AWS giúp việc kết nối hệ thống tại chỗ của bạn với kiến trúc đám mây trở nên tương đối đơn giản. Một trong những phương pháp hiệu quả nhất là tận dụng lợi thế của kết nối hiện có, đó là Internet.
Thật dễ dàng để thiết lập kết nối VPN với môi trường AWS, dẫn đến một phương pháp đáng tin cậy có thể được sử dụng trong hầu hết các trường hợp khi muốn kết nối kiểu VPN với AWS.
Chỉ các tài nguyên trong VPC mới có thể được truy cập thông qua kết nối VPN tới AWS. Vì mỗi VPC là một mạng riêng nên mỗi VPC yêu cầu kết nối VPN riêng.
Các nội dung chính
- Virtual Private Gateway kết nối một Amazon VPC duy nhất với mạng tại chỗ, trong khi Transit Gateway kết nối nhiều VPC và mạng tại chỗ.
- Cổng chuyển tuyến đơn giản hóa kiến trúc mạng và giảm chi phí quản lý, trong khi Cổng riêng ảo yêu cầu quản lý riêng cho từng kết nối.
- Transit Gateway hỗ trợ nhiều kết nối hơn và có thông lượng cao hơn Virtual Private Gateway.
Cổng riêng ảo so với Cổng chuyển tuyến
Sự khác biệt giữa cổng riêng ảo và cổng chuyển tuyến là Cổng riêng ảo là thiết bị đầu cuối cho VPC của bạn, cho phép bạn kết nối VPC với môi trường tại chỗ của mình thông qua đường hầm IPSec VPN. Mặt khác, AWS Transit Gateway sử dụng một thiết bị cổng duy nhất để kết nối nhiều VPC và mạng tại chỗ thông qua liên kết kết nối trực tiếp hoặc mạng riêng ảo.
Nhiều VPC trên cùng một tài khoản và khu vực có thể có Kết nối trực tiếp nhờ VGW.
Vì cả hai VPC đều ở trong một khu vực và trên cùng một tài khoản, VGW đã trở thành một tùy chọn giúp giảm chi phí cần các đường Kết nối Trực tiếp mới cho mỗi VPC.
Cấu hình này hoạt động với cả Direct Connect và VPN Site-to-Site.
Bản phát hành ban đầu của Cổng chuyển tuyến không kích hoạt Kết nối trực tiếp và thay vào đó yêu cầu VPN Site-to-Site.
Bất cứ khi nào TGW được sử dụng với AWS Resource Access Manager, bạn có thể sử dụng một Cổng chuyển tuyến duy nhất trong số nhiều tài khoản AWS, nhưng nó vẫn bị giới hạn ở một khu vực duy nhất.
Với việc bao gồm nhiều bảng định tuyến, chồng chéo CIDR cũng có thể xảy ra.
Bảng so sánh
Tham số so sánh | Cổng riêng ảo | Cổng quá cảnh |
---|---|---|
Kiến trúc | Nó kết nối các VPC, tài khoản AWS và mạng tại chỗ với trung tâm một cách dễ dàng | Nó kết nối các VPC, tài khoản AWS và mạng tại chỗ với trung tâm một cách dễ dàng. |
Kiểm soát | Ít kiểm soát hơn đối với lưu lượng truy cập vào đường dẫn định tuyến của VPC của bạn | Kiểm soát và hiển thị tốt hơn về cách lưu lượng truy cập được định tuyến giữa các VPC và mạng tại chỗ của bạn |
Tốc độ | Không có thêm độ trễ | Trải nghiệm một chút chậm trễ trong việc di chuyển các gói xung quanh |
khả năng mở rộng | Độ phức tạp tăng theo quy mô | Cơ sở hạ tầng được sắp xếp hợp lý và có thể mở rộng |
Sự có sẵn | Có sẵn trên toàn cầu | Có sẵn trong khu vực hạn chế |
Cổng riêng ảo là gì?
VGW cung cấp tùy chọn trao đổi Direct Connect giữa nhiều VPC trong cùng một khu vực và trên cùng một tài khoản.
Trước đó, mọi VPC đều yêu cầu Giao diện ảo riêng kết nối trực tiếp (VIF) để đạt được mối tương quan 1:1, điều này không phát triển đủ tốt về giá cả và chi phí quản lý.
Miễn là cả hai VPC đều ở trong cùng một khu vực và trên cùng một tài khoản, VGW trở thành một tùy chọn giúp giảm chi phí cần các đường Kết nối Trực tiếp mới cho mỗi VPC.
Cấu hình này hoạt động với cả Direct Connect và VPN Site-to-Site.
Thông qua VPG, bạn có thể xây dựng cả tuyến đường động và tuyến đường tĩnh.
Người dùng có thể đặt cấu hình Số hệ thống tự động riêng ở phía Amazon của kết nối BGP cho VPN và VIF riêng của AWS Direct Connect cho bất kỳ cổng ảo bổ sung nào.
Sau khi bộ định tuyến biên hoặc tường lửa của bạn hiển thị định tuyến BGP tới Cổng người dùng (một bước quan trọng trong việc thiết lập kết nối VPN của bạn để hoạt động với VPG của bạn),
CGW sao chép các tuyến đã thu được đó sang VPG, hoàn thành mạch định tuyến động vào đám mây của bạn.
Khái niệm định tuyến VPG trong AWS có một số giới hạn vốn có, chẳng hạn như số lượng kết nối VPN và chỉ định tuyến đường BGP mà bạn có thể cung cấp cho VPG của mình.
Vì AWS không kiểm tra các tham số BGP mà bạn gửi, nên bạn chỉ có thể cung cấp số ASN trong phạm vi riêng tư (64512 là mặc định). Ngoài ra, VGW bị giới hạn ở mười kết nối VPN.
Cổng chuyển tuyến là gì?
Cổng trung chuyển AWS là một trung tâm vận chuyển mạng sử dụng mạng riêng ảo hoặc liên kết Direct Connect để liên kết nhiều VPC và mạng tại chỗ.
Đó là một giải pháp do AWS quản lý giúp hợp lý hóa mạng của bạn bằng cách loại bỏ các kết nối ngang hàng phức tạp. Tài khoản AWS, VPC và mạng tại chỗ được kết nối với trung tâm trung tâm.
Ngoài việc hỗ trợ kết nối, AWS Transit Gateway cung cấp thông tin chi tiết và khả năng kiểm soát đối với cách xử lý lưu lượng giữa các VPC của bạn và mạng tại chỗ. Khía cạnh đáng chú ý nhất là nó theo dõi các tuyến đường của nó.
Chỉ sử dụng một Cổng chuyển tuyến và một bảng lộ trình tốt, các dịch vụ khác nhau trên nhiều VPC mới có thể kết nối.
VPC được lưu trữ ở nhiều khu vực AWS cho các tổ chức lớn, tùy thuộc vào trường hợp sử dụng thương mại của họ. Để phát triển kiến trúc mạng kết hợp, cần phải định tuyến mạng phức tạp.
Bạn có thể dễ dàng xử lý toàn bộ VPC Amazon và liên kết biên của mình trong một nền tảng cụ thể với khả năng giám sát và quản lý tập trung. Các nhà phát triển và SRE có thể ngay lập tức phát hiện ra các vấn đề và phản hồi các sự kiện mạng.
AWS Transit Gateway tạo số liệu thống kê và nhật ký, sau đó được các nền tảng như Amazon CloudWatch và Amazon VPC Flow Logs sử dụng để thu thập dữ liệu về lưu lượng IP đi qua cổng.
Bạn có thể sử dụng Amazon CloudWatch để thu thập số lượng lưu lượng gói, mức sử dụng băng thông và số lần mất gói giữa Amazon VPC và kết nối VPN.
Sự khác biệt chính giữa Cổng riêng ảo và Cổng chuyển tuyến
- Cổng riêng ảo cho phép bạn thiết lập kết nối IPSec VPN giữa VPC và môi trường tại chỗ của bạn. Cổng chuyển tuyến kết nối VPC, tài khoản AWS và mạng tại chỗ với trường hợp trung tâm.
- Cổng riêng ảo có ít quyền kiểm soát hơn đối với lưu lượng truy cập vào đường dẫn định tuyến của VPC của bạn. Ngược lại, cổng chuyển tuyến có khả năng kiểm soát và hiển thị tốt hơn đối với lưu lượng được định tuyến giữa các VPC và mạng tại chỗ của bạn.
- Không có thêm độ trễ trong cổng riêng ảo, trong khi cổng chuyển tuyến gặp phải độ trễ nhỏ trong việc di chuyển các gói xung quanh.
- Độ phức tạp tăng lên khi mở rộng quy mô trong một cổng ảo, nhưng cơ sở hạ tầng cổng chuyển tiếp được sắp xếp hợp lý và có thể mở rộng.
- Cổng riêng ảo khả dụng trên toàn cầu, trong khi cổng chuyển tuyến chỉ khả dụng ở các khu vực cụ thể.
- https://knowledgecenter.ubt-uni.net/etd/1496/
- https://www.igi-global.com/chapter/virtual-private-networks/143967
Đọc giữa các dòng, có thể thấy rõ rằng Transit Gateway có thể là nhân tố thay đổi cuộc chơi trong việc quản lý cơ sở hạ tầng mạng trong các tổ chức lớn. Một bài đọc hấp dẫn!
Tuyệt đối! Đặc biệt là khi xem xét khả năng giám sát và quản lý tập trung mà nó mang lại.
Mặc dù bài đăng có vẻ chi tiết nhưng nó thiếu sự so sánh thích hợp giữa Cổng riêng ảo và Cổng chuyển tuyến, điều cần thiết cho việc ra quyết định lựa chọn giữa hai tùy chọn.
Chính xác! Bài đăng cần cung cấp thông tin toàn diện hơn về sự khác biệt giữa hai cổng để có nhiều thông tin hơn.
Nếu bài đăng đề cập đến vấn đề đó thì nó sẽ vô cùng có lợi cho những ai đang cân nhắc triển khai các cổng này.
Bài viết hay, rất nhiều thông tin! Tôi đánh giá cao sự so sánh chi tiết giữa Virtual Private Gateway và Transit Gateway.
Bài đăng đưa ra sự phân biệt rõ ràng giữa Cổng riêng ảo và Cổng chuyển tuyến; Tôi thấy nó rất hữu ích và sâu sắc.
Mức giảm chi phí và hiệu quả đạt được nhờ VGW cho Kết nối trực tiếp giữa nhiều VPC trong cùng một tài khoản và khu vực thực sự ấn tượng.
Quả thực, khía cạnh tiết kiệm chi phí và giảm bớt công tác quản lý là những điểm nổi bật trong bài viết.
Tôi nghĩ thật tuyệt vời khi AWS giúp việc kết nối hệ thống tại chỗ của bạn với kiến trúc đám mây trở nên tương đối đơn giản.
Vâng tôi đồng ý. Tính đơn giản của việc thiết lập kết nối VPN với môi trường AWS trong hầu hết các trường hợp là rất hứa hẹn.