首页  »  亚马逊云科技解决方案  »  计算与网络  »  使用 Amazon Transit Gateway 搭建共享服务 VPC 组网方案

使用 Amazon Transit Gateway 搭建共享服务 VPC 组网方案

此亚马逊云科技解决方案有何用途 ?

通过单账户基于 Amazon Transit Gateway 的多 Virtual Private Cloud(VPC)共享服务式架构组网方案,企业客户可以解决单账号内多个 VPC 复杂组网的挑战。企业客户由于安全管控需求,会将多个业务系统部署到不同的 VPC 并要求相互隔离。此外还需要考虑多个业务系统所在 VPC 需要分别连接到多个门店、IDC 的组网需求。鉴于此,客户上云阶段的网络落地存在复杂的设计和配置工作。本方案设立一个共享服务 VPC 来部署堡垒机等管理系统,并作为交换中心负责连接所有门店和 IDC;所有业务 VPC 将通过 Amazon Transit Gateway 连接到共享服务 VPC,而不再需要分别与门店建立连接。与此同时,多个业务 VPC 通过路由表的路由管控禁止相互访问,实现业务间的网络隔离。整个解决方案采用 Amazon CloudFormation 一键部署,自动创建 VPC、子网、Amazon Transit Gateway、路由表、EIP、NAT 网关、堡垒机和 Amazon Systems Manager 等服务,满足快速部署的需要。

方案优势

简化部署快速落地

在用户上云过程中的网络设计和落地阶段,通过本方案的 Quickstart 模版可在数分钟内完成整个环境部署,部署时间缩短数十倍。

自带路由策略管控

本方案基于 Amazon Transit Gateway 的共享 VPC 架构。与 Amazon Transit Gateway 默认的 Full-mesh 架构相比,本方案提供更好的 VPC 间流量(东西向)隔离以及允许 VPC 与共享服务交互(南北向),由此提升了安全管控能力,并便于未来扩展新的业务和新的 VPC。

支持多种连接形式

本方案大幅简化了业务 VPC 与云下门店、分支机构互联的网络架构,所有云下网络链接汇总到共享服务 VPC。除 VPN 外也支持 Amazon Direct Connect 专线和 SDWAN 接入,大幅简化了与门店和分支机构之间需要配置的组网架构和连接数量。

生产就绪开箱即用

本方案的 Amazon CloudFormation 按照生产级别标准设计,部署多可用区,具有独立的路由表、各子网独立的 NAT Gateway、公有子网、私有子网、堡垒机和 Amazon Systems Manager 等组件,可作为生产环境开箱即用。

亚马逊云科技解决方案概述

以下架构图展示了整个方案的部署架构。(可单击放大查看)

本 Quickstart 模版将创建三个 VPC 用于运行业务应用,并创建一个共享服务 VPC 用于部署服务和对外互联的 Site-to-site VPN 网关。每个 VPC 内包含多个子网,分别位于不同的可用区,同时包含 NAT 网关和 EIP 作为出口。VPC 之间通过 Amazon Transit Gateway 互联, Transit Gateway 路由表允许三个业务 VPC 访问共享服务 VPC,但业务 VPC 之间的路由相互隔离。此外本模版还在共享 VPC 内预设了 EC2 作为 Jump Server,并启用 SSM 的 Session Manager 以及相应的 VPC Endpoint,满足生产环境部署要求。
在单账户内基于 Amazon Transit Gateway 的多 VPC 共享服务式架构组网方案架构。

本方案的快速启动 Amazon CloudFormation 模版会部署以下服务:

  • 主模版:负责 VPC 的 CIDR,跳板机规格等配置项输入;
  • VPC 嵌套模版:分别从 4 个嵌套模版生成各自的 VPC,包括 VPC、IGW、子网、路由表、NAT Gateway、测试用 EC2,IAM Role 角色(允许使用 Session Manager);
  • TGW 嵌套模版:创建 TGW,并与多个 VPC 进行挂载;
  • TGW 嵌套路由表模版:整个网络架构所需要的东西向和南北向路由。

使用 Amazon Transit Gateway 搭建共享服务 VPC 组网方案

版本 1.0.0
上次更新日期:07/2021
作者:亚马逊云科技