Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

如何使用 Transit Gateway 配置 Direct Connect 和 VPN 失效转移？

2 分钟阅读

我想使用 AWS Transit Gateway 来配置 AWS Direct Connect 和 VPN 失效转移。

解决方法

创建中转网关，然后连接您的 Amazon VPC、VPN 和 Direct Connect

完成以下步骤：

创建中转网关。
将您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到中转网关。
**注意：**记下连接的 ID，以便在后续步骤中使用。
创建 AWS Site-to-Site VPN 连接。
**注意：**对于静态 VPN，请使用 CIDR 范围大于边界网关协议 (BGP) 传播路由的静态路由。有关详细信息，请参阅路由评估顺序。
将 AWS Direct Connect 与中转网关相关联。
**注意：**对于每个 VPC 连接，必须将 Amazon VPC CIDR 范围添加到 Direct Connect 网关允许的前缀交互中。然后，AWS 会通过中转虚拟接口将前缀播发到远程端。

注意：在中转虚拟接口上，对于每个中转网关，您最多可以从 AWS 向本地网络播发 200 个前缀。要播发超过 200 个 CIDR 前缀，请根据服务限额汇总路由，使路由数量等于或少于 200 个 CIDR 前缀。汇总路由后，将它们添加到允许的前缀交互部分。有关详细信息，请参阅 AWS Direct Connect 配额。

（可选）当 VPN 路由更具体时，防止出现非对称路由

您从 Transit Gateway VPN 路由表播发的 VPC CIDR 比您通过中转虚拟接口播发的 CIDR 更具体。因此，客户网关可能会优先使用 Site-to-Site VPN 而不是 Direct Connect，从而导致出现非对称路由。

**注意：**当您在 Direct Connect Gateway allowed prefix（Direct Connect 网关允许的前缀）字段中为 Amazon VPC CIDR 创建汇总路由时，本地网络 AWS VPN 会播发 Amazon VPC CIDR。

要解决非对称路由问题，请完成以下步骤：

将与 Direct Connect 网关关联的汇总路由添加到与中转网关路由表关联的 Site-to-Site VPN 连接中。对于路由表中的目标连接，请选择具有 CIDR 的 Amazon VPC。该 CIDR 必须是 Site-to-Site VPN 连接中转网关路由表中汇总路由的一部分。您必须通过 Site-to-Site VPN 播发汇总路由和特定路由。
在 Site-to-Site VPN 客户网关中，筛选出通过 VPN 播发更具体的 CIDR 前缀的路由。客户网关在两个连接上的汇总路由必须相同。网关会首选 AWS Direct Connect 连接。

创建中转网关路由表并配置路由传播

**注意：**在 Direct Connect 中转虚拟接口和 VPN 中，请通过 BGP 会话播发一组相同的前缀。

完成以下步骤

打开 Amazon VPC 控制台。
在导航窗格中，选择 Transit Gateways（中转网关）。
验证 Default association route table（默认关联路由表）是否设置为 False。如果为 True，请继续执行下一步。
选择 Transit gateway route tables（中转网关路由表）。
选择 Create transit gateway route table（创建中转网关路由表）。
对于 Name tag（名称标签），输入 Route Table A（路由表 A）。
对于 Transit gateway ID（中转网关 ID），选择您的中转网关的 ID。
选择 Create transit gateway route table（创建中转网关路由表）。
选择路由表 A或您的中转网关的默认路由表，然后选择 Associations（关联）。
选择 Create Association（创建关联）。
对于 Choose attachment to associate（选择要关联的连接），选择您的 Amazon VPC 的关联 ID，然后选择 Create Association（创建关联）。
**注意：**重复上述步骤，直到您的 Direct Connect 网关、VPN 和 Amazon VPC 全部显示在 Association（关联）下。
选择 Route table propagation（路由表传播）。
选择 Propagation（传播）。
对于 Choose attachment to propagate（选择要传播的连接），选择您的 Direct Connect 网关、VPN 和 Amazon VPC。

更新 Amazon VPC 子网路由表

完成以下步骤：

打开 Amazon VPC 控制台。
在导航窗格中，选择 Route tables（路由表）。
选择连接到连接子网的路由表。
选择 Routes（路由）选项卡，然后选择 Edit routes（编辑路由）。
选择 Add route（添加路由）选项卡。
对于 Destination（目的地），选择本地网络的子网。
对于目标，选择您的中转网关。
选择保存路由。

注意：要查看您的路由更新事件，请打开 Transit Gateway Network Manager。有关详细信息，请参阅路由更新事件。

测试失效转移

使用弹性工具包中的 Direct Connect 失效转移测试来测试失效转移。