我想要使用 AWS Site-to-Site VPN 和 AWS Transit Gateway 将我的本地网络连接到互联网。
概述
AWS Site-to-Site VPN 允许 AWS 资源与本地网络(例如数据中心或分支机构)之间的安全连接。
AWS Site-to-Site VPN 使用虚拟私有网关或 AWS Transit Gateway 为每个连接提供两条隧道。虚拟私有网关提供与区域中单个 Amazon Virtual Private Cloud (Amazon VPC) 的连接。传输网关提供与一个区域中的多个 Amazon VPC 以及互联网的连接。
有关 AWS Site-to-Site VPN 工作原理的详细信息,请参阅什么是 AWS Site-to-Site VPN?
解决方案
通过传输网关建立 Site-to-Site VPN 连接,从本地网络集中访问互联网。这种集中式设置使用 AWS 网络转换服务(NAT 网关)连接到互联网。
请按照以下步骤从本地网络获得互联网访问权限:
1. 创建传输网关。
2. 使用传输网关创建 Site-to-Site VPN。
3. 将 Amazon VPC 连接到您所在地区的传输网关。
4. 在同一 Amazon VPC 的公有子网中创建公有 NAT 网关。
5. 在 VPC 的子网路由表中创建与传输网关关联的默认路由 0.0.0.0/0。此路由指向您之前创建的 NAT 网关。
Destination Target
0.0.0.0/0 nat-12345678901234567
6. 在您之前使用的公有子网路由表中为本地 CIDR 创建路由。此路由指向传输网关。
Destination Target
10.0.0.0/16 tgw-12345678909876543
0.0.0.0/0 igw-12345678901234567
7. 在传输网关路由表中创建与 VPN 连接关联的默认路由 0.0.0.0/0。然后,将其指向 Amazon VPC 连接:
CIDR Attachment ID Resource ID Resource type Route type Route state Prefix list ID
0.0.0.0 tgw-attach-98765432109876 vpc-987654321 VPC Static Active -
8. 在与 Amazon VPC 连接关联的传输网关路由表中为本地 CIDR 创建路由(静态路由或传播)。然后,将其指向 VPN 连接:
CIDR Attachment ID Resource ID Resource type Route type Route state Prefix list ID
10.0.0.0/16 tgw-attach-1234567890123 vpn-1234567897 VPN Static Active -
注意: Site-to-Site VPN 加密域必须允许本地 CIDR 和任何 (0.0.0.0) 目的地(基于策略的 VPN)之间的流量。
相关信息
创建传输网关 VPN 连接
传输网关路由表