# AWS - Transit Gateway 深入細節
# Transit Gateway
Transit Gateway(TGW)是一個 區域級(Regional 的大型路由交換樞紐
用來集中管理 VPC、VPN、DX、SD-WAN、CloudWAN 等連線。
# 等價多路徑路由(ECMP, Equal-Cost Multi-Path Routing)
TGW 支援 ECMP,用於
| 來源 | 使用場合 |
|---|---|
| VPN Site-to-Site | 多組 IPSec Tunnel → 更多吞吐 |
| Direct Connect Gateway | 多條 DX 連線分流 |
| SD-WAN / Appliance | 高可用高帶寬 |
TGW 看到多條成本相同路徑 → 流量平均分配
PS: TGW 支援 ECMP,但 VPC Attachment 不支援。
# Association
每一個 Attachment(VPC / VPN / DX…)只能關聯到一張 Route Table
Association 代表 入站流量 查哪張 TGW Route Table
| 動作 | 意義 |
|---|---|
| Associate attachment → route table | 來自該 Attachment 的流量入站查表 |
# Propagation
Propagation 代表路由宣告,用於 出站路由寫入 TGW Route Table
| 來源類型 | 支援宣告? |
|---|---|
| VPC Attachment | ✅ 支援 Propagation |
| VPN Attachment | ✅ 支援 Propagation |
| Direct Connect | ✅ 支援 Propagation |
| Peering(TGW Peering) | ❌ 不會 Propagate |
| RAM Shared VPC | ✅ |
路由宣告了,TGW 才知道怎麼回去該 Attachment。
PS: Peering route 不會自動 Propagate,需要手動加 static route
# TGW 對等連接路由(TGW Peering)
TGW Peering 用於跨區域 / 多 TGW 連線
| 特色 | 說明 |
|---|---|
| Overlay Routing | 僅用於 TGW 間 |
| 速限 50 Gbps | 每連線封頂 |
| 無 multicast | 自帶限制 |
| 不跨傳輸 Network Firewall 規則自動生效 | 需配 ACL |
# TGW 路由評估順序(Routing Evaluation Order)
TGW 路由表遵循
- 最長前綴優先(Longest Prefix Match)/32 > /24 > /16 > 0.0.0.0/0
- 衝突時
- 靜態路由 > Propagated route
- Blackhole (丟棄流量的特殊路由,直接丟棄封包) > Other routes
# VPC Route Table vs TGW Route Table
| 比較項目 | VPC Route Table | TGW Route Table |
|---|---|---|
| 範圍 | VPC 內 | TGW 全域 |
| 控管出 / 入 | 僅出站 | 入 + 出皆控制 |
| Propagation | ❌ 無 | ✅ 支援分流宣告 |
| 黑洞(Blackhole) | ✅ | ✅ |
TGW Route Table 適用:
- Hub-and-Spoke
- 分層安全域
- 多租戶隔離
# 網路函數附件(Network Function Attachment)
以前 Network Appliance 都放在 VPC
現在 TGW 支援 網路功能直接掛上 Attachment:
| 可掛裝設備 | 常見用途 |
|---|---|
| Firewall Appliance | L7 安全控管 |
| SD-WAN Edge | 分支辦公室互聯 |
| IDS / IPS | 入侵偵測 |
| NAT / Proxy | 出網控管 |
- 更精細的 East-West、North-South 流量整合
# AWS Network Firewall 整合
與 TGW 一起打造集中式安全檢查架構:
- 支援 Inspection VPC
- TGW Route Table 分離 UI / DB / Internet
- 多網段 Threat Filtering
典型拓樸
VPCs → TGW → Inspection VPC (Network Firewall) → TGW → On-prem / Internet
安全檢查 不需在每個 VPC 重複建 FW
# TGW 多點傳送(Multicast)
Exchange Data(金融)、即時行情、媒體流的高頻廣播
| 特性 | 說明 |
|---|---|
| Protocol Independent Multicast(PIM)模式 | 用於企業廣播 |
| 訂閱制 | 只有需要的 VPC 才收到 |
| 僅限 VPC Attachment | 不支援 VPN / DX |
| Multicast domain + group policy | 精確控制訂閱範圍 |
PS: 只能在相同 AZ 的 ENI 做 Multicast
# 核心架構圖
# Reference
- AWS - AWS Transit Gateway 的運作方式
- AWS - AWS Transit Gateway 中的多點傳送
- AWS - Transit Gateway 中的 AWS 傳輸閘道對等互連附件
