本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Transit Gateway 中的 Amazon VPC 連接
傳輸閘道的 Amazon Virtual Private Cloud (VPC) 連接可讓您在一或多個 VPC 子網路之間路由流量。將 VPC 連結至傳輸閘道時,必須從每個可用區域指定一個子網路,以供傳輸閘道使用來路由流量。指定的子網路做為傳輸閘道流量的入口和出口點。只有在傳輸閘道連接子網路在其指向目標子網路的路由表中設定適當的路由時,流量才能到達相同可用區域內的其他子網路中的資源。
**限制**
+ 若您將 VPC 連線至傳輸閘道時,位在可用區域中,但無傳輸閘道連接的任何資源將無法連線該傳輸閘道。
**注意**
在具有傳輸閘道附件的可用區域內,只會將流量從與附件相關聯的特定子網路轉送至傳輸閘道。如果子網路路由表中有通往傳輸閘道的路由,則只有在傳輸閘道在相同可用區域中的子網路中具有連接,且連接子網路的路由表包含通往 VPC 內流量預期目的地的適當路由時,流量才會轉送至傳輸閘道。
+ 傳輸閘道不支援對連線之 VPC 的自訂 DNS 名稱使用 DNS 解析,而此 VPC 是在 Amazon Route 53 中使用私有託管區域所設定的。若要為連接至傳輸閘道的所有 VPCs 設定私有託管區域的名稱解析,請參閱[使用 Amazon Route 53 和 AWS Transit Gateway 集中管理混合雲端的 DNS](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)。
+ 傳輸閘道不支援具有相同 CIDRs VPCs 之間的路由,或如果範圍內的 CIDR 與連接的 VPC 中的 CIDR 重疊。如果您將 VPC 連接至傳輸閘道,且其 CIDR 與已連接至傳輸閘道之另一個 VPC 的 CIDR 相同或重疊,則新連接之 VPC 的路由不會傳播至傳輸閘道路由表。
+ 您無法為駐留在本機區域的 VPC 子網路建立連接。但是,您可以設定網路,從而本機區域中的子網路可透過父可用區域連線至傳輸閘道。如需詳細資訊,請參閱[將本機區域子網路連線至傳輸閘道](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)。
+ 您無法使用僅限 IPv6 的子網建立傳輸閘道連接。傳輸閘道連接子網也必須支援 IPv4 地址。
+ 傳輸閘道至少必須有一個 VPC 連接,才能將傳輸閘道新增至路由表。
## VPC 附件的路由表需求
傳輸閘道 VPC 連接需要特定的路由表組態才能正常運作:
+ **連接子網路路由表**:與傳輸閘道連接相關聯的子網路必須具有 VPC 內需要透過傳輸閘道連線的任何目的地的路由表項目。這包括其他子網路、網際網路閘道、NAT 閘道和 VPC 端點的路由。
+ **目標子網路路由表**:包含需要透過傳輸閘道通訊之資源的子網路必須具有指向傳輸閘道的路由,才能將流量傳回外部目的地。
+ **本機 VPC 流量**:傳輸閘道連接不會自動啟用相同 VPC 內子網路之間的通訊。適用標準 VPC 路由規則,且本機路由 (VPC CIDR) 必須存在於路由表中,才能進行內部 VPC 通訊。
**注意**
在相同可用區域內的非連接子網路中設定路由不會啟用流量流程。只有與傳輸閘道連接相關聯的特定子網路可以做為傳輸閘道流量的進入/退出點。
## VPC 連接生命週期
VPC 連接會經過各個階段,從請求啟動時開始。您在每個階段中都可以採取動作;生命週期結束後,VPC 連接仍會顯示於 Amazon Virtual Private Cloud Console 和 API 或命令列輸出中。
下圖顯示連接在單一帳戶組態中,或在開啟 **Auto accept shared attachments** (自動接受共享連接) 的跨帳戶組態中,可能經歷的狀態。
![\[VPC 連接生命週期\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pending** (待定):已啟動 VPC 連接並正處於佈建程序中的請求。在這個階段,連接可能會失敗,或者可以移至 `available`。
+ **Failing** (失敗):VPC 連接的請求失敗。在這個階段,VPC 連接移至 `failed`。
+ **Failed** (失敗):VPC 連接的請求已經失敗。處於此狀態時,無法將其刪除。失敗的 VPC 連接會保持可見 2 小時,然後不再可見。
+ **Available** (可用):VPC 連接可用,且流量可以在 VPC 和傳輸閘道之間流動。在這個階段,連接可以移至 `modifying`,或移至 `deleting`。
+ **Deleting** (刪除中):正在刪除的 VPC 連接。在這個階段,連接可以移至 `deleted`。
+ **Deleted** (已刪除):已刪除 `available` VPC 連接。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。
+ **Modifying** (修改中):已提出請求修改 VPC 連接的屬性。在這個階段,連接可以移至 `available`,或移至 `rolling back`。
+ **Rolling back** (復原中):無法完成 VPC 連接修改請求,且系統正在復原所做的任何變更。在這個階段,連接可以移至 `available`。
下圖顯示連接在關閉 **Auto accept shared attachments** (自動接受共享連接) 的跨帳戶組態中,可能經歷的狀態。
![\[關閉 Auto accept shared attachments (自動接受共享連接) 的跨帳戶 VPC 連接生命週期\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Pending-acceptance** (待處理接受):VPC 連接請求正在等待接受。在這個階段,連接可以移至 `pending`、移至 `rejecting`,或移至 `deleting`。
+ **Rejecting** (拒絕中):正在刪除的 VPC 連接。在這個階段,連接可以移至 `rejected`。
+ **Rejected** (已拒絕):`pending acceptance` VPC 連接已被拒絕。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。
+ **Pending** (待定):已接受 VPC 連接並正處於佈建程序中。在這個階段,連接可能會失敗,或者可以移至 `available`。
+ **Failing** (失敗):VPC 連接的請求失敗。在這個階段,VPC 連接移至 `failed`。
+ **Failed** (失敗):VPC 連接的請求已經失敗。處於此狀態時,無法將其刪除。失敗的 VPC 連接會保持可見 2 小時,然後不再可見。
+ **Available** (可用):VPC 連接可用,且流量可以在 VPC 和傳輸閘道之間流動。在這個階段,連接可以移至 `modifying`,或移至 `deleting`。
+ **Deleting** (刪除中):正在刪除的 VPC 連接。在這個階段,連接可以移至 `deleted`。
+ **Deleted** (已刪除):已刪除 `available` 或 `pending acceptance` VPC 連接。處於此狀態時,VPC 連接無法修改。VPC 連接會保持可見 2 小時,然後不再可見。
+ **Modifying** (修改中):已提出請求修改 VPC 連接的屬性。在這個階段,連接可以移至 `available`,或移至 `rolling back`。
+ **Rolling back** (復原中):無法完成 VPC 連接修改請求,且系統正在復原所做的任何變更。在這個階段,連接可以移至 `available`。
## 設備模式
如果您打算在 VPC 中設定具狀態的網路設備,您可以在建立附件時,為設備所在的 VPC 附件啟用設備模式支援。這可確保 AWS Transit Gateway 在來源和目的地之間的流量生命週期內,針對該 VPC 連接使用相同的可用區域。它還允許傳輸閘道將流量傳送到 VPC 中的任何可用區域,只要該區域中有子網路關聯。雖然設備模式僅支援 VPC 連接,但網路流程可以來自任何其他傳輸閘道連接類型,包括 VPC、VPN 和 Connect 連接。設備模式也適用於具有不同來源和目的地的網路流程 AWS 區域。如果您一開始未啟用設備模式,但稍後編輯附件組態以啟用,則網路流程可能會在不同的可用區域之間重新平衡。您可以使用主控台或命令列或 API 來啟用或停用設備模式。
AWS Transit Gateway 中的設備模式會在透過設備模式 VPC 判斷路徑時,考慮來源和目的地可用區域,以最佳化流量路由。此方法可提高效率並降低延遲。行為會根據特定組態和流量模式而有所不同。以下是範例案例。
### 案例 1:透過設備 VPC 的可用區域內流量路由
當流量從來源可用區域 us-east-1a 流向目的地可用區域 us-east-1a 時,使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接時,傳輸閘道會從設備 VPC 中的 us-east-1a 選取網路介面。此可用區域會在整個來源和目的地之間的流量期間進行維護。
### 案例 2:透過設備 VPC 的可用區域間流量路由
對於從來源可用區域 us-east-1a 流向目的地可用區域的流量 us-east-1b,使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接,Transit Gateway 會使用流程雜湊演算法在設備 VPC 中選取 us-east-1a 或 us-east-1b。選擇的可用區域會在流程的生命週期內持續使用。
### 案例 3:透過沒有可用區域資料的設備 VPC 路由流量
當流量來自來源可用區域 us-east-1a 到沒有可用區域資訊的目的地時 (例如,網際網路繫結流量),使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接時,傳輸閘道會從設備 VPC 中的 us-east-1a 選取網路介面。
### 案例 4:在與來源或目的地不同的可用區域中,透過設備 VPC 路由流量
當流量從來源可用區域 us-east-1a 流向目的地可用區域 us-east-1b 時,使用不同可用區域中的設備模式 VPC 連接,例如 us-east-1c 和 us-east-1d,傳輸閘道會使用流程雜湊演算法在設備 VPC 中選取 us-east-1c 或 us-east-1d。選擇的可用區域會在流程的生命週期內持續使用。
**注意**
設備模式僅支援 VPC 連接。確保已針對與設備 VPC 連接相關聯的路由表啟用路由傳播。
## 安全群組參考
您可以使用此功能來簡化安全群組管理和控制連接到相同傳輸閘道之 VPCs instance-to-instance的流量。您只能在傳入規則中交叉參考安全群組。傳出安全規則不支援參考安全群組。啟用或停用安全群組參考不會產生額外的成本。
可以為傳輸閘道和傳輸閘道 VPC 連接設定參考支援的安全群組,並且只有在傳輸閘道及其 VPC 連接都已啟用時,才能運作。
### 限制
搭配 VPC 連接使用參考的安全群組時,適用下列限制。
+ 傳輸閘道對等連線不支援安全群組參考。兩個 VPCs連接到相同的傳輸閘道。
+ 可用區域 use1-az3 中的 VPC 附件不支援安全群組參考。
+ PrivateLink 端點不支援參考安全群組。建議使用 IP CIDR 型安全規則作為替代方案。
+ 只要針對 VPC 中的 EFS 介面設定允許所有輸出安全群組規則,參考安全群組適用於彈性檔案系統 (EFS)。
+ 對於透過傳輸閘道的本機區域連線,僅支援下列本機區域:us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。
+ 對於在不支援的 Local Zones、 AWS Outposts 和 AWS Wavelength Zones 中具有子網路的 VPCs,我們建議您在 VPC 連接層級停用此功能,因為這可能會導致服務中斷。
+ 如果您有檢查 VPC,則透過傳輸閘道參考的安全群組無法跨 AWS Gateway Load Balancer 或 AWS Network Firewall 運作。
**Topics**
+ [VPC 附件的路由表需求](#vpc-attachment-routing-requirements)
+ [VPC 連接生命週期](#vpc-attachment-lifecycle)
+ [設備模式](#tgw-appliancemode)
+ [安全群組參考](#vpc-attachment-security)
+ [建立 VPC 連接](create-vpc-attachment.md)
+ [修改 VPC 連接](modify-vpc-attachment.md)
+ [修改 VPC 連接標籤](modify-vpc-attachment-tag.md)
+ [檢視 VPC 連接](view-vpc-attachment.md)
+ [刪除 VPC 連接](delete-vpc-attachment.md)
+ [更新安全群組傳入規則](tgw-sg-updates-update.md)
+ [識別參考的安全群組](tgw-sg-updates-identify.md)
+ [移除過時的安全群組規則](tgw-sg-updates-stale.md)
+ [疑難排解 VPC 連接](transit-gateway-vpc-attach-troubleshooting.md)
# 在 AWS Transit Gateway 中建立 VPC 連接
**使用主控台建立 VPC 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。
1. 在 **Name tag (名稱標籤)** 中,可選擇輸入傳輸閘道連接的名稱。
1. 在 **Transit gateway ID** (傳輸閘道 ID) 中,選擇用於連接的傳輸閘道。您可以選擇自己擁有的傳輸閘道,或是與您共享的傳輸閘道。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 選擇是否啟用 **DNS 支援**、**IPv6 支援**和**設備模式支援**。
如果選擇設備模式,來源和目的地之間的流量會在該流程的生命週期內,針對 VPC 連接使用相同的可用區域。
1. 選擇是否啟用**安全群組參考支援**。啟用此功能,以在連接到傳輸閘道VPCs 之間參考安全群組。如需參考安全群組的詳細資訊,請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。
1. 選擇是否啟用 **IPv6 支援**。
1. 對於 **VPC ID**,請選擇要連接至傳輸閘道的 VPC。
此 VPC 必須至少有一個子網路與之建立關聯。
1. 在**子網路 ID** 中,為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。
1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。
**使用 建立 VPC 連接 AWS CLI**
使用 [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html) 命令。
# 在 AWS Transit Gateway 中修改 VPC 連接
**使用主控台修改您的 VPC 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選取 VPC 連接,然後選擇 **Actions** (動作)、**Modify transit gateway attachment** (修改傳輸閘道連接)。
1. 啟用或停用下列任何項目:
+ **DNS 支援**
+ **IPv6 支援**
+ **設備模式支援**
1. 若要從附件新增或移除子網路,請選擇或清除您想要新增或移除之**子網路 ID** 的核取方塊。
**注意**
當連接處於修改狀態時,新增或修改 VPC 連接子網路可能會影響資料流量。
1. 若要能夠跨連接到傳輸閘道VPCs 參考安全群組,請選取**安全群組參考支援**。如需參考安全群組的詳細資訊,請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。
**注意**
如果您停用現有傳輸閘道的安全群組參考,則會在所有 VPC 連接上停用。
1. 選擇 **Modify transit gateway attachment** (修改傳輸閘道連接)。
**使用 修改 VPC 連接 AWS CLI**
使用 [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html) 命令。
# 在 AWS Transit Gateway 中修改 VPC 連接標籤
**使用主控台修改您的 VPC 連接標籤**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選取 VPC 連接,然後選擇 **Actions** (動作)、**Manage tags** (管理標籤)。
1. [新增標籤] 選擇**新增標籤**,並執行下列動作:
+ 對於 **Key (金鑰)**,輸入金鑰名稱。
+ 對於 **Value (值)**,進入金鑰值。
1. [移除標籤] 在標籤旁邊,選擇 **Remove tag (移除標籤)**。
1. 選擇**儲存**。
VPC 連接標籤只能使用主控台修改。
# 在 AWS Transit Gateway 中檢視 VPC 連接
**使用主控台檢視您的 VPC 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 在 **Resource Type** (資源類型) 欄中,尋找 **VPC**。這些是 VPC 連接。
1. 選擇連接來檢視其詳細資訊。
**使用 檢視您的 VPC 連接 AWS CLI**
使用 [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) 命令。
# 在 AWS Transit Gateway 中刪除 VPC 連接
**使用主控台刪除 VPC 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選取 VPC 連接。
1. 選擇 **Actions** (動作)、**Delete transit gateway attachment** (刪除傳輸閘道連接)。
1. 當出現提示時,輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用 刪除 VPC 連接 AWS CLI**
使用 [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html) 命令。
# 更新 AWS Transit Gateway 安全群組傳入規則
您可以更新與傳輸閘道相關聯的任何傳入安全群組規則。您可以使用 Amazon VPC 主控台或使用命令列或 API 來更新安全群組規則。如需參考安全群組的詳細資訊,請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。
**使用主控台更新您的安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**安全群組**。
1. 選取安全群組,然後選擇**動作**、**編輯傳入規則**以修改傳入規則。
1. 若要新增規則,請選擇**新增規則**,然後指定類型、通訊協定和連接埠範圍。對於**來源** (傳入規則),在連接到傳輸閘道的 VPC 中輸入安全群組的 ID。
**注意**
連接到傳輸閘道的 VPC 中的安全群組不會自動顯示。
1. 若要編輯現有規則,請變更其值 (例如來源或描述)。
1. 若要刪除規則,請選擇規則旁邊的**刪除**。
1. 選擇**儲存規則**。
**使用命令列更新傳入規則**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# 識別 AWS Transit Gateway 參考的安全群組
若要判斷您的安全群組是否在連接到相同傳輸閘道的 VPC 中的安全群組規則中被參考,請使用下列其中一個命令。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# 移除過時 AWS Transit Gateway 的安全群組規則
過時的安全群組規則是參考相同 VPC 或連接至相同傳輸閘道之 VPC 中已刪除安全群組的規則。過時的安全群組規則不會自動從您的安全群組移除,您必須手動將其移除。
您可以使用 Amazon VPC 主控台來檢視和刪除 VPC 的安全群組規則。
**檢視和刪除過時安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security groups** (安全群組)。
1. 選擇 **Actions (動作)**、**Manage stale rules (管理過時規則)**。
1. 針對 **VPC**,選擇具有過時規則的 VPC。
1. 選擇 **Edit** (編輯)。
1. 選擇要刪除之規則右側的 **Delete** (刪除) 按鈕。選擇 **Preview changes (預覽變更)** 及 **Save rules (儲存規則)**。
**使用命令列描述過時的 安全群組規則**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
在您識別過時安全群組規則後,您可以使用 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 或 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 命令,來將其刪除。
# 對 AWS Transit Gateway VPC 連接建立進行故障診斷
以下主題可協助您在建立 VPC 連接時對可能發生的問題進行疑難排解。
**問題**
VPC 連接失敗。
**原因**
原因可能為下列之一:
1. 建立 VPC 連接的使用者沒有建立服務連結角色的正確許可。
1. 由於 IAM 請求太多,因此存在調節問題,例如您正在使用 CloudFormation 來建立許可和角色。
1. 帳戶具有服務連結的角色,而且服務連結的角色已修改。
1. 傳輸閘道未處於 `available` 狀態。
**解決方案**
視原因而定,請嘗試下列步驟:
1. 確認使用者具有建立服務連結角色的正確許可。如需詳細資訊,請參閱《IAM 使用者指南》**中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。使用者具有許可之後,建立 VPC 連接。
1. 手動建立 VPC 連接。如需詳細資訊,請參閱[在 AWS Transit Gateway 中建立 VPC 連接](create-vpc-attachment.md)。
1. 確認服務連結角色具有正確的許可。如需詳細資訊,請參閱 [傳輸閘道服務連結角色](service-linked-roles.md#tgw-service-linked-roles)。
1. 確認傳輸閘道處於 `available` 狀態。如需詳細資訊,請參閱[在 Transit Gateway 中檢視 AWS 傳輸閘道資訊](view-tgws.md)。