Domande frequenti su AWS Transit Gateway

Argomenti della pagina

Domande generali
12
Prestazioni e limiti
1
Sicurezza e conformità
1
Caratteristica di interoperabilità
8
Gestore di rete
17

Domande generali

AWS Transit Gateway è disponibile nelle seguenti regioni AWS: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti-Est), AWS GovCloud (Stati Uniti-Ovest), Canada (Centrale), Sud America (San Paolo), Africa (Città del Capo), Europa (Irlanda), Europa (Stoccolma), Europa (Londra), Europa (Francoforte), Europa (Parigi), Europa (Milano), Medio Oriente (Bahrein), Asia Pacifico (Hong Kong), Asia Pacifico (Mumbai), Asia Pacifico (Osaka-Locale), Asia Pacifico (Tokyo), Asia Pacifico (Singapore), Asia Pacifico (Seoul), Asia Pacifico (Sydney), Asia Pacifico (Pechino), Asia Pacifico (Ningxia), Asia Pacifico (Giacarta), Medio Oriente (EAU), Europa (Zurigo), Europa (Spagna), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne), Israele (Tel Aviv) e Canada occidentale (Calgary).

Il supporto per il peering Transit Gateway è disponibile nelle seguenti regioni AWS: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti-Est), AWS GovCloud (Stati Uniti-Ovest), Canada (Centrale), Europa (Irlanda), Europa (Francoforte), Europa (Parigi), Europa (Londra), Europa (Stoccolma), Europa (Milano), Medio Oriente (Bahrein), Africa (Città del Capo), Asia Pacifico (Hong Kong), Asia Pacifico (Mumbai), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Osaka-Locale), Asia Pacifico (Pechino), Asia Pacifico (Ningxia), Sud America (San Paolo), Asia Pacifico (Giacarta), Medio Oriente (UAE), Europa (Zurigo), Europa (Spagna), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne) e Israele (Tel Aviv).

Il supporto per Transit Gateway Multicast è disponibile nelle seguenti Regioni AWS: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti-Est), AWS GovCloud (Stati Uniti-Ovest), Canada (Centrale), Europa (Irlanda), Europa (Londra), Europa (Francoforte), Europa (Stoccolma), Europa (Parigi), Europa (Milano), Sud America (San Paolo), Sud Africa (Città del Capo), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Asia Pacifico (Mumbai), Asia Pacifico (Hong Kong), Asia Pacifico (Osaka-Locale), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Medio Oriente (Bahrein), Asia Pacifico (Pechino), Asia Pacifico (Ningxia), Asia Pacifico (Giacarta), Medio Oriente (UAE), Europa (Zurigo), Europa (Spagna), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne) e Israele (Tel Aviv).

Il supporto IGMP per Transit Gateway Multicast è disponibile nelle seguenti Regioni AWS: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Mumbai), Asia Pacifico (Hong Kong), Asia Pacifico (Pechino), Asia Pacifico (Ningxia), Asia Pacifico (Osaka-Locale), Asia Pacifico (Giacarta), Canada (Centrale), Sud America (San Paolo), Africa (Città del Capo), Medio Oriente (Bahrein), Europa (Zurigo), Europa (Spagna), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne), Israele (Tel Aviv), GovCloud (Stati Uniti-Est) e GovCloud (Stati Uniti-Ovest).

Transit Gateway Connect è disponibile nelle seguenti Regioni AWS: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Mumbai), Asia Pacifico (Hong Kong), Asia Pacifico (Pechino), Asia Pacifico (Ningxia), Asia Pacifico (Osaka-Locale), Asia Pacifico (Giacarta), Canada (Centrale), Sud America (San Paolo), Africa (Città del Capo), Medio Oriente (Bahrein), Europa (Zurigo), Europa (Spagna), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne), Israele (Tel Aviv), GovCloud (Stati Uniti-Est) e GovCloud (Stati Uniti-Ovest).

Puoi segmentare la tua rete tramite la creazione di più tabelle di routing in un AWS Transit Gateway a cui associare VPC e VPN di Amazon. Questo consente di creare reti isolate all'interno di un AWS Transit Gateway con le caratteristiche di un VRF (routing e inoltro virtuali) nelle reti tradizionali. Il servizio AWS Transit Gateway presenterà una tabella di routing predefinita. L’uso di più tabelle di instradamento è opzionale.

AWS Transit Gateway supporta l'instradamento dinamico e statico tra VPC e VPN di Amazon. Per impostazione predefinita, i cloud privati virtuali, le VPN di Amazon, i gateway Direct Connect, Transit Gateway Connect e i Transit Gateway connessi tramite peering sono associati alla tabella di routing predefinita. È possibile creare tabelle di routing aggiuntive a cui associare VPC Amazon, gateway Direct Connect, VPN, Transit Gateway Connect e Transit Gateway connessi tramite peering.

Le route definiscono il percorso in base all’indirizzo IP di destinazione del pacchetto. Le route possono indirizzarsi verso un VPC o una connessione VPN di Amazon, un gateway Direct Connect, un Transit Gateway Connect o un Transit Gateway connesso tramite peering.

Su AWS Transit Gateway vi sono due modalità di propagazione di route:

  1. Route propagate da e verso reti locali: nel momento in cui ti colleghi a una VPN o a un gateway Direct Connect, le route si propagano tra AWS Transit Gateway e il router locale tramite il protocollo BGP (Border Gateway Protocol).
  2. Route propagate da e verso VPC Amazon: nel momento in cui invece colleghi un cloud privato virtuale a un AWS Transit Gateway o ridimensioni un collegamento VPC Amazon, il CIDR (Classless Inter-Domain Routing) del VPC Amazon si propagherà nella tabella di routing del gateway di transito AWS tramite le API interne (non via protocollo BGP). CIDR è un metodo di allocazione di indirizzi e route IP che rallenta la crescita delle tabelle di instradamento sui router in Internet nonché limita il rapido esaurimento degli indirizzi IPv4. Le route della tabella di routing di AWS Transit Gateway non sono propagate a quella del VPC Amazon. Il proprietario di un VPC Amazon deve creare route statiche per inviare il traffico ad AWS Transit Gateway.

I collegamenti di peering tra i Transit Gateway non supportano la propagazione delle route. Devi creare route statiche nelle tabelle di routing di Transit Gateway per inviare traffico ai collegamenti di peering.

AWS Transit Gateway non offre supporto per instradamento tra VPC di Amazon e blocchi CIDR identici. Se colleghi un nuovo VPC di Amazon con un blocco CIDR identico a un VPC già collegato, AWS Transit Gateway non propagherà la nuova route del cloud privato virtuale di Amazon nella tabella di routing di AWS Transit Gateway.

AWS Transit Gateway Connect è una funzionalità di AWS Transit Gateway. Semplifica la connettività delle filiali tramite l'integrazione nativa delle appliance virtuali di rete SD-WAN (Software-Defined Wide Area Network) in AWS Transit Gateway. AWS Transit Gateway Connect fornisce un tipo di collegamento logico denominato Connect che utilizza i collegamenti VPC di Amazon o AWS Direct Connect come trasporto di rete di base. Supporta protocolli standard come GRE (Generic Routing Encapsulation) e BGP (Border Gateway Protocol) nel collegamento Connect.

AWS Transit Gateway Connect è supportata da numerosi partner SD-WAN e di rete principali. Visita la pagina dei partner per ulteriori informazioni.

Qualsiasi strumentazione di rete di terze parti che supporti protocolli standard, come GRE e BGP, funzionerà con AWS Transit Gateway Connect.

Sì, è possibile creare collegamenti Connect su un AWS Transit Gateway esistente.

No, AWS Transit Gateway Connect non supporta route statiche. BGP è un requisito minimo.

Sì, le sessioni BGP sono stabilite nel tunnel GRE.

Sì, come per ogni altro collegamento Transit Gateway, puoi associare tabelle di routing al collegamento Connect. Questa tabella di routing può essere uguale/diversa a quella del collegamento VPC o AWS Direct Connect (meccanismo di trasporto sottostante).

Prestazioni e limiti

Per ulteriori informazioni sui limiti o sul tetto massimo, puoi consultare la nostra documentazione.

Se occorre superare queste limitazioni, crea una richiesta di assistenza.

Sicurezza e conformità

AWS Transit Gateway eredita la conformità da Amazon VPC e soddisfa gli standard PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, FedRAMP Moderate, FedRAMP High e l’idoneità HIPAA.

Caratteristica di interoperabilità

Sì, puoi associare il tuo AWS Transit Gateway a un gateway AWS Direct Connect da un altro account AWS. La creazione di un'associazione a un gateway Direct Connect è limitata esclusivamente al proprietario di AWS Transit Gateway. Non è possibile utilizzare Resource Access Manager per associare il tuo AWS Transit Gateway al gateway Direct Connect. Per ulteriori informazioni, consulta la sezione Supporto per AWS Transit Gateway nelle Domande frequenti su Direct Connect.

No, non puoi utilizzare lo stesso ASN per Transit Gateway e il gateway Direct Connect.

Puoi instradare il traffico multicast all’interno e tra collegamenti VPC verso un gateway di transito. L’instradamento multicast non è supportato per AWS Direct Connect, VPN sito-sito AWS e i collegamenti di peering.

Sì, AWS Transit Gateway Connect supporta IPv6. Puoi configurare sia gli indirizzi del tunnel GRE che del protocollo BGP con gli indirizzi IPv6.

Sì, puoi configurare gli indirizzi del tunnel GRE e del protocollo BGP in modo che facciano parte della stessa o di famiglie di indirizzi diverse. Ad esempio, puoi configurare il tunnel GRE con un intervallo di indirizzi IPv4 e gli indirizzi BGP con un intervallo di indirizzi IPv6 e viceversa.

Sì, AWS Transit Gateway supporta IGMPv2 (Internet Group Management Protocol version 2) per il traffico multicast.

Sì, possono essere presenti sia membri IGMP che statici nello stesso dominio multicast. I membri IGMP possono entrare a far parte o abbandonare dinamicamente un gruppo multicast inviando messaggi IGMPv2. Puoi aggiungere o rimuovere membri statici a un gruppo multicast mediante la console, l'interfaccia a riga di comando o SDK.

R: Sì, puoi utilizzare AWS Resource Access Manager (RAM) per condividere il dominio multicast di un gateway di transito per associazioni di sottoreti VPC tra account o nell'organizzazione all'interno di AWS Organizations.

Gestore di rete

AWS Transit Gateway Network Manager è una caratteristica di AWS Transit Gateway. Questa ti permette di centralizzare la gestione e il controllo delle risorse e delle connessioni di rete per posizioni in remoto.

Segui i passaggi seguenti per impostare e gestire Gestore di rete di AWS Transit Gateway:

  • Crea una nuova "rete globale", inizialmente un oggetto vuoto.
  • Registra i tuoi AWS Transit Gateway da qualsiasi regione AWS.
  • Aggiungi risorse in locale/cloud: inserisci informazioni su dispositivi, siti, link, connessioni, peer Connect e connessioni Site-to-Site VPN in locale/cloud cui sono associati.
  • Monitora la tua rete globale: attraverso le visualizzazioni, gli eventi e i parametri del Gestore di rete.

AWS Transit Gateway Network Manager è supportato da numerosi partner SD-WAN principali. Visita la pagina dei partner per ulteriori informazioni. La loro integrazione con la funzionalità Gestore di rete nelle soluzioni SD-WAN ti permette di automatizzare la connettività tra branch-cloud e monitorare la rete globale attraverso un singolo pannello di controllo.

Una "rete globale" è un oggetto all’interno del servizio AWS Transit Gateway Network Manager che rappresenta la rete globale privata in AWS. Tale rete include hub AWS Transit Gateway, i rispettivi collegamenti, appliance virtuali della rete SD-WAN dei partner AWS e dispositivi locali, siti, link e connessioni.

Per i gateway di transito AWS registrati, tutti i collegamenti vengono inclusi automaticamente. I collegamenti includono VPC, VPN, gateway di Direct Connect, AWS Transit Gateway Connect e collegamenti di peering AWS Transit Gateway.

Il pannello di controllo di AWS Transit Gateway Network Manager mostra i gateway di transito AWS distribuiti in tutte le regioni AWS e in tutti gli ambienti locali. Lo strumento ti offre una visualizzazione logica e geografica delle risorse e connessioni di rete, così come lo stato della connessione.

Il pannello di controllo di AWS Transit Gateway Network Manager mostra anche eventi e parametri, quali byte e pacchetti in entrata/uscita, nonché pacchetti non riusciti. Lo stato di connessione è incorporato nelle visualizzazioni topologiche e geografiche della rete globale. La funzione AWS Transit Gateway Network Manager offre inoltre eventi e parametri di rete in tempo reale per la rete globale attraverso AWS CloudWatch. Tali eventi, parametri e visualizzazioni ti aiutano a monitorare la rete e a prendere provvedimenti laddove necessario.

Nel pannello di controllo di Gestore di rete AWS Transit Gateway puoi visualizzare la disponibilità del gateway di transito e i parametri delle prestazioni, quali byte e pacchetti in entrata/uscita, nonché pacchetti non riusciti. Potrai anche visualizzare le i parametri up/down di AWS Site-to-Site VPN per i dispositivi e link locali.

La funzionalità AWS Transit Gateway Network Manager offre notifiche integrate per eventi quali modifiche alla topologia di rete, aggiornamenti di instradamento e aggiornamenti sullo stato della connessione. Tali eventi vengono forniti tramite gli eventi di CloudWatch.

I fornitori di SD-WAN offrono servizi di integrazione con AWS Transit Gateway Network Manager. L'integrazione della funzionalità Gestore di rete nelle soluzioni SD-WAN permette loro di automatizzare la connettività tra branch-cloud e monitorare la rete globale attraverso un singolo pannello di controllo, il dashboard di Gestore di rete.

La tua soluzione SD-WAN offerta da un partner utilizza interfacce di programmazione per applicazioni (API) di AWS per tuo conto per registrare automaticamente il dispositivo, creare una connessione VPN e quindi applicare le impostazioni VPN al dispositivo stesso così da stabilire una connessione.

Route Analyzer è una caratteristica di AWS Transit Gateway Network Manager. Essa consente di verificare le configurazioni di routing dei gateway di transito sulla rete globale.

No, Route Analyzer non invia alcun pacchetto di dati ma verifica la configurazione della tabella di routing di Transit Gateway associata tra l’origine e la destinazione.

Sì, puoi se Transit Gateway è registrato nella rete globale. Se hai più gateway di transito sul percorso della destinazione, dovranno essere tutti registrati nella rete globale.

No, Route Analyzer verifica soltanto le tabelle di routing di Transit Gateway. Le tabelle di routing VPC e i dispositivi gateway dei clienti non fanno parte dell'analisi.

No, Route Analyzer verifica soltanto le tabelle di routing di Transit Gateway. Le regole dei gruppi di sicurezza e le regole ACL di rete non fanno parte dell'analisi.

Sì, puoi utilizzare questa opzione con l'architettura di un dispositivo middlebox configurato su Transit Gateway. Quando esegui l'analisi, Route Analyzer ti richiederà di confermare se è presente un dispositivo middlebox tra l'origine e la destinazione.