本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Transit Gateway 設計最佳實務 以下是傳輸閘道設計的最佳實務: + 為每個傳輸閘道 VPC 連接使用個別子網路。對於每個子網路,請使用小型 CIDR (例如 `/28`),以便擁有 EC2 資源的更多地址。當您使用獨立的子網路時,您可以設定下列項目: + 保持與傳輸閘道子網路相關聯的輸入和輸出網路 NACL 之開啟。 + 視您的流量而定,您可以將網路 NACL 套用至工作負載子網路。 + 建立一個網路 ACL,將其與傳輸閘道的所有關聯子網路建立關聯。在輸入和輸出方向上保持網路 ACL 開啟。 + 將同一個 VPC 路由表與傳輸閘道的所有關聯子網路建立關聯,除非您的網路設計需要多個 VPC 路由表 (例如,透過多個 NAT 閘道路由傳送流量的中間設備 VPC)。 + 使用邊界閘道通訊協定 (BGP) Site-to-Site VPN 連線。如果用於連線的客戶閘道裝置或防火牆支援多重路徑,請啟用該功能。 + 啟用 Direct Connect 閘道附件和 BGP Site-to-Site VPN 附件的路由傳播。 + 從 VPC 對等互連遷移以使用傳輸閘道時。VPC 對等互連和傳輸閘道之間的 MTU 大小不匹配可能會導致某些非對稱流量的封包捨棄。同時更新兩個 VPC,以避免由於大小不匹配而捨棄巨型封包。 + 您不需要額外的傳輸閘道來獲得高可用性,因為傳輸閘道在設計上具有高可用性。 + 除非您的設計需要多個傳輸閘道路由表,否則請限制傳輸閘道路由表的數目。 + 為實現備援,請在每個區域使用單一傳輸閘道進行災難復原。 + 針對使用多個傳輸閘道的部署,建議您為每個傳輸閘道使用一個唯一的自主系統編號 (ASN)。也可以使用區域間對等互連。如需詳細資訊,請參閱[使用區域 AWS Transit Gateway 間對等互連建置全球網路](https://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/)。