本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Transit Gateway
<a name="working-with-transit-gateways"></a>

您可以將傳輸閘道與 Amazon VPC 主控台或 AWS CLI搭配使用。如需啟用和管理傳輸閘道加密支援的資訊，請參閱 [AWS Transit Gateway 的加密支援](tgw-encryption-support.md)。

**Topics**
+ [共用傳輸閘道](#transit-gateway-share)
+ [傳輸閘道](tgw-transit-gateways.md)
+ [VPC 連接](tgw-vpc-attachments.md)
+ [網路函數附件](tgw-nf-fw.md)
+ [VPN 連接](tgw-vpn-attachments.md)
+ [VPN 集中器連接](tgw-vpn-concentrator-attachments.md)
+ [附加至 Direct Connect 閘道的傳輸閘道](tgw-dcg-attachments.md)
+ [對等連接](tgw-peering.md)
+ [Connect 連接和 Connect 對等](tgw-connect.md)
+ [Transit Gateway 路由表](tgw-route-tables.md)
+ [傳輸閘道政策資料表](tgw-policy-tables.md)
+ [運輸閘道上的多點傳送](tgw-multicast-overview.md)
+ [彈性的成本分配](metering-policy.md)

## 共用傳輸閘道
<a name="transit-gateway-share"></a>

您可以使用 AWS Resource Access Manager (RAM) 跨帳戶或組織共用 VPC 附件的傳輸閘道 AWS Organizations。必須啟用 RAM，並與組織共用資源。如需詳細資訊，請參閱《*AWS RAM 使用者指南*》中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。

### 考量事項
<a name="transit-gateway-considerations"></a>

共享傳輸閘道時，請將下列各項納入考量。
+  必須在擁有傳輸閘道的相同 AWS 帳戶中建立 AWS Site-to-Site VPN 附件。
+  Direct Connect 閘道的連接會使用傳輸閘道關聯，並且可以與 Direct Connect 閘道位於相同帳戶，或與 Direct Connect 閘道位於不同 AWS 帳戶。

根據預設，使用者沒有建立或修改 AWS RAM 資源的許可。若要允許使用者建立或修改資源並執行任務，您必須建立 IAM 政策，其會授與使用特定資源和 API 動作的許可。然後您必須將這些政策連接至需要這些許可的 IAM 使用者或群組。

只有資源擁有者可以執行下列操作：
+ 建立資源共享。
+ 更新資源共享。
+ 檢視資源共享。
+ 檢視在所有資源共享中由您的帳戶共享的資源。
+ 檢視在所有資源共享上，您與其共享資源的委託人。檢視您與其共享的委託人，可讓您判斷哪些人員可存取您的共享資源。
+ 刪除資源共享。
+ 執行所有傳輸閘道、Transit Gateway Attachment 和傳輸閘道路由表 API。

您可以在與您共享的資源上執行下列作業：
+ 接受或拒絕資源共享邀請。
+ 檢視資源共享。
+ 檢視您可以存取的共享資源。
+ 檢視與您共享資源之所有委託人的清單。您可以查看他們已與您共享的資源和資源共享。
+ 可以執行 `DescribeTransitGateways` API。
+ 在其 VPC 中執行會建立和描述附件的 API，例如 `CreateTransitGatewayVpcAttachment` 和 `DescribeTransitGatewayVpcAttachments`。
+ 離開資源共享。

與您共享傳輸閘道時，您無法建立、修改或刪除其傳輸閘道路由表或傳輸閘道路由表格傳輸和關聯。

建立傳輸閘道時，即會在您對應帳戶的可用區域中建立傳輸閘道，並且從其他帳戶中獨立。傳輸閘道與連線實體位於不同帳戶時，請使用可用區域 ID 來特定且一致地識別可用區域。例如，use1-az1 是 us-east-1 區域的 AZ ID，映射到每個 AWS 帳戶中的相同位置。

### 取消共享傳輸閘道
<a name="transit-gateway-unshare"></a>

當共享擁有者取消共享傳輸閘道時，會套用下列規則：
+ Transit Gateway Attachment 保持正常運作。
+ 共享帳戶無法描述傳輸閘道。
+ 傳輸閘道擁有者和共享擁有者可以刪除 Transit Gateway Attachment。

當傳輸閘道未與其他 AWS 帳戶共用時，或者如果傳輸閘道共用 AWS 的帳戶已從組織中移除，傳輸閘道本身不會受到影響。

### 共用子網路
<a name="transit-gateway-shared-subnets"></a>

VPC 擁有者可以將傳輸閘道連接至共用 VPC 子網路。參與者無法。來自參與者資源的流量可以使用附件，具體取決於 VPC 擁有者在共用 VPC 子網路上設定的路由。

如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[與其他帳戶共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。

# Transit Gateway 中的 AWS 傳輸閘道
<a name="tgw-transit-gateways"></a>

傳輸閘道可讓您連接 VPC 和 VPN 連線，並在它們之間路由流量。傳輸閘道可跨 運作 AWS 帳戶，您可以使用 AWS RAM 與其他帳戶共用傳輸閘道。與另一個 共用傳輸閘道之後 AWS 帳戶，帳戶擁有者可以將 VPCs連接至您的傳輸閘道。這些帳戶的使用者均可隨時刪除連接。

您可以在傳輸閘道上啟用多點傳送，然後建立傳輸閘道多點傳送網域，讓多點傳送流量可透過與網域相關聯的 VPC 連接，從多點傳送來源傳送至多點傳送群組成員。

每個 VPC 或 VPN 連接都會與單一路由表建立關聯，該路由表會決定從該資源連接傳入之流量的下一個躍點。傳輸閘道內的路由表可允許 IPv4 或 IPv6 CIDR 及目標，目標就是 VPC 和 VPN 連線。在傳輸閘道上附加 VPC 或建立 VPN 連線時，連線會與傳輸閘道的預設路由表建立關聯。

您可在傳輸閘道中建立其他路由表，並將 VPC 或 VPN 改為與這些路由表建立關聯，如此即可劃分網路。例如，您可將開發用 VPC 與一個路由表建立關聯，並將生產用 VPC 與不同路由表建立關聯，這可讓您在與傳統網路虛擬路由和轉送 (VRF) 相似的傳輸閘道中，建立隔離網路。

傳輸閘道支援在已連接 VPC 和 VPN 連線之間進行動態和靜態路由。您可啟用或停用每個連接的路由傳播。VPN 集中器附件僅支援 BGP （動態） 路由。傳輸閘道對等連接僅支援靜態路由。您可以將傳輸閘道路由表中的路由指向對等連接，以在對等傳輸閘道之間路由流量。

您可以選擇將一個或多個 IPv4 或 IPv6 CIDR 區塊與您的傳輸閘道關聯。若針對 [Transit Gateway Connect 連接](tgw-connect.md)建立 Transit Gateway Connect 對等，可以從 CIDR 區塊指定 IP 地址。您可以關聯任何公有或私有 IP 地址範圍 (`169.254.0.0/16` 範圍內的地址除外)，以及與 VPC 連接和內部部署網路地址重疊的範圍。如需 IPv4 和 IPv6 CIDR 區塊的詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的 [IP 定址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)。

**Topics**
+ [建立傳輸閘道](create-tgw.md)
+ [檢視傳輸閘道](view-tgws.md)
+ [管理傳輸閘道標籤](tgw-tagging.md)
+ [修改傳輸閘道](tgw-modifying.md)
+ [接受資源共享](share-accept-tgw.md)
+ [接受共享連接](acccept-tgw-attach.md)
+ [刪除傳輸閘道](delete-tgw.md)
+ [加密支援](tgw-encryption-support.md)

# 在 Transit Gateway 中建立 AWS 傳輸閘道
<a name="create-tgw"></a>

建立傳輸閘道時，我們會建立預設傳輸閘道路由表，當做預設的關聯路由表及傳播路由表。如果選擇不建立預設的傳輸閘道路由表，則可以稍後建立一個路由表。如需路由和路由表的詳細資訊，請參閱 [路由](how-transit-gateways-work.md#tgw-routing-overview)。

**注意**  
如果您想要在傳輸閘道上啟用加密支援，則無法在建立閘道時啟用。建立傳輸閘道且處於可用狀態後，您可以修改它以啟用加密支援。如需詳細資訊，請參閱[AWS Transit Gateway 的加密支援](tgw-encryption-support.md)。

**使用主控台建立傳輸閘道**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateways** (傳輸閘道)。

1. 選擇 **Create transit gateway** (建立傳輸閘道)。

1. 在**「名稱」標籤**, 中，選擇性地輸入傳輸閘道的名稱。名稱標籤可讓您更輕鬆從閘道清單中辨識特定閘道。新增 **Name tag (名稱標籤)** 時，此標籤的金鑰為 **Name**，其值就是您所輸入的值。

1. 在**說明**中，可以輸入傳輸閘道的說明。

1. 在 **Amazon side Autonomous System Number (ASN)** (Amazon 端自治系統編號 (ASN)) 中，您可保留預設值使用預設 ASN，或者為您的傳輸閘道輸入私有 ASN。這應該是邊界閘道協定 (BGP) 工作階段 AWS 的 ASN。

   16 位元的 ASN 範圍應介於 64512 到 65534。

   32 位元的 ASN 範圍應介於 4200000000 到 4294967294。

   若您採用多區域部署，則建議您分別針對各個傳輸閘道使用唯一的 ASN。

1.  若您希望當經過連接至傳輸閘道的另一個 VPC 中的執行個體進行查詢時，VPC 能將公有 IPv4 DNS 主機名稱解析為私有 IPv4 地址，請在 **DNS support** (DNS 支援) 中選取此選項。

1. 針對**安全群組參考支援**，啟用此功能以跨連接到傳輸閘道VPCs 參考安全群組。如需參考安全群組的詳細資訊，請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。

1. 若您要在 VPN 通道中取得等價多路徑 (ECMP) 路由支援，請在 **VPN ECMP support** (VPN ECMP 支援) 中選取此選項。若連接公告相同 CIDR，則流量就是在其之間平均分佈。

   當您選取此選項時，公告的 BGP ASN，然後 AS-path 等 BGP 屬性必須相同。
**注意**  
若要使用 ECMP，您必須建立使用動態路由的 VPN 連線。使用靜態路由的 VPN 連線不支援 ECMP。

1. 在 **Default route table association** (預設路由表關聯) 中，選擇此選項，可自動將傳輸閘道連接與傳輸閘道的預設路由表建立關聯。

1. 在 **Default route table propagation** (預設路由表傳播) 中，選擇此選項，可自動將傳輸閘道連接傳播至傳輸閘道的預設路由表。

1. (選用) 若要使用傳輸閘道做為多點傳送流量的路由器，請選取 **Multicast support** (多點傳送支援)。

1. （選用） 在**Configure-cross-account共用選項**區段中，選擇是否**自動接受共用附件**。如果啟用，則會自動接受附件。否則，您必須接受或拒絕連接請求。

   在 **Auto accept shared attachments** (自動接受共用連接) 中，選擇此選項，可自動接受跨帳戶的連接。

1. (選用) 在**Transit gateway CIDR blocks** (傳輸閘道 CIDR 區塊) 中，為您的傳輸閘道指定一個或多個 IPv4 或 IPv6 CIDR 區塊。

   您可以為 IPv4 指定大小為 /24 CIDR 的區塊或更大區塊 (例如，/23 或 /22)，或是為 IPv6 指定大小為 /64 CIDR 的區塊或更大區塊 (例如，/63 或 /62)。您可以關聯任何公有或私有 IP 地址範圍 (169.254.0.0/16 範圍內的地址除外)，以及與 VPC 連接和內部部署網路地址重疊的範圍。
**注意**  
如果您正在設定 Connect (GRE) 連接或 PrivateIP VPNs則會使用傳輸閘道 CIDR 區塊。Transit Gateway 會為此範圍的通道端點 IPs。 PrivateIP 

1. 選擇 **Create transit gateway** (建立傳輸閘道)。

**使用 建立傳輸閘道 AWS CLI**  
使用 [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html) 命令。

# 在 Transit Gateway 中檢視 AWS 傳輸閘道資訊
<a name="view-tgws"></a>

檢視您的任何傳輸閘道。

**使用主控台檢視傳輸閘道**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateways** (傳輸閘道)。傳輸閘道的詳細資訊會顯示在頁面上的閘道清單下方。

**使用 檢視傳輸閘道 AWS CLI**  
使用 [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html) 命令。

# 在 Transit Gateway 中管理 AWS 傳輸閘道標籤
<a name="tgw-tagging"></a>

將標籤新增至您的資源，以利您依據用途、擁有者或環境來整理並辨識資源。您可以為每個傳輸閘道新增多個標籤。每個傳輸閘道的標籤金鑰必須是唯一的金鑰。如果所新增的標籤，其金鑰已經和傳輸閘道具有關聯，則此動作會更新該標籤的值。如需詳細資訊，請參閱[標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

**使用主控台將標籤新增至傳輸閘道**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateways** (傳輸閘道)。

1. 選擇您要新增或編輯標籤的傳輸閘道。

1. 在頁面下方選擇 **Tags (標籤)** 索引標籤。

1. 選擇**管理標籤**。

1. 選擇 **Add new tag** (新增標籤)。

1. 為標籤輸入 **Key (金鑰)** 和 **Value (值)**。

1. 選擇**儲存**。

# 在 Transit Gateway 中修改 AWS 傳輸閘道
<a name="tgw-modifying"></a>

您可以修改傳輸閘道的組態選項。當您修改傳輸閘道時，任何現有的傳輸閘道附件都不會遇到任何服務中斷。

您無法修改已與您共用的傳輸閘道。

如果任何 IP 地址目前用於 [Connect 對等](tgw-connect.md)，則無法移除傳輸閘道的 CIDR 區塊。

**注意**  
啟用加密支援的傳輸閘道可以在監視器或強制模式下連接到具有加密控制的 VPCs，或者連接到未啟用加密控制的 VPCs。在強制模式下具有加密控制的 VPCs 只能連接到已啟用加密支援的傳輸閘道。  
如需詳細資訊，請參閱[AWS Transit Gateway 的加密支援](tgw-encryption-support.md)。

**修改傳輸閘道**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateways** (傳輸閘道)。

1. 選擇要修改的傳輸閘道。

1. 選擇 **Actions** (動作)、**Modify transit gateway** (修改傳輸閘道)。

1. 視需要修改選項，然後選擇 **Modify transit gateway (修改傳輸閘道)**。

**使用 修改您的傳輸閘道 AWS CLI**  
使用 [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 命令。

# 使用 AWS Resource Access Manager 主控台接受 AWS Transit Gateway 資源共用
<a name="share-accept-tgw"></a>

若您被新增至資源共用，您會收到加入該資源共用的邀請。您必須先透過 (AWS RAM) AWS Resource Access Manager 主控台接受資源共用，才能存取共用資源。

**接受資源共用**

1. 在 https：//[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。

1. 在導覽窗格中，選擇 **Shared with me (與我共用)**、**Resource shares (資源共用)**。

1. 選取資源共用。

1. 選擇 **Accept resource share (接受資源共用)**。

1. 若要檢視共享傳輸閘道，請在 Amazon VPC 主控台中開啟 **Transit Gateways** (傳輸閘道) 頁面。

# 接受 AWS Transit Gateway 中的共用附件
<a name="acccept-tgw-attach"></a>

如果您在建立傳輸閘道時未啟用**自動接受共用附件**功能，則必須使用 Amazon VPC 主控台或 AWS CLI 手動接受跨帳戶 （共用） 附件。

**手動接受共用連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取接受的傳輸閘道連接。

1. 選擇 **Actions** (動作)、**Accept transit gateway attachment** (接受傳輸閘道連接)。

**使用 接受共用附件 AWS CLI**  
使用 [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html) 命令。

# 在 Transit Gateway 中刪除 AWS 傳輸閘道
<a name="delete-tgw"></a>

您無法刪除含有現有連接的傳輸閘道。您必須先刪除所有連線，才能刪除傳輸閘道。

**使用主控台刪除傳輸閘道**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 選擇要刪除的傳輸閘道。

1. 選擇 **Actions** (動作)、**Delete transit gateway** (刪除傳輸閘道)。輸入 **delete**，然後選擇 **Delete** (刪除) 以確認刪除。

**使用 刪除傳輸閘道 AWS CLI**  
使用 [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html) 命令。

# AWS Transit Gateway 的加密支援
<a name="tgw-encryption-support"></a>

加密控制可讓您稽核 VPC 中流量流程的加密狀態，然後強制執行 VPC 內所有流量的encryption-in-transit。當 VPC 加密控制處於強制執行模式時，該 VPC 中的所有彈性網路界面 (ENI) 將限制為僅連接至支援 AWS Nitro 加密的執行個體；而且僅允許加密傳輸中資料 AWS 的服務連接到加密控制強制執行的 VPC。如需 VPC 加密控制的詳細資訊，請參閱[本文件](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)。

## 傳輸閘道加密支援和 VPC 加密控制
<a name="tgw-encryption-support-overview"></a>

傳輸閘道上的加密支援可讓您針對連接到傳輸閘道VPCs 之間的流量強制執行encryption-in-transit。您需要使用 [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 命令在 Transit Gateway 上手動啟用加密支援，以加密 VPCs之間的流量。啟用後，所有流量將透過 Transit Gateway 在處於強制模式 （無排除） VPCs 之間周遊 100% 加密連結。您也可以透過啟用加密支援的傳輸閘道，連接未開啟加密控制或處於監控模式的 VPCs。在此案例中，Transit Gateway 保證會加密 VPC 中未在強制模式下執行之 Transit Gateway 附件的流量。除此之外，它取決於流量在 VPC 中傳送到的執行個體，而不是在強制執行模式下執行。

您只能將加密支援新增至現有的傳輸閘道，而不能在建立時新增。當 Transit Gateway 轉換為已啟用加密支援狀態時，傳輸閘道或附件上不會有停機時間。遷移是無縫且透明的，不會捨棄任何流量。如需修改傳輸閘道以新增加密支援的步驟，請參閱 [修改傳輸閘道](tgw-modifying.md#tgw-modifying.title)。

### 要求
<a name="tgw-encryption-support-requirements"></a>

在傳輸閘道上啟用加密支援之前，請確定：
+ 傳輸閘道沒有 Connect 連接
+ 傳輸閘道沒有對等連接
+ 傳輸閘道沒有 Network Firewall 附件
+ 傳輸閘道沒有 VPN 集中器連接
+ 傳輸閘道未啟用安全群組參考
+ 傳輸閘道未啟用多點傳送功能

### 加密支援狀態
<a name="tgw-encryption-support-states"></a>

傳輸閘道可以具有下列其中一個加密狀態：
+ **啟用** - 傳輸閘道正在啟用加密支援。此程序最多可能需要 14 天才能完成。
+ **已啟用** - 在傳輸閘道上啟用加密支援。您可以在強制執行加密控制的情況下建立 VPC 連接。
+ **停用** - 傳輸閘道正在停用加密支援。
+ **已停用** - 在傳輸閘道上停用加密支援。

### Transit Gateway 連接規則
<a name="tgw-encryption-support-attachments"></a>

當傳輸閘道啟用加密支援時，適用下列附件規則：
+ 當傳輸閘道加密狀態為**啟用或停用**時****，您可以建立 Direct Connect 連接、VPN 連接和不在加密控制強制執行或強制執行模式中的 VPC 連接。
+ **啟用**傳輸閘道加密狀態時，您可以在任何加密控制模式中建立 VPC、Direct Connect 連接、VPN 連接和 VPC 連接。
+ 當傳輸閘道加密狀態**停用**時，您無法在強制執行加密控制的情況下建立新的 VPC 連接。
+ Encryption Support 不支援連線附件、對等附件、安全群組參考和多點傳送功能。

嘗試建立不相容的附件將會失敗並出現 API 錯誤。

# AWS Transit Gateway 中的 Amazon VPC 連接
<a name="tgw-vpc-attachments"></a>

傳輸閘道的 Amazon Virtual Private Cloud (VPC) 連接可讓您在一或多個 VPC 子網路之間路由流量。將 VPC 連結至傳輸閘道時，必須從每個可用區域指定一個子網路，以供傳輸閘道使用來路由流量。指定的子網路做為傳輸閘道流量的入口和出口點。只有在傳輸閘道連接子網路在其指向目標子網路的路由表中設定適當的路由時，流量才能到達相同可用區域內的其他子網路中的資源。

**限制**
+ 若您將 VPC 連線至傳輸閘道時，位在可用區域中，但無傳輸閘道連接的任何資源將無法連線該傳輸閘道。
**注意**  
在具有傳輸閘道附件的可用區域內，只會將流量從與附件相關聯的特定子網路轉送至傳輸閘道。如果子網路路由表中有通往傳輸閘道的路由，則只有在傳輸閘道在相同可用區域中的子網路中具有連接，且連接子網路的路由表包含通往 VPC 內流量預期目的地的適當路由時，流量才會轉送至傳輸閘道。
+ 傳輸閘道不支援對連線之 VPC 的自訂 DNS 名稱使用 DNS 解析，而此 VPC 是在 Amazon Route 53 中使用私有託管區域所設定的。若要為連接至傳輸閘道的所有 VPCs 設定私有託管區域的名稱解析，請參閱[使用 Amazon Route 53 和 AWS Transit Gateway 集中管理混合雲端的 DNS](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)。
+ 傳輸閘道不支援具有相同 CIDRs VPCs 之間的路由，或如果範圍內的 CIDR 與連接的 VPC 中的 CIDR 重疊。如果您將 VPC 連接至傳輸閘道，且其 CIDR 與已連接至傳輸閘道之另一個 VPC 的 CIDR 相同或重疊，則新連接之 VPC 的路由不會傳播至傳輸閘道路由表。
+ 您無法為駐留在本機區域的 VPC 子網路建立連接。但是，您可以設定網路，從而本機區域中的子網路可透過父可用區域連線至傳輸閘道。如需詳細資訊，請參閱[將本機區域子網路連線至傳輸閘道](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)。
+ 您無法使用僅限 IPv6 的子網建立傳輸閘道連接。傳輸閘道連接子網也必須支援 IPv4 地址。
+ 傳輸閘道至少必須有一個 VPC 連接，才能將傳輸閘道新增至路由表。

## VPC 附件的路由表需求
<a name="vpc-attachment-routing-requirements"></a>

傳輸閘道 VPC 連接需要特定的路由表組態才能正常運作：
+ **連接子網路路由表**：與傳輸閘道連接相關聯的子網路必須具有 VPC 內需要透過傳輸閘道連線的任何目的地的路由表項目。這包括其他子網路、網際網路閘道、NAT 閘道和 VPC 端點的路由。
+ **目標子網路路由表**：包含需要透過傳輸閘道通訊之資源的子網路必須具有指向傳輸閘道的路由，才能將流量傳回外部目的地。
+ **本機 VPC 流量**：傳輸閘道連接不會自動啟用相同 VPC 內子網路之間的通訊。適用標準 VPC 路由規則，且本機路由 (VPC CIDR) 必須存在於路由表中，才能進行內部 VPC 通訊。

**注意**  
在相同可用區域內的非連接子網路中設定路由不會啟用流量流程。只有與傳輸閘道連接相關聯的特定子網路可以做為傳輸閘道流量的進入/退出點。

## VPC 連接生命週期
<a name="vpc-attachment-lifecycle"></a>

VPC 連接會經過各個階段，從請求啟動時開始。您在每個階段中都可以採取動作；生命週期結束後，VPC 連接仍會顯示於 Amazon Virtual Private Cloud Console 和 API 或命令列輸出中。

下圖顯示連接在單一帳戶組態中，或在開啟 **Auto accept shared attachments** (自動接受共享連接) 的跨帳戶組態中，可能經歷的狀態。

![\[VPC 連接生命週期\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)

+ **Pending** (待定)：已啟動 VPC 連接並正處於佈建程序中的請求。在這個階段，連接可能會失敗，或者可以移至 `available`。
+ **Failing** (失敗)：VPC 連接的請求失敗。在這個階段，VPC 連接移至 `failed`。
+ **Failed** (失敗)：VPC 連接的請求已經失敗。處於此狀態時，無法將其刪除。失敗的 VPC 連接會保持可見 2 小時，然後不再可見。
+ **Available** (可用)：VPC 連接可用，且流量可以在 VPC 和傳輸閘道之間流動。在這個階段，連接可以移至 `modifying`，或移至 `deleting`。
+ **Deleting** (刪除中)：正在刪除的 VPC 連接。在這個階段，連接可以移至 `deleted`。
+ **Deleted** (已刪除)：已刪除 `available` VPC 連接。處於此狀態時，VPC 連接無法修改。VPC 連接會保持可見 2 小時，然後不再可見。
+ **Modifying** (修改中)：已提出請求修改 VPC 連接的屬性。在這個階段，連接可以移至 `available`，或移至 `rolling back`。
+ **Rolling back** (復原中)：無法完成 VPC 連接修改請求，且系統正在復原所做的任何變更。在這個階段，連接可以移至 `available`。

下圖顯示連接在關閉 **Auto accept shared attachments** (自動接受共享連接) 的跨帳戶組態中，可能經歷的狀態。

![\[關閉 Auto accept shared attachments (自動接受共享連接) 的跨帳戶 VPC 連接生命週期\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)

+ **Pending-acceptance** (待處理接受)：VPC 連接請求正在等待接受。在這個階段，連接可以移至 `pending`、移至 `rejecting`，或移至 `deleting`。
+ **Rejecting** (拒絕中)：正在刪除的 VPC 連接。在這個階段，連接可以移至 `rejected`。
+ **Rejected** (已拒絕)：`pending acceptance` VPC 連接已被拒絕。處於此狀態時，VPC 連接無法修改。VPC 連接會保持可見 2 小時，然後不再可見。
+ **Pending** (待定)：已接受 VPC 連接並正處於佈建程序中。在這個階段，連接可能會失敗，或者可以移至 `available`。
+ **Failing** (失敗)：VPC 連接的請求失敗。在這個階段，VPC 連接移至 `failed`。
+ **Failed** (失敗)：VPC 連接的請求已經失敗。處於此狀態時，無法將其刪除。失敗的 VPC 連接會保持可見 2 小時，然後不再可見。
+ **Available** (可用)：VPC 連接可用，且流量可以在 VPC 和傳輸閘道之間流動。在這個階段，連接可以移至 `modifying`，或移至 `deleting`。
+ **Deleting** (刪除中)：正在刪除的 VPC 連接。在這個階段，連接可以移至 `deleted`。
+ **Deleted** (已刪除)：已刪除 `available` 或 `pending acceptance` VPC 連接。處於此狀態時，VPC 連接無法修改。VPC 連接會保持可見 2 小時，然後不再可見。
+ **Modifying** (修改中)：已提出請求修改 VPC 連接的屬性。在這個階段，連接可以移至 `available`，或移至 `rolling back`。
+ **Rolling back** (復原中)：無法完成 VPC 連接修改請求，且系統正在復原所做的任何變更。在這個階段，連接可以移至 `available`。

## 設備模式
<a name="tgw-appliancemode"></a>

如果您打算在 VPC 中設定具狀態的網路設備，您可以在建立附件時，為設備所在的 VPC 附件啟用設備模式支援。這可確保 AWS Transit Gateway 在來源和目的地之間的流量生命週期內，針對該 VPC 連接使用相同的可用區域。它還允許傳輸閘道將流量傳送到 VPC 中的任何可用區域，只要該區域中有子網路關聯。雖然設備模式僅支援 VPC 連接，但網路流程可以來自任何其他傳輸閘道連接類型，包括 VPC、VPN 和 Connect 連接。設備模式也適用於具有不同來源和目的地的網路流程 AWS 區域。如果您一開始未啟用設備模式，但稍後編輯附件組態以啟用，則網路流程可能會在不同的可用區域之間重新平衡。您可以使用主控台或命令列或 API 來啟用或停用設備模式。

 AWS Transit Gateway 中的設備模式會在透過設備模式 VPC 判斷路徑時，考慮來源和目的地可用區域，以最佳化流量路由。此方法可提高效率並降低延遲。行為會根據特定組態和流量模式而有所不同。以下是範例案例。

### 案例 1：透過設備 VPC 的可用區域內流量路由
<a name="tgw-appliancemode-scenario-1"></a>

當流量從來源可用區域 us-east-1a 流向目的地可用區域 us-east-1a 時，使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接時，傳輸閘道會從設備 VPC 中的 us-east-1a 選取網路介面。此可用區域會在整個來源和目的地之間的流量期間進行維護。

### 案例 2：透過設備 VPC 的可用區域間流量路由
<a name="tgw-appliancemode-scenario-2"></a>

對於從來源可用區域 us-east-1a 流向目的地可用區域的流量 us-east-1b，使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接，Transit Gateway 會使用流程雜湊演算法在設備 VPC 中選取 us-east-1a 或 us-east-1b。選擇的可用區域會在流程的生命週期內持續使用。

### 案例 3：透過沒有可用區域資料的設備 VPC 路由流量
<a name="tgw-appliancemode-scenario-3"></a>

當流量來自來源可用區域 us-east-1a 到沒有可用區域資訊的目的地時 （例如，網際網路繫結流量），使用 us-east-1a 和 us-east-1b 中的設備模式 VPC 連接時，傳輸閘道會從設備 VPC 中的 us-east-1a 選取網路介面。

### 案例 4：在與來源或目的地不同的可用區域中，透過設備 VPC 路由流量
<a name="tgw-appliancemode-scenario-4"></a>

當流量從來源可用區域 us-east-1a 流向目的地可用區域 us-east-1b 時，使用不同可用區域中的設備模式 VPC 連接，例如 us-east-1c 和 us-east-1d，傳輸閘道會使用流程雜湊演算法在設備 VPC 中選取 us-east-1c 或 us-east-1d。選擇的可用區域會在流程的生命週期內持續使用。

**注意**  
設備模式僅支援 VPC 連接。確保已針對與設備 VPC 連接相關聯的路由表啟用路由傳播。

## 安全群組參考
<a name="vpc-attachment-security"></a>

您可以使用此功能來簡化安全群組管理和控制連接到相同傳輸閘道之 VPCs instance-to-instance的流量。您只能在傳入規則中交叉參考安全群組。傳出安全規則不支援參考安全群組。啟用或停用安全群組參考不會產生額外的成本。

可以為傳輸閘道和傳輸閘道 VPC 連接設定參考支援的安全群組，並且只有在傳輸閘道及其 VPC 連接都已啟用時，才能運作。

### 限制
<a name="vpc-attachment-security-limits"></a>

搭配 VPC 連接使用參考的安全群組時，適用下列限制。
+ 傳輸閘道對等連線不支援安全群組參考。兩個 VPCs連接到相同的傳輸閘道。
+ 可用區域 use1-az3 中的 VPC 附件不支援安全群組參考。
+ PrivateLink 端點不支援參考安全群組。建議使用 IP CIDR 型安全規則作為替代方案。
+ 只要針對 VPC 中的 EFS 介面設定允許所有輸出安全群組規則，參考安全群組適用於彈性檔案系統 (EFS)。
+ 對於透過傳輸閘道的本機區域連線，僅支援下列本機區域：us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a 和 us-west-2-phx-2a。
+ 對於在不支援的 Local Zones、 AWS Outposts 和 AWS Wavelength Zones 中具有子網路的 VPCs，我們建議您在 VPC 連接層級停用此功能，因為這可能會導致服務中斷。
+ 如果您有檢查 VPC，則透過傳輸閘道參考的安全群組無法跨 AWS Gateway Load Balancer 或 AWS Network Firewall 運作。

**Topics**
+ [VPC 附件的路由表需求](#vpc-attachment-routing-requirements)
+ [VPC 連接生命週期](#vpc-attachment-lifecycle)
+ [設備模式](#tgw-appliancemode)
+ [安全群組參考](#vpc-attachment-security)
+ [建立 VPC 連接](create-vpc-attachment.md)
+ [修改 VPC 連接](modify-vpc-attachment.md)
+ [修改 VPC 連接標籤](modify-vpc-attachment-tag.md)
+ [檢視 VPC 連接](view-vpc-attachment.md)
+ [刪除 VPC 連接](delete-vpc-attachment.md)
+ [更新安全群組傳入規則](tgw-sg-updates-update.md)
+ [識別參考的安全群組](tgw-sg-updates-identify.md)
+ [移除過時的安全群組規則](tgw-sg-updates-stale.md)
+ [疑難排解 VPC 連接](transit-gateway-vpc-attach-troubleshooting.md)

# 在 AWS Transit Gateway 中建立 VPC 連接
<a name="create-vpc-attachment"></a>

**使用主控台建立 VPC 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

1. 在 **Name tag (名稱標籤)** 中，可選擇輸入傳輸閘道連接的名稱。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇用於連接的傳輸閘道。您可以選擇自己擁有的傳輸閘道，或是與您共享的傳輸閘道。

1. 在 **Attachment type** (連接類型)中，選擇 **VPC**。

1. 選擇是否啟用 **DNS 支援**、**IPv6 支援**和**設備模式支援**。

   如果選擇設備模式，來源和目的地之間的流量會在該流程的生命週期內，針對 VPC 連接使用相同的可用區域。

1. 選擇是否啟用**安全群組參考支援**。啟用此功能，以在連接到傳輸閘道VPCs 之間參考安全群組。如需參考安全群組的詳細資訊，請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。

1. 選擇是否啟用 **IPv6 支援**。

1. 對於 **VPC ID**，請選擇要連接至傳輸閘道的 VPC。

   此 VPC 必須至少有一個子網路與之建立關聯。

1. 在**子網路 ID** 中，為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

**使用 建立 VPC 連接 AWS CLI**  
使用 [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html) 命令。

# 在 AWS Transit Gateway 中修改 VPC 連接
<a name="modify-vpc-attachment"></a>

**使用主控台修改您的 VPC 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 VPC 連接，然後選擇 **Actions** (動作)、**Modify transit gateway attachment** (修改傳輸閘道連接)。

1. 啟用或停用下列任何項目：
   + **DNS 支援**
   + **IPv6 支援**
   + **設備模式支援**

1. 若要從附件新增或移除子網路，請選擇或清除您想要新增或移除之**子網路 ID** 的核取方塊。
**注意**  
當連接處於修改狀態時，新增或修改 VPC 連接子網路可能會影響資料流量。

1. 若要能夠跨連接到傳輸閘道VPCs 參考安全群組，請選取**安全群組參考支援**。如需參考安全群組的詳細資訊，請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。
**注意**  
如果您停用現有傳輸閘道的安全群組參考，則會在所有 VPC 連接上停用。

1. 選擇 **Modify transit gateway attachment** (修改傳輸閘道連接)。

**使用 修改 VPC 連接 AWS CLI**  
使用 [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html) 命令。

# 在 AWS Transit Gateway 中修改 VPC 連接標籤
<a name="modify-vpc-attachment-tag"></a>

**使用主控台修改您的 VPC 連接標籤**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 VPC 連接，然後選擇 **Actions** (動作)、**Manage tags** (管理標籤)。

1. [新增標籤] 選擇**新增標籤**，並執行下列動作：
   + 對於 **Key (金鑰)**，輸入金鑰名稱。
   + 對於 **Value (值)**，進入金鑰值。

1. [移除標籤] 在標籤旁邊，選擇 **Remove tag (移除標籤)**。

1. 選擇**儲存**。

   VPC 連接標籤只能使用主控台修改。

# 在 AWS Transit Gateway 中檢視 VPC 連接
<a name="view-vpc-attachment"></a>

**使用主控台檢視您的 VPC 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 在 **Resource Type** (資源類型) 欄中，尋找 **VPC**。這些是 VPC 連接。

1. 選擇連接來檢視其詳細資訊。

**使用 檢視您的 VPC 連接 AWS CLI**  
使用 [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) 命令。

# 在 AWS Transit Gateway 中刪除 VPC 連接
<a name="delete-vpc-attachment"></a>

**使用主控台刪除 VPC 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 VPC 連接。

1. 選擇 **Actions** (動作)、**Delete transit gateway attachment** (刪除傳輸閘道連接)。

1. 當出現提示時，輸入 **delete**，然後選擇 **Delete** (刪除)。

**使用 刪除 VPC 連接 AWS CLI**  
使用 [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html) 命令。

# 更新 AWS Transit Gateway 安全群組傳入規則
<a name="tgw-sg-updates-update"></a>

您可以更新與傳輸閘道相關聯的任何傳入安全群組規則。您可以使用 Amazon VPC 主控台或使用命令列或 API 來更新安全群組規則。如需參考安全群組的詳細資訊，請參閱 [安全群組參考](tgw-vpc-attachments.md#vpc-attachment-security)。

**使用主控台更新您的安全群組規則**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**安全群組**。

1. 選取安全群組，然後選擇**動作**、**編輯傳入規則**以修改傳入規則。

1. 若要新增規則，請選擇**新增規則**，然後指定類型、通訊協定和連接埠範圍。對於**來源** （傳入規則），在連接到傳輸閘道的 VPC 中輸入安全群組的 ID。
**注意**  
連接到傳輸閘道的 VPC 中的安全群組不會自動顯示。

1. 若要編輯現有規則，請變更其值 (例如來源或描述)。

1. 若要刪除規則，請選擇規則旁邊的**刪除**。

1. 選擇**儲存規則**。

**使用命令列更新傳入規則**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)

# 識別 AWS Transit Gateway 參考的安全群組
<a name="tgw-sg-updates-identify"></a>

若要判斷您的安全群組是否在連接到相同傳輸閘道的 VPC 中的安全群組規則中被參考，請使用下列其中一個命令。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

# 移除過時 AWS Transit Gateway 的安全群組規則
<a name="tgw-sg-updates-stale"></a>

過時的安全群組規則是參考相同 VPC 或連接至相同傳輸閘道之 VPC 中已刪除安全群組的規則。過時的安全群組規則不會自動從您的安全群組移除，您必須手動將其移除。

您可以使用 Amazon VPC 主控台來檢視和刪除 VPC 的安全群組規則。

**檢視和刪除過時安全群組規則**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Security groups** (安全群組)。

1. 選擇 **Actions (動作)**、**Manage stale rules (管理過時規則)**。

1. 針對 **VPC**，選擇具有過時規則的 VPC。

1. 選擇 **Edit** (編輯)。

1. 選擇要刪除之規則右側的 **Delete** (刪除) 按鈕。選擇 **Preview changes (預覽變更)** 及 **Save rules (儲存規則)**。

**使用命令列描述過時的 安全群組規則**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

在您識別過時安全群組規則後，您可以使用 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 或 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 命令，來將其刪除。

# 對 AWS Transit Gateway VPC 連接建立進行故障診斷
<a name="transit-gateway-vpc-attach-troubleshooting"></a>

以下主題可協助您在建立 VPC 連接時對可能發生的問題進行疑難排解。

**問題**  
VPC 連接失敗。

**原因**  
原因可能為下列之一：

1. 建立 VPC 連接的使用者沒有建立服務連結角色的正確許可。

1. 由於 IAM 請求太多，因此存在調節問題，例如您正在使用 CloudFormation 來建立許可和角色。

1. 帳戶具有服務連結的角色，而且服務連結的角色已修改。

1. 傳輸閘道未處於 `available` 狀態。

**解決方案**  
視原因而定，請嘗試下列步驟：

1. 確認使用者具有建立服務連結角色的正確許可。如需詳細資訊，請參閱《IAM 使用者指南》**中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。使用者具有許可之後，建立 VPC 連接。

1. 手動建立 VPC 連接。如需詳細資訊，請參閱[在 AWS Transit Gateway 中建立 VPC 連接](create-vpc-attachment.md)。

1. 確認服務連結角色具有正確的許可。如需詳細資訊，請參閱 [傳輸閘道服務連結角色](service-linked-roles.md#tgw-service-linked-roles)。

1. 確認傳輸閘道處於 `available` 狀態。如需詳細資訊，請參閱[在 Transit Gateway 中檢視 AWS 傳輸閘道資訊](view-tgws.md)。

# AWS Transit Gateway 網路函數附件
<a name="tgw-nf-fw"></a>

您可以建立網路函數連接，將傳輸閘道直接連接到 AWS Network Firewall。這不需要建立和管理檢查 VPCs。

透過防火牆連接， AWS 會自動佈建和管理幕後所有必要的資源。您將看到新的傳輸閘道連接，而不是個別的防火牆端點。這可簡化實作集中式網路流量檢查的程序。

您必須先在其中建立附件，才能使用防火牆附件 AWS Network Firewall。如需建立附件的步驟，請參閱《 *AWS Network Firewall 開發人員指南*》中的[AWS Network Firewall 管理入門](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)。建立防火牆後，您可以在傳輸閘道主控台的附件區段下檢視**附件**。該附件將列出一種 **Network 函數**類型。

**Topics**
+ [接受或拒絕傳輸閘道網路函數連接](accept-reject-firewall-attachment.md)
+ [檢視網路函數附件](view-nf-attachment-nm.md)
+ [透過傳輸閘道網路函數連接路由流量](route-traffic-nf-attachment.md)

# 接受或拒絕 AWS Transit Gateway 網路函數連接
<a name="accept-reject-firewall-attachment"></a>

您可以使用 Amazon VPC 主控台或 AWS Network Firewall CLI 或 API 來接受或拒絕傳輸閘道網路函數連接，包括網路防火牆連接。如果您是傳輸閘道的擁有者，且有人從另一個帳戶建立了防火牆連接到您的傳輸閘道，則需要接受或拒絕連接請求。

若要使用 Network Firewall CLI 接受或拒絕網路函數連接，請參閱 `RejectNetworkFirewallTransitGatewayAttachment` APIs中的 `AcceptNetworkFirewallTransitGatewayAttachment`或 API。 [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)

## 使用主控台接受或拒絕網路函數連接
<a name="create-firewall-attachment-console"></a>

使用 Amazon VPC 主控台來接受或拒絕傳輸閘道網路函數連接。

**使用主控台接受或拒絕網路函數連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道**。

1. 選擇**傳輸閘道附件**。

1. 選取狀態為**待接受**和**網路函數**類型的附件。

1. 選擇**動作**，然後選擇**接受附件**或拒絕**附件**。

1. 在確認對話方塊中，選擇**接受**或拒絕****。

如果您接受附件，它會變成作用中，防火牆可以檢查流量。如果您拒絕附件，它會進入拒絕狀態，最終將被刪除。

# 檢視 AWS Transit Gateway 網路函數附件
<a name="view-nf-attachment-nm"></a>

您可以使用 Amazon VPC 主控台或 Network Manager 主控台檢視網路函數附件，包括 AWS Network Firewall 附件，以取得網路拓撲的視覺化呈現。

## 使用 Network Manager 主控台檢視網路函數附件
<a name="view-nf-attachment-console"></a>

您可以使用 Network Manager 主控台檢視網路函數附件。

**在 Network Manager 中檢視防火牆附件**

1. 在 https：//[https://console.aws.amazon.com/networkmanager/home/](https://console.aws.amazon.com/networkmanager/home) 開啟 Network Manager 主控台。

1. 如果您還沒有全球網路，請在 Network Manager 中建立。

1. 向 Network Manager 註冊您的傳輸閘道。

1. 在**全域網路**下，選擇附件所在的全域網路。

1. 在導覽窗格中，選擇 **Transit gateways** (傳輸閘道)。

1. 選擇您要檢視附件的傳輸閘道。

1. 選擇**拓撲樹**狀檢視。Network Firewall 連接會顯示網路函數圖示。

1. 若要檢視特定防火牆連接的詳細資訊，請在拓撲檢視中選取傳輸閘道，然後選取**網路函數**索引標籤。

Network Manager 主控台提供防火牆連接的詳細資訊，包括其狀態、相關聯的傳輸閘道和可用區域。

## 使用 Amazon VPC 主控台檢視網路函數附件
<a name="view-nf-attachment-vpc"></a>

使用 VPC 主控台查看傳輸閘道連接類型的清單。

**使用 VPC 主控台檢視傳輸閘道連接類型**
+ 請參閱[檢視 VPC 連接](view-vpc-attachment.md)。

# 透過 AWS Transit Gateway 網路函數連接路由流量
<a name="route-traffic-nf-attachment"></a>

建立網路函數連接後，您需要更新傳輸閘道路由表，以使用 Amazon VPC 主控台或使用 CLI 透過防火牆傳送流量進行檢查。如需更新傳輸閘道路由表關聯的步驟，請參閱 [與傳輸閘道路由表建立關聯](associate-tgw-route-table.md)。

## 使用主控台透過防火牆連接路由流量
<a name="route-nf-attachment-console"></a>

使用 Amazon VPC 主控台透過傳輸閘道網路函數附件路由流量。

**使用主控台透過網路函數附件路由流量**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道**。

1. 選擇**傳輸閘道路由表**。

1. 選取您要修改的路由表。

1. 選擇**動作**，然後選擇**建立靜態路由**。

1. 針對 **CIDR**，輸入路由的目的地 CIDR 區塊。

1. 針對**附件**，選取網路函數附件。例如，這可能是 AWS Network Firewall 附件。

1. 選擇 **Create static route** (建立靜態路由)。
**注意**  
僅支援靜態路由。

符合路由表中 CIDR 區塊的流量現在會傳送到防火牆附件進行檢查，然後再轉送到其最終目的地。

## 使用 CLI 或 API 透過網路函數附件路由流量
<a name="route-nf-attachment-cli-steps"></a>

使用命令列或 API 來路由傳輸閘道網路函數連接。

**使用命令列或 API 透過網路函數連接路由流量**
+ 請使用 [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)。

  例如，請求可能是路由網路防火牆連接：

  ```
  aws ec2 create-transit-gateway-route \
    --transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
    --destination-cidr-block 0.0.0.0/0 \
    --transit-gateway-attachment-id tgw-attach-0123456789abcdef0
  ```

  然後，輸出會傳回：

  ```
  {
    "Route": {
      "DestinationCidrBlock": "0.0.0.0/0",
      "TransitGatewayAttachments": [
        {
          "ResourceId": "network-firewall",
          "TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
          "ResourceType": "network-function"
        }
      ],
      "Type": "static",
      "State": "active"
    }
  }
  ```

符合路由表中 CIDR 區塊的流量現在會傳送到防火牆附件進行檢查，然後再轉送到其最終目的地。

# AWS Site-to-Site VPN AWS Transit Gateway 中的附件
<a name="tgw-vpn-attachments"></a>

您可以將Site-to-Site VPN 連接連接到 AWS Transit Gateway 中的傳輸閘道，讓您可以連接 VPCs 和內部部署網路。同時支援動態和靜態路由，以及 IPv4 和 IPv6。

**需求**
+ 將 VPN 連接連接到您的傳輸閘道需要您指定具有特定裝置需求的 VPN 客戶閘道。建立Site-to-Site VPN 連接之前，請檢閱客戶閘道需求，以確保您的閘道設定正確。如需這些需求的詳細資訊，包括範例閘道組態檔案，請參閱*AWS Site-to-Site VPN 《 使用者指南*》中的[Site-to-Site客戶閘道裝置的需求](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)。
+  對於靜態 VPNs，您也需要先將靜態路由新增至傳輸閘道路由表。Site-to-Site VPN 不會篩選傳輸閘道路由表中以 VPN 連接為目標的靜態路由，因為這可能會在使用 BGP 型 VPN 時允許意外的傳出流量流程。如需將靜態路由新增至傳輸閘道路由表的步驟，請參閱 [建立靜態路由](tgw-create-static-route.md)。

您可以使用 Amazon VPC 主控台或使用 CLI 來建立、檢視或刪除傳輸閘道Site-to-Site VPN AWS 連接。

**Topics**
+ [建立附加至 VPN 的傳輸閘道連接](create-vpn-attachment.md)
+ [檢視 VPN 連接](view-vpn-attachment.md)
+ [刪除 VPN 連接](delete-vpn-attachment.md)

# 在 Transit Gateway 中建立 VPN 的 AWS 傳輸閘道連接
<a name="create-vpn-attachment"></a>

**使用主控台建立 VPN 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇用於連接的傳輸閘道。您可以選擇自己擁有的傳輸閘道。

1. 在 **Attachment type** (連接類型)中，選擇 **VPN**。

1. 在 **Customer Gateway** (客戶閘道) 中，執行下列事項之一：
   + 如要使用現有客戶閘道，請選擇 **Existing (現有)**，然後選取要使用的閘道。

     如果您的客戶閘道位在針對 NAT 周遊 (NAT-T) 啟用之網路位址轉譯 (NAT) 裝置的後端，請使用您 NAT 裝置的公有 IP 地址，並調整您的防火牆規則以解鎖 UDP 連接埠 4500。
   + 如要建立客戶閘道，請選擇 **New**，然後在 **IP Address (IP 地址)** 中輸入公用靜態公有 IP 地址及 **BGP ASN**。

     在 **Routing options** (路由選項) 中，選擇使用 **Dynamic** (動態) 或 **Static** (靜態)。如需詳細資訊，請參閱《AWS Site-to-Site VPN 使用者指南》**中的 [Site-to-Site VPN 路由選項](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html)。

1. 在 **Tunnel Options (通道選項)** 中，輸入通道的 CIDR 範圍和預先共享金鑰。如需詳細資訊，請參閱[站台對站台 VPN 架構](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

**使用 建立 VPN 連接 AWS CLI**  
使用 [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) 命令。

# 在 AWS Transit Gateway 中檢視 VPN 連接
<a name="view-vpn-attachment"></a>

**使用主控台檢視您的 VPN 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 在 **Resource Type** (資源類型) 欄中，尋找 **VPN**。這些是 VPN 連接。

1. 選擇連接來檢視其詳細資訊或新增標籤。

**使用 檢視 VPN 連接 AWS CLI**  
使用 [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 命令。

# 在 AWS Transit Gateway 中刪除 VPN 連接
<a name="delete-vpn-attachment"></a>

**使用主控台刪除 VPN 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 VPN 連接。

1. 選擇 VPN 連接的資源 ID 以前往 **VPN Connections** (VPN 連接) 頁面。

1. 選擇 **Actions** (動作)、**Delete** (刪除)。

1. 出現確認提示時，請選擇 **Delete** (刪除)。

**使用 刪除 VPN 連接 AWS CLI**  
使用 [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) 命令。

# AWS 傳輸閘道中的 VPN 集中器附件
<a name="tgw-vpn-concentrator-attachments"></a>

AWS Site-to-Site VPN Concentrator 是一項新功能，可簡化分散式企業的多站台連線。VPN Concentrator 適合需要將超過 25 個遠端站台連接到 AWS其中，且每個站台都需要低頻寬 （低於 100 Mbps) 的客戶。

## VPN Concentrator 的運作方式
<a name="vpn-concentrator-how-it-works"></a>

VPN 集中器會在您的傳輸閘道上顯示為單一附件，但可以託管多個Site-to-Site連接。

來自 Concentrator 上所有 VPN 連線的流量會透過相同的傳輸閘道連接路由，讓您可以在所有連線站台間套用一致的路由政策和安全規則。Concentrator 與傳輸閘道路由表無縫整合，可讓您控制遠端站台與其他連接之間的流量，例如 VPCs、其他 VPN 連線和對等連線。

## VPN Concentrator 的優點
<a name="vpn-concentrator-benefits"></a>
+ **成本最佳化**：透過將多個低頻寬 VPN 連接合併到單一傳輸閘道連接來降低成本，特別是當個別站台不需要完整的 VPN 連接容量時。
+ **簡化管理**：透過統一附件管理多個遠端站台連線，同時維護個別 VPN 連線控制和監控。
+ **一致的路由**：透過單一傳輸閘道路由表關聯，將統一路由政策套用至所有連線站台。
+ **可擴展架構**：使用單一集中器連接最多 100 個遠端站點，每個傳輸閘道支援最多 5 個集中器。
+ **標準 VPN 功能**：每個 VPN 連接都支援與標準Site-to-Site連接相同的安全性、監控和路由功能。

**需求和限制**
+ **僅限 BGP 路由**：VPN Concentrator 僅支援 BGP （動態） 路由。啟動時不支援靜態路由。
+ **客戶閘道需求**：每個遠端站台都需要支援 BGP 路由的客戶閘道。在集中器上建立 VPN 連接之前，請參閱*AWS Site-to-Site VPN 《 使用者指南*》中的[Site-to-Site客戶閘道裝置需求中的客戶閘道](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)需求。
+ **效能考量**：Concentrator 上的每個 VPN 連線設計為最大 100 Mbps 頻寬。如需更高的頻寬需求，請考慮使用標準傳輸閘道 VPN 連接。

您可以使用 AWS VPC 主控台或 AWS CLI 建立、檢視或刪除 VPN 集中器連接。Concentrator 上的個別 VPN 連線是透過標準 VPN 連線 APIs和主控台介面進行管理。

**Topics**
+ [VPN Concentrator 的運作方式](#vpn-concentrator-how-it-works)
+ [VPN Concentrator 的優點](#vpn-concentrator-benefits)
+ [建立 VPN 集中器連接](create-vpn-concentrator-attachment.md)
+ [檢視 VPN 集中器連接](view-vpn-concentrator-attachment.md)
+ [刪除 VPN 集中器連接](delete-vpn-concentrator-attachment.md)

# 在 AWS Transit Gateway 中建立 VPN 集中器連接
<a name="create-vpn-concentrator-attachment"></a>

**先決條件**
+ 您的帳戶中必須有現有的傳輸閘道。

**使用主控台建立 VPN 集中器連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**Site-to-Site VPN 集中器**。

1. 選擇**建立Site-to-Site VPN 集中器**。

1. （選用） 在**名稱標籤**中，輸入Site-to-Site VPN 集中器的名稱。

1. 針對**傳輸閘道**，選取現有的傳輸閘道。

1. （選用） 若要新增其他標籤，請選擇**新增標籤**，並為每個標籤指定索引鍵和值。

1. 選擇**建立Site-to-Site VPN 集中器**。

建立 VPN Concentrator 連接後，它會出現在資源類型為 **VPN Concentrator** 且初始狀態為**待定**的連接清單中。當附件就緒時，狀態會變更為**可用**。然後，您可以在此集中器上建立Site-to-Site連接。

**使用 建立 VPN 集中器連接 AWS CLI**  
使用 [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html) 命令。

**使用主控台在 VPN 集中器上建立 VPN 連線**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**Site-to-Site連接**。

1. 選擇 **Create VPN Connection (建立 VPN 連接)**。

1. 針對**目標閘道類型**，選擇**Site-to-Site VPN 集中器**。

1. 針對**Site-to-Site VPN 集中器**，選擇您要建立 VPN 連接的 VPN 集中器。

1. 在 **Customer Gateway** (客戶閘道) 中，執行下列事項之一：
   + 如要使用現有客戶閘道，請選擇 **Existing (現有)**，然後選取要使用的閘道。確保客戶閘道支援 BGP 路由。
   + 若要建立客戶閘道，請選擇 **New** (新增)。針對 **IP 地址**，輸入客戶閘道裝置的靜態公有 IP 地址。針對 **BGP ASN**，輸入您客戶閘道的邊界閘道協定 (BGP) 自治系統編號 (ASN)。

     如果您的客戶閘道位在針對 NAT 周遊 (NAT-T) 啟用之網路位址轉譯 (NAT) 裝置的後端，請使用您 NAT 裝置的公有 IP 地址，並調整您的防火牆規則以解鎖 UDP 連接埠 4500。

1. 對於**路由選項**，會自動選取**動態 （需要 BGP)**。VPN Concentrator 僅支援使用 BGP 的動態路由。

1. 對於**預先共用金鑰儲存**，選取**標準**或 **Secrets Manager**。

1. 對於**通道頻寬**，會自動選取**標準**。VPN Concentrator 僅支援標準通道頻寬。

1. 對於 **IP 版本內的通道**，選取 **IPv4** 或 **IPv6**。

1. （選用） 選取**啟用加速**以改善 VPN 通道的效能。

1. （選用） 對於**本機 IPv4 網路 CIDR**，請提供 IPv4 CIDR 範圍。

1. （選用） 對於**遠端 IPv4 網路 CIDR**，請提供 IPv4 CIDR 範圍。

1. 對於**外部 IP 地址類型**，您可以選取**公有 IPv4** 或 **IPv6** 地址。

1. （選用） 對於**通道選項**，您可以設定通道設定，例如通道內 IP 地址和預先共用的金鑰。如需詳細資訊，請參閱*AWS Site-to-Site VPN 《 使用者指南*》中的[Site-to-Site架構](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)。

1. （選用） 若要新增其他標籤，請選擇**新增標籤**，並為每個標籤指定索引鍵和值。

1. 選擇 **Create VPN Connection (建立 VPN 連接)**。

VPN 連接會出現在**傳輸閘道 ID **欄中具有 VPN 集中器 ID 且初始狀態為**待定**的 VPN 連接清單中。當 VPN 連接就緒時，狀態會變更為**可用**。

**使用 在 VPN 集中器上建立 VPN 連線 AWS CLI**  
使用 [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) 命令，並使用 `--vpn-concentrator-id` 參數指定 VPN Concentrator ID。

# 在 AWS Transit Gateway 中檢視 VPN 集中器連接
<a name="view-vpn-concentrator-attachment"></a>

**使用主控台檢視 VPN 集中器附件**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 在**資源類型**欄中，尋找 **VPN 集中器**。這些是 VPN 集中器附件。

1. 選擇連接來檢視其詳細資訊。

**使用主控台檢視 VPN 集中器上的 VPN 連線**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**Site-to-Site連接**。

1. 在 VPN 連線清單中，識別在**傳輸閘道 ID 欄中顯示 VPN 集中器 ID** 的連線。這些是在 VPN 集中器上託管的 VPN 連線。

1. 選擇 VPN 連線以檢視其詳細資訊。

**使用 檢視 VPN 集中器附件 AWS CLI**  
使用 [describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html) 命令檢視 VPN Concentrator 詳細資訊，或使用 [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 命令搭配資源類型 的篩選條件`vpn-concentrator`。

**使用 檢視 VPN 集中器上的 VPN 連線 AWS CLI**  
使用 [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) 命令搭配篩選條件`vpn-concentrator-id`，以檢視與特定 Concentrator 相關聯的 VPN 連線。

# 在 AWS Transit Gateway 中刪除 VPN 集中器連接
<a name="delete-vpn-concentrator-attachment"></a>

**先決條件**
+ 必須先刪除 VPN Concentrator 上的所有 VPN 連線，才能刪除 Concentrator 連接。
+ 確保您已更新路由組態，以考慮移除 VPN 集中器及其相關聯的 VPN 連線。

**使用主控台刪除 VPN 集中器上的 VPN 連線**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**Site-to-Site連接**。

1. 在**傳輸閘道** ID 欄中尋找 VPN 集中器 ID，以識別與 VPN 集中器相關聯的 VPN 連線。

1. 選取您要刪除的 VPN 連線。

1. 選擇 **Actions** (動作)、**Delete** (刪除)。

1. 出現確認提示時，請選擇 **Delete** (刪除)。

1. 針對與 VPN 集中器相關聯的每個 VPN 連接重複步驟 4-6。

**使用主控台刪除 VPN 集中器連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取您要刪除的 VPN 集中器附件。確認沒有 VPN 連線與此集中器相關聯。

1. 選擇**動作**、**刪除附件**。

1. 出現確認提示時，請選擇**刪除**。

VPN 集中器連接會進入**刪除**狀態，並將從您的帳戶中移除。此程序可能需要幾分鐘的時間才能完成。

**使用 刪除 VPN 集中器上的 VPN 連線 AWS CLI**  
針對與 VPN Concentrator 相關聯的每個 VPN 連線使用 [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) 命令。

**使用 刪除 VPN 集中器連接 AWS CLI**  
刪除所有 VPN 連線後，請使用 [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html) 命令。

# 傳輸閘道連接至 AWS Transit Gateway 中的 Direct Connect 閘道
<a name="tgw-dcg-attachments"></a>

使用傳輸虛擬介面將傳輸閘道附加至 Direct Connect 閘道。此組態具有以下好處。您可以：
+ 管理相同區域中多個 VPC 或 VPN 的單一連線。
+ 公告從內部部署到內部部署 AWS 以及從 AWS 到內部部署的字首。

下圖說明 Direct Connect 閘道如何讓您建立單一連線到您的 Direct Connect 連線，以供您所有 VPC 使用。

![\[連接至傳輸閘道的 Direct Connect 閘道\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/direct-connect-tgw.png)


此解決方案包含下列元件：
+ 傳輸閘道。
+ Direct Connect 閘道。
+ Direct Connect 閘道和傳輸閘道之間的關聯。
+ 連接至 Direct Connect 閘道的傳輸虛擬界面。

如需配置 Direct Connect 閘道與傳輸閘道的相關資訊，請參閱 *AWS Direct Connect 使用者指南*中的[傳輸閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。

# Transit Gateway 中的 AWS 傳輸閘道對等互連附件
<a name="tgw-peering"></a>

可以對等互連區域內和區域間傳輸閘道並在兩者之間路由流量，其中包含 IPv4 和 IPv6 流量。若要這樣做，請在您的傳輸閘道上建立對等附件，然後指定一個傳輸閘道。對等傳輸閘道可以位於您的帳戶中，也可以來自另一個帳戶。您也可以請求從自己的帳戶到另一個帳戶中傳輸閘道的對等連接。

建立對等附件請求之後，對等傳輸閘道 (也稱為*接受者傳輸閘道*) 的擁有者必須接受請求。若要路由傳輸閘道間的流量，請將靜態路由新增到指向傳輸閘道互連附件的傳輸閘道路由表。

建議針對每個對等的傳輸閘道來利用唯一的 ASN，以使用未來的路由傳播功能。

傳輸閘道對等互連不支援使用另一個區域中的 ，將公有或私有 IPv4 DNS 主機名稱解析為傳輸閘道對等連接任一端 VPCs Amazon Route 53 Resolver 上的私有 IPv4 地址。有關 Route 53 解析器的更多信息，請參閱 *Amazon Route 53 開發人員指南*中的[什麼是 Route 53 解析器？](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

區域間閘道對等互連會使用與 VPC 對等相同的網路基礎設施。因此，當流量在區域之間傳輸時，會在虛擬網路層使用 AES-256 加密對流量進行加密。當流量往返不受 AWS物理控制的網路連結時，會在物理層使用 AES-256 加密對流量進行加密。因此，流量會在實體控制範圍之外的網路連結上進行雙重加密 AWS。在同一區域內，只有當流量往返不在 AWS物理控制範圍內的網路連結時，才會在物理層加密。

如需支援傳輸閘道對等連接區域的詳細資訊，請參閱 [AWS Transit Gateway 常見問答集](https://aws.amazon.com/transit-gateway/faqs/)。

## 選擇加入 AWS 區域考量事項
<a name="opt-in-considerations"></a>

您可以跨選擇加入區域的邊界來對等傳輸閘道。如需這些區域以及如何選擇加入的詳細資訊，請參閱[管理 AWS 區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。若您在這些區域中使用傳輸閘道對等，請進行以下考量：
+ 只要接受對等連接的帳戶已選擇加入該區域，則可在選擇加入區域進行對等連線。
+ 無論區域選擇加入狀態為何， 都會與接受對等連接的帳戶 AWS 共用下列帳戶資料：
  + AWS 帳戶 ID
  + 傳輸閘道 ID
  + 區域代碼
+ 若您刪除傳輸閘道連接，則上述帳戶資料將被刪除。
+ 建議您在選擇退出區域之前，刪除傳輸閘道對等附件。如果您沒有刪除對等連接，流量可能會繼續連接，而您仍然會產生費用。如果您沒有刪除連接，可以選擇重新加入，然後刪除連接。
+ 一般情況下，傳輸閘道具有傳送者支付模式。透過跨選擇加入邊界使用傳輸閘道對等連接，您可能會在接受連接的區域中產生費用，包括您尚未選擇加入的區域。如需詳細資訊，請參閱 [AWS Transit Gateway 定價](https://aws.amazon.com/transit-gateway/pricing/)。

**Topics**
+ [選擇加入 AWS 區域考量事項](#opt-in-considerations)
+ [建立對等附件](tgw-peering-create.md)
+ [接受或拒絕對等請求](tgw-peering-accept-reject.md)
+ [將路由新增至傳輸閘道路由表](tgw-peering-add-route.md)
+ [刪除對等附件](tgw-peering-delete.md)

# 在 AWS Transit Gateway 中建立對等連接
<a name="tgw-peering-create"></a>

開始之前，請確定您具有要連線之傳輸閘道的 ID。如果傳輸閘道位於另一個 中 AWS 帳戶，請確定您擁有傳輸閘道擁有者的 AWS 帳戶 ID。建立對等連接後，接受者傳輸閘道的擁有者必須接受或拒絕連接請求。

**使用主控台建立對等附件**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇用於連接的傳輸閘道。您可以選擇自己擁有的傳輸閘道。與您共用的傳輸閘道無法用於對等互連。

1. 針對 **Attachment type (附件類型)**，選擇 **Peering Connection (對等連線)**。

1. 選擇性地輸入附件的名稱標籤。

1. 針對 **Account (帳戶)**，執行下列其中一個動作：
   + 如果傳輸閘道在您的帳戶中，請選擇**我的帳戶**。
   + 如果傳輸閘道位於不同的 AWS 帳戶，請選擇**其他帳戶**。針對 **Account ID** (帳戶 ID)，輸入 AWS 帳戶 ID。

1. 在 **Region** (區域) 中，選擇傳輸閘道所在的區域。

1. 在 **Transit gateway (accepter)** (傳輸閘道 (接受者)) 中，輸入您要連接之傳輸閘道的 ID。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

**使用 建立對等連接 AWS CLI**  
使用 [create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html) 命令。

# 在 AWS Transit Gateway 中接受或拒絕對等連接請求
<a name="tgw-peering-accept-reject"></a>

建立時，傳輸閘道對等互連附件會自動建立為 `pendingAcceptance` 狀態，並無限期保持此狀態，直到接受或拒絕為止。若要啟用對等連接，接受者傳輸閘道的擁有者必須接受對等連接請求，即使兩個傳輸閘道都位於同一個帳戶中。接受來自接受者傳輸閘道所在區域的對等附件請求。或者，如果您拒絕對等連接，則必須拒絕接受者傳輸閘道所在區域的請求。

**使用主控台接受對等附件請求**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取待接受的傳輸閘道互連附件。

1. 選擇 **Actions** (動作)、**Accept transit gateway attachment** (接受傳輸閘道連接)。

1. 將靜態路由新增至傳輸閘道路由表格。如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立靜態路由](tgw-create-static-route.md)。

**使用主控台拒絕對等附件請求**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取待接受的傳輸閘道互連附件。

1. 選擇 **Actions** (動作)、**Reject transit gateway attachment** (拒絕傳輸閘道連接)。

**使用 接受或拒絕對等連接 AWS CLI**  
使用 [accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) 和 [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html) 命令。

# 使用 Transit Gateway 將路由新增至 AWS 傳輸閘道路由表
<a name="tgw-peering-add-route"></a>

若要路由對等傳輸閘道之間的流量，您必須將靜態路由新增到指向傳輸閘道對等附件的傳輸閘道路由表。接受者傳輸閘道的擁有者也必須新增一個靜態路由傳送到他們的傳輸閘道路由表。

**使用主控台建立靜態路由**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要為其建立路由的路由表。

1. 選擇 **Actions** (動作)、**Create static route** (建立靜態路由)。

1. 在 **Create static route** (建立靜態路由) 頁面上輸入要建立路由的 CIDR 區塊。例如，指定連接到對等傳輸閘道之 VPC 的 CIDR 區塊。

1. 選擇路由的對等附件。

1. 選擇 **Create static route** (建立靜態路由)。

**使用 建立靜態路由 AWS CLI**  
使用 [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 命令。

**重要**  
建立路由後，傳輸閘道對等互連附件必須已與傳輸閘道路由表建立關聯。如需詳細資訊，請參閱[在 Transit Gateway 中關聯 AWS 傳輸閘道路由表](associate-tgw-route-table.md)。

# 在 AWS Transit Gateway 中刪除對等連接
<a name="tgw-peering-delete"></a>

您可以刪除傳輸閘道互連附件。任一個傳輸閘道的擁有者都可以刪除附件。

**使用主控台刪除對等附件**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取傳輸閘道互連連結附件。

1. 選擇 **Actions** (動作)、**Delete transit gateway attachment** (刪除傳輸閘道連接)。

1. 輸入 **delete**，然後選擇 **Delete** (刪除)。

**使用 刪除對等連接 AWS CLI**  
使用 [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html) 命令。

# 在 AWS Transit Gateway 中連接附件和 Connect 對等
<a name="tgw-connect"></a>

您可以建立 *Transit Gateway Connect 連接*，以在 VPC 中執行的傳輸閘道與第三方虛擬設備 (例如 SD-WAN 設備) 之間建立連線。Connect 連接支援 Generic Routing Encapsulation (GRE) 通道協定以實現高效能，以及支援邊界閘道協定 (BGP) 以進行動態路由。建立 Connect 連接後，可以在 Connect 連接上建立一個或多個 GRE 通道 (也稱為 *Transit Gateway Connect 對等*)，以連線傳輸閘道和第三方設備。您可以透過 GRE 通道建立兩個 BGP 工作階段，以交換路由資訊。

**重要**  
Transit Gateway Connect 對等由兩個終止受管基礎設施的 BGP AWS對等工作階段組成。兩個 BGP 對等工作階段提供路由平面備援，確保喪失一個 BGP 對等工作階段時不會影響您的路由運作。從兩個 BGP 工作階段收到關於指定 Connect 對等的路由資訊會逐漸累積。兩個 BGP 對等工作階段也會保護任何 AWS 基礎架構運作，例如例行維護、修補、硬體升級和更換。如果您的 Connect 對等端正在操作，但未將建議的雙 BGP 對等工作階段設定為備援，則可能會在 AWS 基礎設施操作期間遇到暫時性的連線中斷。我們強烈建議在 Connect 對等上同時設定這兩個 BGP 對等工作階段。如果您已設定多個 Connect 對等以支援設備端的高可用性，我們建議您在每個 Connect 對等上設定這兩個 BGP 對等工作階段。

Connect 連接使用現有 VPC 或 Direct Connect 連接作為基礎傳輸機制。這稱為*傳輸連接*。傳輸閘道會將來自第三方設備的相符 GRE 封包，識別為來自 Connect 連接的流量。這會將任何其他封包，包括含有不正確來源或目標資訊的 GRE 封包，視為傳輸連接的流量。

**注意**  
若要使用 Direct Connect 連接做為傳輸機制，您必須先將 Direct Connect 與 AWS Transit Gateway 整合。如需建立此整合的步驟，請參閱[整合 SD-WAN 裝置與 AWS Transit Gateway 和 Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/) 。

## Connect 對等
<a name="tgw-connect-peer"></a>

Connect 對等 (GRE 通道) 包含以下元件。

**內部 CIDR 區塊 (BGP 地址)**  
用於 BGP 對等的內部 IP 地址。您必須從 IPv4 的 `169.254.0.0/16` 範圍中指定 /29 CIDR 區塊。您可以選擇性地從 IPv6 的 `fd00::/8` 範圍中指定 /125 CIDR 區塊。以下為預留的 CIDR 區塊，無法使用：  
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
您必須將設備上的 IPv4 範圍的第一個地址設定為 BGP IP 地址。使用 IPv6 時，如果您的內部 CIDR 區塊是 fd00:: /125，則必須在設備的通道介面上設定此範圍 (fd00::1) 中的第一個地址。  
BGP 地址在傳輸閘道的所有通道上必須是唯一的。

**對等 IP 地址**  
Connect 對等端設備的對等 IP 地址 (GRE 外部 IP 地址)。這可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址，但必須是與傳輸閘道地址相同的 IP 地址系列。

**傳輸閘道地址**  
Connect 對等端傳送閘道的對等 IP 地址 (GRE 外部 IP 地址)。IP 地址必須從傳輸閘道 CIDR 區塊指定，且在傳輸閘道上的 Connect 連接中必須是唯一的。如果您未指定 IP 地址，我們會使用傳輸閘道 CIDR 區塊中的第一個可用地址。  
您可以在[建立](create-tgw.md)或[修改](tgw-modifying.md)傳輸閘道時，新增傳輸閘道 CIDR 區塊。  
IP 地址可以是 IPv4 或 IPv6 地址，但必須是與對等 IP 地址相同的 IP 地址系列。

對等 IP 地址和傳輸閘道地址用於唯一識別 GRE 通道。您可以在多個通道中重複使用任一地址，但不能在同一通道中重複使用兩個地址。

BGP 互連的 Transit Gateway Connect 僅支援多重協定 BGP (MP-BGP)，其中需要 IPv4 單播定址，才能同時為 IPv6 單播建立 BGP 工作階段。您可以使用 GRE 外部 IP 地址的 IPv4 和 IPv6 地址。

下列範例顯示了 VPC 中傳輸閘道與設備之間的 Connect 連接。

![\[Transit Gateway Connect 連接和 Connect 對等\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/transit-gateway-connect-peer.png)



| 圖表元件 | Description | 
| --- | --- | 
|  ![\[顯示 VPC 連接在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/VPC-attachment.png)  | VPC 連接 | 
|  ![\[顯示 Connect 連接在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/connect-attachment.png)  | Connect 連接 | 
|  ![\[顯示 GRE 通道在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/GRE-tunnel.png)  | GRE 通道 (Connect 對等) | 
|  ![\[顯示 BGP 對等工作階段在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/bgp-peering.png)  | BGP 對等工作階段 | 

在上述範例中，在現有 VPC 連接 (傳輸連接) 上建立了 Connect 連接。在 Connect 連接上建立了 Connect 對等，以在 VPC 中建立設備連線。傳輸閘道地址為 `192.0.2.1`，BGP 地址的範圍為 `169.254.6.0/29`。範圍 (`169.254.6.1`) 中的第一個 IP 地址在設備上會設定為對等 BGP IP 地址。

VPC C 的子網路路由表具有一個路由，其將目標為傳輸閘道 CIDR 區塊的流量指向傳輸閘道。


| 目標 | 目標 | 
| --- | --- | 
| 172.31.0.0/16 | 區域 | 
| 192.0.2.0/24 | tgw-id | 

## 需求和考量事項
<a name="tgw-connect-requirements"></a>

下列是 Connect 連接的需求和考量事項：
+ 如需支援 Connect 連接區域的詳細資訊，請參閱 [AWS Transit Gateway 常見問答集](https://aws.amazon.com/transit-gateway/faqs/)。
+ 必須將第三方設備設定為，使用 Connect 連接透過 GRE 通道來傳送和接收往返傳輸閘道的流量。
+ 必須將第三方設備設定為，使用 BGP 進行動態路由更新和運作狀態檢查。
+ 支援下列類型的 BGP：
  + 外部 BGP (eBGP)︰用於連線至與傳輸閘道不同的自治系統中的路由器。如果您使用 eBGP，必須設定 ebgp-multihop 的存留時間 (TTL) 值為 2。
  + 內部 BGP (iBGP)：用於連線至與傳輸閘道相同的自治系統中的路由器。傳輸閘道不會從 iBGP 對等 (第三方設備) 安裝路由，除非路由源自 eBGP 對等體，且應已自行設定下一個躍點。第三方設備透過 iBGP 對等通告的路由必須具有 ASN。
  + MP-BGP (BGP 的多重協定延伸)：用於支援多種協定類型，例如 IPv4 和 IPv6 地址系列。
+ 預設的 BGP 保持連線逾時為 10 秒，預設的保留計時器為 30 秒。
+ 不支援 IPv6 BGP 互連；僅支援以 IPv4 為基礎的 BGP 互連。IPv6 字首透過 IPv4 BGP 互連使用 MP-BGP 交換。
+ 不支援雙向轉寄偵測 (BFD)。
+ 不支援 BGP 正常重新啟動。
+ 在您建立傳輸閘道對等時，如果未指定對等 ASN 編號，我們會選擇傳輸閘道 ASN 編號。這意味著您的設備和傳輸網關將位於執行 iBGP 的同一自治系統中。
+ 如果您有兩個 Connect 對等連線，使用 BGP AS-PATH 屬性的 Connect 對等連線將成為首選路由。

  若要在多個設備之間使用等成本多重路徑 (ECMP) 路由，必須設定該設備以使用相同的 BGP AS PATH 屬性，向傳輸閘道通告相同的字首。若要讓傳輸閘道選擇所有可用的 ECMP 路徑，AS-PATH 和自治系統編號 (ASN) 必須相符。傳輸閘道可以在 Connect 對等之間使用 ECMP，用於相同的 Connect 連接，或在同一傳輸閘道的 Connect 連接附件間使用 ECMP。傳輸閘道無法在單個對等互連建立的兩個宂餘 BGP 對等互連之間使用 ECMP。
+ 使用 Connect 連接時，路由預設會傳播至傳輸閘道路由表。
+ 不支援靜態路由。
+ 透過減去 GRE 標頭 (24 位元組） 和外部 IP 標頭 (20 位元組） 額外負荷，將 GRE 通道 MTU 設定為小於外部介面 MTU。例如，如果您的外部界面 MTU 是 1500 位元組，請將 GRE 通道 MTU 設定為 1456 位元組 (1500 - 24 - 20 = 1456)，以防止封包分段。

**Topics**
+ [Connect 對等](#tgw-connect-peer)
+ [需求和考量事項](#tgw-connect-requirements)
+ [建立 Connect 連接](create-tgw-connect-attachment.md)
+ [建立 Connect 對等](create-tgw-connect-peer.md)
+ [檢視 Connect 連接和 Connect 對等](view-tgw-connect-attachments.md)
+ [修改 Connect 連接和 Connect 對等標籤](modify-connect-attachment-tag.md)
+ [刪除 Connect 對等](delete-tgw-connect-peer.md)
+ [刪除 Connect 連接](delete-tgw-connect-attachment.md)

# 在 AWS Transit Gateway 中建立 Connect 連接
<a name="create-tgw-connect-attachment"></a>

若要建立 Connect 連接，必須將現有連接指定為傳輸連接。您可以指定 VPC 連接或 Direct Connect 連接作為傳輸連接。

**使用主控台建立 Connect 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道連接**。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

1. (選用) 在 **Name tag** (名稱標籤) 中，指定連接的名稱標籤。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇用於連接的傳輸閘道。

1. 在 **Attachment type (連接類型)** 中，選擇 **Connect (連線)**。

1. 在 **Transport attachment ID** (傳輸連接 ID) 中，選擇現有連接的 ID (傳輸連接)。

1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。

**使用 建立 Connect 連接 AWS CLI**  
使用 [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html) 命令。

# 在 AWS Transit Gateway 中建立 Connect 對等
<a name="create-tgw-connect-peer"></a>

您可以為現有 Connect 連接建立 Connect 對等 (GRE 通道)。開始之前，確保您已設定傳輸閘道 CIDR 區塊。您可以在[建立](create-tgw.md)或[修改](tgw-modifying.md)傳輸閘道時，設定傳輸閘道 CIDR 區塊。

建立 Connect 對等時，必須在 Connect 對等的設備端指定 GRE 外部 IP 地址。

**使用主控台建立 Connect 對等**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道連接**。

1. 選取 Connect 連接，然後選擇 **Actions** (動作)、**Create connect peer** (建立 Connect 對等互連)。

1. (選用) 在**名稱標籤**中，請指定 Connect 對等互連的名稱標籤。

1. (選用) 在 **Transit gateway GRE Address** (傳輸閘道 GRE 地址) 中，指定傳輸閘道的 GRE 外部 IP 地址。預設會使用傳輸閘道 CIDR 區塊的第一個可用地址。

1. 針對 **Peer GRE 地址**，指定 Connect 對等設備端的 GRE 外部 IP 地址。

1. 針對 **BGP 內部 CIDR 區塊 IPv4**，指定用於 BGP 對等的 IPv4 地址範圍。指定 `169.254.0.0/16` 範圍中大小為 /29 的 CIDR 區塊。

1. (選用) 針對 **BGP 內部 CIDR 區塊 IPv6**，指定用於 BGP 對等的 IPv6 地址範圍。指定 `fd00::/8` 範圍中大小為 /125 的 CIDR 區塊。

1. (選用) 針對**對等 ASN**，指定設備的邊界閘道協定 (BGP) 自治系統編號 (ASN)。您可以使用指派給您的網路的現有 ASN。如果不具備現有 ASN，您可以使用 64512–65534 (16 位元 ASN) 或 4200000000–4294967294 (32 位元 ASN) 範圍中的私有 ASN。

   預設值與傳輸閘道的 ASN 相同。如果您設定的**對等 ASN** 與傳輸閘道 ASN (eBGP) 不同，則必須設定 ebgp-multihop 的存留時間 (TTL) 值為 2。

1. 選擇 **Create connect peer** (建立 Connect 對等互連)。

**使用 建立 Connect 對等 AWS CLI**  
使用 [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) 命令。

# 在 AWS Transit Gateway 中檢視 Connect 連接和 Connect 對等
<a name="view-tgw-connect-attachments"></a>

檢視您的 Connect 連接和 Connect 對等。

**使用主控台檢視您的 Connect 連接和 Connect 對等**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道連接**。

1. 選取 Connect 連接。

1. 若要檢視連接的 Connect 對等，選擇 **Connect Peers (Connect 對等)** 標籤。

**使用 檢視 Connect 連接和 Connect 對等 AWS CLI**  
使用 [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html) 和 [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) 命令。

# 在 AWS Transit Gateway 中修改 Connect 連接和 Connect 對等標籤
<a name="modify-connect-attachment-tag"></a>

您可以修改 Connect 連接的標籤。

**使用主控台修改您的 Connect 連接標籤**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 Connect attachment (Connect 連接)，然後選擇 **Actions** (動作)、**Manage tags** (管理標籤)。

1. 若要新增標籤，選擇 **Add new tag** (新增標籤)，然後指定鍵名稱和鍵值。

1. 若要移除標籤，請選擇 **Remove** (移除)。

1. 選擇**儲存**。

您可以修改 Connect 對等的標籤。

**使用主控台修改您的 Connect 對等標籤**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Attachments** (傳輸閘道連接)。

1. 選取 Connect 連接，然後選擇 **Connect peers** (Connect 對等)。

1. 選取 Connect 對等，然後選擇**動作**、**管理標籤**。

1. 若要新增標籤，選擇 **Add new tag** (新增標籤)，然後指定鍵名稱和鍵值。

1. 若要移除標籤，請選擇 **Remove** (移除)。

1. 選擇**儲存**。

**使用 修改 Connect 連接和 Connect 對等標籤 AWS CLI**  
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) 命令。

# 在 AWS Transit Gateway 中刪除 Connect 對等
<a name="delete-tgw-connect-peer"></a>

您可以刪除不再需要的 Connect 對等。

**使用主控台刪除 Connect 對等**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道連接**。

1. 選取 Connect 連接。

1. 在 **Connect 對等**標籤中，選取 Connect 對等，然後選擇 **動作**、**刪除 Connect 對等**。

**使用 刪除 Connect 對等 AWS CLI**  
使用 [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) 命令。

# 在 AWS Transit Gateway 中刪除 Connect 連接
<a name="delete-tgw-connect-attachment"></a>

如果您不再需要 Connect 連接，可以將其刪除。您必須先刪除連接的任何 Connect 對等。

**使用主控台刪除 Connect 連接**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道連接**。

1. 選取 Connect attachment (Connect 連接)，然後選擇 **Actions** (動作)、**Delete transit gateway attachment** (刪除傳輸閘道連接)。

1. 輸入 **delete**，然後選擇 **Delete** (刪除)。

**使用 刪除 Connect 連接 AWS CLI**  
使用 [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html) 命令。

# 傳輸閘道中的 AWS 傳輸閘道路由表
<a name="tgw-route-tables"></a>

使用傳輸閘道路由表來配置傳輸閘道連接的路由。路由表是包含規則的資料表，可指示網路流量在 VPCs和 VPNs 之間路由的方式。資料表中的每個路由都包含您要傳送流量目的地的 IP 地址範圍。

傳輸閘道路由表可讓您將資料表與傳輸閘道附件建立關聯。VPC、VPN、VPN Concentrator、Direct Connect 閘道、對等和 Connect 連接都支援。建立關聯時，這些附件的路由會從附件傳播到目標傳輸閘道路由表。一個附件可以傳播到多個路由表。

此外，您可以使用路由表建立和管理靜態路由。例如，您可能有一個靜態路由，當網路中斷影響任何動態路由時用作備份路由。

**Topics**
+ [建立傳輸閘道路由表](create-tgw-route-table.md)
+ [檢視傳輸閘道路由表](view-tgw-route-tables.md)
+ [與傳輸閘道路由表建立關聯](associate-tgw-route-table.md)
+ [取消傳輸閘道路由表的關聯](disassociate-tgw-route-table.md)
+ [啟用路由傳播](enable-tgw-route-propagation.md)
+ [停用路由傳播](disable-tgw-route-propagation.md)
+ [建立靜態路由](tgw-create-static-route.md)
+ [刪除靜態路由](tgw-delete-static-route.md)
+ [取代靜態路由](tgw-replace-static-route.md)
+ [將路由表匯出至 Amazon S3](tgw-export-route-tables.md)
+ [描述傳輸閘道路由表](delete-tgw-route-table.md)
+ [建立字首清單參考資料](create-prefix-list-reference.md)
+ [修改字首清單參考資料](modify-prefix-list-reference.md)
+ [刪除字首清單參考資料](delete-prefix-list-reference.md)

# 在 Transit Gateway 中建立 AWS 傳輸閘道路由表
<a name="create-tgw-route-table"></a>

**使用主控台建立傳輸閘道路由表格**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選擇 **Create transit gateway route table** (建立傳輸閘道路由表)。

1. (選用) 在**「名稱」標籤**中，輸入傳輸閘道路由表的名稱。如此將建立一個標籤，其中標籤金鑰為 "Name"，標籤值則是您指定的名稱。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選取用於路由表的傳輸閘道。

1. 選擇 **Create transit gateway route table** (建立傳輸閘道路由表)。

**使用 建立傳輸閘道路由表 AWS CLI**  
使用 [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html) 命令。

# 使用 Transit Gateway 檢視 AWS 傳輸閘道路由表
<a name="view-tgw-route-tables"></a>

**使用主控台檢視您的傳輸閘道路由表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. (選擇性) 如要尋找特定路由表或一組路由表，請在篩選條件欄位輸入完整或一部分的名稱、金鑰或屬性。

1. 選中路由表的核取方塊，或選擇其 ID，以顯示有關路由表的關聯、傳播、路由和標籤的資訊。

**使用 檢視您的傳輸閘道路由表 AWS CLI**  
使用 [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html) 命令。

**使用 檢視傳輸閘道路由表的路由 AWS CLI**  
使用 [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html) 命令。

**使用 檢視傳輸閘道路由表的路由傳播 AWS CLI**  
使用 [get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html) 命令。

**使用 檢視傳輸閘道路由表的關聯 AWS CLI**  
使用 [get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html) 命令。

# 在 Transit Gateway 中關聯 AWS 傳輸閘道路由表
<a name="associate-tgw-route-table"></a>

您可以將傳輸閘道路由表與傳輸閘道連接產生關聯。

**使用主控台關聯傳輸閘道路由表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取路由表。

1. 在頁面的下方，選擇 **Associations (關聯)** 索引標籤。

1. 選擇 **Create association (建立關聯)**。

1. 選擇要建立關聯的連接，然後選擇 **Create association (建立關聯)**。

**使用 建立傳輸閘道路由表的關聯 AWS CLI**  
使用 [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html) 命令。

# 在 Transit Gateway 中刪除 AWS 傳輸閘道路由表的關聯
<a name="disassociate-tgw-route-table"></a>

您可以取消傳輸閘道路由表與傳輸閘道連接的關聯。

**使用主控台取消傳輸閘道路由表的關聯**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取路由表。

1. 在頁面的下方，選擇 **Associations (關聯)** 索引標籤。

1. 選擇要建立關聯的連接，然後選擇 **Delete association (刪除關聯)**。

1. 出現確認提示時，請選擇 **Delete association (刪除關聯)**。

**使用 取消傳輸閘道路由表的關聯 AWS CLI**  
使用 [disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html) 命令。

# 在 Transit Gateway 中啟用 AWS 傳輸閘道路由表的路由傳播
<a name="enable-tgw-route-propagation"></a>

使用路由傳播，將連接的路由新增至路由表。

**將路由傳輸至傳輸閘道連接路由表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要為之建立傳播的路由表。

1. 選擇 **Actions (動作)**、**Create propagation (建立傳播)**。

1. 開啟 **Create propagation (建立傳播)** 頁面，選擇連接。

1. 選擇 **Create propagation (建立傳播)**。

**使用 啟用路由傳播 AWS CLI**  
使用 [enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html) 命令。

# 在 AWS Transit Gateway 中停用路由傳播
<a name="disable-tgw-route-propagation"></a>

從路由表連接移除所傳播的路由

**使用主控台停用路由傳播**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要從中刪除傳播的路由表。

1. 在頁面的下方，選擇 **Propagations (傳播)** 索引標籤。

1. 選取連接，然後選擇 **Delete propagation (刪除傳播)**。

1. 出現確認提示時，請選擇 **Delete propagation (刪除傳播)**。

**使用 停用路由傳播 AWS CLI**  
使用 [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html) 命令。

# 在 AWS Transit Gateway 中建立靜態路由
<a name="tgw-create-static-route"></a>

為 VPC、VPN 或傳輸閘道對等連接建立靜態路由，或者您可以建立黑洞路由，以捨棄符合路由的流量。

Site-to-Site VPN 不會篩選傳輸閘道路由表中以 VPN 連接為目標的靜態路由。使用以 BGP 為基礎的 VPN 時，這可能會允許未預期的傳出流量。

**使用主控台建立靜態路由**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要為其建立路由的路由表。

1. 選擇 **Actions** (動作)、**Create static route** (建立靜態路由)。

1. 在 **Create static route** (建立靜態路由) 頁面上，輸入要建立路由的 CIDR 區塊，然後選擇 **Active** (作用中)。

1. 選擇此路由的連接。

1. 選擇 **Create static route** (建立靜態路由)。

**使用主控台建立黑名單路由**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要為其建立路由的路由表。

1. 選擇 **Actions** (動作)、**Create static route** (建立靜態路由)。

1. 在 **Create static route** (建立靜態路由) 頁面上輸入要建立路由的 CIDR 區塊，然後選擇 **Blackhole** (黑名單)。

1. 選擇 **Create static route** (建立靜態路由)。

**使用 建立靜態路由或黑洞路由 AWS CLI**  
使用 [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 命令。

# 在 AWS Transit Gateway 中刪除靜態路由
<a name="tgw-delete-static-route"></a>

從傳輸閘道路由表刪除靜態路由。

**使用主控台刪除靜態路由**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要對其刪除路由的路由表，然後選擇 **Routes (路由)**。

1. 選擇要刪除的路由。

1. 選擇 **Delete static route** (刪除靜態路由)。

1. 在確認對話方塊中，選擇 **Delete static route** (刪除靜態路由)。

**使用 刪除靜態路由 AWS CLI**  
使用 [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html) 命令。

# 取代 AWS Transit Gateway 中的靜態路由
<a name="tgw-replace-static-route"></a>

以不同的靜態路由取代傳輸閘道路由表中的靜態路由。

**使用主控台來取代靜態路由**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 在路由表中選擇要取代的路由。

1. 在「詳細資料」區段中，選擇**路由**索引標籤。

1. 選擇**動作**、**取代靜態路由**。

1. 對於**類型**，選擇**作用中**或**黑名單**。

1. 在**選擇附件**下拉式清單中，選擇要取代路由表中目前傳輸閘道的傳輸閘道。

1. 選擇**取代靜態路由**。

**使用 取代靜態路由 AWS CLI**  
使用 [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html) 命令。

# 將路由表匯出至 Amazon S3 in AWS Transit Gateway
<a name="tgw-export-route-tables"></a>

您可以將傳輸閘道路由表中的路由匯出至 Amazon S3 儲存貯體。路由儲存至 JSON 檔案中指定的 Amazon S3 儲存貯體。

**使用主控台匯出傳輸閘道路由表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選擇內含要匯出之路由的路由表。

1. 選擇 **Actions (動作)**、**Export routes (匯出路由)**。

1. 在 **Export routes (匯出路由)** 頁面上，請在 **S3 bucket name (S3 儲存貯體名稱)** 輸入 S3 儲存貯體的名稱。

1. 欲篩選所匯出的路由，請在頁面的 **Filters (篩選條件)** 部分指定篩選條件參數。

1. 選擇 **Export routes (匯出路由)**。

若要存取匯出的路由，請在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)，開啟 Amazon S3 主控台，然後導覽至您指定的儲存貯體。檔案名稱包含 AWS 帳戶 ID、 AWS 區域、路由表 ID 和時間戳記。選取檔案，然後選擇 **Download (下載)**。以下是 JSON 檔案的範例，其中包含 VPC 連接的兩個傳播路由的相關資訊。

```
{
  "filter": [
    {
      "name": "route-search.subnet-of-match",
      "values": [
        "0.0.0.0/0",
        "::/0"
      ]
    }
  ],
  "routes": [
    {
      "destinationCidrBlock": "10.0.0.0/16",
      "transitGatewayAttachments": [
        {
          "resourceId": "vpc-0123456abcd123456",
          "transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
          "resourceType": "vpc"
        }
      ],
      "type": "propagated",
      "state": "active"
    },
    {
      "destinationCidrBlock": "10.2.0.0/16",
      "transitGatewayAttachments": [
        {
          "resourceId": "vpc-abcabc123123abca",
          "transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
          "resourceType": "vpc"
        }
      ],
      "type": "propagated",
      "state": "active"
    }
  ]
}
```

# 在 Transit Gateway 中刪除 AWS 傳輸閘道路由表
<a name="delete-tgw-route-table"></a>

**使用主控台刪除傳輸閘道路由表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取要刪除的路由表。

1. 選擇 **Actions** (動作)、**Delete transit gateway route table** (刪除傳輸閘道路由表)。

1. 輸入 **delete**，然後選擇 **Delete** (刪除) 以確認刪除。

**使用 刪除傳輸閘道路由表 AWS CLI**  
使用 [delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html) 命令。

# 在 AWS Transit Gateway 中建立路由表字首清單參考
<a name="create-prefix-list-reference"></a>

您可以參考傳輸閘道路由表中的字首清單。字首清單是一個和多個您定義並管理的 CIDR 區塊項目的集合。您可以使用字首清單來簡化您在資源中參考的 IP 位址管理，以路由傳送網路流量。例如，如果您經常在多個傳輸閘道路由表中指定相同的目的地 CIDR，則可以在單一字首清單中管理這些 CIDR，而不是在每個路由表中重複參照相同的 CIDR。如果您需要移除目的地 CIDR 區塊，可以從字首清單中移除其項目，而不是從每個受影響的路由表移除該路由。

當您在轉機閘道路由表中建立字首清單參考時，字首清單中的每個項目都會以轉機閘道路由表格中的路由表格表示。

如需前綴列表的詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[前綴列表](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。

**使用主控台建立字首清單參考資料**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取傳輸閘道路由表

1. 依序選擇 **Actions (動作)**、**Create prefix list reference (建立字首清單參考資料)**。

1. 在 **Prefix list ID (字首清單 ID)** 選擇字首清單的 ID。

1.  在 **Type ** (類型) 中，選擇是否允許 (**Active (作用中)**) 或捨棄 (**Blackhole (黑名單)**) 傳輸到此字首清單的流量。

1. 在 **Transit gateway attachment ID** (傳輸閘道連接 ID) 中，選擇要將流量路由所至的連接 ID。

1. 選擇 **Create prefix list reference (建立字首清單參考資料)**。

**使用 建立字首清單參考 AWS CLI**  
使用 [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html) 命令。

# 在 AWS Transit Gateway 中修改字首清單參考
<a name="modify-prefix-list-reference"></a>

您可以透過變更流量要路由傳送到的附件來修改字首清單參考資料，或指出是否要刪除與路由相符的流量。

您無法在「路由」(Routes) 標籤中修改字首清單的個別**路由**。若要修改字首清單中的項目，請使用 **Managed Prefix Lists (受管理的字首清單)**畫面。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[修改前綴清單](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list)。

**使用主控台修改字首清單參考資料**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取傳輸閘道路由表

1. 在下方窗格中，選擇 **Prefix list references (自首清單參考資料)**。

1. 選擇字首清單參考資料，然後選擇 **Modify reference** (修改參考資料)。

1.  在 **Type** (類型) 中，選擇是否允許 (**Active (作用中)**) 或捨棄 (**Blackhole (黑名單)**) 傳輸到此字首清單的流量。

1. 在 **Transit gateway attachment ID** (傳輸閘道連接 ID) 中，選擇要將流量路由所至的連接 ID。

1. 選擇 **Modify prefix list reference (修改字首清單參考資料)**。

**使用 修改字首清單參考 AWS CLI**  
使用 [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html) 命令。

# 在 AWS Transit Gateway 中刪除字首清單參考
<a name="delete-prefix-list-reference"></a>

如果您不再需要字首清單參考資料，您可以從傳輸閘道路由表中刪除該參考資料。刪除參考資料不會刪除字首清單。

**使用主控台刪除字首清單參考資料**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Route Tables** (傳輸閘道路由表)。

1. 選取傳輸閘道路由表

1. 選擇字首清單參考資料，然後選擇 **Delete reference** (刪除參考資料)。

1. 選擇 **Delete reference** (刪除參考資料)。

**使用 修改字首清單參考 AWS CLI**  
使用 [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html) 命令。

# Transit Gateway 中的 AWS 傳輸閘道政策資料表
<a name="tgw-policy-tables"></a>

傳輸閘道動態路由使用政策資料表路由 AWS Cloud WAN 的網路流量。此資料表包含用於依政策屬性比對網路流量的政策規則，然後將符合規則的流量映射至目標路由表。

您可以使用傳輸閘道的動態路由，自動與對等傳輸閘道類型交換路由和連線能力資訊。與靜態路由不同的是，可以根據網路條件 (例如路徑失敗或壅塞) 沿著不同的路徑路由流量。動態路由還多加一層安全性防護，因為在發生網路違規或入侵時，可以更輕鬆地重新路由流量。

**注意**  
目前僅於建立傳輸閘道對等連線時在 Cloud WAN 中支援傳輸閘道政策資料表。建立對等連線時，您可以將該資料表與連線產生關聯。然後，此關聯會將政策規則自動填入資料表。  
如需 Cloud WAN 中對等連線的詳細資訊，請參閱 *AWS Cloud WAN 使用者指南*中的[對等](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html)。

**Topics**
+ [建立傳輸閘道政策資料表](tgw-policy-tables-create.md)
+ [刪除傳輸閘道政策資料表](tgw-policy-tables-disable.md)

# 在 Transit Gateway 中建立 AWS 傳輸閘道政策表
<a name="tgw-policy-tables-create"></a>

**使用主控台建立傳輸閘道政策資料表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit gateway policy table** (傳輸閘道政策資料表)。

1. 選擇 **Create transit gateway policy table** (建立傳輸閘道政策資料表)。

1. (選用) 在 **Name tag** (名稱標籤) 中，輸入傳輸閘道政策資料表的名稱。這會建立一個標籤，其中標籤值為您指定的名稱。

1. 在 Transit gateway ID (傳輸閘道 ID) 中，選取用於政策資料表的傳輸閘道。

1. 選擇 **Create transit gateway policy table** (建立傳輸閘道政策資料表)。

**使用 建立傳輸閘道政策表 AWS CLI**  
使用 [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html) 命令。

# 在 Transit Gateway 中刪除 AWS 傳輸閘道政策表
<a name="tgw-policy-tables-disable"></a>

刪除傳輸閘道政策資料表。刪除資料表時，該資料表內的所有政策規則都會被刪除。

**使用主控台刪除傳輸閘道政策資料表**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit gateway policy tables** (傳輸閘道政策資料表)。

1. 選擇要刪除的傳輸閘道政策資料表。

1. 選擇 **Actions** (動作)，然後再選擇 **Delete policy table** (刪除政策表)。

1. 確認您要刪除資料表。

**使用 刪除傳輸閘道政策表 AWS CLI**  
使用 [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html) 命令。

# AWS Transit Gateway 中的多點傳送
<a name="tgw-multicast-overview"></a>

多點傳送是用於將單一資料串流同時傳送到多部接收電腦的通訊協定。Transit Gateway 支援在所連接 VPC 的子網路之間路由多點傳送流量，並作為多點傳送路由器，供執行個體傳送以多個接收執行個體為目標的流量。

**Topics**
+ [多點傳送概念](#concepts)
+ [考量事項](#limits)
+ [多點傳送路由](#how-multicast-works)
+ [多點傳送網域](multicast-domains-about.md)
+ [共用多點傳送網域](multicast-share-domain.md)
+ [向多點傳送群組註冊來源](add-source-multicast-group.md)
+ [向多點傳送群組註冊成員](add-members-multicast-group.md)
+ [從多點傳送群組取消註冊來源](remove-source-multicast-group.md)
+ [從多點傳送群組取消註冊成員](remove-members-multicast-group.md)
+ [檢視多點傳送群組](view-multicast-group.md)
+ [設定 Windows Server 的多點傳送](multicastwin.md)
+ [範例：管理 IGMP 組態](multicast-configurations-igmp.md)
+ [範例：管理靜態來源組態](multicast-configurations-no-igmp.md)
+ [範例：管理靜態群組成員組態](multicast-configurations-no-igmp-source.md)

## 多點傳送概念
<a name="concepts"></a>

以下是多點傳送的重要概念：
+ **多點傳送網域** — 允許多點傳送網絡分割成不同的網域，並使傳輸閘道充當多個多點傳送路由器。您可以在子網路層級定義多點傳送網域成員資格。
+ **多點傳送群組** — 識別將傳送和接收相同多點傳送流量的一組主機。多點傳送群組是由群組 IP 地址識別。多點傳送群組成員資格是由連接至 EC2 執行個體的個別彈性網路界面所定義。
+ **網際網路群組管理通訊協定 (IGMP)** — 一種網際網路協定，允許主機和路由器動態管理多點傳送群組成員資格。IGMP 多點傳送網域包含使用 IGMP 通訊協定加入、離開和傳送訊息的主機。 AWS 支援 IGMPv2 通訊協定和 IGMP 和靜態 (API 型） 群組成員資格多點傳送網域。
+ **多點傳送來源** — 與以靜態方式設定為傳送多點傳送流量的受支援 EC2 執行個體關聯的彈性網路界面。多點傳送來源僅適用於靜態來源組態。

  靜態來源多點傳送網域包含不使用 IGMP 協定來加入、離開和傳送訊息的主機。您可以使用 AWS CLI 新增來源和群組成員。以靜態方式新增的來源會傳送多點傳送流量，而成員則接收多點傳送流量。
+ **多點傳送群組成員** — 與接收多點傳送流量的受支援 EC2 執行個體相關聯的彈性網路介面。多點傳送群組具有多個群組成員。在靜態來源群組成員資格組態中，多點傳送群組成員只能接收流量。在 IGMP 群組組態中，成員可以同時傳送和接收流量。

## 考量事項
<a name="limits"></a>
+ 傳輸閘道多點傳送可能不適用於高頻率交易或效能敏感型應用程式。我們強烈建議您檢閱限制的[多點傳送配額](transit-gateway-quotas.md#multicast-quotas)。如需效能需求的詳細審核，請聯絡您的 帳戶或解決方案架構師團隊。
+ 如需支援區域的詳細資訊，請參閱 [AWS Transit Gateway 常見問答集](https://aws.amazon.com/transit-gateway/faqs/)。
+ 您必須建立新的傳輸閘道以支援多點傳送。
+ 多點傳送群組成員資格是使用 Amazon Virtual Private Cloud Console 或 AWS CLI、 或 IGMP 進行管理。
+ 子網路只能位於一個多點傳送網域中。
+ 如果您使用非 Nitro 執行個體，則必須停用**來源/目的地**核取方塊。如需有關停用檢查的資訊，請參閱《*Amazon EC2 使用者指南*》中的[變更來源或目的地檢查](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check)。
+ 非 Nitro 實例不能是多點傳送的傳送者。
+ 不支援多點傳送路由 Direct Connect、Site-to-Site VPN、對等連接或傳輸閘道連線連接。
+ 傳輸閘道不支援多點傳送封包的分散。分段的多點傳送封包將遭捨棄。如需詳細資訊，請參閱 [最大傳輸單位 (MTU)](transit-gateway-quotas.md#mtu-quotas)。
+ 啟動時，IGMP 主機會傳送多個 IGMP JOIN 訊息，以加入多點傳送群組 (通常為 2 至 3 次重試)。在不太可能的情況下，所有 IGMP JOIN 訊息都會遺失，主機不會成為傳輸閘道多點傳送群組的一部分。在此情況下，您將需要使用應用程式特定方法，從主機重新觸發 IGMP JOIN 訊息。
+ 群組成員資格從傳輸閘道收到 IGMPv2 JOIN 訊息開始，並在收到 IGMPv2 LEAVE 訊息時結束。傳輸閘道會追蹤成功加入群組的主機。傳輸閘道作為雲端多點傳送路由器，每兩分鐘就會發出一次 IGMPv2 QUERY 訊息給所有成員。每個成員都會傳送一個 IGMPv2 JOIN 訊息來回應，這是成員更新其會員資格的方式。如果成員無法回覆三個連續查詢，傳輸閘道會從所有加入的群組中移除此成員資格。但是，在從其待查詢清單中永久移除此成員之前，它會繼續傳送查詢給該成員達 12 小時。之後，明確的 IGMPv2 LEAVE 訊息會立即且永久地移除主機，而無法進行進一步的多點傳送處理。
+ 傳輸閘道會追蹤成功加入群組的主機。在傳輸閘道中斷的情況下，上次成功傳送 IGMP JOIN 訊息之後，傳輸閘道會繼續將多點傳送資料傳送至主機 7 分鐘 (420 秒)。傳輸閘道會繼續將成員資格查詢傳送至主機最多 12 小時，或直至收到主機的 IGMP LEAVE 訊息為止。
+ 傳輸閘道會將成員資格查詢封包傳送至所有 IGMP 成員，以便追蹤多點傳送群組成員資格。這些 IGMP 查詢封包的來源 IP 為 0.0.0.0/32，目的地 IP 為 224.0.0.1/32，協定為 2。IGMP 主機 (執行個體) 上的安全群組組態，以及主機子網路上的任何 ACL 組態都必須允許這些 IGMP 協定訊息。
+ 多點傳送來源和目的地位於同一個 VPC 中時，無法使用安全群組參考將目的地安全群組設定為接受來自來源安全群組的流量。
+ 對於靜態多點傳送群組和來源， AWS Transit Gateway 會自動移除不再存在ENIs 的靜態群組和來源。透過定期擔任 [Transit Gateway 服務連結角色](service-linked-roles.md#tgw-service-linked-roles)以描述帳戶中的 ENIS 來執行此動作。
+ 只有靜態多點傳送支援 IPv6。動態多點傳送不會。

## 多點傳送路由
<a name="how-multicast-works"></a>

當您在傳輸閘道上啟用多點傳送時，它會充當多點傳送路由器。當您將子網路新增至多點傳送網域時，我們會將所有多點傳送流量傳送至與該多點傳送網域相關聯的傳輸閘道。

### 網路 ACL
<a name="multicast-nacl"></a>

網路 ACL 規則會在子網路層級運作。其適用於多點傳送流量，因為傳輸閘道位於子網路之外。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。

對於網際網路群組管理通訊協定 (IGMP) 多播流量，以下為最低傳入規則。遠端主機是傳送多點傳送流量的主機。


| 類型 | 通訊協定 | 來源 | 描述 | 
| --- | --- | --- | --- | 
| 自訂協定 | IGMP(2) | 0.0.0.0/32 | IGMP 查詢  | 
| 自訂 UDP 協定 | UDP | 遠端主機 IP 地址 | 傳入多點傳送流量 | 

以下為 IGMP 的最低傳出規則。


| Type | 通訊協定 | 目的地 | 描述 | 
| --- | --- | --- | --- | 
| 自訂協定 | IGMP(2) | 224.0.0.2/32 | IGMP 離開 | 
| 自訂協定 | IGMP(2) | 多點傳送群組 IP 地址 | IGMP 加入 | 
| 自訂 UDP 協定 | UDP | 多點傳送群組 IP 地址 | 傳出多點傳送流量 | 

### 安全群組
<a name="mulicast-security-group"></a>

安全群組規則會在執行個體層級操作。這些規則可以套用至傳入和傳出多點傳送流量。行為與單點傳送流量相同。對於所有群組成員執行個體，您必須允許來自群組來源的傳入流量。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。

對於 IGMP 多點傳送流量，您必須至少具有下列傳入規則。遠端主機是傳送多點傳送流量的主機。您無法將安全群組指定為 UDP 傳入規則的來源。


| 類型 | 通訊協定 | 來源 | 描述 | 
| --- | --- | --- | --- | 
| 自訂協定 | 2 | 0.0.0.0/32 | IGMP 查詢  | 
| 自訂 UDP 協定 | UDP | 遠端主機 IP 地址 | 傳入多點傳送流量 | 

對於 IGMP 多點傳送流量，您必須至少具有下列傳出規則。


| 類型 | 通訊協定 | 目的地 | 描述 | 
| --- | --- | --- | --- | 
| 自訂協定 | 2 | 224.0.0.2/32 | IGMP 離開 | 
| 自訂協定 | 2 | 多點傳送群組 IP 地址 | IGMP 加入 | 
| 自訂 UDP 協定 | UDP | 多點傳送群組 IP 地址 | 傳出多點傳送流量 | 

# AWS Transit Gateway 中的多點傳送網域
<a name="multicast-domains-about"></a>

多點傳送網域允許將多點傳送網路分割為不同的網域。若要開始使用傳輸閘道多點傳送，請建立多點傳送網域，然後將子網路與網域建立關聯。

## 多點傳送網域屬性
<a name="multicast-domain-attributes"></a>

下表詳細說明了多點傳送網域屬性。無法同時啟用這兩項屬性。


| 屬性 | 描述 | 
| --- | --- | 
|  Igmpv2Support (AWS CLI) **IGMPv2 支援** (主控台)  |  此屬性確定群組成員加入或離開多點傳送群組的方式。 停用此屬性後，必須手動將群組成員新增至網域。 如果有至少一個成員使用 IGMP 協定，請啟用此屬性。成員以下列其中一種方式加入多點傳送群組： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/multicast-domains-about.html) 如果註冊了多點傳送群組成員，也必須將其取消註冊。傳輸閘道會忽略手動新增的群組成員所傳送的 IGMP `LEAVE` 訊息。  | 
| StaticSourcesSupport (AWS CLI) **靜態來源支援** (主控台) |  此屬性確定群組是否存在靜態多點傳送來源。 若此屬性為啟用，您需要使用 [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) 新增多點傳送網域的來源。只有多點傳送來源可以傳送多點傳送流量。 若此屬性設定為停用，則沒有指定的多點傳送來源。與多點傳送網域關聯的子網路中的任何執行個體都可以傳送多點傳送流量，而群組成員則可接收多點傳送流量。  | 

# 在 AWS Transit Gateway 中建立 IGMP 多點傳送網域
<a name="create-tgw-igmp-domain"></a>

如果您尚未這麼做，請檢閱可用的多點傳送網域屬性。如需詳細資訊，請參閱[AWS Transit Gateway 中的多點傳送網域](multicast-domains-about.md)。

**使用主控台建立 IGMP 多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選擇 **Create Transit Gateway multicast domain** (建立傳輸閘道多點傳送網域)。

1. 在 **Name tag** (名稱標籤) 中，輸入網域的名稱。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇處理多點傳送流量的傳輸閘道。

1. 針對 **IGMPv2 支援**，選取核取方塊。

1. 對於**靜態來源支援**，請清除核取方塊。

1. 若要自動接受此多點傳送網域的跨帳戶子網路關聯，請選取 **Auto accept shared associations (自動接受共享的關聯)**。

1. 選擇 **Create Transit Gateway multicast domain** (建立傳輸閘道多點傳送網域)。

**使用 建立 IGMP 多點傳送網域 AWS CLI**  
使用 [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 命令。

```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```

# 在 AWS Transit Gateway 中建立靜態來源多點傳送網域
<a name="create-tgw-domain"></a>

如果您尚未這麼做，請檢閱可用的多點傳送網域屬性。如需詳細資訊，請參閱[AWS Transit Gateway 中的多點傳送網域](multicast-domains-about.md)。

**使用主控台建立靜態多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選擇 **Create Transit Gateway multicast domain** (建立傳輸閘道多點傳送網域)。

1. 針對 **Name tag (名稱標籤)**，輸入用來識別網域的名稱。

1. 在 **Transit gateway ID** (傳輸閘道 ID) 中，選擇處理多點傳送流量的傳輸閘道。

1. 對於 **IGMPv2 支援**，請清除核取方塊。

1. 針對**靜態來源支援**，選取核取方塊。

1. 若要自動接受此多點傳送網域的跨帳戶子網路關聯，請選取 **Auto accept shared associations (自動接受共享的關聯)**。

1. 選擇 **Create Transit Gateway multicast domain** (建立傳輸閘道多點傳送網域)。

**使用 建立靜態多點傳送網域 AWS CLI**  
使用 [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 命令。

```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```

# 將 VPC 連接和子網路與 AWS Transit Gateway 中的多點傳送網域建立關聯
<a name="associate-attachment-to-domain"></a>

使用下列程序將 VPC 附件與多點傳送網域建立關聯。建立關聯後，您可以選取要包含在多點傳送網域中的子網路。

開始之前，您必須在傳輸閘道上建立 VPC 附件。如需詳細資訊，請參閱 [AWS Transit Gateway 中的 Amazon VPC 連接](tgw-vpc-attachments.md)。

**使用主控台將 VPC 連接與多點傳送網域建立關聯**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Create association (建立關聯)**。

1. 在 **Choose attachment to associate** (選擇要關聯的連接) 中，選取傳輸閘道連接。

1. 針對 **Choose subnets to associate (選擇要關聯的子網路)**，選取要包含在多點傳送網域中的子網路。

1. 選擇 **Create association (建立關聯)**。

**使用 將 VPC 連接與多點傳送網域建立關聯 AWS CLI**  
使用 [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html) 命令。

# 取消子網路與 AWS Transit Gateway 中多點傳送網域的關聯
<a name="remove-subnet-association"></a>

使用下列程序來取消子網路與多點傳送網域的關聯。

**使用主控台取消關聯子網路**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Associations (關聯)** 標籤。

1. 選取子網路，然後選擇 **Actions** (動作)、**Delete association** (刪除關聯)。

**使用 取消子網路的關聯 AWS CLI**  
使用 [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html) 命令。

# 在 AWS Transit Gateway 中檢視多點傳送網域關聯
<a name="view-tgw-domain-association"></a>

檢視您的多點傳送網域以驗證它們是否可用，以及它們是否包含適當的子網路和附件。

**使用主控台檢視多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Associations (關聯)** 標籤。

**使用 檢視多點傳送網域 AWS CLI**  
使用 [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 命令。

# 在 AWS Transit Gateway 中將標籤新增至多點傳送網域
<a name="tgw-domain-tagging"></a>

將標籤新增至您的資源，以利您依據用途、擁有者或環境來整理並辨識資源。您可以將多個標籤新增至每個多點傳送網域。每個多點傳送網域的標籤金鑰必須是唯一的。如果您新增的標籤具有已與相關聯的金鑰，則其會更新該標籤的值。如需詳細資訊，請參閱[標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

**使用主控台將標籤新增至多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Actions (動作)**、**Manage tags (管理標籤)**。

1. 對於每個標籤，請選擇 **Add new tag** (新增標籤)，然後輸入標籤的**索引鍵**和**值**。

1. 選擇**儲存**。

**使用 將標籤新增至多點傳送網域 AWS CLI**  
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 命令。

# 在 AWS Transit Gateway 中刪除多點傳送網域
<a name="delete-tgw-domain"></a>

使用下列程序來刪除多點傳送網域。

**使用主控台刪除多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Delete multicast domain (刪除多點傳送網域)**。

1. 出現確認提示時，請輸入 **delete**，然後選擇 **Delete** (刪除)。

**使用 刪除多點傳送網域 AWS CLI**  
使用 [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html) 命令。

# AWS Transit Gateway 中的共用多點傳送網域
<a name="multicast-share-domain"></a>

透過多播網域共享，多點傳送網域擁有者可與其組織內的其他 AWS 帳戶或在 AWS Organizations中跨組織共享網域。作為多點傳送網域擁有者，您可以集中建立和管理多點傳送網域。一旦共用，這些使用者可以在共用多點傳送網域上執行下列操作：
+ 在多點傳送網域中註冊和取消註冊群組成員或群組來源
+ 將子網路與多點傳送網域建立關聯，並將子網路與多點傳送網域解除關聯

多點傳送網域擁有者可以與以下各項共享多點傳送網域：
+ AWS 組織內或 中跨組織的 帳戶 AWS Organizations
+ 中組織內部的組織單位 AWS Organizations
+ 中的整個組織 AWS Organizations
+ AWS 外部的帳戶 AWS Organizations。

  若要與 Organization 外部 AWS 的帳戶共用多點傳送網域，您必須使用 建立資源共用 AWS Resource Access Manager，然後在選取要共用多點傳送網域的委託人時，選擇**允許與任何人**共用。如需建立資源共享的詳細資訊，請參閱《*AWS RAM 使用者指南*》中的[建立資源共享 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。

**Topics**
+ [共享多點傳送網域的必要條件](#sharing-prereqs)
+ [相關服務](#sharing-related)
+ [共享的多點傳送網域許可](#sharing-perms)
+ [計費和計量](#sharing-billing)
+ [配額](#sharing-quotas)
+ [跨可用區域共用資源](sharing-azs.md)
+ [共用多點傳送網域](sharing-share.md)
+ [取消共用共用多點傳送網域](sharing-unshare.md)
+ [識別共用多點傳送網域](sharing-identify.md)

## 共享多點傳送網域的必要條件
<a name="sharing-prereqs"></a>
+ 若要共用多點傳送網域，您必須在 AWS 帳戶中擁有該網域。您無法將已共享給您的多點傳送網域再共享出去。
+ 若要與組織或 中的組織單位共用多點傳送網域 AWS Organizations，您必須啟用與 共用 AWS Organizations。如需詳細資訊，請參閱《AWS RAM 使用者指南》**中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。

## 相關服務
<a name="sharing-related"></a>

多點傳送網域共用與 AWS Resource Access Manager (AWS RAM) 整合。 AWS RAM 是一項服務，可讓您與任何 AWS 帳戶或透過 共用 AWS 資源 AWS Organizations。您可以透過 AWS RAM建立*資源共享*，以共用您擁有的資源。資源共用會指定要共用的資源，以及要共用資源的使用者。消費者可以是個別 AWS 帳戶、組織單位或整個組織 AWS Organizations。

如需 的詳細資訊 AWS RAM，請參閱*[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。

## 共享的多點傳送網域許可
<a name="sharing-perms"></a>

### 擁有者的許可
<a name="perms-owner"></a>

擁有者負責管理多點傳送網域，及其註冊或與網域建立關聯的成員和連接。擁有者可以隨時變更或撤銷共享的存取權。他們可以使用 AWS Organizations 來檢視、修改和刪除消費者在共用多點傳送網域上建立的資源。

### 消費者的許可
<a name="perms-consumer"></a>

共用多點傳送網域的使用者在共用多點傳送網域上執行下列操作的方式，與其在多點傳送網域上建立的方式相同：
+ 在多點傳送網域中註冊和取消註冊群組成員或群組來源
+ 將子網路與多點傳送網域建立關聯，並將子網路與多點傳送網域解除關聯

取用者負責管理他們在共享的多點傳送網域上建立的資源。

客戶無法檢視或修改其他取用者或多點傳送網域擁有者所擁有的資源，也無法修改與他們共享的多點傳送網域。

## 計費和計量
<a name="sharing-billing"></a>

擁有者或取用者共享多點傳送網域無需額外費用。

## 配額
<a name="sharing-quotas"></a>

共用多點傳送網域會計入擁有者和共用使用者的多點傳送網域配額。

# 在 AWS Transit Gateway 中跨可用區域共用資源
<a name="sharing-azs"></a>

為了確保資源分散到區域的可用區域， AWS Transit Gateway 會獨立將 的可用區域對應到每個帳戶的名稱。這可能導致帳戶之間的可用區域命名出現差異。例如，`us-east-1a`您 AWS 帳戶的可用區域可能沒有與`us-east-1a`另一個 AWS 帳戶相同的位置。

若要基於您的帳戶來識別多點傳送網域的相對位置，必須使用*可用區域 ID* (AZ ID)。AZ ID 是所有 AWS 帳戶中可用區域的唯一且一致的識別符。例如， `use1-az1` 是 `us-east-1` 區域的 AZ ID，而且在每個 AWS 帳戶中的位置都相同。

**檢視您帳戶中可用區域的 AZ ID**

1. 在 https：//[https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) 開啟 AWS RAM 主控台。

1. 畫面右側的 **Your AZ ID (您的 AZ ID)** 面板中會顯示目前區域的 AZ ID。

# 在 AWS Transit Gateway 中共用多點傳送網域
<a name="sharing-share"></a>

當擁有者與您共用多點傳送網域時，您可以執行下列動作：
+ 註冊和取消註冊群組成員或群組來源
+ 關聯及解除關聯子網路

**注意**  
若要共享多點傳送網域，您必須將它新增至資源共享。資源共用是一種 AWS RAM 資源，可讓您跨 AWS 帳戶共用資源。資源共享指定要共用的資源，以及共用它們的消費者。當您使用 共享多點傳送網域時 Amazon Virtual Private Cloud Console，您可以將其新增至現有的資源共享。若要將多點傳送網域新增至新的資源共享，必須先使用 [AWS RAM 主控台](https://console.aws.amazon.com/ram)建立資源共享。  
如果您是 中組織的一部分， AWS Organizations 且已啟用組織內的共用，則組織中的取用者會自動獲得共用多點傳送網域的存取權。否則，取用者會收到加入資源共享的邀請，並且在接受邀請後便能存取共享的多點傳送網域。

您可以使用 Amazon Virtual Private Cloud 主控台、 AWS RAM 主控台或 共享您擁有的多點傳送網域 AWS CLI。

**使用 \$1Amazon Virtual Private Cloud Console共享您擁有的多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在瀏覽窗格中，選擇 **Multicast Domains (多點傳送網域)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Share multicast domain (共享多點傳送網域)**。

1. 選取您的資源共享，然後選擇 **Share multicast domain (共享多點傳送網域)**。

**使用 AWS RAM 主控台共用您擁有的多點傳送網域**  
請參閱《AWS RAM 使用者指南》**中的[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。

**使用 共享您擁有的多點傳送網域 AWS CLI**  
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。

# 在 AWS Transit Gateway 中取消共用共用多點傳送網域
<a name="sharing-unshare"></a>

若共享多點傳送網域不共享，取用者多點傳送網域資源會發生下列情況：
+ 取用者子網路會與多點傳送網域取消關聯。子網路會保留在取用者帳戶中。
+ 將取用者群組來源和群組成員與多點傳送網域取消關聯，然後從取用者帳戶中刪除。

 若要取消共享多點傳送網域，必須將其從資源共享中移除。您可以從 AWS RAM 主控台或 執行此操作 AWS CLI。

若要取消共享您擁有的共享多點傳送網域，您必須從資源共享中移除它。您可以使用 Amazon Virtual Private Cloud、 AWS RAM 主控台或 來執行此操作 AWS CLI。

**使用 \$1Amazon Virtual Private Cloud Console取消共享您所擁有且共享的多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在瀏覽窗格中，選擇 **Multicast Domains (多點傳送網域)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Stop sharing (停止共享)**。

**使用 AWS RAM 主控台取消共用您擁有的共用多點傳送網域**  
請參閱《AWS RAM 使用者指南》**中的[更新資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。

**使用 取消共用您擁有的共用多點傳送網域 AWS CLI**  
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。

# 識別 AWS Transit Gateway 中的共用多點傳送網域
<a name="sharing-identify"></a>

擁有者和消費者可以使用 Amazon Virtual Private Cloud 和 識別共用多點傳送網域 AWS CLI

**使用 \$1Amazon Virtual Private Cloud Console識別共享的多點傳送網域**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在瀏覽窗格中，選擇 **Multicast Domains (多點傳送網域)**。

1. 選取您的多點傳送網域。

1. 在**傳輸多點傳送網域詳細資訊**頁面上，檢視**擁有者 ID** 以識別多點傳送網域 AWS 的帳戶 ID。

**使用 識別共用多點傳送網域 AWS CLI**  
使用 [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 命令。命令會傳回您擁有的多點傳送網域，以及與您共用的多點傳送網域。 `OwnerId`會顯示多點傳送網域擁有者 AWS 的帳戶 ID。

# 在 AWS Transit Gateway 中向多點傳送群組註冊來源
<a name="add-source-multicast-group"></a>

**注意**  
只有在您已將**靜態來源支援**屬性設定為**啟用**時，才需要此程序。

使用下列程序向多點傳送群組註冊來源。來源是傳送多點傳送流量的網路界面。

在新增來源之前，您需要下列資訊：
+ 多點傳送網域的 ID
+ 來源網路界面的 ID
+ 多點傳送群組 IP 地址

**使用主控台註冊來源**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Add group sources (新增群組來源)**。

1. 針對 **Group IP address (群組 IP 地址)**，輸入要指派給多點傳送網域的 IPv4 CIDR 區塊或 IPv6 CIDR 區塊。

1. 在 **Choose network interfaces (選擇網路界面)** 底下，選取多點傳送寄件者的網路界面。

1. 選擇 **Add sources (新增來源)**。

**使用 註冊來源 AWS CLI**  
使用 [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) 命令。

# 在 AWS Transit Gateway 中向多點傳送群組註冊成員
<a name="add-members-multicast-group"></a>

使用下列程序向多點傳送群組註冊群組成員。

新增成員之前，您需要下列資訊：
+ 多點傳送網域的 ID
+  群組成員網路介面的 ID
+ 多點傳送群組 IP 地址

**使用主控台註冊成員**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域，然後選擇 **Actions (動作)**、**Add group members (新增群組成員)**。

1. 針對 **Group IP address (群組 IP 地址)**，輸入要指派給多點傳送網域的 IPv4 CIDR 區塊或 IPv6 CIDR 區塊。

1. 在 **Choose network interfaces (選擇網路界面)** 底下，選取多點傳送接收者的網路界面。

1. 選擇 **Add members (新增成員)**。

**使用 註冊成員 AWS CLI**  
使用 [register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html) 命令。

# 從 AWS Transit Gateway 中的多點傳送群組取消註冊來源
<a name="remove-source-multicast-group"></a>

除非您手動將來源新增至多點傳送群組，否則不需要遵循此程序。

**使用主控台移除來源**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Groups (群組)** 標籤。

1. 選取來源，然後選擇 **Remove source (移除來源)**。

**使用 移除來源 AWS CLI**  
使用 [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html) 命令。

# 從 AWS Transit Gateway 中的多點傳送群組取消註冊成員
<a name="remove-members-multicast-group"></a>

除非您手動將成員新增至多點傳送群組，否則不需要遵循此程序。

**使用主控台取消註冊成員**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Groups (群組)** 標籤。

1. 選取成員，然後選擇 **Remove member (移除成員)**。

**使用 取消註冊成員 AWS CLI**  
使用 [deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html) 命令。

# 在 AWS Transit Gateway 中檢視多點傳送群組
<a name="view-multicast-group"></a>

您可以檢視有關多點傳送群組的資訊，以確認是否使用 IGMPv2 協定來探索成員。**成員類型** （在 主控台中） 或 `MemberType`（在 中 AWS CLI) 會在 AWS 發現具有通訊協定的成員時顯示 IGMP。

**使用主控台檢視多點傳送群組**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Transit Gateway Multicast (傳輸閘道多點傳送)**。

1. 選取多點傳送網域。

1. 選擇 **Groups (群組)** 標籤。

**使用 檢視多點傳送群組 AWS CLI**  
使用 [search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html) 命令。

下列範例顯示 IGMP 協定發現多點傳送群組成員。

```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
    "MulticastGroups": [
        {
            "GroupIpAddress": "224.0.1.0",
            "TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
            "SubnetId": "subnet-0187aff814EXAMPLE",
            "ResourceId": "vpc-0065acced4EXAMPLE",
            "ResourceType": "vpc",
            "NetworkInterfaceId": "eni-03847706f6EXAMPLE",
            "MemberType": "igmp"
        }
    ]
}
```

# 為 AWS 傳輸閘道中的 Windows Server 設定多點傳送
<a name="multicastwin"></a>

 在設置多播以使用 Windows Server 2019 或 2022 上的傳輸閘道時，您需要執行其他步驟。若要設定此設定，您需要使用 PowerShell，並執行下列命令：

**使用 PowerShell 設定 Windows Server 的多點傳送**

1. 將 Windows Server 變更為使用 IGMPv2 而非 IGMPv3 進行 TCP/IP 堆疊：

   `PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**注意**  
`New-ItemProperty` 是指定 IGMP 版本的屬性索引。由於 IGMP v2 是多點傳送支援的版本，因此 屬性`Value`必須是 `3`。您可以執行下列命令，將 IGMP 版本設定為 2，而不是編輯 Windows 登錄檔：  
`Set-NetIPv4Protocol -IGMPVersion Version2`

1. Windows 防火牆預設為會丟棄大部分的 UDP 流量。您首先需要檢查使用哪個連線設定檔進行多播：

   ```
   PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
   
   NetworkCategory
   ---------------
            Public
   ```

1. 更新上一個步驟的連線設定檔，以允許存取所需的 UDP 連接埠：

   `PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`

1. 重新啟動 EC2 執行個體。

1. 測試您的多播應用程式，以確認流量如預期般流動。

# 範例：使用 AWS Transit Gateway 管理 IGMP 組態
<a name="multicast-configurations-igmp"></a>

此範例顯示至少一個使用 IGMP 通訊協定進行多點傳送流量的主機。 會在從執行個體接收 IGMP `JOIN` 訊息時 AWS 自動建立多點傳送群組，然後將執行個體新增為此群組中的成員。您也可以使用 將非 IGMP 主機靜態新增為群組的成員 AWS CLI。與多點傳送網域關聯的子網路中的任何執行個體都可以傳送流量，而群組成員則可接收多點傳送流量。

 使用下列步驟完成組態設定。

1. 建立 VPC。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

1. 在 VPC 中建立子網路。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 建立針對多點傳送流量設定的傳輸閘道。如需詳細資訊，請參閱 [在 Transit Gateway 中建立 AWS 傳輸閘道](create-tgw.md)。

1. 建立 VPC 連接 如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立 VPC 連接](create-vpc-attachment.md)。

1. 建立針對 IGMP 支援設定的多點傳送網域。如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立 IGMP 多點傳送網域](create-tgw-igmp-domain.md)。

   請使用下列設定：
   + 啟用 **IGMPv2 support** (IGMPv2 支援)。
   + 停用 **Static sources support** (靜態來源支援)。

1. 在傳輸閘道 VPC 連接的子網路與多點傳送網域之間建立關聯。如需詳細資訊，請參閱 [將 VPC 連接和子網路與 AWS Transit Gateway 中的多點傳送網域建立關聯](associate-attachment-to-domain.md)。

1. EC2 的預設 IGMP 版本為 IGMPv3。您需要變更所有 IGMP 群組成員的版本。您可以執行下列命令：

   ```
   sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
   ```

1. 將不使用 IGMP 協定的成員新增至多點傳送群組。如需詳細資訊，請參閱[在 AWS Transit Gateway 中向多點傳送群組註冊成員](add-members-multicast-group.md)。

# 範例：管理 AWS Transit Gateway 中的靜態來源組態
<a name="multicast-configurations-no-igmp"></a>

此範例會靜態地將多點傳送來源新增至群組。主機不會使用 IGMP 協定來加入或離開多點傳送群組。您需要以靜態方式新增接收多點傳送流量的群組成員。

 使用下列步驟完成組態設定。

1. 建立 VPC。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

1. 在 VPC 中建立子網路。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 建立針對多點傳送流量設定的傳輸閘道。如需詳細資訊，請參閱 [在 Transit Gateway 中建立 AWS 傳輸閘道](create-tgw.md)。

1. 建立 VPC 連接 如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立 VPC 連接](create-vpc-attachment.md)。

1. 建立針對無 IGMP 支援設定的多點傳送網域，並支援以靜態方式新增來源。如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立靜態來源多點傳送網域](create-tgw-domain.md)。

   請使用下列設定：
   + 停用 **IGMPv2 support** (IGMPv2 支援)。
   + 若要手動新增來源，請啟用 **Static sources support** (靜態來源支援)。

     若啟用該屬性，則來源會是唯一可以傳送多點傳送流量的資源。否則，與多點傳送網域關聯的子網路中的任何執行個體都可以傳送多點傳送流量，而群組成員則可接收多點傳送流量。

1. 在傳輸閘道 VPC 連接的子網路與多點傳送網域之間建立關聯。如需詳細資訊，請參閱 [將 VPC 連接和子網路與 AWS Transit Gateway 中的多點傳送網域建立關聯](associate-attachment-to-domain.md)。

1. 如果啟用 **Static sources support** (靜態來源支援)，則將來源新增至多點傳送群組。如需詳細資訊，請參閱 [在 AWS Transit Gateway 中向多點傳送群組註冊來源](add-source-multicast-group.md)。

1. 將成員新增至多點傳送群組。如需詳細資訊，請參閱[在 AWS Transit Gateway 中向多點傳送群組註冊成員](add-members-multicast-group.md)。

# 範例：在 AWS Transit Gateway 中管理靜態群組成員組態
<a name="multicast-configurations-no-igmp-source"></a>

此範例顯示將多點傳送成員靜態新增至群組。主機無法使用 IGMP 協定來加入或離開多點傳送群組。與多點傳送網域關聯的子網路中的任何執行個體都可以傳送多點傳送流量，而群組成員則可接收多點傳送流量。

 使用下列步驟完成組態設定。

1. 建立 VPC。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

1. 在 VPC 中建立子網路。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 建立針對多點傳送流量設定的傳輸閘道。如需詳細資訊，請參閱 [在 Transit Gateway 中建立 AWS 傳輸閘道](create-tgw.md)。

1. 建立 VPC 連接 如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立 VPC 連接](create-vpc-attachment.md)。

1. 建立針對無 IGMP 支援設定的多點傳送網域，並支援以靜態方式新增來源。如需詳細資訊，請參閱 [在 AWS Transit Gateway 中建立靜態來源多點傳送網域](create-tgw-domain.md)。

   請使用下列設定：
   + 停用 **IGMPv2 support** (IGMPv2 支援)。
   + 停用 **Static sources support** (靜態來源支援)。

1. 在傳輸閘道 VPC 連接的子網路與多點傳送網域之間建立關聯。如需詳細資訊，請參閱 [將 VPC 連接和子網路與 AWS Transit Gateway 中的多點傳送網域建立關聯](associate-attachment-to-domain.md)。

1. 將成員新增至多點傳送群組。如需詳細資訊，請參閱[在 AWS Transit Gateway 中向多點傳送群組註冊成員](add-members-multicast-group.md)。

# 彈性的成本分配
<a name="metering-policy"></a>

根據預設，傳輸閘道會使用以寄件者為基礎的成本分配模型，其中資料處理費用會配置給擁有來源連接的帳戶。您可以建立自訂計量政策，根據連接類型、特定連接 IDs 或網路地址等流量屬性來定義應收費的帳戶。

計量政策由從最低到最高規則號碼評估的排序規則組成。當流量符合規則時，會根據規則的組態收取指定的帳戶費用。您可以從下列選項指定帳戶擁有者來分配成本：
+ **來源連接擁有者** - 費用會分配給擁有來源連接的帳戶 （預設行為）
+ **目的地附件擁有者** - 費用會分配給擁有目的地附件的帳戶
+ **傳輸閘道擁有者** - 費用會分配給擁有傳輸閘道的帳戶

彈性成本分配可為使用集中式網路架構的組織提供更好的成本管理，無論網路拓撲為何，都能將成本分配給適當的業務單位或應用程式擁有者。

**注意**  
彈性成本分配可靈活分配計量用量，進而將成本分配給您選擇的帳戶擁有者。不過， AWS 帳戶的稅務影響可能會因地理位置、用量模式和其他因素而有很大差異。啟用此功能之前，請先檢閱 AWS 組織中帳戶的帳單、稅務和成本管理影響。參考：[什麼是 AWS Billing and Cost Management？](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)

## 計量政策
<a name="metering-policies-main"></a>

計量政策可讓您設定傳輸閘道的成本分配規則，以根據流量屬性控制哪些帳戶需要支付資料處理和傳輸成本的費用。此功能可為使用集中式網路架構的組織提供更好的成本管理和退款功能。

計量政策由下列項目組成：
+ **計量政策** - 包含計量政策規則的整體組態容器。建立時，它包含單一預設計量政策項目，其設定為向來源連接擁有者收取所有流量的費用。每個傳輸閘道只能有一個計量政策。
+ **計量政策項目** - 計量政策中的個別規則，定義特定相符條件和帳戶來計量用量。每個項目都包含評估順序的規則編號、流量比對條件 （例如來源和目的地附件類型、附件 IDs、CIDR 區塊、連接埠和通訊協定），以及要針對相符流量向哪個帳戶擁有者收費。政策最多可包含 50 個項目，從最低到最高規則號碼依序評估。

  您可以將計量用量配置給下列任何一項：
  + **來源附件擁有者**：將計量用量分配給擁有流量來源之附件的帳戶 （預設行為）
  + **目的地附件擁有者**：將計量用量分配給擁有流量終止之附件的帳戶，以及
  + **傳輸閘道擁有者**：將計量用量分配給擁有傳輸閘道的帳戶。
+ **中間設備連接** - （選用） 透過網路設備路由流量的指定傳輸閘道連接，用於安全檢查、負載平衡或其他網路功能。周遊中間設備附件的流量資料用量會計量到計量政策中指定的帳戶擁有者。您最多可以指定 10 個中間設備附件。支援的中間設備連接類型為 Network Function (AWS Network Firewall)、VPC 和 VPN 連接。

### 計量政策的運作方式
<a name="metering-policy-overview"></a>

根據預設，傳輸閘道會使用以寄件者為基礎的成本分配模型，其中資料處理費用會計量至擁有來源連接的帳戶。透過計量政策，您可以建立自訂規則，根據下列流量屬性彈性計量用量：
+ 來源和目的地連接類型 (VPC、VPN、Direct Connect Gateway、對等、Network Function 和 VPN Concentrator)
+ 來源和目的地連接 IDs
+ 來源和目的地 IP 地址、連接埠範圍和通訊協定

計量政策由從最低到最高規則號碼評估的排序規則組成。當流量符合規則時，指定帳戶會根據規則的計量帳戶設定收費。計量政策處理幾個常見的組織案例：
+ **混合環境成本分配**：透過 Direct Connect Gateway AWS 從內部部署輸入資料的成本分配給目的地 VPC 帳戶擁有者，而不是中央 IT 管理員帳戶擁有者。
+ **集中式檢查架構**：將成本分配給個別應用程式或 VPC 帳戶擁有者，而不是透過檢查 VPCs 周遊流量的中央安全團隊。
+ 以**應用程式為基礎的計費**：將工作負載的所有資料使用成本分配給 VPC 擁有者，無論流量方向為何。
+ **用戶端成本分配**：在用戶端帳戶建立傳輸閘道的附件時，將資料成本分配給用戶端帳戶。

### 中間設備附件
<a name="metering-policy-middlebox"></a>

傳輸閘道計量政策支援中間設備附件，可讓您靈活配置透過網路防火牆和負載平衡器等中間設備路由的網路流量的資料處理費用。中間設備連接的範例為 Network Firewall AWS 的網路函數連接或 VPC 連接，可將流量路由到 VPC 中的第三方安全設備。來源和目的地傳輸閘道連接之間的流量會透過這些中間設備連接周遊，用於典型的安全檢查使用案例。您可以定義計量政策，將中間設備連接上的資料處理用量彈性配置給原始來源連接、最終目的地連接或傳輸閘道帳戶擁有者。對於 Network Function 附件， AWS Network Firewall 資料處理費用也會配置給計量帳戶。

### 彈性成本分配 - 計量用量類型
<a name="metering-usage-types"></a>

透過計量政策彈性成本分配適用於下列資料用量類型：
+ VPC、VPN、VPN Concentrator 和 Direct Connect 附件上的傳輸閘道資料處理用量
+ VPN 連接上的Site-to-site VPN 資料傳輸輸出用量
+ Direct Connect 附件上的 Direct Connect Data Transfer Out 用量。
+ TGW 對等互連附件上的資料傳輸用量
+ Network Function 附件上的傳輸閘道資料處理用量
+ AWS Network Function 附件上的網路防火牆 (NFW) 資料處理用量。

彈性成本分配不適用於連接每小時用量和多點傳送資料處理用量。對於 Transit Gateway Connect 附件，可以為基礎傳輸 VPC 或 Direct Connect 附件定義計量政策。對於私有 IP VPN 連接，可以為基礎傳輸 Direct Connect 連接定義計量政策。

### 考量和限制
<a name="metering-policy-considerations"></a>

為傳輸閘道實作計量政策時，請考慮下列事項。

#### 許可
<a name="metering-policy-permissions"></a>
+ 只有傳輸閘道擁有者可以建立、修改或刪除計量政策。
+ 成本分配設定適用於傳輸閘道層級。
+ 附件擁有者無法覆寫傳輸閘道擁有者設定的成本分配設定。

#### 傳輸閘道對等互連
<a name="metering-policy-peering"></a>

當流量周遊傳輸閘道對等連線時：
+ 每個傳輸閘道都會獨立套用自己的計量政策。
+ 資料費用由每個傳輸閘道根據其本機政策單獨分配。
+ 流量可視為兩個不同的流程：來源連接至對等互連，以及對等至目的地連接。

#### 雲端 WAN 整合
<a name="metering-policy-cwan"></a>

當傳輸閘道連接到 Cloud WAN 核心網路時：
+ 對等連線上的傳輸閘道資料傳輸費用會根據傳輸閘道計量政策進行分配。
+ Cloud WAN 核心網路不支援計量政策。

#### 效能影響
<a name="metering-policy-performance"></a>
+ 計量政策不會造成任何額外的資料路徑延遲。
+ 計量政策不會影響每個附件的最大頻寬。
+ 傳輸閘道資源共用功能沒有變更。

#### 帳單整合
<a name="metering-policy-billing"></a>
+ 成本分配標籤會持續使用計量政策，依業務單位組織成本。
+ 計量政策會定義哪些帳戶會產生成本，而成本分配標籤則有助於將這些成本分類。
+ 計量政策的變更會在下一個帳單小時結束時生效。

#### IPv6 支援
<a name="metering-policy-ipv6"></a>

IPv4 和 IPv6 流量都支援計量政策。政策項目中的 CIDR 區塊比對適用於這兩個地址系列。

#### 中間設備連接支援
<a name="metering-policy-middlebox-support"></a>
+ 中間設備計量政策假設原始來源和目的地連接之間的流量是透過指定的中間設備連接進行鎖定 （例如 VPC-to-VPC 流量的東西檢查）。因此，傳入和傳出中間設備附件之流程的網路 5 元組 （來源/目的地 IPs、來源/目的地連接埠和通訊協定） 必須相符。在中間設備連接 （例如，檢查 VPC 中的 NAT 轉換） 上具有 5 個元不相符的流程，會被視為一般來源目的地連接流程 （而不是中間設備連接流程）。
+ 中間設備連接上的所有輸出限定流程 （例如，透過檢查 VPC 中的 IGW 向北流量到網際網路） 都視為一般來源目的地流程 （而不是中間設備連接流程）。
+ 對於網路防火牆捨棄封包時的 AWS Network Function 附件，無論計量政策組態為何，所有資料處理用量都會向寄件者帳戶收費。

# 建立 AWS Transit Gateway 計量政策
<a name="metering-policy-create-policy"></a>

若要啟用計量政策，您必須為傳輸閘道建立計量政策，並設定政策項目來定義計量用量的配置方式。計量政策會建立架構和預設設定，而政策項目則包含根據流量特性決定哪些帳戶計量的特定規則。

針對流經傳輸閘道的流量，計量政策項目會做為從最低到最高規則編號依序套用的排序規則。每個項目定義相符條件，例如來源和目的地連接類型、CIDR 區塊、通訊協定和連接埠範圍，以及應為相符流量計量的帳戶。當流量流程符合多個項目時，規則編號最低的項目優先。如果沒有項目符合特定流程，則會收取政策中指定的預設計量帳戶費用。

建立政策之後，您需要新增政策項目以實作成本分配邏輯。如需建立計量政策項目的步驟，請參閱 [建立計量政策項目](create-metering-policy-entry.md)。

## 使用主控台建立計量政策
<a name="create-metering-policy-console"></a>

建立政策來定義傳輸閘道資料用量的彈性成本分配規則。根據預設，所有流程都會計量至來源連接擁有者。建立項目以向不同帳戶收取特定網路流程的費用。

**建立計量政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選擇**建立計量政策**。

1. 針對**傳輸閘道 ID**，選擇您要為其建立計量政策的傳輸閘道。

1. （選用） 針對**中間設備連接 IDs**，選擇一或多個中間設備連接。根據預設，資料用量會計量給中間設備擁有者。中間設備附件支援可針對周遊中間設備附件的流量套用計量政策。稍後可以新增其他附件。

1. （選用） 在**標籤**區段中，新增標籤以協助您識別和組織計量政策：

   1. 選擇 **Add new tag (新增標籤)**。

   1. 輸入標籤**索引鍵**和可選的標籤**值**。

   1. 選擇**新增標籤**以新增其他標籤，或跳至下一個步驟。您最多可以新增 50 個標籤。

1. 選擇**建立傳輸閘道計量政策**。

**注意**  
預設計量帳戶是來源連接擁有者，在建立計量政策之後，您可以新增項目，根據流量屬性定義要向哪個帳戶收費，請注意預設政策項目 （這是最後一個項目） 無法修改或刪除，就像其他政策項目一樣。

## 使用 建立計量政策 AWS CLI
<a name="create-metering-policy"></a>

計量政策會定義傳輸閘道的預設成本分配行為和全域設定。使用 [create-transit-gateway-metering-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html)。

必要參數：
+ `--transit-gateway-id` - 建立 政策的傳輸閘道 ID

選用的參數：
+ `--middle-box-attachment-ids` - 支援作為中間設備新增至政策的傳輸閘道連接 ID
+ `--tag-specifications` - 計量政策的標籤

**使用 建立計量政策 AWS CLI**

1. 執行 **create-transit-gateway-metering-policy**命令，以建立具有選用中間設備附件的新計量政策。

   ```
   aws ec2 create-transit-gateway-metering-policy \
       --transit-gateway-id tgw-07a5946195a67dc47 \
       --middle-box-attachment-ids \
       tgw-attach-0123456789abcdef0 \
       tgw-attach-0abc123def456789a \
       --tag-specifications \
       '[{ "ResourceType": "transit-gateway-metering-policy", \
       "Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
   ```

   此命令會使用提供的中間設備附件和標籤，為指定的傳輸閘道建立計量政策。

1. 成功建立政策時， 命令會傳回下列輸出：

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0abc123def456789a"],
           "State": "pending",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
           "Tags": [{"Key": "Env","Value": "Prod"}]
       }
   }
   ```

   請注意回應中傳回的計量政策 ID，以便在後續命令中使用。 **describe-transit-gateway-metering-policies**命令可用來取得與傳輸閘道相關聯的計量政策。

# 管理 AWS Transit Gateway 計量政策
<a name="metering-policy-manage-policy"></a>

建立計量政策後，您可以透過檢視目前的設定、修改組態選項，或在不再需要時刪除政策來管理政策。管理操作可讓您在網路需求變更時新增或移除中間設備附件。您只能建立或刪除政策項目。如果您需要修改現有的規則，您可以刪除項目，並使用修改後的組態建立新的項目。所有管理操作都需要傳輸閘道擁有者許可，並在兩個計費小時後生效。

有效的計量政策管理對於在您的網路架構演進時維持準確的成本分配至關重要。當業務單位變更、部署新應用程式或修改網路拓撲時，組織通常需要調整其政策。例如，當防火牆安全架構變更或將新的檢查服務引入流量路徑時，中間設備計量支援設定可能需要更新。

政策修改支援各種操作案例，包括季節性流量模式變更、合併和收購活動，以及合規需求更新。管理政策時，請考慮對現有帳單安排的影響，並在實作之前將變更傳達給受影響的利益相關者。

定期政策審查有助於確保成本分配與業務目標和組織結構保持一致。最佳實務包括記錄政策變更、盡可能在非生產環境中測試修改，以及與財務團隊合作以了解帳單影響。此外，請考慮政策變更的時間，將每月帳單週期和財務報告程序的中斷降至最低。

**Topics**
+ [編輯計量政策](metering-policy-edit.md)
+ [刪除計量政策](metering-policy-delete.md)

# 編輯 AWS Transit Gateway 計量政策
<a name="metering-policy-edit"></a>

編輯現有的計量政策，以修改中間設備連接組態。政策修改會在下一個帳單小時生效，並套用到所有流經傳輸閘道的未來流量。

## 使用主控台編輯計量政策
<a name="edit-metering-policy-console"></a>

使用 主控台來修改傳輸閘道的現有計量政策設定。

**使用主控台編輯現有的計量政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選擇政策 ID，以選取要修改的計量政策

1. 在**動作**下修改可用的政策設定。主控台僅允許新增和移除中間方塊附件。

   1. **中間設備附件** - 新增或移除應視為中間設備以進行特殊計費的傳輸閘道附件。

## 使用 編輯計量政策 AWS CLI
<a name="edit-metering-policy-cli"></a>

使用 **modify-transit-gateway-metering-policy**命令來檢視和修改計量政策。

修改操作所需的參數：
+ `--transit-gateway-metering-policy-id` - 要修改的計量政策 ID
+ `--add-middle-box-attachment-ids` 或 `--remove-middle-box-attachment-ids` - 支援將政策新增或移除的傳輸閘道連接 ID，做為中間設備

**使用 AWS CLI 檢視和編輯計量政策**

1. （選用） 使用 **describe-transit-gateway-metering-policies**命令檢視現有的計量政策，以查看目前的組態設定：

   ```
   aws ec2 describe-transit-gateway-metering-policies
   ```

   此命令會傳回您帳戶中的所有計量政策，顯示其目前狀態，以及針對每個計量政策啟用為中間設備的附件。

1. 使用 **modify-transit-gateway-metering-policy**命令修改計量政策以更新組態選項：

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
       --add-middle-box-attachment-ids tgw-attach-0123456789abcdef1  \
       --remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
   ```

   此命令透過新增和/或移除中間設備附件來修改計量政策。

1. 成功修改政策時， 命令會傳回下列輸出：

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0123456789abcdef1"],
           "State": "modifying",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
       }
   }
   ```

   變更最多可能需要兩個計費小時才會生效。

# 刪除 AWS Transit Gateway 計量政策
<a name="metering-policy-delete"></a>

當您的傳輸閘道成本分配策略不再需要計量政策時，請刪除這些政策。刪除政策會將成本配置還原為預設的寄件者型模型，其中資料處理和資料傳輸費用會配置給擁有來源連接的帳戶。與已刪除計量政策相關聯的所有政策項目也會一併移除。

## 使用主控台刪除計量政策
<a name="delete-metering-policy-console"></a>

使用 主控台移除不再需要的計量政策。

**使用主控台刪除計量政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選擇政策 ID，以選取您要刪除的政策。

1. 選擇 **Actions** (動作)，然後 **Delete** (刪除)。

1. 在確認**delete**對話方塊中輸入 以確認刪除。

1. 選擇 **刪除**。

**重要**  
刪除計量政策是不可復原的。所有政策項目和組態設定都將永久移除，而成本分配將還原為預設的寄件者型模型。

## 使用 刪除計量政策 AWS CLI
<a name="delete-metering-policy-cli"></a>

使用 **delete-transit-gateway-metering-policy**命令以程式設計方式刪除計量政策。

使用要求：
+ 傳輸閘道擁有者許可

必要參數：
+ `--transit-gateway-metering-policy-id` - 要刪除的計量政策 ID

**使用 AWS CLI 檢視和刪除計量政策**

1. （選用） 使用 **describe-transit-gateway-metering-policies**命令檢視現有的計量政策，以查看目前的組態設定：

   ```
   aws ec2 describe-transit-gateway-metering-policies
   ```

   此命令會傳回您帳戶中的所有計量政策，顯示其目前的狀態和組態。

1. 使用 **delete-transit-gateway-metering-policy**命令刪除計量政策，以永久移除政策：

   ```
   aws ec2 delete-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
   ```

   此命令會永久移除指定的計量政策和所有相關聯的項目。成本分配將恢復為所有未來流量流程的預設寄件者型模型。此變更也需要 2 個計費小時才會生效。

1. 成功刪除政策時， 命令會傳回下列輸出：

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0123456789abcdef1"],
           "State": "deleting",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
       }
   }
   ```

   回應會確認在跨傳輸閘道基礎設施處理移除時，正以 `deleting` 狀態刪除政策。

# 建立 AWS Transit Gateway 計量政策項目
<a name="create-metering-policy-entry"></a>

根據預設，所有流程都會計量至來源連接擁有者。若要計量不同帳戶的特定流程，請建立個別政策項目，以根據流量屬性定義要向哪個帳戶收費。

計量政策項目可做為條件式規則，當流量流經您的傳輸閘道時，會根據其規則編號依序進行評估。每個項目都充當「if-then」陳述式：如果流量符合指定的條件 （例如來源連接類型、目的地 CIDR 區塊或通訊協定），則向指定的帳戶收費。系統會評估從最低到最高規則號碼的項目，而第一個相符的項目會決定該流量的帳單帳戶。

項目支援各種相符條件，包括連接類型 (VPC、VPN、Direct Connect Gateway)、特定連接 IDs、來源和目的地 CIDR 區塊、通訊協定類型和連接埠範圍。您可以在單一項目中結合多個條件，以建立精確的目標規則。例如，您可以建立一個項目，將 VPC 連接的所有 HTTPS 流量 （連接埠 443) 與特定目的地 CIDR 範圍相符，並向安全團隊帳戶收取這些流量的費用。如果沒有項目符合特定流量流程，則會向父計量政策中指定的預設計量帳戶收費，確保所有流量都已正確計費。建立項目需要 2 個計費小時才能生效。

**重要**  
仔細規劃規則編號 - 保留間隙 （例如 10、20、30) 以允許未來插入
在新增更嚴格的規則之前，先測試條件較不明確的項目
使用特定的相符條件來避免意外計費

## 使用主控台建立計量政策項目
<a name="create-metering-policy-console"></a>

計量政策會定義傳輸閘道的預設成本分配行為和全域設定。

**使用主控台建立計量政策項目**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選取計量政策 ID 連結以檢視其詳細資訊。

1. 選擇**計量政策項目**索引標籤。

1. 選擇**建立計量政策項目**。

1. **政策規則編號** - 這應該是決定評估順序的唯一數字 (1- 32，766)。數字越小，優先順序越高。

1. **計量帳戶** - 選擇要針對相符流量收取的下列其中一個帳戶類型：

   1. **來源附件擁有者**

   1. **目的地附件擁有者**

   1. **傳輸閘道附件擁有者**

1. （選用） 選擇**規則條件** - 這些選用條件定義符合特定流量的條件：
   + **來源連接類型或 ID** - 依連接類型 (VPC、VPN、Direct Connect Gateway、對等） 或 ID 篩選。
   + **目的地附件類型或 ID** - 依目的地附件類型或 ID 篩選
   + **來源 CIDR 區塊** - 比對來自特定 IP 範圍的流量
   + **目的地 CIDR 區塊** - 將流量符合特定 IP 範圍
   + **來源連接埠範圍** - 符合特定來源連接埠
   + **目的地連接埠範圍** - 符合特定目的地連接埠
   + **通訊協定** - 依規則的通訊協定篩選 (1、6、17 等）

1. 選擇**建立計量政策項目**以儲存組態。

## 使用 建立計量政策項目 AWS CLI
<a name="create-policy-entry-cli"></a>

政策項目會根據流量特性定義成本分配的特定規則。規則會依從最低到最高規則編號的順序進行評估。

必要參數：
+ `--transit-gateway-metering-policy-id` - 要將項目新增至其中的計量政策 ID
+ `--policy-rule-number` - 決定評估順序的唯一數字 (1-32，766)
+ `--metered-account` - 付款人類型 (source-attachment-owner/ destination-attachment-owner/transit-gateway-owner)

選用的參數：

這些選用參數定義符合特定流量的條件：
+ `--source-transit-gateway-attachment-id` - 來源傳輸閘道連接的 ID。
+ `--source-transit-gateway-attachment-type` - 來源傳輸閘道連接的類型。
+ `--source-cidr-block` - 規則的來源 CIDR 區塊。
+ `--source-port-range` - 規則的來源連接埠範圍。
+ `--destination-transit-gateway-attachment-id` - 目的地傳輸閘道連接的 ID。
+ `--destination-transit-gateway-attachment-type` - 目的地傳輸閘道連接的類型。
+ `--destination-cidr-block` - 規則的目的地 CIDR 區塊。
+ `--destination-port-range` - 規則的目的地連接埠範圍。
+ `--protocol` - 規則的通訊協定編號

**使用 建立計量政策項目 AWS CLI**

1. 使用 **create-transit-gateway-metering-policy-entry**命令建立新的政策項目，將 VPC 流量路由到特定的計量帳戶：

   ```
   aws ec2 create-transit-gateway-metering-policy-entry \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
       --policy-rule-number 100 \
       --destination-transit-gateway-attachment-type vpc \
       --metered-account destination-attachment-owner
   ```

   此命令會建立規則編號為 100 的政策項目，以符合目的地為 VPC 附件的流量，並針對這些流程向目的地附件擁有者收費。

1. 成功建立項目時， 命令會傳回下列輸出：

   ```
   {
       "TransitGatewayMeteringPolicyEntry": {
           "MeteredAccount": "destination-attachment-owner",
           "MeteringPolicyRule": {
               "DestinationTransitGatewayAttachmentType": "vpc"
           },
           "PolicyRuleNumber": 100,
           "State": "available",
           "UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
       }
   }
   ```

   回應會確認在跨傳輸閘道基礎設施啟用項目時，項目已建立為「可用」狀態。

# 刪除 AWS Transit Gateway 計量政策項目
<a name="metering-policy-entry-delete"></a>

當您的網路流量不再需要特定成本分配規則時，請刪除計量政策項目。刪除項目有助於簡化政策管理，方法是移除過時或不必要的規則，同時維護整體政策結構。當您刪除項目時，先前符合已刪除規則的流量將依規則編號順序評估其餘項目，如果沒有其他項目相符，則會回復為預設政策行為。

在刪除項目之前，請考慮對目前帳單安排和流量的影響。刪除後，變更最多需要 2 個計費小時才能生效且無法復原，因此請與受影響的帳戶擁有者和財務團隊協調變更。檢閱剩餘的項目，以確保刪除後有適當的流量涵蓋範圍和帳單分配。其餘項目的規則評估順序保持不變，維持可預測的成本分配行為，以繼續流量流程。

**重要**  
刪除是不可復原的
將針對其餘項目重新評估先前符合此項目的流量
檢閱剩餘的項目，以確保適當的流量涵蓋範圍

## 使用主控台刪除計量政策項目
<a name="delete-entry-console"></a>

使用 主控台透過提供確認對話方塊的直覺式界面移除政策項目，以防止意外刪除。

**使用主控台刪除政策項目**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選取包含您要刪除之項目的計量政策。

1. 選取您要移除的項目，然後選擇**刪除**。

1. 在確認對話方塊中，檢閱項目詳細資訊並輸入 **delete**以確認移除。

1. 選擇**刪除**以永久移除項目。

## 使用 刪除計量政策項目 AWS CLI
<a name="delete-entry-cli"></a>

使用 **delete-transit-gateway-metering-policy-entry**命令以程式設計方式移除政策項目。

使用要求：
+ 傳輸閘道擁有者許可
+ 有效的計量政策 ID 和項目規則號碼

必要參數：
+ `--transit-gateway-metering-policy-id` - 計量政策的 ID
+ `--policy-rule-number` - 要刪除之項目的規則編號

**使用 AWS CLI 檢視和刪除政策項目**

1. （選用） 使用 **get-transit-gateway-metering-policy-entries**命令檢視現有的政策項目，以查看目前的組態設定：

   ```
   aws ec2 get-transit-gateway-metering-policy-entries \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
   ```

   此命令會傳回指定政策的所有項目，顯示其規則編號、相符條件和計量帳戶。

1. 使用 **delete-transit-gateway-metering-policy-entry**命令刪除政策項目，以永久移除項目：

   ```
   aws ec2 delete-transit-gateway-metering-policy-entry \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --policy-rule-number 100
   ```

   此命令會從政策中永久移除指定的項目。先前符合此項目的流量將立即針對剩餘的項目重新評估，或回復為預設政策行為。

1. 當項目成功刪除時， 命令會傳回下列輸出：

   ```
   {
       "TransitGatewayMeteringPolicyEntry": [
           {
               "PolicyRuleNumber": 100,
               "MeteredAccount": "destination-attachment-owner",
               "UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
               "state": "deleted",
               "MeteringPolicyRule": {
                   "DestinationTransitGatewayAttachmentType": "vpc"
               }
           }
   }
   ```

   當跨傳輸閘道基礎設施處理移除時，回應會確認正在刪除具有「已刪除」狀態的項目。

# 管理 AWS Transit Gateway 計量政策中間設備附件
<a name="metering-policy-middlebox"></a>

傳輸閘道計量政策支援中間設備附件，可讓您靈活配置透過網路防火牆和負載平衡器等中間設備路由的網路流量的資料處理費用。中間設備連接的範例包括 Network Function 連接到 AWS Network Firewall 或 VPC 連接，這些連接會將流量路由到 VPC 中的第三方安全設備。來源和目的地傳輸閘道連接之間的流量會透過這些中間設備連接周遊，用於典型的安全檢查使用案例。您可以定義計量政策，將中間設備連接上的資料處理用量彈性配置給原始來源連接、最終目的地連接或傳輸閘道帳戶擁有者。對於 Network Function 附件， AWS Network Firewall 資料處理費用也會配置給計量帳戶。

指定傳輸閘道附件，透過網路設備路由流量以進行安全檢查、負載平衡或其他網路功能。周遊中間設備附件的流量資料用量會計量到計量政策中指定的帳戶擁有者。您最多可以指定 10 個中間設備附件。支援的中間設備連接類型為 Network Function (AWS Network Firewall)、VPC 和 VPN 連接。

**Topics**
+ [新增中間設備附件](create-middlebox-attachment.md)
+ [移除中間設備附件](edit-middlebox-attachment.md)

# 新增 AWS 傳輸閘道計量政策中間設備附件
<a name="create-middlebox-attachment"></a>

您可以新增中間設備附件，將網路設備整合到您的 Transit Gateway 計量政策中。這可讓您透過安全設備、負載平衡器或其他網路函數路由特定流量，同時維持精細的成本分配控制。

**重要**  
確保已正確設定和存取中間設備
在套用至生產工作負載之前測試流量路由
監控中間設備效能，以避免造成延遲
為高可用性設定適當的容錯移轉行為

## 使用主控台新增中間設備附件
<a name="create-middlebox-console"></a>

**新增中間設備附件項目**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**計量政策**。

1. 選取計量政策 ID 連結以檢視其詳細資訊。

1. 選擇**中間設備附件**索引標籤。

1. 選擇**新增**。

1. 出現提示時，選取應視為專門計費的中間設備連接 IDs。您最多可以選擇 10 個中間設備附件。

1. 選擇**新增中間設備附件**以儲存組態。

## 使用 新增中間設備附件 AWS CLI
<a name="create-middlebox-cli"></a>

使用 **modify-transit-gateway-metering-policy**命令來新增附件。

開始之前，請確定您有下列必要參數：
+ `--transit-gateway-metering-policy-id` - 現有計量政策的 ID
+ `--add-middle-box-attachment-ids` - 要新增至政策的一或多個附件 IDs （用於新增附件）

**使用 CLI AWS 將中間設備附件新增至現有政策**

1. 在下列範例中， **modify-transit-gateway-metering-policy** 用於將四個中間設備附件新增至現有的計量政策。命令會將指定的附件 IDs 新增至現有清單，而不移除目前的附件：

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
   ```

1. 在下列範例回應中，JSON 輸出會顯示已更新的政策組態，其中包含所有四個中間設備附件：

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
           "TransitGatewayId": "tgw-0ecec6433f4bfe55a",
           "MiddleBoxAttachmentIds": [
               "tgw-attach-0bdc681c211bf71f3",
               "tgw-attach-0987654321fedcba0",
               "tgw-attach-0456789012345abcd",
               "tgw-attach-0fedcba0987654321"
           ],
           "State": "available",
           "UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
       }
   }
   ```

# 移除 AWS Transit Gateway 計量政策中間設備附件
<a name="edit-middlebox-attachment"></a>

根據預設，計量成本會歸因於中間設備連接擁有者。不過，您可以修改這些指派，以確保成本正確配置到流量的實際來源或目的地。您可以為計量政策新增或移除總計最多 10 個中間設備連接。

## 使用主控台移除中間設備附件
<a name="modify-middlebox-console"></a>

使用 Amazon VPC 主控台從計量政策組態中移除中間設備附件。

**移除中間設備附件**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**傳輸閘道**、**計量政策**。

1. 選取您要修改的計量政策。

1. 選擇**中間設備附件**索引標籤。

1. 最多選取要從計量政策中移除的 10 個中間設備附件。

1. 選擇**移除**。

1. 出現提示時，您可以更新所選的中間設備附件以移除。透過已移除附件的流量將計量給中間設備附件擁有者。

1. 選擇**移除中間設備附件**。

## 使用 移除中間設備連接 AWS CLI
<a name="edit-middlebox-cli"></a>

使用 **modify-transit-gateway-metering-policy**命令移除附件。

開始之前，請確定您有下列必要參數：
+ `--transit-gateway-metering-policy-id` - 現有計量政策的 ID
+ `--remove-middle-box-attachment-ids` - 要從政策中移除的一或多個附件 IDs（用於移除附件）

**使用 AWS CLI 從現有政策中移除中間設備連接**

1. 在下列範例中， **modify-transit-gateway-metering-policy** 用於從現有的計量政策中移除兩個特定的中間設備連接。命令只會移除指定的附件 IDs，同時保留剩餘的附件：

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
   ```

1. 在下列範例回應中，JSON 輸出會顯示已更新的政策組態，其中已移除指定的附件，而剩餘的附件仍然作用中：

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
           "TransitGatewayId": "tgw-0ecec6433f4bfe55a",
           "MiddleBoxAttachmentIds": [
               "tgw-attach-0bdc681c211bf71f3",
               "tgw-attach-0987654321fedcba0"
           ],
           "State": "available",
           "UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
       }
   }
   ```

**Topics**
+ [計量政策](#metering-policies-main)
+ [建立計量政策](metering-policy-create-policy.md)
+ [管理計量政策](metering-policy-manage-policy.md)
+ [建立計量政策項目](create-metering-policy-entry.md)
+ [刪除計量政策項目](metering-policy-entry-delete.md)
+ [管理計量政策中間設備附件](metering-policy-middlebox.md)