aws(学习笔记第三十课) 练习使用transit gateway

aws(学习笔记第三十课)

• 使用transit gateway

学习内容：

• 什么是transit gateway
• 构造两个vpc，并且使用session manager访问private subnet的ec2
• 练习使用transit gateway

---

1. 什么是transit gateway

1. Transit Gateway的概念
   Transit Gateway就是VPC和OnPromise之间能够互相通信的NW中继hub(network transit hub)。
   使用Transit Gateway进行的网络通信，在物理层都会被自动加密。
2. Attachment
Transit Gateway能够把如下网络进行Attach。
   • 一个以上的vpc
   • SD-WAN（软件定义的广域网）/第三方网络设备
   • AWS Direct Connect Gateway(称为DXGW)
   • 其他的Transit Gateway
   • 向Transit Gateway进行的VPN连接
3. 使用的use case
   • 集中型的router
     
   • 将Shared Services进行分离
     
   • Peer连接的Transit Gateway
     
   • 使用Transit Gateway，向Internet进行统一通信
     
   • 共享服务中的设备VPC
     

2. 构造两个vpc，并且使用session manager访问private subnet的ec2

1. 练习的整体架构
   • 整体架构
     这里，使用两个vpc进行练习，并且每个vpc内部都有一个private subnet。采用了Transit Gateway之后，两个vpc就能够进行通信了。
     
   • 练习步骤
     • 作成network
     • 作成EC2
     • 作成VPCe，即VPC's endpoints
     • 作成Transit Gateway
     • 将Transit Gateway与vpc之间追加route
     • 对security group进行修改
2. 开始练习

   • 作成network

     • 作成VPC-A
       
     • 作成SUBNET-A
       
     • 作成VPC-B
       
     • 作成SUBNET-B
       
     • 整体作成状况
       

   • 作成EC2，并设定IAM Role

     因为这里使用SessionManager登录EC2,所以准备IAM Role

     • 作成IAM Role， 并设置AmazonSSMManagedInstanceCore权限
       信任entity选择EC2
       
       权限策略选择AmazonSSMManagedInstanceCore
       
       设定名字，作成IAM Role
       
     • 作成EC2， 并设置EC2-IAMRole
       创建security group

     之后设定上面创建的EC2-IAMRole

     因为使用SessionManager登录EC2，所以不设定key pair

     • 同样作成另外一个SUBNET-B的EC2
       完成之后的构成图。
       

   • 作成endpoint

     • 进入EC2，创建SecurityGroup
VPC-A和VPC-B都相应的建立SecurityGroup，开放0.0.0.0/0的权限，以便让SessionManager访问通过https访问该EC2。

   • 为了SessionManager能够访问，创建EndPoints

     • 建立四个endpoints 注意，这里必须使用四个endpoints

       • com.amazonaws.{region}.ec2

       • com.amazonaws.{region}.ssmmessages

       • com.amazonaws.{region}.ec2messages

       • com.amazonaws.{region}.ssm

         注意，每个endpoint建立的时候必须设定上面建立的Security Group(SECURITY-VPC-A-ENDPOINT/SECURITY-VPC-B-ENDPOINT)
         

         创建之后的架构如下所示。
         

     • 为什么使用SessionManager访问VPC需要endpoints
       

     • 设定ec2的Security Group

       这里SessionManager通过四个endpoints可以访问vpc，但是接着，需要配置四个endpoints来直接访问ec2。

       修改ec2所在的security group，这里放行来自endpoint所在的security group的https请求。
       

       整体架构如下所示。
       

     • 设定Run as的用户名

       这里设定成ec2-user。
       

   • 直接连接ec2

     这里，可以看到不使用公网，直接可以通过SessionManager直接能够访问ec2。
     

     可以看到，session manager能够访问两个ec2
     

   • 使用两个private subnet的ec2进行互相连接

     这里的security group已经开通了ICMP协议，但是也访问不了。
     

3. 练习使用transit gateway

1. 作成transit gateway

   • 进入vpc的中转网关transit gateway
     
   • 进入vpc的中转网关挂载transit gateway attachment
     先做成VPC-A的attachment。
     
     同样作成连接VPC-B的attachment
     
   • 之后，加上路由，VPC-B的路由，通过attachment，指向VPC-A
     
     进行路由配置。VPC-B指向VPC-A
     
     进行路由配置。VPC-A指向VPC-B
     

   创建了VPC-A和VPC-B两个attachment和路由之后的架构。
   

2. 进行ping测试

   • VPC-B开始ping VPC-A的EC2
     
   • VPC-A开始ping VPC-B的EC2