由。这种方法有助于提高效率并降低延迟。具体行为因配置和流量模式而异。下面是一些示例场景。
### 场景 1:通过设备 VPC 进行可用区内流量路由
当流量从源可用区 us-east-1a 流向目标可用区 us-east-1a 时,若 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接,Transit Gateway 将从设备 VPC 内的 us-east-1a 选择一个网络接口。该可用区将在源与目标之间的整个流量流过程中保持不变。
### 场景 2:通过设备 VPC 进行跨可用区流量路由
对于从源可用区 us-east-1a 流向目标可用区 us-east-1b 的流量,当 us-east-1a 和 us-east-1b 均存在设备模式 VPC 连接时,Transit Gateway 会使用流量哈希算法,在设备 VPC 中选择 us-east-1a 或 us-east-1b。所选可用区将在流量生命周期内保持一致。
### 场景 3:通过无可用区数据的设备 VPC 进行流量路由
当流量从源可用区 us-east-1a 发往无可用区信息的目标位置(例如,面向 Internet 的流量),且设备模式 VPC 在 us-east-1a 和 us-east-1b 均有连接时,Transit Gateway 会从设备 VPC 内的 us-east-1a 选择一个网络接口。
### 场景 4:通过与源或目标不同的可用区中的设备 VPC 进行流量路由
当流量从源可用区 us-east-1a 流向目标可用区 us-east-1b 时,若设备模式的 VPC 连接位于不同可用区(例如,us-east-1c 和 us-east-1d),Transit Gateway 将使用流量哈希算法,在设备 VPC 中选择 us-east-1c 或 us-east-1d。所选可用区将在流量生命周期内保持一致。
**注意**
设备模式仅适用于 VPC 连接。确保与设备 VPC 连接关联的路由表已启用路由传播。
## 引用安全组
您可以使用此功能来简化安全组管理和控制连接到同一传输网关的 instance-to-instance流量。 VPCs 您只能在入站规则中交叉引用安全组。出站安全规则不支持安全组引用。启用或使用安全组引用不会产生额外费用。
安全组引用支持可同时配置于中转网关和中转网关 VPC 连接,且仅当中转网关及其所有 VPC 连接均已启用该功能时方可生效。
### 限制
在将安全组引用与 VPC 连接结合使用时,适用以下限制。
+ 跨中转网关对等连接不支持安全组引用。两者都 VPCs 必须连接到同一个传输网关。
+ 可用区 use1-az3 中的 VPC 连接不支持引用安全组。
+ PrivateLink 端点不支持引用安全组。我们建议将基于IP CIDR 的安全规则作为替代方案。
+ 只要在 VPC 中为 EFS 接口配置了允许所有出站流量的安全组规则,安全组引用机制对 Elastic File System (EFS) 同样有效。
+ 对于通过中转网关进行本地区域连接,仅支持以下本地区域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。
+ 对于 VPCs 位于不支持的本地区域、Outposts 和 Wavelength Zones 中的子网,我们建议在 VPC 连接级别禁用此功能 AWS ,因为这 AWS 可能会导致服务中断。
+ 如果您有检查 VPC,则通过传输网关引用的安全组不适用于跨网关 Load Balancer 或 AWS Net AWS work Firewall。
**Topics**
+ [VPC 连接的路由表要求](#vpc-attachment-routing-requirements)
+ [VPC 挂载生命周期](#vpc-attachment-lifecycle)
+ [设备模式](#tgw-appliancemode)
+ [引用安全组](#vpc-attachment-security)
+ [创建 VPC 连接](create-vpc-attachment.md)
+ [修改 VPC 连接](modify-vpc-attachment.md)
+ [修改 VPC 连接标签](modify-vpc-attachment-tag.md)
+ [查看 VPC 连接](view-vpc-attachment.md)
+ [删除 VPC 挂载](delete-vpc-attachment.md)
+ [更新安全组入站规则](tgw-sg-updates-update.md)
+ [确定引用的安全组](tgw-sg-updates-identify.md)
+ [删除过时的安全组规则](tgw-sg-updates-stale.md)
+ [排查 VPC 连接问题](transit-gateway-vpc-attach-troubleshooting.md)
# 在 AWS Transit Gateway 中创建 VPC 连接
**使用控制台创建 VPC 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
1. 对于 **Name tag**(名称标签),可选择是否输入中转网关连接的名称。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。您可以选择自己拥有的中转网关或与您共享的中转网关。
1. 对于 **Attachment type(连接类型)**,选择 **VPC**。
1. 选择是否启用 **DNS 支持**、**IPv6 支持**和**设备模式支持**。
如果选择的是设备模式,源和目标之间的流量将在该流的生命周期内,为 VPC 连接使用相同的可用区。
1. 选择是否启用**安全组引用支持**。启用此功能在连接到中转网关的不同 VPC 之间引用一个安全组。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
1. 选择是否启用 **IPvv6 支持**。
1. 对于 **VPC ID**,选择要附加到中转网关的 VPC。
此 VPC 必须至少有一个子网与其关联。
1. 对于 **Subnet IDs(子网 ID)**,为中转网关要用于路由流量的每个可用区域选择一个子网。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关挂载)。
**使用 AWS CLI 创建 VPC 连接**
使用 [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html) 命令。
# 在 T AWS ransit Gateway 中修改 VPC 附件
**使用控制台修改 VPC 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 VPC 连接,然后依次选择 **Actions**(操作) 和 **Modify Transit Gateway attachment**(修改中转网关连接)。
1. 启用或禁用以下任一选项:
+ **DNS 支持**
+ **IPv6 支持**
+ **设备模式支持**
1. 要添加或删除连接中的子网,请选中或取消选中想要添加或删除的**子网 ID** 旁边的复选框。
**注意**
当连接处于正在修改状态时,添加或修改 VPC 连接子网可能会影响数据流量。
1. 要能够引用 VPCs 连接到传输网关的安全组,请选择**安全组引用支持**。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
**注意**
如果您为现有中转网关禁用安全组引用,则所有 VPC 连接都将禁用安全组引用。
1. 选择 **Modify Transit Gateway attachment**(修改中转网关连接)。
**要修改您的 VPC 附件,请使用 AWS CLI**
使用 [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html) 命令。
# 在 AWS Transit Gateway 中修改 VPC 连接标签
**使用控制台修改 VPC 连接标签**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 VPC 连接,然后选择 **Actions**(操作)、**Manage tags**(管理标签)。
1. [添加标签]选择**添加新标签**,然后执行以下操作:
+ 对于 **Key(键)**,输入键名称。
+ 对于 **Value(值)**,输入键值。
1. [删除标签]在标签旁,选择 **Remove(删除)**。
1. 选择**保存**。
仅可使用控制台修改 VPC 连接标签。
# 在 AWS Transit Gateway 中查看 VPC 连接
**使用控制台查看 VPC 挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关挂载)**。
1. 在 **Resource type**(资源类型)栏,寻找 **VPC**。这些是 VPC 挂载。
1. 选择挂载以查看其详细信息。
**使用 AWS CLI 查看 VPC 连接**
使用 [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) 命令。
# 在 AWS Transit Gateway 中删除 VPC 连接
**使用控制台删除 VPC 挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关挂载)**。
1. 选择 VPC 挂载。
1. 选择 **Actions**(操作)、**Delete Transit Gateway attachment**(删除中转网关挂载)。
1. 当系统提示时,输入 **delete**,然后选择 **Delete**(删除)。
**使用 AWS CLI 删除 VPC 连接**
使用 [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html) 命令。
# 更新 AWS Transit Gateway 安全组入站规则
您可以更新与传输网关关联的任何入站安全组规则。您可以使用 Amazon VPC 控制台或使用命令行或 API 更新安全组规则。有关安全组引用的更多信息,请参阅 [引用安全组](tgw-vpc-attachments.md#vpc-attachment-security)。
**使用控制台更新安全组规则**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Security groups**(安全组)。
1. 选择安全组,选择**操作**、**编辑入站规则**,修改入站规则。
1. 要添加规则,请选择**添加规则**,然后指定类型、协议和端口范围。对于**源**(入站规则),输入与中转网关连接的 VPC 中安全组的 ID。
**注意**
与中转网关连接的 VPC 中的安全组不会自动显示。
1. 要编辑现有的规则,请更改其值(例如,源或描述)。
1. 要删除规则,请选择该规则旁的**删除**。
1. 选择**保存规则**。
**使用命令行更新入站规则**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# 确定 AWS Transit Gateway 引用的安全组
要确定在连接到相同中转网关的 VPC 中的安全组规则中是否正在引用您的安全组,请使用以下命令之一。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# 删除过时的 AWS Transit Gateway 安全组规则
过时的安全组规则是指在同一 VPC 或连接到同一中转网关的 VPC 中引用已删除的安全组的规则。系统不会从您的安全组中自动移除过时的安全组规则,您必须手动删除它们。
您可以使用 Amazon VPC 控制台查看和删除某个 VPC 的过时安全组规则。
**查看和删除过时安全组规则**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Security Groups**(安全组)。
1. 选择 **Actions (操作)**、**Manage stale rules (管理过时规则)**。
1. 对于 **VPC**,请选择具有过时规则的 VPC。
1. 选择**编辑**。
1. 选择您希望删除的规则旁边的 **Delete**(删除)按钮。选择 **Preview changes (预览更改)**,然后选择 **Save rules (保存规则)**。
**使用命令行描述您的过时的安全组规则**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
找到过时的安全组规则后,您可以使用 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 或 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 命令将其删除。
# 排查 AWS Transit Gateway VPC 连接创建问题
以下主题可帮助您排查在创建 VPC 挂载时可能遇到的问题。
**问题**
VPC 挂载失败。
**原因**
原因可能是以下之一:
1. 正在创建 VPC 挂载的用户没有创建服务相关角色的适当权限。
1. 由于 IAM 请求太多而存在限制问题,例如,您正在使用 CloudFormation 创建权限和角色。
1. 该账户具有服务相关角色,并且服务相关角色已被修改。
1. 中转网关未处于 `available` 状态。
**解决方案**
根据原因,可以尝试以下操作:
1. 验证用户是否具有创建服务相关角色的适当权限。有关更多信息,请参阅 *IAM 用户指南*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。在用户获得权限后创建 VPC 挂载。
1. 手动创建 VPC 连接。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建 VPC 连接](create-vpc-attachment.md)。
1. 验证服务相关角色是否具有适当权限。有关更多信息,请参阅 [中转网关服务相关角色](service-linked-roles.md#tgw-service-linked-roles)。
1. 验证中转网关是否处于 `available` 状态。有关更多信息,请参阅 [在 AWS Transit Gateway 中查看中转网关信息](view-tgws.md)。
# AWS Transit Gateway 网络功能连接
您可以创建网络功能连接,将您的重装网关直接连接至 AWS Network Firewall。这样就无需创建和管理检查 VPC。
通过防火墙连接,AWS 会在后台自动配置和管理所有必需资源。您将看到新的中转网关连接,而不是单个防火墙端点。这简化了实施集中式网络流量检查的过程。
在使用防火墙连接之前,您必须先在 AWS Network Firewall 中创建该连接。有关创建连接的步骤,请参阅*《AWS Network Firewall 开发人员指南》*中的 [AWS Network Firewall 管理入门](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)。创建防火墙连接后,您可以在 Transit Gateway 控制台的**连接**部分下查看连接。该连接将以**网络功能**类型列出。
**Topics**
+ [接受或拒绝中转网关网络功能连接](accept-reject-firewall-attachment.md)
+ [查看网络功能连接](view-nf-attachment-nm.md)
+ [通过中转网关网络功能连接来路由流量](route-traffic-nf-attachment.md)
# 接受或拒绝 Tr AWS ansit Gateway 网络功能附件
您可以使用 Amazon VPC 控制台或 AWS Network Firewall CLI 或 API 来接受或拒绝传输网关网络功能附件,包括 Network Firewall 附件。如果您是中转网关的所有者,并且有人从另一个账户向您的中转网关创建了防火墙连接,则您需要接受或拒绝连接请求。
要使用 Network Firewall CLI 接受或拒绝网络功能附件,请参阅 [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)中的`AcceptNetworkFirewallTransitGatewayAttachment`或。
## 使用控制台来接受或拒绝网络功能连接
使用 Amazon VPC 控制台来接受或拒绝中转网关网络功能连接。
**要使用控制台来接受或拒绝网络功能连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways(中转网关)**。
1. 选择**中转网关连接**。
1. 选择状态为**待接受**且类型为**网络功能**的连接。
1. 选择**操作**,然后选择**接受连接**或者**拒绝连接**。
1. 在确认对话框中,选择**接受**或**拒绝**。
如果您接受连接,它就会变为“活动”状态,并且防火墙可以检查流量。如果您拒绝连接,则该连接将进入“已拒绝”状态,最终将被删除。
# 查看 AWS 公交 Gateway 网络功能附件
您可以使用 Amazon VPC 控制台或网络管理器控制台查看您的网络功能 AWS Network Firewall 附件,包括您的附件,以直观地呈现您的网络拓扑。
## 使用 Network Manager 控制台来查看网络功能连接
您可以使用 Network Manager 控制台来查看网络功能连接。
**在 Network Manager 中查看防火墙连接**
1. 在家中打开网络管理器控制台 [https://console.aws.amazon.com/networkmanager//](https://console.aws.amazon.com/networkmanager/home)。
1. 如果您还没有全局网络,请在 Network Manager 中创建一个。
1. 使用 Network Manager 来注册您的中转网关。
1. 在**全局网络**下,选择连接所在的全局网络。
1. 在导航窗格中,选择 **Transit gateways(中转网关)**。
1. 选择您要查看连接的中转网关。
1. 选择**拓扑树**视图。Network Firewall 连接会显示网络功能图标。
1. 要查看有关特定防火墙连接的详细信息,请在“拓扑”视图中“选择中转网关”,然后选择**网络功能**选项卡。
Network Manager 控制台提供有关您防火墙连接的详细信息,包括其状态、关联中转网关和可用区。
## 使用 Amazon VPC 控制台来查看网络功能连接
使用 VPC 控制台来查看您的中转网关连接类型的列表。
**要使用 VPC 控制台来查看中转网关连接类型**
+ 请参阅[查看 VPC 连接](view-vpc-attachment.md)。
# 通过 Transi AWS t Gateway 网络功能附件路由流量
创建网络功能连接后,您需要更新您的中转网关路由表,以便使用 Amazon VPC 控制台或 CLI,通过防火墙发送流量进行检查。有关更新中转网关路由表关联的步骤,请参阅 [关联中转网关路由表](associate-tgw-route-table.md)。
## 使用控制台通过防火墙连接来路由流量
使用 Amazon VPC 控制台,通过中转网关网络功能连接来路由流量。
**要使用控制台通过网络功能连接来路由流量**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways(中转网关)**。
1. 选择**中转网关路由表**。
1. 选择要修改的路由表。
1. 选择**操作**,然后选择**创建静态路由**。
1. 对于 **CIDR**,请输入该路由的目标 CIDR 数据块。
1. 对于**连接**,请选择“网络功能连接”。例如,这可能是 AWS Network Firewall 附件。
1. 选择 **Create static route**(创建静态路由)。
**注意**
仅支持静态路由。
路由表中匹配该 CIDR 数据块的流量,现在将被发送到防火墙连接进行检查,然后再转发至最终目标位置。
## 使用 CLI 或 API 通过网络功能连接来路由流量
使用命令行或 API 来路由中转网关网络功能连接。
**要使用命令行或 API 通过网络功能连接来路由流量**
+ 使用 [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)。
例如,该请求可能是路由网络防火墙连接:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
输出随后返回:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
路由表中匹配该 CIDR 数据块的流量,现在将被发送到防火墙连接进行检查,然后再转发至最终目标位置。
# AWS Site-to-Site VPN 在 T AWS ransit Gateway
您可以在 Transit Gateway 中将 Site-to-Site VPN 附件连接到 Transit Gateway 中的 AWS 传输网关,从而连接您的网络 VPCs 和本地网络。支持动态和静态路由,还支持 IPv4 和 IPv6。
**要求**
+ 将 VPN 连接连接到中转网关需要指定 VPN 客户网关,必须指定具有特定设备要求的 VPN 客户网关。在创建 Site-to-Site VPN 连接之前,请查看客户网关要求以确保您的网关设置正确。有关这些要求的更多信息(包括网关配置文件示例),请参阅*《AWS Site-to-Site VPN 用户指南》*[中的 Site-to-Site VPN 客户网关设备的要求](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)。
+ 对于静态路由 VPNs,您还需要先将静态路由添加到公交网关路由表中。VPN 不会过滤传输网关路由表中以 VPN 连接为目标的静态路由,因为在使用基于 BGP 的 Site-to-Site VPN 时,这可能会允许意外的出站流量流动。请参阅 [创建静态路由](tgw-create-static-route.md),了解将静态路由添加到中转网关路由表的步骤。
您可以使用 Amazon VPC 控制台或 AWS CLI 创建、查看或删除传输网关 VP Site-to-Site N 附件。
**Topics**
+ [创建与 VPN 的中转网关连接](create-vpn-attachment.md)
+ [查看 VPN 连接](view-vpn-attachment.md)
+ [删除 VPN 连接](delete-vpn-attachment.md)
# 在 AWS Transit Gateway 中创建与 VPN 的中转网关连接
**使用控制台创建 VPN 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。您可以选择自己拥有的中转网关。
1. 对于 **Attachment type(连接类型)**,选择 **VPN**。
1. 对于**客户网关**,执行以下操作之一:
+ 要使用现有的客户网关,选择 **Existing(现有)**,然后选择要使用的网关。
如果您的客户网关位于为 NAT 遍历(NAT-T) 而启用的网络地址转换(NAT) 设备后面,请使用您的 NAT 设备的公有 IP 地址,并调整防火墙规则以取消阻止 UDP 端口 4500。
+ 要创建客户网关,选择 **New(新建)**,然后对于 **IP 地址**,键入静态 IP 地址和 **BGP ASN**。
对于 **Routing options(路由选项)**,选择是使用 **Dynamic(动态)** 还是 **Static(静态)**。有关更多信息,请参阅《AWS Site-to-Site VPN 用户指南》**中的 [Site-to-Site VPN 路由选项](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html)。
1. 对于 **Tunnel Options**(隧道选项),请为隧道输入 CIDR 范围和预共享密钥。有关更多信息,请参阅 [Site-to-Site VPN 架构](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关挂载)。
**使用 AWS CLI 创建 VPN 连接**
使用 [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) 命令。
# 在 AWS Transit Gateway 中查看 VPN 连接
**使用控制台查看 VPN 挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关挂载)**。
1. 在 **Resource type**(资源类型) 栏,寻找 **VPN**。这些是 VPN 挂载。
1. 选择挂载以查看其详细信息或添加标签。
**使用 AWS CLI 查看 VPN 连接**
使用 [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 命令。
# 在 AWS Transit Gateway 中删除 VPN 连接
**使用控制台删除 VPN 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 VPN 连接。
1. 选择 VPN 连接的资源 ID 以导航到 **VPN 连接**页。
1. 依次选择 **Actions(操作)** 和 **Delete(删除)**。
1. 当系统提示进行确认时,选择 **Delete(删除)**。
**使用 AWS CLI 删除 VPN 连接**
使用 [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) 命令。
# Tr AWS ansit Gateway 中的 VPN 集中器连接
AWS Site-to-Site VPN 集中器是一项新功能,可简化分布式企业的多站点连接。VPN 集中器适用于需要连接 25 个以上远程站点 AWS、每个站点都需要低带宽(低于 100 Mbps)的客户。
## VPN 集中器的工作原理
VPN 集中器在您的传输网关上显示为单个附件,但可以托管多个 Site-to-Site VPN 连接。
来自集中器上所有 VPN 连接的流量通过同一个传输网关连接进行路由,这样您就可以在所有连接的站点上应用一致的路由策略和安全规则。集中器与传输网关路由表无缝集成,使您能够控制远程站点与其他附件(例如 VPCs其他 VPN 连接和对等连接)之间的流量。
## VPN 集中器的好处
+ **成本优化**:通过将多个低带宽 VPN 连接整合到单个传输网关连接上来降低成本,这在单个站点不需要完整的 VPN 连接容量时尤其有用。
+ **简化管理**:通过统一的连接管理多个远程站点连接,同时保持单个 VPN 连接的控制和监控。
+ **一致路由**:通过单个公交网关路由表关联在所有连接的站点上应用统一的路由策略。
+ **可扩展架构**:使用单个集中器连接多达 100 个远程站点,每个传输网关最多支持 5 个集中器。
+ **标准 VPN 功能**:每个 VPN 连接都支持与标准 Site-to-Site VPN 连接相同的安全、监控和路由功能。
**要求和限制**
+ **仅限 BGP 路由**:VPN 集中器仅支持 BGP(动态)路由。启动时不支持静态路由。
+ **客户网关要求**:每个远程站点都需要一个支持 BGP 路由的客户网关。在集中器上创建 VPN 连接之前,[请查看《*AWS Site-to-Site VPN 用户指南》*中 Site-to-Site VPN 客户网关设备要求中的客户网关要求](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)。
+ **性能注意事项**:集中器上的每个 VPN 连接的最大带宽均为 100 Mbps。如需更高的带宽要求,请考虑使用标准传输网关 VPN 附件。
您可以使用 VP AWS C 控制台或 AWS CLI 创建、查看或删除 VPN 集中器连接。集中器上的各个 VPN 连接通过标准 VPN 连接 APIs 和控制台接口进行管理。
**Topics**
+ [VPN 集中器的工作原理](#vpn-concentrator-how-it-works)
+ [VPN 集中器的好处](#vpn-concentrator-benefits)
+ [创建 VPN 集中器连接](create-vpn-concentrator-attachment.md)
+ [查看 VPN 集中器附件](view-vpn-concentrator-attachment.md)
+ [删除 VPN 集中器附件](delete-vpn-concentrator-attachment.md)
# 在 Tr AWS ansit Gateway 中创建 VPN 集中器连接
**先决条件**
+ 您的账户中必须有一个现有的公交网关。
**使用控制台创建 VPN 集中器连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格上,选择 **Site-to-Site VPN 集中器。**
1. 选择**创建 Site-to-Site VPN 集中器**。
1. (可选)在**名称标签**中,输入您的 Site-to-Site VPN 集中器的名称。
1. 对于**公交网关**,请选择现有的公交网关。
1. (可选)要添加其他标签,请选择**添加新标签**并为每个标签指定密钥和值。
1. 选择**创建 Site-to-Site VPN 集中器**。
**创建 VPN 集中器连接后,它会出现在附件列表中,其资源类型为 **VPN 集中器**,初始状态为 “待定”。**附件准备就绪后,状态将更改为 “可**用**”。然后,您可以在此集中器上创建 Site-to-Site VPN 连接。
**使用创建 VPN 集中器连接 AWS CLI**
使用 [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html) 命令。
**使用控制台在 VPN 集中器上创建 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格上,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. 对于**目标网关类型**,选择 **Site-to-Site VPN 集中器**。
1. 对于 **Site-to-Site VPN 集中器**,选择要在其中创建 VPN 连接的 VPN 集中器。
1. 对于**客户网关**,执行以下操作之一:
+ 要使用现有的客户网关,选择 **Existing(现有)**,然后选择要使用的网关。确保客户网关支持 BGP 路由。
+ 要创建客户网关,请选择**新建**。在 **IP 地址**中,输入您的客户网关设备的静态公有 IP 地址。对于 **BGP** ASN,请输入您的客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。
如果您的客户网关位于为 NAT 遍历(NAT-T) 而启用的网络地址转换(NAT) 设备后面,请使用您的 NAT 设备的公有 IP 地址,并调整防火墙规则以取消阻止 UDP 端口 4500。
1. 对于**路由选项**,将自动选择**动态(需要 BGP)**。VPN 集中器仅支持通过 BGP 进行动态路由。
1. 对于**预共享密钥存储**,请选择**标准**或 Secr **ets Manager**。
1. 对于**隧道带宽**,将自动选择**标准**。VPN 集中器仅支持标准隧道带宽。
1. 对于 **IP 内部隧道版本**,请选择**IPv4**或**IPv6**。
1. (可选)选择**启用加速**以提高 VPN 隧道的性能。
1. (可选)对于**本地 IPv4 网络 CIDR**,请提供 IPv4 CIDR 范围。
1. (可选)对于**远程 IPv4 网络 CIDR**,请提供 IPv4 CIDR 范围。
1. 对于**外部 IP 地址类型**,您可以选择 “**公**用” IPv4 或 “**IPv6**地址”。
1. (可选)对于**隧道选项**,您可以配置隧道设置,例如隧道内部 IP 地址和预共享密钥。有关更多信息,请参阅《*AWS Site-to-Site VPN 用户指南》*中的 [Site-to-Site VPN 架构](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)。
1. (可选)要添加其他标签,请选择**添加新标签**并为每个标签指定密钥和值。
1. 选择**创建 VPN 连接**。
VPN 连接出现在 VPN 连接列表中,在 Tr **ansit Gateway ID 列中具有 VPN 集中器 ID**,初始状态为 “**待定**”。当 VPN 连接准备就绪时,状态将更改为 “可**用**”。
**要在 VPN 集中器上创建 VPN 连接,请使用 AWS CLI**
使用[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)命令并使用`--vpn-concentrator-id`参数指定 VPN 集中器 ID。
# 在 Tr AWS ansit Gateway 中查看 VPN 集中器附件
**使用控制台查看 VPN 集中器附件**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 在**资源类型**列中,查找 **VPN 集中器**。这些是 VPN 集中器附件。
1. 选择挂载以查看其详细信息。
**使用控制台查看 VPN 集中器上的 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格上,选择 **Site-to-Site VPN 连接**。
1. 在 VPN 连接列表中,标识在 Tr **ansit Gateway ID 列中显示 VPN 集中器 ID** 的连接。这些是 VPN 集中器上托管的 VPN 连接。
1. 选择 VPN 连接以查看其详细信息。
**要查看您的 VPN 集中器附件,请使用 AWS CLI**
使用[describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html)命令查看 VPN 集中器详细信息,或使用带有资源类型`vpn-concentrator`筛选器的[describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)命令。
**使用查看 VPN 集中器上的 VPN 连接 AWS CLI**
使用带过滤器的[describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)命令查看`vpn-concentrator-id`与特定集中器关联的 VPN 连接。
# 删除 Tr AWS ansit Gateway 中的 VPN 集中器附件
**先决条件**
+ 必须先删除 VPN 集中器上的所有 VPN 连接,然后才能删除集中器附件。
+ 确保已更新路由配置,以考虑 VPN 集中器及其关联的 VPN 连接的移除情况。
**使用控制台删除 VPN 集中器上的 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格上,选择 **Site-to-Site VPN 连接**。
1. 在 Tr **ansit Gatew** ay ID 列中查找 VPN 集中器 ID,识别与您的 VPN 集中器关联的 VPN 连接。
1. 选择要删除的 VPN 连接。
1. 依次选择 **Actions(操作)** 和 **Delete(删除)**。
1. 当系统提示进行确认时,选择 **Delete(删除)**。
1. 对与 VPN 集中器关联的每个 VPN 连接重复步骤 4-6。
**使用控制台删除 VPN 集中器连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择要删除的 VPN 集中器附件。确认没有 VPN 连接与此集中器关联。
1. 选择**操作**,**删除附件**。
1. 当系统提示进行确认时,选择 **Delete(删除)**。
VPN 集中器连接进入**删除**状态,并将从您的帐户中删除。此过程可能需要几分钟才能完成。
**要删除 VPN 集中器上的 VPN 连接,请使用 AWS CLI**
对与 VPN 集中器关联的每个 VPN 连接使用该[delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)命令。
**要删除 VPN 集中器连接,请使用 AWS CLI**
在删除所有 VPN 连接后使用该[delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html)命令。
# AWS Transit Gateway 中与 Direct Connect 网关的中转网关连接
使用中转虚拟接口将中转网关连接到 Direct Connect 网关。此配置提供以下好处。您可以:
+ 对于同一区域中的多个 VPC 或 VPN,只需管理一个连接。
+ 在本地至 AWS 之间与 AWS 至本地之间公布前缀。
下图说明如何通过 Direct Connect 网关创建一条可供您的所有 VPC 使用的到 Direct Connect 连接的单一连接。
![\[连接到中转网关的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/direct-connect-tgw.png)
此解决方案包含以下组件:
+ 中转网关。
+ 一个 Direct Connect 网关。
+ Direct Connect 网关与中转网关之间的关联。
+ 连接到 Direct Connect 网关的中转虚拟接口。
有关使用中转网关配置 Direct Connect 网关的信息,请参阅 *AWS Direct Connect 用户指南*中的[中转网关关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。
# AWS Transit Gateway 中的中转网关对等连接
您可以使区域内和区域间中转网关对等并在它们之间路由流量,包括 IPv4 和 IPv6 流量。为此,请在您的中转网关上创建对等连接,然后指定中转网关。对等中转网关可以位于您的账户,也可以来自其他账户。您也可以请求将对等连接从自己的账户发送到另一个账户的中转网关。
创建对等连接连接请求后,对等中转网关(也称为*接受方中转网关*)的拥有者必须接受该请求。要在中转网关之间路由流量,请向中转网关路由表添加一个指向中转网关对等连接的静态路由。
我们建议为每个对等中转网关使用唯一 ASN,以利用以后的路由传播功能。
中转网关对等连接不支持在另一个地区使用 Amazon Route 53 Resolver 的中转网关对等连接连接任一端的各 VPC 中将公有或私有 IPv4 DNS 主机名解析为私有 IPv4 地址。有关 Route 53 解析器的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[什么是 Route 53 解析器?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。
区域间网关对等连接使用与 VPC 对等连接相同的网络基础设施。因此,当流量在区域之间传输时,在虚拟网络层将使用 AES-256 加密技术进行加密。在其经过超出 AWS 物理控制范围的网络链路时,也会在物理层使用 AES-256 加密技术进行加密。因此,当流量位于超出 AWS 物理控制范围的网络链路时,将会进行双重加密。在同一区域内时,流量将仅在其经过超出 AWS 物理控制范围的网络链路时进行物理层加密。
有关哪些区域支持中转网关对等连接的信息,请参阅 [AWS Transit Gateway 常见问题](https://aws.amazon.com/transit-gateway/faqs/)。
## 选择加入 AWS 区域注意事项
您可以跨选择加入的区域边界对等连接中转网关。有关这些区域以及如何选择加入的详细信息,请参阅[管理 AWS 区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。在这些区域中使用中转网关对等连接时,请考虑以下事项:
+ 只要接受对等连接连接的账户已选择加入该区域,您就可以对等进入选择加入的区域。
+ 无论区域选择加入的状态如何,AWS 都会与接受对等连接连接的账户共享以下账户数据:
+ AWS 账户 ID
+ 中转网关 ID
+ 区域代码
+ 删除中转网关连接时,上述账户数据将被删除。
+ 我们建议您在选择退出该区域之前删除中转网关对等连接连接。如果不删除对等连接连接,流量可能会继续通过连接,并继续产生费用。如果您不删除连接,则可以选择重新加入,然后删除连接。
+ 通常情况下,中转网关有发送人付款模式。通过跨选择加入边界使用中转网关对等连接连接,您可能会在接受连接的区域(包括您尚未选择加入的区域)中产生费用。有关更多信息,请参阅 [AWS Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/)。
**Topics**
+ [选择加入 AWS 区域注意事项](#opt-in-considerations)
+ [创建对等连接](tgw-peering-create.md)
+ [接受或拒绝对等节点连接请求](tgw-peering-accept-reject.md)
+ [将路由添加到中转网关路由表](tgw-peering-add-route.md)
+ [删除对等连接挂载](tgw-peering-delete.md)
# 在 AWS Transit Gateway 中创建对等连接
在开始之前,请确保您获得了所要连接的中转网关的 ID。如果中转网关位于另一个 AWS 账户 中,则请确保您具有中转网关拥有者的 AWS 账户 ID。创建对等挂载后,接受方中转网关的拥有者必须接受或拒绝挂载请求。
**使用控制台创建对等连接挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments(中转网关连接)**。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。您可以选择自己拥有的中转网关。与您共享的中转风关不能用于对等节点。
1. 对于 **Attachment type (挂载类型)**,选择 **Peering Connection (对等连接)**。
1. (可选)输入挂载的名称标签。
1. 对于 **Account (账户)**,执行以下操作之一:
+ 如果中转网关在您的账户中,请选择 **My account (我的账户)**。
+ 如果中转网关位于其他 AWS 账户 中,则请选择“其他账户”****。对于 **Account ID (账户 ID)**,输入 AWS 账户 ID。
1. 对于 **Region (区域)**,选择中转网关所在的区域。
1. 对于 **Transit gateway ID (accepter)** (中转网关 ID(接受方)),输入您希望连接的中转网关的 ID。
1. 选择 **Create Transit Gateway Attachment** (创建中转网关挂载)。
**使用 AWS CLI 创建对等连接**
使用 [create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html) 命令。
# 在 AWS Transit Gateway 中接受或拒绝对等连接请求。
创建后,转发网关对等连接会自动处于 `pendingAcceptance` 状态,并无限期保持此状态,直至被接受或拒绝。要激活对等连接,接受方中转网关的所有者必须接受对等连接请求,即使两个中转网关位于同一账户中。接受来自接受方中转网关所在区域的对等连接挂载请求。或者,如果您拒绝对等连接,则必须拒绝来自接受方中转网关所在区域的请求。
**使用控制台接受对等连接挂载请求**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments (中转网关挂载)**。
1. 选择等待接受的中转网关对等挂载。
1. 选择 **Actions** (操作)、**Accept transit gateway attachment** (接受中转网关挂载)。
1. 将静态路由添加到中转网关路由表中。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建静态路由](tgw-create-static-route.md)。
**使用控制台拒绝对等连接挂载请求**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments (中转网关挂载)**。
1. 选择等待接受的中转网关对等挂载。
1. 选择 **Actions** (操作)、**Reject transit gateway attachment** (拒绝中转网关挂载)。
**使用 AWS CLI 接受或拒绝对等连接**
使用 [accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) 和 [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html) 命令。
# 使用 AWS Transit Gateway 向公交网关路由表添加路由
要在对等中转网关之间路由流量,必须向中转网关路由表添加一个指向中转网关对等连接挂载的静态路由。接受方中转网关的拥有者还必须向其中转网关的路由表添加静态路由。
**使用控制台创建静态路由**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要为其创建路由的路由表。
1. 选择 **Actions** (操作)、**Create static route** (创建静态路由)。
1. 在 **Create static route** (创建静态路由) 页面上,输入为其创建路由的 CIDR 块。例如,指定连接到对等中转网关的 VPC 的 CIDR 块。
1. 选择路由的对等连接挂载。
1. 选择 **Create static route** (创建静态路由)。
**要使用创建静态路由 AWS CLI**
使用 [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 命令。
**重要**
创建路由后,中转网关对等连接必须已与中转网关路由表关联。有关更多信息,请参阅 [在 AWS Transit Gateway 中关联中转网关路由表](associate-tgw-route-table.md)。
# 在 AWS Transit Gateway 中删除对等连接
您可以删除中转网关对等挂载。任何一个中转网关的拥有者都可以删除挂载。
**使用控制台删除对等连接挂载**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Attachments (中转网关挂载)**。
1. 选择中转网关对等挂载。
1. 选择 **Actions** (操作)、**Delete transit gateway attachment** (删除中转网关挂载)。
1. 输入 **delete**,然后选择 **Delete** (删除)。
**使用 AWS CLI 删除对等连接**
使用 [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html) 命令。
# 在 T AWS ransit Gateway 中连接附件和连接对等体
您可以创建*中转网关 Connect 挂载*,以便在 VPC 中运行的中转网关和第三方虚拟设备(例如 SD-WAN 设备)之间建立连接。Connect 挂载支持通用路由封装 (GRE) 隧道协议以实现高性能,支持边界网关协议 (BGP) 以实现动态路由。创建 Connect 挂载后,您可以在 Connect 挂载上创建一个或多个 GRE 隧道(也称为 *中转网关 Connect 对等节点*)以连接中转网关和第三方设备。您可以通过 GRE 隧道建立两个 BGP 会话以交换路由信息。
**重要**
Transit Gateway Connect 对等体由两个 BGP 对等会话组成,这些会话在托管基础设施上 AWS终止。两个 BGP 对等会话提供路由层冗余,以确保丢失一个 BGP 对等会话不会影响您的路由操作。从两个 BGP 会话接收到的路由信息将累积到给定的 Connect 对等节点。两个 BGP 对等会话还可以防止任何 AWS 基础设施操作,例如例行维护、修补、硬件升级和更换,所导致的中断。如果您的 Connect 对等体在没有为冗余配置建议的双 BGP 对等会话的情况下运行,则在基础设施运行期间 AWS ,它可能会暂时失去连接。我们强烈建议您在 Connect 对等节点上配置两个BGP 对等会话。如果您已配置多个 Connect 对等节点以支持设备端的高可用性,我们建议您在每个 Connect 对等节点上配置两个 BGP 对等会话。
Connect 挂载使用现有的 VPC 或 Direct Connect 挂载作为基础传输机制。该挂载被称为*运输挂载*。Transit Gateway将来自第三方设备的匹配 GRE 数据包标识为来自 Connect 挂载的流量。它将任何其他数据包(包括具有不正确源或目标信息的 GRE 数据包)视为传输挂载中的流量。
**注意**
要使用 Direct Connect 附件作为传输机制,你首先需要将 Direct Connect 与 T AWS ransit Gateway 集成。有关创建此集成的步骤,请参阅[将 SD-WAN 设备与 T AWS ransit Gateway 集成](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/),以及。 Direct Connect
## Connect 对等节点
Connect 对等节点(GRE 隧道)由以下组件组成。
**CIDR 块内部(BGP 地址)**
用于 BGP 对等连接的内部 IP 地址。您必须从的`169.254.0.0/16`范围中指定 /29 CIDR 块。 IPv4您可以选择从的`fd00::/8`范围中指定 /125 CIDR 块。 IPv6以下 CIDR 块由系统保留,不能使用:
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
您必须将设备上该 IPv4 范围中的第一个地址配置为 BGP IP 地址。使用时 IPv6,如果内部 CIDR 块为 fd00:: /125,则必须在设备的隧道接口上配置此范围内的第一个地址 (fd00:: 1)。
在Transit Gateway的所有隧道中,BGP 地址必须是唯一的。
**对等 IP 地址**
Connect 对等节点设备侧的对等 IP 地址(GRE 外部 IP 地址)。该地址可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址,但它的 IP 地址系列必须与传输网关地址相同。
**Transit Gateway地址**
Connect 对等节点中转网关侧的对等 IP 地址(GRE 外部 IP 地址)。必须从Transit Gateway CIDR 块中指定 IP 地址,并且该地址在Transit Gateway的 Connect 挂载中必须是唯一的。如果您没有指定 IP 地址,我们将使用Transit Gateway CIDR 块中的第一个可用地址。
您可以在[创建](create-tgw.md)或[修改](tgw-modifying.md)Transit Gateway时添加Transit Gateway CIDR 块。
IP 地址可以是 IPv4 或 IPv6 地址,但它的 IP 地址系列必须与对等 IP 地址相同。
对等 IP 地址和Transit Gateway地址用于唯一地标识 GRE 隧道。您可以在多个隧道中重复使用任一地址,但不能在同一隧道中重复使用两个地址。
适用于 BGP 对等的 Transit Gateway Connect 仅支持多协议 BGP (MP-BGP),在这种多协议 BGP (MP-BGP) 中,还需要 IPv4 单播寻址才能为单播建立 BGP 会话。 IPv6 您可以同时使用 IPv4 和 IPv6 地址作为 GRE 外部 IP 地址。
以下示例显示了Transit Gateway和 VPC 中的设备之间的 Connect 挂载。
![\[中转网关 Connect 挂载和 Connect 对等节点\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| 图组件 | 说明 |
| --- | --- |
| ![\[显示在示例图中如何表示 VPC 挂载。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/VPC-attachment.png) | VPC 挂载 |
| ![\[显示在示例图中如何表示 Connect 挂载。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/connect-attachment.png) | Connect 连接 |
| ![\[显示在示例图中如何表示 GRE 隧道。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/GRE-tunnel.png) | GRE 隧道(Connect 对等节点) |
| ![\[显示在示例图中如何表示 BGP 对等会话。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/images/bgp-peering.png) | BGP 对等会话 |
在前面的示例中,在现有 VPC 挂载(传输挂载)上创建了一个 Connect 挂载。在 Connect 挂载上创建 Connect 对等节点,以建立与 VPC 中的设备的连接。Transit Gateway地址为 `192.0.2.1`,BGP 地址的范围为 `169.254.6.0/29`。范围中的第一个 IP 地址 (`169.254.6.1`) 在设备上被配置为对等 BGP IP 地址。
VPC C 的子网路由表有一个路由,该路由将发往Transit Gateway CIDR 块的流量指向Transit Gateway。
| 目的地 | 目标 |
| --- | --- |
| 172.31.0.0/16 | 本地 |
| 192.0.2.0/24 | tgw-id |
## 要求和注意事项
以下是 Connect 挂载的要求和注意事项。
+ 有关哪些区域支持 Connect 挂载的信息,请参阅 [AWS Transit Gateway 常见问题解答](https://aws.amazon.com/transit-gateway/faqs/)。
+ 必须将第三方设备配置为使用 Connect 挂载通过 GRE 隧道在Transit Gateway之间发送和接收流量。
+ 必须将第三方设备配置为使用 BGP 进行动态路由更新和运行状况检查。
+ 支持以下类型的 BGP:
+ 外部 BGP (eBGP):用于连接到位于不同于Transit Gateway的自治系统中的路由器。如果使用 eBGP,则必须将 ebgp-multihop 配置为 time-to-live 2。
+ 内部 BGP (iBGP):用于连接到位于与 Transit Gateway 相同的自治系统的路由器。传输网关不会安装来自 iBGP 对等体(第三方设备)的路由,除非这些路由源自 eBGP 对等体并且应该已 next-hop-self配置。第三方设备通过 iBGP 对等连接发布的路由必须具有 ASN。
+ MP-BGP(BGP 的多协议扩展):用于支持多种协议类型,例如和地址族。 IPv4 IPv6
+ 默认 BGP 保持连接超时为 10 秒,默认的保持计时器为 30 秒。
+ IPv6 不支持 BGP 对等互连;仅支持 IPv4基于 BGP 对等互连。 IPv6 使用 MP-BGP 通过 IPv4 BGP 对等互连交换前缀。
+ 不支持双向转发检测 (BFD)。
+ 不支持 BGP 平稳重启。
+ 创建Transit Gateway对等节点时,如果您没有指定对等节点 ASN 编号,我们将选择Transit Gateway ASN 编号。这意味着您的设备和Transit Gateway将位于执行 iBGP 的同一个自治系统中。
+ 当您有两个 Connect 对等节点时,使用 BGP AS-PATH 属性的 Connect 对等节点是首选路由。
要在多个设备之间使用相同成本的多路径 (ECMP) 路由,您必须将设备配置为使用相同的 BGP AS-PATH 属性向Transit Gateway发布相同的前缀。要使Transit Gateway选择所有可用的 ECMP 路径,AS-PATH 和自治系统号 (ASN) 必须匹配。中转网关可以在同一 Connect 挂载的 Connect 对等节点之间使用 ECMP,也可以在同一中转网关上的 Connect 挂载之间使用 ECMP。Transit Gateway 不能在单个对等体建立的两个冗余 BGP 对等连接之间使用 ECMP。
+ 默认情况下,使用 Connect 挂载,路由会传播到Transit Gateway路由表。
+ 不支持静态路由。
+ 配置 GRE 隧道 MTU 时,需减去 GRE 标头(24 字节)和外部 IP 标头(20 字节)的开销,确保其小于外部接口的 MTU 值。例如,如果外部接口 MTU 为 1500 字节,则应将 GRE 隧道 MTU 设置为 1456 字节(1500 - 24 - 20 = 1456),以避免数据包分片。
**Topics**
+ [Connect 对等节点](#tgw-connect-peer)
+ [要求和注意事项](#tgw-connect-requirements)
+ [创建 Connect 连接](create-tgw-connect-attachment.md)
+ [创建 Connect 对等节点](create-tgw-connect-peer.md)
+ [查看 Connect 连接和 Connect 对等节点](view-tgw-connect-attachments.md)
+ [修改 Connect 连接和 Connect 对等节点标签](modify-connect-attachment-tag.md)
+ [删除 Connect 对等节点](delete-tgw-connect-peer.md)
+ [删除 Connect 连接](delete-tgw-connect-attachment.md)
# 在 AWS Transit Gateway 中创建 Connect 连接
要创建 Connect 连接,您必须将现有连接指定为传输连接。您可以将 VPC 连接或 Direct Connect 连接指定为传输连接。
**使用控制台创建 Connect 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择“中转网关连接”****。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
1. (可选)对于 **Name tag**(名称标签),为连接指定名称标签。
1. 对于**Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。
1. 对于 **Attachment type**(连接类型),选择 **Connect**(连接)。
1. 对于 **Transport Attachment ID**(传输连接 ID),选择现有连接(传输连接)的 ID。
1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。
**使用 AWS CLI 创建 Connect 连接**
使用 [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html) 命令。
# 在 AWS Transit Gateway 中创建 Connect 对等节点
您可以为现有的 Connect 连接创建 Connect 对等节点(GRE 隧道)。在开始之前,请确保已配置中转网关 CIDR 块。您可以在[创建](create-tgw.md)或[修改](tgw-modifying.md)中转网关时配置中转网关 CIDR 块。
创建 Connect 对等节点时,必须在 Connect 对等节点的设备端指定 GRE 外部 IP 地址。
**要使用控制台创建 Connect 对等节点**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择“中转网关连接”****。
1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Create Connect peer**(创建 Connect 对等节点)。
1. (可选)对于“名称标签”****,为 Connect 对等节点指定名称标签。
1. (可选)对于 **Transit Gateway GRE Address**(中转网关 GRE 地址),为中转网关指定 GRE 外部 IP 地址。默认情况下,使用中转网关 CIDR 块中的第一个可用地址。
1. 对于“对等节点 GRE 地址”****,为 Connect 对等节点的设备端指定 GRE 外部 IP 地址。
1. 对于 **BGP Inside CIDR blocks IPv4**(CIDR 块 IPv4 内的 BGP),指定用于 BGP 对等连接的内部 IPv4 地址范围。从 `169.254.0.0/16` 范围中指定 /29 CIDR 块。
1. (可选)对于 **BGP Inside CIDR blocks IPv6**(CIDR 块 IPv6 内的 BGP),指定用于 BGP 对等连接的内部 IPv6 地址范围。从 `fd00::/8` 范围中指定 /125 CIDR 块。
1. (可选)对于 **Peer ASN**(对等节点 ASN),为设备指定边界网关协议(BGP) 自治系统编号(ASN)。您可以使用指定给您的网络的现有 ASN。如果您没有 ASN,您可以使用 64512–65534(16 位 ASN)或 4200000000–4294967294(32 位 ASN)范围内的私有 ASN。
默认值与Transit Gateway的 ASN 相同。如果将 **Peer ASN**(对等节点 ASN)配置为与Transit Gateway ASN(eBGP) 不同,您必须使用生存时间(TTL) 值 2 配置 ebgp-multihop。
1. 选择 **Create Connect peer**(创建 Connect 对等节点)
**要使用 AWS CLI 创建 Connect 对等节点**
使用 [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) 命令。
# 在 T AWS ransit Gateway 中查看 Connect 附件和连接对等体
查看您的 Connect 连接和 Connect 对等节点。
**要使用控制台查看 Connect 连接和 Connect 对等节点**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择“中转网关连接”****。
1. 选择 Connect 连接。
1. 要查看 Connect 连接对等节点,请选择 **Connect Peers**(Connect 对等节点)选项卡。
**要查看您的 Connect 附件和 Connect 对等方,请使用 AWS CLI**
使用[describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html)和 [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) 命令。
# 在 T AWS ransit Gateway 中修改 Connect 附件和连接对等标签
您可以修改 Connect 连接的标签。
**要使用控制台修改 Connect 连接标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments**(中转网关连接)。
1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Manage tags**(管理标签)。
1. 要添加标签,请选择 **Add new tag**(添加新标签)并指定键名称和键值。
1. 要删除标签,请选择**移除**。
1. 选择**保存**。
您可以修改 Connect 对等节点的标签。
**要使用控制台修改 Connect 对等节点标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Attachments**(中转网关连接)。
1. 选择 Connect 连接,然后选择 **Connect peers**(Connect 对等节点)。
1. 选择 Connect 对等节点,然后选择“操作”****、“管理标签”****。
1. 要添加标签,请选择 **Add new tag**(添加新标签)并指定键名称和键值。
1. 要删除标签,请选择**移除**。
1. 选择**保存**。
**要修改您的 Connect 附件和 Connect 对等方标签,请使用 AWS CLI**
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) 命令
# 在 AWS Transit Gateway 中删除 Connect 对等节点
如果您不再需要某个 Connect 对等节点,可以将其删除。
**要使用控制台删除 Connect 对等节点**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择“中转网关连接”****。
1. 选择 Connect 连接。
1. 在“Connect 对等节点”****选项卡中,选择 Connect 对等节点,然后选择“操作”****、“删除 Connect 对等节点”****。
**要使用 AWS CLI 删除 Connect 对等节点**
使用 [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) 命令。
# 在 AWS Transit Gateway 中删除 Connect 连接
如果您不再需要某个 Connect 连接,则可以将其删除。您必须首先删除连接的所有 Connect 对等节点。
**要使用控制台删除 Connect 连接**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择“中转网关连接”****。
1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Delete Transit Gateway attachment**(删除Transit Gateway连接)。
1. 输入 **delete**,然后选择 **Delete**(删除)。
**要使用 AWS CLI 删除 Connect 连接**
使用 [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html) 命令。
# Transit Gateway 中的 AWS 公交网关路由表
使用中转网关路由表为中转网关连接配置路由。路由表是一个包含规则的表,这些规则用于指导您的 VPCs和 VPNs之间的网络流量路由方式。此表中的每个路由都包含您希望将流量发送到的目的地的 IP 地址范围。
中转网关路由表让您可以将表与中转网关连接关联。都支持 VPC、VPN、VPN 集中器、Direct Connect 网关、Peering 和 Connect 附件。关联后,这些连接的路由会从连接传播到目标中转网关路由表。一个连接可以传播到多个路由表。
此外,您还可以使用路由表创建和管理静态路由。例如,可以让一个静态路由充当备份路由,以防发生影响任何动态路由的网络中断。
**Topics**
+ [创建中转网关路由表](create-tgw-route-table.md)
+ [查看中转网关路由表](view-tgw-route-tables.md)
+ [关联中转网关路由表](associate-tgw-route-table.md)
+ [取消关联中转网关路由表](disassociate-tgw-route-table.md)
+ [启用路由传播](enable-tgw-route-propagation.md)
+ [禁用路由传播](disable-tgw-route-propagation.md)
+ [创建静态路由](tgw-create-static-route.md)
+ [删除与 VPN 连接](tgw-delete-static-route.md)
+ [替换静态路由](tgw-replace-static-route.md)
+ [将路由表导出到 Amazon S3](tgw-export-route-tables.md)
+ [删除中转网关路由表](delete-tgw-route-table.md)
+ [创建前缀列表引用](create-prefix-list-reference.md)
+ [修改前缀列表引用](modify-prefix-list-reference.md)
+ [删除前缀列表引用](delete-prefix-list-reference.md)
# 在 AWS Transit Gateway 中创建中转网关路由表
**使用控制台创建中转网关路由表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择 **Create Transit Gateway Route Table**(创建中转网关路由表)。
1. (可选)对于 **Name tag(名称标签)**,键入中转网关路由表的名称。这会创建标签键为“名称”的标签,其中,标签值是您指定的名称。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择路由表的中转网关。
1. 选择 **Create Transit Gateway Route Table**(创建中转网关路由表)。
**使用 AWS CLI 创建中转网关路由表**
使用 [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html) 命令。
# 使用 Transit Gateway 查看 AWS 公交网关路由表
**使用控制台查看中转网关路由表**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. (可选)要查找特定的路由表或一组路由表,请在筛选条件字段中输入全部或部分名称、关键词或属性。
1. 选中某个路由表对应的复选框或选择其 ID,以显示有关其关联、传播、路由和标签的信息。
**要查看您的公交网关路由表,请使用 AWS CLI**
使用 [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html) 命令。
**要查看公交网关路由表的路由,请使用 AWS CLI**
使用 [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html) 命令。
**要查看公交网关路由表的路径传播,请使用 AWS CLI**
使用 [get-transit-gateway-route-table-propagations 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html)。
**要查看公交网关路由表的关联,请使用 AWS CLI**
使用 [get-transit-gateway-route-table-associations 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html)。
# 在 AWS Transit Gateway 中关联中转网关路由表
您可以将中转网关路由表与中转网关连接相关联。
**使用控制台关联中转网关路由表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择路由表。
1. 在页面的下面部分,选择 **Associations(关联)**选项卡。
1. 选择 **Create association(创建关联)**。
1. 选择要关联的连接,然后选择 **Create association(创建关联)**。
**使用 AWS CLI 关联中转网关路由表**
使用 [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html) 命令。
# 在 Transit Gateway 中删除公交网关路由表的 AWS 关联
您可以取消中转网关路由表与中转网关连接的关联。
**使用控制台取消中转网关路由表关联**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择路由表。
1. 在页面的下面部分,选择 **Associations(关联)** 选项卡。
1. 选择要解除关联的连接,然后选择 **Delete association(删除关联)**。
1. 当系统提示您确认时,选择 **Delete association(删除关联)**。
**使用取消与公交网关路由表的关联 AWS CLI**
使用 [disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html) 命令。
# 在 Transit Gateway 中启用到公交网关路由表的 AWS 路由传播
使用路由传播将连接中的路由添加到路由表。
**将路由传播到中转网关连接路由表**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要为其创建传播的路由表。
1. 依次选择 **Actions(操作)** 和 **Create propagation(创建传播)**。
1. 在 **Create propagation(创建传播)** 页面上,选择连接。
1. 选择 **Create propagation(创建传播)**。
**要启用路由传播,请使用 AWS CLI**
使用 [enable-transit-gateway-route-table-propagation 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html)。
# 在 AWS Transit Gateway 中禁用路由传播
从路由表连接删除传播的路由。
**使用控制台禁用路由传播**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要从中删除传播的路由表。
1. 在页面的下面部分,选择 **Propagations(传播)** 选项卡。
1. 选择连接,然后选择 **Delete propagation(删除传播)**。
1. 当系统提示您确认时,选择 **Delete propagation(删除传播)**。
**使用 AWS CLI 禁用路由传播**
使用 [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html) 命令。
# 在 AWS Transit Gateway 中创建静态路由
为 VPC、VPN 或中转网关对等连接连接创建静态路由,也可以创建一个删除与该路由匹配的流量的黑洞路由。
Site-to-Site VPN 不会筛选中转网关路由表中针对 VPN 连接的静态路由。当使用基于 BGP 的 VPN 时,这可能会允许意外的出站流量。
**使用控制台创建静态路由**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要为其创建路由的路由表。
1. 选择 **Actions**(操作)、**Create static route**(创建静态路由)。
1. 在 **Create static route**(创建静态路由) 页面上,输入为其创建路由的 CIDR 块,然后选择 **Active**(激活)。
1. 为路由选择连接。
1. 选择 **Create static route**(创建静态路由)。
**使用控制台创建黑洞路由**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要为其创建路由的路由表。
1. 选择 **Actions**(操作)、**Create static route**(创建静态路由)。
1. 在 **Create static route**(创建静态路由) 页面上,输入为其创建路由的 CIDR 块,然后选择 **Blackhole**(黑洞)。
1. 选择 **Create static route**(创建静态路由)。
**使用 AWS CLI 创建静态路由或黑洞路由**
使用 [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 命令。
# 在 AWS Transit Gateway 中删除静态路由
删除中转网关路由表中的静态路由。
**使用控制台删除静态路由**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要删除其路由的路由表,然后选择 **Routes(路由)**。
1. 选择要删除的路由。
1. 选择 **Delete static route**(删除静态路由)。
1. 在确认框中,选择 **Delete static route**(删除静态路由)。
**使用 AWS CLI 删除静态路由**
使用 [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html) 命令。
# 在 AWS Transit Gateway 中替换静态路由
将中转网关路由表中的静态路由替换为其他静态路由。
**使用控制台替换静态路由**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 在路由表中选择要替换的路由。
1. 在详细信息部分中,选择**路径**选项卡。
1. 选择**操作**、**替换静态路由**。
1. 对于**类型**,选择**活动**或**黑洞**。
1. 从**选择附件**下拉列表中,选择将取代路由表中当前连接的中转网关。
1. 选择**替换静态路由**。
**使用 AWS CLI 替换静态路由**
使用 [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html) 命令。
# 在 AWS Transit Gateway 中将路由表导出到 Amazon S3
您可以将中转网关路由表中的路由导出到 Amazon S3 存储桶。路由将以 JSON 文件格式保存到指定的 Amazon S3 存储桶。
**使用控制台导出中转网关路由表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择包含要导出的路由的路由表。
1. 依次选择 **Actions(操作)** 和 **Export routes(导出路由)**。
1. 在 **Export routes(导出路由)** 页上,对于 **S3 bucket name(S3 存储桶名称)**,键入 S3 存储桶的名称。
1. 要筛选导出的路由,请在页面的 **Filters(筛选条件)** 部分指定筛选参数。
1. 选择 **Export routes(导出路由)**。
要访问导出的路由,请从 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 打开 Amazon S3 控制台,然后导航到您指定的存储桶。文件名包括 AWS 账户 ID、AWS 区域、路由表 ID 和时间戳。选择文件并选择 **Download(下载)**。以下是 JSON 文件的示例,其中包含 VPC 附件的两个传播路由的相关信息。
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# 在 AWS Transit Gateway 中删除中转网关路由表
**使用控制台删除中转网关路由表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables(中转网关路由表)**。
1. 选择要删除的路由表。
1. 选择 **Actions**(操作)、**Delete 中转网关 route table**(删除中转网关路由表)。
1. 输入 **delete** 然后选择 **Delete**(删除) 以确认删除。
**使用 AWS CLI 删除中转网关路由表**
使用 [delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html) 命令。
# 在 AWS Transit Gateway 中创建路由表前缀列表
您可以在中转网关路由表中引用前缀列表。前缀列表是包含您定义和管理的一个或多个 CIDR 块条目的集合。您可以使用前缀列表来简化对资源中引用的 IP 地址的管理,以路由网络流量。例如,如果您经常在多个中转网关路由表中指定相同的目标 CIDR,则可以在单个前缀列表中管理这些 CIDR,而不是在每个路由表中反复引用相同的 CIDR。如果需要删除目标 CIDR 块,则可以从前缀列表中删除其条目,而不是从每个受影响的路由表中删除路由。
在中转网关路由表中创建前缀列表引用时,前缀列表中的每个条目都将在中转网关路由表中表示为一个路由。
有关前缀列表的更多信息,请参阅 *Amazon VPC 用户指南*中的[前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。
**使用控制台创建前缀列表引用**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables**(中转网关路由表)。
1. 选择中转网关路由表。
1. 依次选择**操作**、**创建前缀列表引用**。
1. 对于**前缀列表 ID**,选择前缀列表的 ID。
1. 对于 **Type**(类型),选择是否应允许(**Active**(激活))或丢弃(**Blackhole**(黑洞))此前缀列表的流量。
1. 对于 **Transit Gateway attachment ID**( Transit Gateway 连接 ID),选择要将流量路由到的连接的 ID。
1. 选择**创建前缀列表引用**。
**要使用 AWS CLI 创建前缀列表引用**
使用 [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html) 命令。
# 在 AWS Transit Gateway 中修改前缀列表引用
您可以通过以下两种方式修改前缀列表引用:更改将流量路由到的连接,或指示是否丢弃与路由匹配的流量。
无法在**路由**选项卡中修改前缀列表中的单个路由。要修改前缀列表中的条目,请使用**托管前缀列表**页面。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[修改前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list)。
**使用控制台修改前缀列表引用**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables**(中转网关路由表)。
1. 选择中转网关路由表。
1. 在下方窗格中,选择**前缀列表引用**。
1. 选择前缀列表引用,然后选择 **Modify references**(修改引用)。
1. 对于 **Type**(类型),选择是否应允许(**Active**(激活))或丢弃(**Blackhole**(黑洞))此前缀列表的流量。
1. 对于 **Transit Gateway attachment ID**( Transit Gateway 连接 ID),选择要将流量路由到的连接的 ID。
1. 选择**修改前缀列表引用**。
**要使用 AWS CLI 修改前缀列表引用**
使用 [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html) 命令。
# 在 AWS Transit Gateway 中删除前缀列表引用
如果您不再需要前缀列表引用,可以将其从中转网关路由表中删除。删除引用不会删除前缀列表。
**使用控制台删除前缀列表引用**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateway Route Tables**(中转网关路由表)。
1. 选择中转网关路由表。
1. 选择前缀列表引用,然后选择 **Delete references**(删除引用)。
1. 选择 **Delete references**(删除引用)。
**要使用 AWS CLI 修改前缀列表引用**
使用 [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html) 命令。
# AWS Transit Gateway 中的中转网关策略表
中转网关动态路由使用策略表来为 AWS 云广域网络路由网络流量。该表包含用于按策略属性匹配网络流量的策略规则,然后将与规则匹配的流量映射到目标路由表。
您可以使用中转网关的动态路由,自动与对等中转网关类型交换路由和可达性信息。与静态路由不同,流量可以根据网络条件(如路径故障或拥塞)沿不同的路径路由。动态路由还增加了额外的安全层,在出现网络漏洞或入侵时,可以更轻松地重新路由流量。
**注意**
在创建中转网关对等连接时,目前仅在云广域网络中支持中转网关策略表。创建对等连接时,可以将该表与连接相关联。然后,该关联会自动使用策略规则填充表。
有关云广域网络中对等连接的更多信息,请参阅《*AWS 云广域网络用户指南*》中的[对等连接](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html)。
**Topics**
+ [创建中转网关策略表](tgw-policy-tables-create.md)
+ [删除中转网关策略表](tgw-policy-tables-disable.md)
# 在 Transit Gateway 中创建 AWS 公交网关策略表
**使用控制台创建中转网关策略表**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway policy table**(中转网关策略表)。
1. 选择 **Create Transit Gateway policy table**(创建中转网关策略表)。
1. (可选)对于 **Name tag**(名称标签),输入中转网关策略表的名称。这将创建一个标签,标签的值是您指定的名称。
1. 对于中转网关 ID,为策略表选择中转网关。
1. 选择 **Create Transit Gateway policy table**(创建中转网关策略表)。
**使用创建传输网关策略表 AWS CLI**
使用 [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html) 命令。
# 删除 Transit Gateway 中的 AWS 公交网关策略表
删除中转网关策略表。删除表后,该表中的所有策略规则都将被删除。
**使用控制台删除中转网关策略表**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateway policy tables**(中转网关策略表)。
1. 选择要删除的中转网关策略表。
1. 选择 **Actions**(操作),然后选择 **Delete policy table**(删除策略表)。
1. 确认您要删除策略表。
**使用删除传输网关策略表 AWS CLI**
使用 [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html) 命令。
# AWS Transit Gateway 中的组播
组播是一种通信协议,用于同时向多台接收计算机传输单个数据流。Transit Gateway 支持在所连接 VPC 的子网之间路由组播流量,并充当实例的组播路由器,以将流量发送到多个接收实例目标。
**Topics**
+ [组播概念](#concepts)
+ [注意事项](#limits)
+ [组播路由](#how-multicast-works)
+ [组播域](multicast-domains-about.md)
+ [共享组播域](multicast-share-domain.md)
+ [将源注册到多播组](add-source-multicast-group.md)
+ [将成员注册到多播组](add-members-multicast-group.md)
+ [从多播组取消注册源](remove-source-multicast-group.md)
+ [从多播组取消注册成员](remove-members-multicast-group.md)
+ [查看组播组](view-multicast-group.md)
+ [为 Windows 服务器设置组播](multicastwin.md)
+ [示例:管理 IGMP 配置](multicast-configurations-igmp.md)
+ [示例:管理静态源配置](multicast-configurations-no-igmp.md)
+ [示例:管理静态组成员配置](multicast-configurations-no-igmp-source.md)
## 组播概念
以下是组播的主要概念:
+ **组播域** — 允许将一个组播网络分段成不同的域,并将中转网关用作组播路由器。您可以在子网级别定义组播域成员资格。
+ **组播组** — 识别一组将发送和接收相同组播流量的主机。组播组由组 IP 地址标识。组播组成员资格由附加到 EC2 实例的单个弹性网络接口定义。
+ **Internet 组管理协议 (IGMP)** — 允许主机和路由器动态管理组播组成员资格的互联网协议。IGMP 组播域包含使用 IGMP 协议加入、离开和发送消息的主机。AWS 支持 IGMPv2 协议以及 IGMP 和静态(基于 API)组成员资组播域。
+ **组播源** — 静态配置的与支持的 EC2 实例关联的弹性网络接口,用于发送组播流量。组播源仅适用于静态源配置。
静态源组播域包含不使用 IGMP 协议加入、离开和发送消息的主机。您可以使用 AWS CLI 添加源成员和组成员。静态添加的源发送组播流量,成员接收组播流量。
+ **组播组成员** — 与支持的 EC2 实例关联的弹性网络接口,用于接收组播流量。组播组具有多个组成员。在静态源组成员资格配置中,组播组成员只能接收流量。在 IGMP 组配置中,成员既可以发送流量,也可以接收流量。
## 注意事项
+ Transit Gateway 组播可能不适用于高频交易或对性能敏感的应用程序。我们强烈建议您查看[组播配额](transit-gateway-quotas.md#multicast-quotas)的限制。请联系您的客户或解决方案架构师团队,以详细评估您的性能需求。
+ 有关受支持区域的信息,请参阅 [AWS Transit Gateway 常见问题](https://aws.amazon.com/transit-gateway/faqs/)。
+ 您必须创建一个新的中转网关才能支持组播。
+ 组播组成员资源使用 Amazon Virtual Private Cloud Console、AWS CLI 或 IGMP 进行管理。
+ 一个子网只能位于一个组播域中。
+ 如果您使用非 Nitro 实例,则必须禁用 **Source/Dest (源/目标)** 检查。有关禁用检查的信息,请参阅 *Amazon EC2 用户指南*中的[更改源或目标检查](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check)。
+ 非 Nitro 实例不能是组播发送方。
+ Direct Connect、Site-to-Site VPN 或对等连接或中转网关连接不支持组播路由。
+ 中转网关不支持组播数据包分段。分段组播数据包会被丢弃。有关更多信息,请参阅 [最大传输单元 (MTU)](transit-gateway-quotas.md#mtu-quotas)。
+ 启动时,IGMP 主机会发送多条 IGMP JOIN 消息以加入组播组(通常重试 2 到 3 次)。如果发生了所有 IGMP JOIN 消息均丢失的不太可能的情况,主机将不会成为中转网关组播组的一部分。在这种情况下,您需要使用特定于应用程序的方法从主机重新触发 IGMP JOIN 消息。
+ 组成员资格以收到由中转网关发送的 IGMPv2 JOIN 消息开始,并以收到 IGMPv2 LEAVE 消息结束。中转网关会跟踪成功加入组播组的主机。作为云组播路由器,中转网关每两分钟向所有成员发出一条 IGMPv2 QUERY 消息。作为回应,每个成员发送一条 IGMPv2 JOIN 消息,这是成员续订其成员资格的方式。如果成员未能回复连续三次查询,则中转网关将从其加入的所有组中删除此成员资格。但是,它会继续向该成员发送查询 12 个小时,然后将该成员从待查询列表中永久删除。一条明确的 IGMPv2 LEAVE 消息会立即永久地从任何进一步的组播处理中删除此主机。
+ 中转网关会跟踪成功加入组播组的主机。在中转网关中断的情况下,中转网关在上次成功发出 IGMP JOIN 消息后继续向主机发送组播数据七分钟(420 秒)。中转网关会继续向主机发送会员资格查询,最长持续 12 个小时,或直到它收到来自主机的 IGMP LEAVE 消息为止。
+ 中转网关将成员资格查询数据包发送给所有 IGMP 成员,以便它可以跟踪组播组成员资格。这些 IGMP 查询数据包的源 IP 为 0.0.0.0/32,目标 IP 为 224.0.0.1/32,协议为 2。IGMP 主机(实例)上的安全组配置以及主机子网上的任何 ACL 配置都必须允许这些 IGMP 协议消息。
+ 当组播源和目标位于同一 VPC 中时,您不能使用安全组引用将目标安全组设置为接受来自源安全组的流量。
+ 对于静态组播组和源,AWS Transit Gateway 会自动移除已不存在的 ENI 的静态组和源。这是通过定期担任[中转网关服务关联角色](service-linked-roles.md#tgw-service-linked-roles)来描述账户中的 ENI 来实现的。
+ 只有静态组播支持 IPv6。动态组播不支持。
## 组播路由
在中转网关上启用组播时,它将充当组播路由器。当您将子网添加到某个组播域时,我们会将所有组播流量发送到与该组播域关联的中转网关。
### 网络 ACL
网络 ACL 规则在子网级别运行。它们将应用于组播流量,因为中转网关位于子网外。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。
对于互联网组管理协议(IGMP)组播流量,您必须至少具有以下入站规则。远程主机是发送组播流量的主机。
| 类型 | 协议 | 源 | 描述 |
| --- | --- | --- | --- |
| 自定义协议 | IGMP(2) | 0.0.0.0/32 | IGMP 查询 |
| 自定义 UDP 协议 | UDP | 远程主机 IP 地址 | 入站组播流量 |
对于 IGMP,您必须至少具有以下出站规则。
| 类型 | 协议 | 目的地 | 描述 |
| --- | --- | --- | --- |
| 自定义协议 | IGMP(2) | 224.0.0.2/32 | IGMP 离开 |
| 自定义协议 | IGMP(2) | 组播组 IP 地址 | IGMP 加入 |
| 自定义 UDP 协议 | UDP | 组播组 IP 地址 | 出站组播流量 |
### 安全组
安全组规则在实例级别操作。它们可以应用于入站和出站组播流量。行为与单播流量相同。对于所有组成员实例,您必须允许来自组源的入站流量。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[安全组](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。
对于 IGMP 组播流量,您必须至少具有以下入站规则。远程主机是发送组播流量的主机。您不能将安全组指定为 UDP 入站规则的源。
| 类型 | 协议 | 源 | 描述 |
| --- | --- | --- | --- |
| 自定义协议 | 2 | 0.0.0.0/32 | IGMP 查询 |
| 自定义 UDP 协议 | UDP | 远程主机 IP 地址 | 入站组播流量 |
对于 IGMP 组播流量,您必须至少具有以下出站规则。
| 类型 | 协议 | 目的地 | 描述 |
| --- | --- | --- | --- |
| 自定义协议 | 2 | 224.0.0.2/32 | IGMP 离开 |
| 自定义协议 | 2 | 组播组 IP 地址 | IGMP 加入 |
| 自定义 UDP 协议 | UDP | 组播组 IP 地址 | 出站组播流量 |
# AWS Transit Gateways 中的组播域
组播域允许将一个组播网络分段分成不同域。要开始将多播与中转网关结合使用,请创建多播域,然后将子网与域关联。
## 多播域属性
下表详细介绍了多播域属性。您不能同时启用这两个属性。
| 属性 | 描述 |
| --- | --- |
| Igmpv2Support (AWS CLI) **IGMPv2 支持**(控制台) | 此属性决定组成员如何加入或退出多播组。 当此属性处于禁用状态时,您必须将组成员手动添加到域中。 在至少有一个成员使用 IGMP 协议时启用此属性。成员通过以下方式之一加入多播组: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/multicast-domains-about.html) 如果您注册多播组成员,则必须将其取消注册。中转网关将忽略手动添加的组成员发送的 IGMP `LEAVE` 消息。 |
| StaticSourcesSupport (AWS CLI) **Static sources support**(静态资源支持)(控制台) | 此属性确定该组是否有静态多播源。 当此启用此属性时,您需要使用 [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) 为多播域添加源。只有多播源才能发送多播流量。 禁用此属性时,则没有指定的多播源。位于与多播域关联的子网中的任何实例都可以发送多播流量,组成员将接收多播流量。 |
# 在 Transit Gateway 中 AWS 创建 IGMP 多播域
如果您尚未执行此操作,请查看可用的组播域属性。有关更多信息,请参阅 [AWS Transit Gateways 中的组播域](multicast-domains-about.md)。
**要使用控制台创建 IGMP 组播域**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择 **Create transit gateway multicast domain**(创建中转网关组播域)。
1. 对于 **Name tag**(名称标签),输入域的名称。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择处理组播流量的中转网关。
1. 要获得**IGMPv2 支持**,请选中该复选框。
1. 对于**静态源支持**,请清除该复选框。
1. 要自动接受此组播域的跨账户子网关联,请选择 **Auto accept shared associations**(自动接受共享关联)。
1. 选择 **Create transit gateway multicast domain**(创建中转网关组播域)。
**使用创建 IGMP 多播域 AWS CLI**
使用 [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 命令。
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# 在 AWS Transit Gateway 中创建静态源组播域
如果您尚未执行此操作,请查看可用的组播域属性。有关更多信息,请参阅 [AWS Transit Gateways 中的组播域](multicast-domains-about.md)。
**要使用控制台创建静态多播域**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择 **Create transit gateway multicast domain**(创建中转网关多播域)。
1. 对于 **Name tag**(命名标签),输入用于标识域的名称。
1. 对于 **Transit Gateway ID**(中转网关 ID),选择处理多播流量的中转网关。
1. 对于 **IGMPv2 支持**,请清除该复选框。
1. 对于 **Static sources support**(静态源支持),请选择该复选框。
1. 要自动接受此组播域的跨账户子网关联,请选择 **Auto accept shared associations**(自动接受共享关联)。
1. 选择 **Create transit gateway multicast domain**(创建中转网关多播域)。
**要使用 AWS CLI 创建静态多播域**
使用 [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 命令。
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# 在 Transit Gateway 中将 VPC 附件和子网与多播域关联 AWS
使用以下过程将 VPC 连接与组播域关联。创建关联时,您可以随后选择要包括在组播域中的子网。
开始之前,您必须先在中转网关上创建 VPC 连接。有关更多信息,请参阅 [T AWS ransit Gateway 中的亚马逊 VPC 附件](tgw-vpc-attachments.md)。
**要使用控制台将 VPC 连接与组播域关联**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域,然后依次选择 **Actions**(操作)、**Create association**(创建关联)。
1. 对于 **Choose attachment to associate**(选择要关联的连接),选择中转网关连接。
1. 对于 **Choose subnets to associate**(选择要关联的子网),选择要包括在组播域中的子网。
1. 选择 **Create association(创建关联)**。
**要将 VPC 附件与多播域关联,请使用 AWS CLI**
使用 [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html) 命令。
# 在 AWS Transit Gateway 中取消子网与组播域的关联
使用以下过程取消子网与多播域的关联。
**使用控制台取消子网的关联**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 选择 **Associations (关联)** 选项卡。
1. 选择子网,然后选择 **Actions**(操作)、**Delete association**(删除关联)。
**使用 AWS CLI 取消子网关联**
使用 [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html) 命令。
# 在 T AWS ransit Gateway 中查看组播域关联
查看组播域以验证这些域可用,并且包含了相应的子网和连接。
**要使用控制台查看组播域**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 选择 **Associations (关联)** 选项卡。
**要使用查看多播域 AWS CLI**
使用 [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 命令。
# 在 AWS Transit Gateway 中向组播域添加标签
向资源添加标签以帮助整理和识别资源,例如,按用途、拥有者或环境。您可以向每个多播域添加多个标签。每个多播域的标签键必须唯一。如果您添加的标签中的键已经与多播域关联,它将更新该标签的值。有关更多信息,请参阅[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
**要使用控制台向多播域添加标签**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 依次选择 **Actions**(操作)、**Manage tags**(管理标签)。
1. 对于每个标签,选择 **Add new tag**(添加新标签),然后输入标签的 **Key**(键)和 **Value**(值)。
1. 选择**保存**。
**使用 AWS CLI 将标签添加到多播域**
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 命令。
# 在 AWS Transit Gateway 中删除组播域
使用以下过程删除中组播域。
**要使用控制台删除组播域**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域,然后依次选择 **Actions**(操作)、**Delete multicast domain**(删除组播域)。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete**(删除)。
**使用 AWS CLI 删除组播域**
使用 [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html) 命令。
# T AWS ransit Gateway 中的共享组播域
通过组播域共享,组播域所有者可以与其组织内或 AWS Organizations中的组织间的其他 AWS 账户共享该域。作为多播域拥有者,您可以集中创建和管理多播域。共享后,使用者可以在共享的多播域上执行以下操作:
+ 在多播域中注册和取消注册组成员或组源
+ 将子网与多播域关联,并取消子网与多播域的关联
多播域拥有者可以与以下角色共享多播域:
+ AWS 组织内部或组织中的跨组织账户 AWS Organizations
+ 其组织内部的组织单位 AWS Organizations
+ 它的整个组织都在 AWS Organizations
+ AWS 之外的账户 AWS Organizations。
要与组织外部的 AWS 帐户共享多播域,必须使用 AWS Resource Access Manager创建资源共享,然后在选择要与之**共享多播域的委托人时选择 “允许与任何人**共享”。有关创建资源共享的更多信息,请参阅 *AWS RAM 用户指南*中的[在 AWS RAM中创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。
**Topics**
+ [共享多播域的先决条件](#sharing-prereqs)
+ [相关服务](#sharing-related)
+ [共享的多播域权限](#sharing-perms)
+ [计费和计量](#sharing-billing)
+ [配额](#sharing-quotas)
+ [跨可用区共享资源](sharing-azs.md)
+ [共享组播域](sharing-share.md)
+ [取消共享共享的组播域](sharing-unshare.md)
+ [识别共享的组播域](sharing-identify.md)
## 共享多播域的先决条件
+ 要共享多播域名,您必须在自己的 AWS 账户中拥有该域名。您无法共享已与您共享的多播域。
+ 要与您的组织或中的组织单位共享多播域 AWS Organizations,必须启用与 AWS Organizations共享。有关更多信息,请参阅《AWS RAM 用户指南》**中的[允许与 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) 共享。
## 相关服务
多播域共享与 AWS Resource Access Manager (AWS RAM) 集成。 AWS RAM 是一项服务,可让您与任何 AWS 账户或通过任何账户共享 AWS 资源 AWS Organizations。利用 AWS RAM,您可通过创建*资源共享*来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的用户。消费者可以是个人 AWS 帐户、组织单位或整个组织 AWS Organizations。
有关的更多信息 AWS RAM,请参阅《*[AWS RAM 用户指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。
## 共享的多播域权限
### 拥有者的权限
拥有者负责管理多播域以及他们注册或与该域关联的成员和挂载。拥有者可以随时更改或撤销共享访问权限。他们可以使用 AWS Organizations 来查看、修改和删除使用者在共享多播域上创建的资源。
### 使用者的权限
共享组播域的用户可以通过在他们创建的多播域上采用的操作方式,对共享的多播域执行以下操作:
+ 在多播域中注册和取消注册组成员或组源
+ 将子网与多播域关联,并取消子网与多播域的关联
使用者负责管理他们在共享多播域上创建的资源。
客户无法查看或修改其他使用者或多播域拥有者拥有的资源,也不能修改与他们共享的多播域。
## 计费和计量
对于拥有者或使用者的共享多播域,不会收取额外费用。
## 配额
共享的多播域计入共享用户和所有者的多播域配额。
# 在 T AWS ransit Gateway 中跨可用区域共享资源
为确保资源分布在某个地区的可用区中,T AWS ransit Gateway 会独立地将可用区映射到每个账户的名称。这可能会导致账户之间的可用区命名差异。例如,您 AWS 账户的可用区`us-east-1a`可能与其他 AWS 账户的可用区不同。`us-east-1a`
要确定您的多播域相对于账户的位置,您必须使用*可用区 ID* (AZ ID)。可用区 ID 是所有 AWS 账户中可用区的唯一且一致的标识符。例如,`use1-az1`是该`us-east-1`区域的可用区 ID,它在每个 AWS 账户中的位置都相同。
**查看您账户 IDs 中可用区的可用区**
1. 在家中打开[https://console.aws.amazon.com/ram/主 AWS RAM](https://console.aws.amazon.com/ram/home)机。
1. 当前区域 IDs 的可用区显示在屏幕右侧的 “**您的可用区 ID**” 面板中。
# 在 T AWS ransit Gateway 中共享多播域
当拥有者与您共享组播域时,您可以执行以下操作:
+ 注册和取消注册组成员或组源
+ 关联和取消关联子网
**注意**
要共享多播域,必须将其添加到资源共享中。资源共享是一种 AWS RAM 允许您跨 AWS 账户共享资源的资源。资源共享指定要共享的资源以及与之共享资源的使用者。当您使用共享多播域时 Amazon Virtual Private Cloud Console,可以将其添加到现有资源共享中。要将多播域添加到新的资源共享中,必须首先使用 [AWS RAM 控制台](https://console.aws.amazon.com/ram)创建资源共享。
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则会自动授予组织中的消费者访问共享多播域的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享多播域的访问权限。
您可以使用 Amazon Virtual Private Cloud 控制台、 AWS RAM 控制台或共享您拥有的多播域。 AWS CLI
**要使用 \$1Amazon Virtual Private Cloud Console共享您拥有的多播域**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Multicast Domains**(多播域)。
1. 选择您的多播域,然后选择 **Actions**(操作)、**Share multicast domain**(共享多播域)。
1. 选择您的资源共享,然后选择 **Share multicast domain**(共享多播域)。
**使用控制台共享您拥有的多播域 AWS RAM**
请参阅《AWS RAM 用户指南》**中的[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
**要共享您拥有的多播域,请使用 AWS CLI**
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。
# 在 Transit Gateway 中 AWS 取消共享共享多播域
当共享的多播域被取消共享时,使用者多播域资源会发生以下情况:
+ 使用者子网与多播域的关联被解除。子网仍保留在使用者账户中。
+ 使用者组源和组成员将与多播域取消关联,然后从使用者账户中删除。
要取消共享多播域,必须将其从资源共享中删除。您可以通过 AWS RAM 控制台或 AWS CLI.
要取消共享您拥有的已共享多播域,必须从资源共享中将其删除。您可以使用 Amazon Virtual Private Cloud、 AWS RAM 控制台或 AWS CLI。
**要使用 \$1Amazon Virtual Private Cloud Console取消共享您拥有的共享多播域**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Multicast Domains**(多播域)。
1. 选择您的多播域,然后依次选择 **Actions**(操作)、**Stop sharing**(停止共享)。
**使用控制台取消共享您拥有的共享多播域 AWS RAM**
请参阅《AWS RAM 用户指南》**中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**要取消共享您拥有的共享多播域,请使用 AWS CLI**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
# 在 T AWS ransit Gateway 中识别共享的多播域
所有者和使用者可以使用和来识别共享的 Amazon Virtual Private Cloud 多播域 AWS CLI
**要使用 \$1Amazon Virtual Private Cloud Console识别共享的多播域**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Multicast Domains**(多播域)。
1. 选择您的多播域。
1. 在**传输组播域详细信息**页面上,查看**所有者 ID** 以识别组播域的 AWS 账户 ID。
**要使用识别共享的多播域 AWS CLI**
使用 [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 命令。该命令返回您拥有的多播域和与您共享的多播域。 `OwnerId`显示多播域所有者的 AWS 帐户 ID。
# 在 T AWS ransit Gateway 中的组播组中注册源
**注意**
仅当您将**静态源支持**属性设置为**启用**时,才需要执行此过程。
使用以下过程将源注册到多播组。源是发送多播流量的网络接口。
您需要以下信息才能添加源:
+ 多播域的 ID
+ 来源 IDs 的网络接口
+ 多播组 IP 地址
**使用控制台注册源**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域,然后依次选择 **Actions**(操作)、**Add group sources**(添加组源)。
1. 在 “**组 IP 地址**” 中,输入要分配给多播域的 IPv6 CID IPv4 R 块或 CIDR 块。
1. 在 **Choose network interfaces (选择网络接口)** 下,选择多播发送方的网络接口。
1. 选择 **Add sources (添加源)**。
**要使用注册来源 AWS CLI**
使用 [register-transit-gateway-multicast-group-sources 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html)。
# 在 T AWS ransit Gateway 中向组播群组注册成员
使用以下过程将组成员注册到多播组。
您需要以下信息才能添加成员:
+ 多播域的 ID
+ 小组 IDs 成员的网络接口
+ 多播组 IP 地址
**使用控制台注册成员**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域,然后依次选择 **Actions**(操作)、**Add group members**(添加组成员)。
1. 在 “**组 IP 地址**” 中,输入要分配给多播域的 IPv6 CID IPv4 R 块或 CIDR 块。
1. 在 **Choose network interfaces (选择网络接口)** 下,选择多播接收方的网络接口。
1. 选择 **Add members (添加成员)**。
**要使用注册会员 AWS CLI**
使用 [register-transit-gateway-multicast-group-members 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html)。
# 在 AWS Transit Gateway 中取消注册组播组中的源
除非您手动将源添加到多播组,否则无需遵循此过程。
**使用控制台删除源**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 选择 **Groups (组)** 选项卡。
1. 选择源,然后选择 **Remove source (删除源)**。
**使用 AWS CLI 删除源**
使用 [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html) 命令。
# 在 Transit Gateway 中取消组播群组成员的 AWS 注册
除非您手动将成员添加到多播组,否则无需遵循此过程。
**使用控制台取消注册成员**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 选择**组**选项卡。
1. 选择成员,然后选择 **Remove member (删除成员)**。
**要取消注册会员,请使用 AWS CLI**
使用 [deregister-transit-gateway-multicast-group-members 命令](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html)。
# 在 T AWS ransit Gateway 中查看组播组
您可以查看有关您的组播组的信息,以验证是否使用该 IGMPv2 协议发现了成员。当 AWS 发现使用该协议的@@ **成员时,成员类型**`MemberType`(在控制台中 AWS CLI)或(中)会显示 IGMP。
**使用控制台查看多播组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**中转网关组播**。
1. 选择多播域。
1. 选择**组**选项卡。
**要查看组播组,请使用 AWS CLI**
使用 [search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html) 命令。
以下示例显示 IGMP 协议发现了多播组成员。
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# 在 AWS Transit Gateway 中为 Windows Server 设置组播
在 Windows Server 2019 或 2022 上设置多播以使用中转网关时,您需要执行其他步骤。要进行此设置,你需要使用 PowerShell,然后运行以下命令:
**使用 PowerShell 为 Windows Server 设置组播**
1. 针对 TCP/IP 堆栈,将 Windows Server 更改为使用 IGMPv2 而不是 IGMPv3:
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**注意**
`New-ItemProperty` 是指定 IGMP 版本的属性索引。由于 IGMP v2 是组播支持的版本,因此该属性 `Value` 必须为 `3`。您可运行以下命令将 IGMP 版本设置为 2,而无需编辑 Windows 注册表。:
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. 默认情况下,Windows 防火墙会丢弃大多数 UDP 流量。您首先需要检查哪个连接配置文件用于多播:
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. 更新上一步中的连接配置文件以允许访问所需的 UDP 端口:
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. 重启 EC2 实例。
1. 测试您的多播应用程序,确保流量按预期流动。
# 示例:使用 Tr AWS ansit Gateway 管理 IGMP 配置
本示例显示至少有一台主机将 IGMP 协议用于多播流量时, AWS 会在收到来自实例的 IGMP `JOIN` 消息时自动创建多播组,然后将该实例添加为该组中的成员。您也可以使用将非 IGMP 主机作为成员静态添加至群组。 AWS CLI位于与多播域关联的子网中的任何实例都可以发送流量,组成员将接收多播流量。
使用以下步骤完成配置:
1. 创建 VPC。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
1. 在 VPC 中创建子网。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。
1. 创建为多播流量配置的中转网关。有关更多信息,请参阅 [在 Transit Gateway 中创建 AWS 公交网关](create-tgw.md)。
1. 创建 VPC 连接。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建 VPC 连接](create-vpc-attachment.md)。
1. 创建为 IGMP 支持配置的多播域。有关更多信息,请参阅 [在 Transit Gateway 中 AWS 创建 IGMP 多播域](create-tgw-igmp-domain.md)。
使用以下设置:
+ 启用**IGMPv2 支持**。
+ 禁用 **Static sources support**(静态源支持)。
1. 在中转网关 VPC 连接中的子网和组播域之间创建关联。有关更多信息,请参阅 [在 Transit Gateway 中将 VPC 附件和子网与多播域关联 AWS](associate-attachment-to-domain.md)。
1. EC2 的默认 IGMP 版本为 IGMPv3。您需要更改所有 IGMP 组成员的版本。您可以运行以下命令:
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. 将不使用 IGMP 协议的成员添加到多播组。有关更多信息,请参阅 [在 T AWS ransit Gateway 中向组播群组注册成员](add-members-multicast-group.md)。
# 示例:在 Tr AWS ansit Gateway 中管理静态来源配置
此示例介绍如何将组播源静态添加到群组。主机不使用 IGMP 协议加入或退出组播组。您需要静态添加接收组播流量的组成员。
使用以下步骤完成配置:
1. 创建 VPC。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
1. 在 VPC 中创建子网。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。
1. 创建为多播流量配置的中转网关。有关更多信息,请参阅 [在 Transit Gateway 中创建 AWS 公交网关](create-tgw.md)。
1. 创建 VPC 连接。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建 VPC 连接](create-vpc-attachment.md)。
1. 创建配置为不支持 IGMP 的多播域,并支持静态添加源。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建静态源组播域](create-tgw-domain.md)。
使用以下设置:
+ 禁用**IGMPv2 支持**。
+ 要手动添加源,请启用 **Static sources support**(静态源支持)。
当启用属性时,源是唯一可发送多播流量的资源。否则,位于与组播域关联的子网中的任何实例都可以发送组播流量,组成员将接收组播流量。
1. 在中转网关 VPC 连接中的子网和组播域之间创建关联。有关更多信息,请参阅 [在 Transit Gateway 中将 VPC 附件和子网与多播域关联 AWS](associate-attachment-to-domain.md)。
1. 如果您启用 **Static sources support**(静态源支持),请将源添加到组播组。有关更多信息,请参阅 [在 T AWS ransit Gateway 中的组播组中注册源](add-source-multicast-group.md)。
1. 将成员添加到多播组。有关更多信息,请参阅 [在 T AWS ransit Gateway 中向组播群组注册成员](add-members-multicast-group.md)。
# 示例:在 T AWS ransit Gateway 中管理静态群组成员配置
此示例显示静态地将多播成员添加到组中。主机不能使用 IGMP 协议加入或退出多播组。位于与多播域关联的子网中的任何实例都可以发送多播流量,组成员将接收多播流量。
使用以下步骤完成配置:
1. 创建 VPC。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
1. 在 VPC 中创建子网。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。
1. 创建为多播流量配置的中转网关。有关更多信息,请参阅 [在 Transit Gateway 中创建 AWS 公交网关](create-tgw.md)。
1. 创建 VPC 连接。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建 VPC 连接](create-vpc-attachment.md)。
1. 创建配置为不支持 IGMP 的多播域,并支持静态添加源。有关更多信息,请参阅 [在 AWS Transit Gateway 中创建静态源组播域](create-tgw-domain.md)。
使用以下设置:
+ 禁用**IGMPv2 支持**。
+ 禁用 **Static sources support**(静态源支持)。
1. 在中转网关 VPC 连接中的子网和组播域之间创建关联。有关更多信息,请参阅 [在 Transit Gateway 中将 VPC 附件和子网与多播域关联 AWS](associate-attachment-to-domain.md)。
1. 将成员添加到多播组。有关更多信息,请参阅 [在 T AWS ransit Gateway 中向组播群组注册成员](add-members-multicast-group.md)。
# 灵活的成本分配
默认情况下,Transit Gateway 使用基于发件人的成本分配模型,其中数据处理费用分配给拥有源附件的账户。您可以创建自定义计量策略,根据流量属性(例如附件类型、特定附件 IDs或网络地址)来定义应向哪些账户收费。
计量策略由有序的规则组成,这些规则按从最低到最高的规则编号进行评估。当流量与规则匹配时,将根据规则的配置向指定账户收费。您可以通过以下选项指定用于分配成本的账户所有者:
+ **来源附件所有者**-费用分配给拥有源附件的账户(默认行为)
+ **目标附件所有者**-费用将分配给拥有目标附件的账户
+ **Transit Gateway 所有者**-费用将分配给拥有公交网关的账户
灵活的成本分配可为使用集中式网络架构的组织提供更好的成本管理,无论网络拓扑结构如何,都可以将成本分配给相应的业务部门或应用程序所有者。
**注意**
灵活的成本分配允许您灵活地分配计量使用量,进而将费用分配给您选择的账户所有者。但是, AWS 账户的税收影响可能因地理位置、使用模式和其他因素而有很大差异。在启用此功能之前,请查看贵 AWS 组织中账户的账单、税收和成本管理影响。参考:[什么是 B AWS illing and Cost Management?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)
## 计量策略
计量策略允许您为交通网关配置成本分配规则,以根据流量属性控制向哪些账户收取数据处理和传输费用。此功能可为使用集中式网络架构的组织提供更好的成本管理和按存储容量使用计费功能。
计量策略由以下内容组成:
+ **计量策略**-包含计量策略规则的整体配置容器。创建后,它包含一个默认的计量策略条目,该条目配置为向源附件所有者收取所有流量。每个传输网关只能有一个计量策略。
+ **计量策略条目**-计量策略中的单个规则,用于定义特定的匹配标准和用于计量使用情况的帐户。每个条目都包括评估顺序、流量匹配条件(例如源和目标连接类型、附件、CIDR 块 IDs、端口和协议)的规则编号,以及应向哪个账户所有者收取匹配流量费用。一个策略最多可以包含 50 个条目,按从最低到最高的规则编号顺序进行评估。
您可以将计量使用量分配给以下任何一个:
+ **来源附件所有者**:将计量使用量分配给拥有流量来源附件的账户(默认行为)
+ **目标附件所有者**:将计量使用量分配给拥有流量终止处的附件的账户,以及
+ **公交网关所有者**:将计量使用量分配给拥有公交网关的账户。
+ **Middlebox 附件**-(可选)指定的传输网关附件,用于通过网络设备路由流量,以实现安全检查、负载平衡或其他网络功能。通过中间框附件的流量使用量按计量策略中指定的账户所有者计量。您最多可以指定 10 个中间框附件。支持的中间盒附件类型包括网络功能(Network Fire AWS wall)、VPC 和 VPN 附件。
### 计量策略的工作原理
默认情况下,Transit Gateway 使用基于发件人的成本分配模型,其中数据处理费用按拥有源附件的账户计量。借助计量策略,您可以创建自定义规则,根据以下流量属性灵活地计量使用情况:
+ 源和目标连接类型(VPC、VPN、Direct Connect 网关、对等连接、网络功能和 VPN 集中器)
+ 源和目标附件 IDs
+ 源和目标 IP 地址、端口范围和协议
计量策略由有序的规则组成,这些规则按从最低到最高的规则编号进行评估。当流量与规则匹配时,将根据该规则的计费账户设置向指定账户收费。计量策略解决了几种常见的组织场景:
+ **混合环境成本分配**:将通过 Direct Connect Gateway AWS 从本地输入数据的成本分配给目标 VPC 账户所有者,而不是中央 IT 管理员账户所有者。
+ **集中式检查架构**:将成本分配给个人应用程序或 VPC 账户所有者,而不是将通过检查穿越流量的成本分配给中央安全团队。 VPCs
+ **基于应用程序的计费:无论流量方向**如何,都将工作负载的所有数据使用成本分配给 VPC 所有者。
+ **客户成本分配**:当客户账户为您的公交网关创建附件时,将数据成本分配给他们。
### 中间箱附件
Transit Gateway 计量策略支持 Middlebox 附件,允许您灵活地为通过中间盒设备(例如网络防火墙和负载均衡器)路由的网络流量分配数据处理费用。中间框附件的示例有 Network Fire AWS wall 的网络功能附件或将流量路由到 VPC 中的第三方安全设备的 VPC 附件。对于典型的安全检查用例,源和目标传输网关附件之间的流量通过这些中间箱附件进行传输。您可以定义计量策略,灵活地将中间框附件的数据处理使用量分配给原始源附件、最终目标附件或公交网关账户所有者。对于网络功能附件,Network Fire AWS wall 数据处理费用也分配给按流量计费的帐户。
### 灵活的成本分配-计量使用类型
通过计量策略灵活分配成本适用于以下数据使用类型:
+ VPC、VPN、VPN 集中器和 Direct Connect 附件上的传输网关数据处理使用情况
+ Site-to-site VPN 连接上的 VPN 数据传出使用情况
+ 在 Direct Connect 附件上使用直接连接数据传出。
+ TGW 对等连接附件的数据传输使用情况
+ Transit gateway 网络功能附件的数据处理使用情况
+ AWS 网络功能附件上的网络防火墙 (NFW) 数据处理使用情况。
灵活的成本分配不适用于附件每小时使用量和多播数据处理用量。对于 Transit Gateway Connect 附件,可以为底层传输 VPC 或 Direct Connect 附件定义计量策略。对于私有 IP VPN 附件,可以为底层传输 Direct Connect 附件定义计量策略。
### 注意事项和限制
在为公交网关实施计量策略时,请考虑以下几点。
#### Permissions
+ 只有传输网关所有者才能创建、修改或删除计量策略。
+ 成本分配设置适用于公交网关级别。
+ 附件所有者无法覆盖公交网关所有者配置的成本分配设置。
#### Transit Gateway 对
当流量穿过公交网关对等连接时:
+ 每个公交网关都独立应用自己的计量策略。
+ 数据费用由每个中转网关根据其本地政策单独分配。
+ 流量可以看作是两个独立的流:对等连接的源连接和对等到目标连接的对等。
#### 云广域网集成
将传输网关连接到 Cloud WAN 核心网络时:
+ 对等连接的中转网关数据传输费用根据传输网关计量策略进行分配。
+ Cloud WAN 核心网络不支持计量策略。
#### 性能影响
+ 计量策略不会引入任何额外的数据路径延迟。
+ 计量策略对每个连接的最大带宽没有影响。
+ 公交网关资源共享功能没有变化。
#### 账单集成
+ 成本分配标签继续与计量策略配合使用,用于按业务部门组织成本。
+ 计量策略定义了哪些账户会产生成本,而成本分配标签则有助于对这些成本进行分类。
+ 对计量政策的更改将在下一个计费时间结束时生效。
#### IPv6 支持
IPv4 和 IPv6 流量都支持计量策略。策略条目中的 CIDR 块匹配适用于两个地址系列。
#### 支持中间盒附件
+ Middlebox 计量策略假设原始源和目标附件之间的流量通过指定的中间框附件(例如东西向流量检查)进行头发固定。 VPC-to-VPC因此,流入和流出中间框附件的网络 5 元组(source/destination IPs, source/destination端口和协议)必须匹配。中间框附件(例如检查 VPC 中的 NAT 转换)上有 5 元组不匹配的流被视为常规的源-目标连接流(而不是中间框连接流)。
+ 中间盒连接上的所有仅限出口的流量(例如,在检查 VPC 中通过 IGW 到互联网的南北流量)都被视为常规的源-目标流(而不是中间框连接流)。
+ 对于网络防火墙丢弃数据包时的 AWS 网络功能附件,无论计量策略配置如何,所有数据处理使用量都将退还给发送者帐户。
# 创建 Tr AWS ansit Gateway 计量策略
要启用计量策略,您必须为公交网关创建计量策略,并配置定义如何分配计量使用量的策略条目。计量策略建立框架和默认设置,而策略条目则包含根据流量特征确定对哪些账户进行计费的特定规则。
计量策略条目充当有序的规则,这些规则按从最低到最高的顺序应用于流经您的公交网关的流量。每个条目都定义了匹配标准,例如源和目标连接类型、CIDR 块、协议和端口范围,以及匹配流量应计量的帐户。当一个流量匹配多个条目时,规则编号最小的条目优先。如果没有与特定流量匹配的条目,则按策略中指定的默认计费账户收费。
创建策略后,您需要添加策略条目以实现成本分配逻辑。有关创建计量策略条目的步骤,请参阅[创建计量策略条目](create-metering-policy-entry.md)。
## 使用控制台创建计量策略
创建策略以定义公交网关数据使用的灵活成本分配规则。默认情况下,所有流量均按源附件所有者计费。创建条目以向不同账户开具特定网络流量账单。
**创建计量策略**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 选择**创建计量策略**。
1. 对于**公交网关 ID**,选择您要为其创建计量策略的公交网关。
1. (可选)对于 **Middlebox 附件 IDs**,请选择一个或多个中间盒附件。默认情况下,数据使用量按中间框所有者计量。Middlebox 附件支持允许将计量策略应用于通过中间箱附件的流量。以后可以添加其他附件。
1. (可选)在**标签**部分,添加标签以帮助您识别和整理计量策略:
1. 选择**添加新标签**。
1. 输入标签密**钥**和标签**值**(可选)。
1. 选择**添加新标签**以添加更多标签,或跳到下一步。最多可以添加 50 个标签。
1. 选择**创建传输网关计量策略**。
**注意**
默认按流量计费的账户是源附件所有者,创建计量策略后,您可以添加条目来定义根据流量属性向哪个账户收费,请注意,默认策略条目(这是最后一个条目)不能像其他策略条目一样修改或删除。
## 使用创建计量策略 AWS CLI
计量策略定义公交网关的默认成本分配行为和全局设置。使用 [create-transit-gateway-metering-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html)。
必需参数:
+ `--transit-gateway-id`-要为其创建策略的传输网关的 ID
可选参数:
+ `--middle-box-attachment-ids`-支持将公交网关附件 ID 作为中间框添加到策略中
+ `--tag-specifications`-计量策略的标签
**要使用创建计量策略 AWS CLI**
1. 运行**create-transit-gateway-metering-policy**命令以创建带有可选中间框附件的新计量策略。
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
此命令使用提供的中间框附件和标签为指定的公交网关创建计量策略。
1. 成功创建策略后,该命令将返回以下输出:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
记下响应中返回的计量策略 ID,以便在后续命令中使用。 **describe-transit-gateway-metering-policies**命令可用于获取与传输网关关联的计量策略。
# 管理 AWS 公交网关计量策略
创建计量策略后,您可以通过查看当前设置、修改配置选项或在不再需要时删除该策略来对其进行管理。管理操作允许您在网络需求变化时添加或删除中间框附件。您只能创建或删除策略条目。如果您需要修改现有规则,可以删除该条目并使用修改后的配置创建一个新规则。所有管理操作都需要公交网关所有者的权限,并在两个计费小时后生效。
随着网络架构的发展,有效的计量策略管理对于保持准确的成本分配至关重要。当业务部门发生变化、部署新应用程序或修改网络拓扑时,Organizations 通常需要调整其策略。例如,当防火墙安全架构发生变化或在流量路径中引入新的检查服务时,中间盒计量支持设置可能需要更新。
政策修改支持各种运营场景,包括季节性交通模式变化、并购活动以及合规要求更新。在管理政策时,请考虑对现有计费安排的影响,并在实施之前向受影响的利益相关者传达变更信息。
定期政策审查有助于确保成本分配与业务目标和组织结构保持一致。最佳实践包括记录政策变更,尽可能在非生产环境中测试修改,以及与财务团队协调以了解计费影响。此外,请考虑政策变更的时机,以最大限度地减少对每月计费周期和财务报告流程的干扰。
**Topics**
+ [编辑计量策略](metering-policy-edit.md)
+ [删除计量策略](metering-policy-delete.md)
# 编辑 Tr AWS ansit Gateway 计量策略
编辑现有计量策略以修改中间框附件配置。政策修改将在下一个计费时间生效,并适用于未来通过您的公交网关的所有流量。
## 使用控制台编辑计量策略
使用控制台修改公交网关的现有计量策略设置。
**使用控制台编辑现有计量策略**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 通过选择要修改的计量策略的策略 ID 来选择该策略
1. 修改**操作**下的可用策略设置。控制台仅允许添加和移除中间框附件。
1. **Middlebox 附件**-添加或删除公交网关附件,这些附件应被视为用于专门计费的中间箱。
## 使用编辑计量策略 AWS CLI
使用**modify-transit-gateway-metering-policy**命令查看和修改计量策略。
修改操作所需的参数:
+ `--transit-gateway-metering-policy-id`-要修改的计量策略的 ID
+ `--add-middle-box-attachment-ids`或 `--remove-middle-box-attachment-ids`-支持作为中间框在策略中添加或删除的公交网关附件 ID
**使用 AWS CLI 查看和编辑计量策略**
1. (可选)使用**describe-transit-gateway-metering-policies**命令查看现有计量策略以查看当前配置设置:
```
aws ec2 describe-transit-gateway-metering-policies
```
此命令返回您账户中的所有计量策略,显示其当前状态,并将附件作为每个计量策略的中间框启用。
1. 使用**modify-transit-gateway-metering-policy**命令修改计量策略以更新配置选项:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
此命令通过添加 and/or 移除中间框附件来修改计量策略。
1. 成功修改策略后,该命令将返回以下输出:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
更改最多可能需要两个计费小时才能生效。
# 删除 Tr AWS ansit Gateway 计量策略
当您的公交网关成本分配策略不再需要计量策略时,请将其删除。删除策略会将成本分配恢复为基于发件人的默认模式,在该模型中,数据处理和数据传输费用将分配给拥有源附件的账户。与已删除的计量策略关联的所有策略条目也将被删除。
## 使用控制台删除计量策略
使用控制台删除不再需要的计量策略。
**使用控制台删除计量策略**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 通过选择其策略 ID 来选择要删除的策略。
1. 选择 **Actions**(操作),然后选择 **Delete**(删除)。
1. 在确认对话框**delete**中键入内容以确认删除。
1. 选择**删除**。
**重要**
删除计量策略是不可逆的。所有策略条目和配置设置都将被永久删除,成本分配将恢复为默认的基于发件人的模式。
## 使用删除计量策略 AWS CLI
使用**delete-transit-gateway-metering-policy**命令以编程方式删除计量策略。
要求:
+ 公交网关所有者权限
必需参数:
+ `--transit-gateway-metering-policy-id`-要删除的计量策略的 ID
**使用 AWS CLI 查看和删除计量策略**
1. (可选)使用**describe-transit-gateway-metering-policies**命令查看现有计量策略以查看当前配置设置:
```
aws ec2 describe-transit-gateway-metering-policies
```
此命令返回您账户中的所有计量策略,显示其当前状态和配置。
1. 使用**delete-transit-gateway-metering-policy**命令删除计量策略以永久删除该策略:
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
此命令永久删除指定的计量策略和所有关联条目。对于所有未来流量,成本分配将恢复为默认的基于发件人的模型。此更改还需要 2 个计费小时才能生效。
1. 成功删除策略后,该命令将返回以下输出:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
该响应确认正在通过公交网关基础设施处理删除策略的`deleting`状态进行删除。
# 创建 Tr AWS ansit Gateway 计量策略条目
默认情况下,所有流量均按源附件所有者计费。要计量流向不同账户的特定流量,请创建单独的策略条目,根据流量属性定义向哪个账户收费。
计量策略条目充当条件规则,当流量流经您的公交网关时,这些规则会根据其规则编号按顺序进行评估。每个条目都充当 “if-then” 声明:如果流量符合指定标准(例如源连接类型、目标 CIDR 块或协议),则向指定账户收费。系统按从最低到最高的规则编号对条目进行评估,第一个匹配的条目确定该流量的账单账户。
条目支持多种匹配标准,包括连接类型(VPC、VPN、Direct Connect Gateway) IDs、特定连接、源和目标 CIDR 块、协议类型和端口范围。您可以在单个条目中组合多个标准,以创建精确的定位规则。例如,您可以创建一个条目,将从 VPC 附件到特定目标 CIDR 范围的所有 HTTPS 流量(端口 443)进行匹配,并将这些流量计入安全团队的账户。如果没有条目与特定的流量匹配,则按父计量策略中指定的默认计费账户收费,确保所有流量都正确计费。创建条目需要 2 个计费小时才能生效。
**重要**
仔细规划规则编号——留出空白(例如 10、20、30),以便将来可以插入
在添加限制性更强的规则之前,先测试条件不那么具体的参赛作品
使用特定的匹配条件以避免意外计费
## 使用控制台创建计量策略条目
计量策略定义公交网关的默认成本分配行为和全局设置。
**使用控制台创建计量策略条目**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 选择计量策略 ID 链接以查看其详细信息。
1. 选择 “**计量策略条目**” 选项卡。
1. 选择**创建计量策略条目**。
1. **策略规则编号**-这应该是决定评估顺序的唯一数字 (1-32,766)。数字越小,优先级越高。
1. **按流量计费账户**-选择以下账户类型之一,为匹配流量收费:
1. **来源附件所有者**
1. **目标附件所有者**
1. **Transit Gateway 附件**
1. (可选)选择**规则条件**-这些可选条件定义了匹配特定流量的标准:
+ **源连接类型或 ID-按连接类型**(VPC、VPN、Direct Connect Gateway、Peering)或 ID 筛选。
+ **目标附件类型或 ID**-按目标附件类型或 ID 筛选
+ **源 CIDR 块**-匹配来自特定 IP 范围的流量
+ **目标 CIDR 块**-将流量与特定 IP 范围相匹配
+ **源端口范围**-匹配特定的源端口
+ **目标端口范围**-匹配特定的目标端口
+ **协议**-按协议筛选规则(1、6、17 等)
1. 选择**创建计量策略条目**以保存配置。
## 使用创建计量策略条目 AWS CLI
策略条目根据流量特征定义具体的成本分配规则。规则按从最低到最高的规则编号顺序进行评估。
必需参数:
+ `--transit-gateway-metering-policy-id`-要向其添加条目的计量策略的 ID
+ `--policy-rule-number`-决定评估顺序的唯一数字 (1-32,766)
+ `--metered-account`-付款人类型 (source-attachment-owner/ destination-attachment-owner/ transit-gateway-owner)
可选参数:
这些可选参数定义了匹配特定流量的标准:
+ `--source-transit-gateway-attachment-id`-源传输网关附件的 ID。
+ `--source-transit-gateway-attachment-type`-源传输网关连接的类型。
+ `--source-cidr-block`-规则的源 CIDR 块。
+ `--source-port-range`-规则的源端口范围。
+ `--destination-transit-gateway-attachment-id`-目标公交网关附件的 ID。
+ `--destination-transit-gateway-attachment-type`-目标中转网关连接的类型。
+ `--destination-cidr-block`-规则的目标 CIDR 块。
+ `--destination-port-range`-规则的目标端口范围。
+ `--protocol`-规则的协议号
**要使用创建计量策略条目 AWS CLI**
1. 使用**create-transit-gateway-metering-policy-entry**命令创建新的策略条目,将 VPC 流量路由到特定的按流量计费的账户:
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
此命令创建规则编号为 100 的策略条目,该条目匹配发往 VPC 附件的流量,并向目标附件所有者收取这些流量费用。
1. 成功创建条目后,该命令将返回以下输出:
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
响应确认该条目是在公交网关基础设施中激活时以 “可用” 状态创建的。
# 删除 Tr AWS ansit Gateway 计量策略条目
当您的网络流量不再需要特定的成本分配规则时,请删除计量策略条目。删除条目有助于通过删除过时或不必要的规则来简化策略管理,同时保持整体策略结构。删除条目时,先前与已删除规则匹配的流量将按规则编号顺序根据剩余条目进行评估,如果没有其他条目匹配,则回退到默认策略行为。
在删除条目之前,请考虑对当前计费安排和流量的影响。删除后,更改最多需要 2 个计费小时才能生效,并且无法撤消,因此请与受影响的账户所有者和财务团队协调更改。查看其余条目,确保删除后的流量覆盖范围和账单分配正确。其余条目的规则评估顺序保持不变,从而为持续的流量保持了可预测的成本分配行为。
**重要**
删除是不可逆的
先前与该条目匹配的流量将根据剩余条目进行重新评估
查看其余条目以确保适当的流量覆盖范围
## 使用控制台删除计量策略条目
使用控制台通过直观的界面删除策略条目,该界面提供确认对话框以防止意外删除。
**使用控制台删除策略条目**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 选择包含要删除的条目的计量策略。
1. 选择要删除的条目,然后选择 “**删除**”。
1. 在确认对话框中,查看条目详细信息并键入**delete**以确认删除。
1. 选择 “**删除**” 以永久删除该条目。
## 使用删除计量策略条目 AWS CLI
使用**delete-transit-gateway-metering-policy-entry**命令以编程方式删除策略条目。
要求:
+ 公交网关所有者权限
+ 有效的计量策略 ID 和条目规则编号
必需参数:
+ `--transit-gateway-metering-policy-id`-计量策略的 ID
+ `--policy-rule-number`-要删除的条目的规则编号
**使用 AWS CLI 查看和删除策略条目**
1. (可选)使用**get-transit-gateway-metering-policy-entries**命令查看现有策略条目以查看当前配置设置:
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
此命令返回指定策略的所有条目,显示其规则编号、匹配条件和计量账户。
1. 使用**delete-transit-gateway-metering-policy-entry**命令删除策略条目以永久删除该条目:
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
此命令将指定的条目从策略中永久删除。先前与此条目匹配的流量将立即根据剩余条目进行重新评估,或者回退到默认策略行为。
1. 成功删除条目后,该命令将返回以下输出:
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
该响应确认该条目正在被删除,且处于 “已删除” 状态,同时正在通过公交网关基础设施进行移除。
# 管理 AWS Transit Gateway 计量策略中间框附件
传输网关计量策略支持 Middlebox 附件,允许您灵活地为通过中间盒设备(例如网络防火墙和负载均衡器)路由的网络流量分配数据处理费用。中间框附件的示例有 Network Fire AWS wall 的网络功能附件或将流量路由到 VPC 中的第三方安全设备的 VPC 附件。对于典型的安全检查用例,源和目标传输网关附件之间的流量通过这些中间箱附件进行传输。您可以定义计量策略,灵活地将中间框附件的数据处理使用量分配给原始源附件、最终目标附件或公交网关账户所有者。对于网络功能附件,Network Fire AWS wall 数据处理费用也分配给按流量计费的帐户。
指定的中转网关附件,用于通过网络设备路由流量,以实现安全检查、负载平衡或其他网络功能。通过中间框附件的流量使用量按计量策略中指定的账户所有者计量。您最多可以指定 10 个中间框附件。支持的中间盒附件类型包括网络功能(Network Fire AWS wall)、VPC 和 VPN 附件。
**Topics**
+ [添加中间框附件](create-middlebox-attachment.md)
+ [移除中间框附件](edit-middlebox-attachment.md)
# 添加 AWS Transit Gateway 计量策略中间框附件
您可以添加中间箱附件,将网络设备集成到您的 Transit Gateway 计量策略中。这使您可以通过安全设备、负载均衡器或其他网络功能路由特定流量,同时保持精细的成本分配控制。
**重要**
确保中间盒设备配置正确且可访问
在应用于生产工作负载之前测试流量路由
监控中间箱性能以避免引入延迟
配置适当的故障切换行为以实现高可用性
## 使用控制台添加中间框附件
**添加中间框附件条目**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**计量策略**。
1. 选择计量策略 ID 链接以查看其详细信息。
1. 选择 **Middlebox 附件**选项卡。
1. 选择**添加**。
1. 出现提示时,选择应被视为中间框 IDs 以进行专门计费的中间框附件。您最多可以选择 10 个中间框附件。
1. 选择 “**添加中间框附件”** 以保存配置。
## 使用添加中间框附件 AWS CLI
使用**modify-transit-gateway-metering-policy**命令添加附件。
在开始之前,请确保您具有以下必需的参数:
+ `--transit-gateway-metering-policy-id`-现有计量策略的 ID
+ `--add-middle-box-attachment-ids`- IDs 要添加到策略中的一个或多个附件(用于添加附件)
**使用 CLI 向现有策略添加中间框附件 AWS**
1. 在以下示例中,**modify-transit-gateway-metering-policy**用于向现有计量策略添加四个中间框附件。该命令将指定的附件 IDs 添加到现有列表中,而不删除当前附件:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 在以下示例响应中,JSON 输出显示了更新的策略配置,其中包含所有四个中间框附件:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# 移除 AWS Transit Gateway 计量策略中间框附件
默认情况下,计量费用归因于中间框附件所有者。但是,您可以修改这些分配,以确保将成本正确分配给流量的实际来源或目的地。您可以为计量策略添加或移除最多 10 个中间框附件。
## 使用控制台移除中间框附件
使用 Amazon VPC 控制台从您的计量策略配置中移除中间框附件。
**移除中间框附件**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**公交网关**、**计量策略**。
1. 选择要修改的计量策略。
1. 选择 **Middlebox 附件**选项卡。
1. 最多选择 10 个要从计量策略中移除的中间框附件。
1. 选择**移除 **。
1. 出现提示时,您可以更新要删除的选定中间框附件。通过已移除附件的流量将计量给中间框附件所有者。
1. 选择 “**移除中间框附件”**。
## 使用移除中间框附件 AWS CLI
使用**modify-transit-gateway-metering-policy**命令移除附件。
在开始之前,请确保您具有以下必需的参数:
+ `--transit-gateway-metering-policy-id`-现有计量策略的 ID
+ `--remove-middle-box-attachment-ids`- IDs 要从策略中移除的一个或多个附件(用于移除附件)
**使用 CLI 从现有策略中移除中间框附件 AWS**
1. 在以下示例中,**modify-transit-gateway-metering-policy**用于从现有计量策略中删除两个特定的中间框附件。该命令仅删除指定的附件, IDs 同时保留其余附件:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 在以下示例响应中,JSON 输出显示了更新的策略配置,其中指定的附件已移除,其余附件仍处于活动状态:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [计量策略](#metering-policies-main)
+ [创建计量策略](metering-policy-create-policy.md)
+ [管理计量策略](metering-policy-manage-policy.md)
+ [创建计量策略条目](create-metering-policy-entry.md)
+ [删除计量策略条目](metering-policy-entry-delete.md)
+ [管理计量策略中间框附件](metering-policy-middlebox.md)