Direct Connect 为主，VPN为备用线路

如果需要高可用，我们还可以在使用 Direct Connect 的前提下，再建立单独的 Site-to-Site VPN 连接到不同的 Transit Gateway 上。

我们需要先创建一个 Customer Gateway，写入本地路由器的公网地址，并且选择动态路由协议。
创建 Transit Gateway Attachment，类型选择 VPN，选择刚才创建的 Customer Gateway和动态路由协议。并建议开启 Enable Acceleration 选项，这个也是2019年底出的新功能，能利用 AWS 骨干网和边缘节点让本地路由器更快接入到 AWS 内网中，详情可查看 Accelerated Site-to-Site VPN Connections。
其他配置可以保持默认
创建完成后，下载本地路由器的配置文件，然后根据配置文件配置本地的路由器。
每一个 VPN 连接都会包含2个 Tunnel，配置正确后两个 Tunnel 的状态应该都是up的。

关于Site to Site VPN 配置指南，可以查看官网教程。

Network Manager

我们还可以利用刚发布的 Network Manager 服务来查看不同的 Transit Gateway 之间以及和本地网络之间的流量数据和状态，比如网络吞吐，丢包率等等信息。

我们还能添加本地设备到这个拓扑图中（比如图中东京的这个路由器）。

总结

本文主要讲解了如何利用 AWS Direct Connect Gateway，将本地网络接入到 AWS 的区域，并且借助 Transit Gateway 接入到不同的 AWS 区域的不同 VPC。不仅有效解决南北流量（本地数据中心到云上）的通行，也解决了东西流量（不同区域的不同 VPC 之间）的通行，真正地让我们整个网络都完全打通了，而不需要像以前那样需要做很多 Peering，需要管理很多点对点的连接，很大程度上减少了管理的复杂度。

另外在 Transit Gateway 上我们可以创建不同路由表，这个类似 VRF (Virtual Route Forwarding) 的概念，我们可以创建不同的路由区域，让 A 区域可以访问 B 区域，但是 C 区域能访问 A 区域却不能访问 B区域等。在一些网络设计中我们可能需要对这些流量进行精细化控制，比如所有的 VPC 之间都不能互相访问，但是所有 VPC 都能访问一个共享服务（Share Service）的 VPC。

Transit Gateway 是云上的路由器，而且目前已经能支持跨区域的 Peering 了，给我们做路由控制和流量控制带来了很大的方便。它本身也是高可用的，并且也能承载非常高的流量，我们不用再担心给这个路由器升级，打补丁，扩容的问题了！

我们还可以巧妙利用 Transit Gateway 和 AWS 的全球骨干网来减少企业网的全球网络部署成本，减少目前我们在 MPLS 上的线路支出，具体请期待下一篇相关文章！

作者介绍：

!

### 肖培庆

亚马逊AWS解决方案架构师，负责基于AWS的云计算方案架构的咨询和设计，同时致力于AWS云服务在国内的应用和推广。现主要负责初创企业行业解决方案，曾任职于IBM，联想，Avnet，多年大型企业网络架构和运维经验。

本文转载自AWS技术博客。

原文链接：https://amazonaws-china.com/cn/blogs/china/creating-a-multinational-enterprise-network-environment-with-direct-connect-gateway-and-transit-gateway/

创作场景

利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境（三）