从办公室到多个帐户的 *** 对等的最佳实践

Posted 2023-02-22

【中文标题】从办公室到多个帐户的 *** 对等的最佳实践

【英文标题】：Best practice for *** peering from office to multiple accounts

【发布时间】：2018-12-24 16:18:45

【问题描述】：

我正在寻找一些关于设置我的网络和 *** 对等互连的一般指导。

基本上，我想设置从我的办公室到 aws 的连接，但想知道多个 aws 帐户的最佳做法是什么？

我是否应该将办公室的 *** 对等点设置为仅一个帐户子网，然后再从该子网对等到另一个帐户，或者， 我是否应该为办公室的两个/所有帐户设置单独的 *** 对等体

在这种情况下，我只是在寻找网络设计的正常最佳实践。

【参考方案1】：

您可以在账户及其各自的 VPC 之间启用 VPC Peering，但 VPC Peering 不具有传递性，这意味着它们不会转发数据包。这意味着如果您使用 *** 连接到 VPC-A 并且 VPC-A 与 VPC-B 对等，您的 *** 流量将不会通过 VPC-A 转发到 VPC-B。因此，这消除了 VPC 对等互连这一选项。

最好的解决方案是创建一个从您的办公室到您需要连接的每个帐户/VPC 的站点到站点 ***。如果您需要公司范围的路由，我建议您研究诸如 OpenSwan 或 Windows Server Routing and Remote Access 之类的软件解决方案。 AWS 还列出了一些运行良好的硬件路由器。如果只是个人需要访问，那么一个不错的选择是 Open***（桌面到 AWS）。

请注意，启用站点到站点路由会产生费用。您将需要 AWS VGW 或运行 *** 软件的 EC2 实例。这意味着每小时花费每天 24 小时。 VGW 为每小时 0.05 美元（大多数地区）。对于小型实例，EC2 实例的费用约为每小时 0.05 美元。 VGW 是更好的选择，但您受限于支持连接到 VGW 的硬件/软件类型及其设置复杂性。但是，VGW 允许您使用一个 *** 连接路由到多个 VPC。

对于更复杂的配置/非常高的带宽，AWS 和思科已就思科 CSR 展开合作。这是一个高端的解决方案，成本很高。还有 Direct Connect 可提供最佳解决方案。

您的最终选择将取决于成本、软件与硬件解决方案、站点到站点或客户端到站点、永久始终在路由或在需要路由时连接。

【讨论】：

好的，听起来更好的选择是让每个帐户（共享服务）vpc 的站点到站点对等点，然后从该（共享服务）一个对等点到内部 vpc。 * office -> aws (dev account : "shared services vpc") -> dev account vpc's/subnets* office -> aws (prod account: "shared services vpc") -> prod account vpc's/subnets??

从您所说的来看，这听起来甚至都行不通，创建一个站点到站点对等到一个 aws 帐户 vpc，然后从该 vpc 对等到从那里的其他帐户。跨度>

您将设置 office -> VPC_A 和 office->VPC_B 等。这是最简单的。但是，如果您知道自己在做什么，则可以使用 OpenSwan 或 Windows Server 设置共享 VPC，然后从该 VPC 到其他 VPC 创建 VPC 对等点。请记住，您需要在与 AWS 系统联网的所有计算机上设置静态路由（基本上每个 VPC 一个路由）。

您的网络和每个 VPC 不能有重叠的地址 (CIDR)。

【参考方案2】：

现在可以将多个 VPC 和您的 *** 连接与 Transit Gateway 关联起来。 因此您可以使用您的 *** 连接到 TGW，然后连接到任何 VPC-A 或 VPC-B。 https://aws.amazon.com/transit-gateway/