IBM Cloud Docs
关于 IBM Cloud Transit Gateway

关于 IBM Cloud Transit Gateway

随着虚拟私有云 (VPC) 数量的增加,您需要一种方法来管理跨多个区域的这些资源之间的互连。IBM Cloud® Transit Gateway 专为此目的而设计。

通过 IBM Cloud Transit Gateway,您可以创建单个或多个传输网关以将 VPC 连接在一起。 您还可以将 IBM Cloud 经典基础架构连接到 Transit Gateway,以提供与经典基础架构资源的无缝通信。 然后,您连接到运输网关的任何新网络将自动提供给连接到该网关的每个其他网络,以便您可以随着网络的增长而扩展该网络。

传输网关通过允许您向本地网关添加网络来提供灵活性。 网络可以连接到多个本地网关和单个全局网关,从而使您能够保留本地网关上的本地流量。

功能概述

IBM Cloud Transit Gateway 提供以下功能:

隐私

  • 与 IBM 专用网络上的 IBM Cloud Transit Gateway 之间的连接不会公开到公用因特网,从而降低公共出口和 VPN 成本并减少安全威胁。

  • IBM Cloud Transit Gateway 是完全冗余的容错服务,在这些 IBM Cloud 多专区区域(MZR) 中没有单点故障。

  • IBM Cloud Transit Gateway 通过允许您管理对 Transit Gateway 的访问权,与 Identity and Access Management (IAM) 集成。 通过使用 IAM,您可以创建和管理 IBM Cloud 用户和组,以及允许或拒绝其访问权的用户许可权。

路由

IBM Cloud Transit Gateway 支持 VPC 与 IBM Cloud 经典基础架构之间的本地和全局路由。 所有路由选项都保留在专用 IBM Cloud 基础架构中,而不会在公用因特网上运行,并且会针对性能进行优化。IBM Cloud Transit Gateway 使客户在扩展其工作负载以及连接在 IBM Cloud上运行的隔离网络方面具有更大的灵活性,冗余性和速度。

优化流量和容错

Transit Gateway 是一项区域性服务,在每个可用区都部署了路由器。 在典型的设置中,当虚拟服务器实例部署在不同的 VPC 中时,这些实例会尝试相互通信。 VPC之间的流量将保持在同一区域内,确保高效的本地路由和优化的数据传输。

当使用中转VPC和广告静态路由时,此标准行为也适用,以便在所有区域中宣传相同的前缀。 即使VPC内部署了防火墙(导致其他通告区域出现重复的防火墙),流量仍会优先选择各自区域内的中转网关。 这确保了流量通过同一区域的传输网关返回,从而保持同一区域内的路由。 虚拟专用云通常会优先选择其所在区域内的中转网关,从而减少跨区域流量。

如果出现区域故障,例如传输网关的一个区域出现故障(由于所有区域的路由器都出现故障),通信可能会中断。 在这种情况下,交通可能会被重新分配,一个方向的车辆会通过一条备用路线,而响应可能会通过不同的路线返回。 不过,一般来说,VPC流量通常会保持在同一区域内。

轻松跨边界连接

IBM Cloud Transit Gateway 将 IBM Cloud VPC 与全球各地的计算和经典资源进行互连。 您还可以跨 IBM Cloud 帐户互连 VPC 和经典资源。

IBM Cloud Transit Gateway 还支持使用通用路由封装 (GRE) 隧道来连接端点。 在唯一的用例中,GRE 隧道连接允许 Transit Gateway 连接到托管在经典基础架构资源上的覆盖网络。

Power Virtual Server 连接

IBM Cloud Transit Gateway 支持 Power Virtual Server 连接。 将 Power Virtual Server 实例连接到 IBM Cloud Transit Gateway 网络将授予对在 Transit Gateway 上连接的所有网络的访问权。 同样,Transit Gateway 上的所有其他连接都将有权访问您的网络。 与与 IBM Cloud Transit Gateway的其他网络连接一样,必须特别注意避免 IP 重叠问题。 有关更多信息,请参阅 处理重叠的 VPC 前缀和经典基础架构子网

互联互通模式

IBM Cloud Transit Gateway 使您能够将 IBM Cloud VPC 和经典基础架构连接到传输网关,从而允许您跨 IBM Cloud 区域构建多个 VPC 和经典基础架构资源的全局网络,以满足您的业务需求。IBM Cloud Transit Gateway 在 IBM Cloud VPC 以及 IBM 经典网络中工作。

IBM Cloud Transit Gateway 可以连接到位于任何 MZR 中的经典网络,而不考虑所指定传输网关的位置或路由类型。

以下是您可以实现 IBM Cloud Transit Gateway 服务的一些方法。

用例 1: 在同一 MZR 中连接两个或多个 VPC

将同一区域中的两个 VPC 与本地 Transit Gateway 连接。

![在同一 MZR 中连接两个或多个 VPC](/images/TGW_SameRegion.png "在同一 MZR 中连接两个或多个 VPC*在同一" caption-side="bottom"}中"){: caption="两个或多个 VPC

用例 2: 跨多个 MZR 连接两个或多个 VPC

使用全局传输网关连接多个区域中的 VPC。

跨多个 MZR 连接两个或多个 VPC
连接两个或多个 VPC*跨多个
连接两个或多个 VPC

用例 3: 在同一 MZR 和 IBM 经典网络中连接一个或多个 VPC

通过本地 Transit Gateway 将同一区域中的 VPC 与 IBM Cloud 经典连接。

Connect to the IBM classic network and one or more VPCs in the same MZR
Connect to the IBM classic network and one or more VPCs in the same MZR

用例 4:Interconnect VPC 和 IBM 经典网络,用于访问所有 MZR 中的所有资源

通过全局中转网关将来自多个区域的 VPC 与 IBM Cloud 经典版连接。

Connect to the IBM classic network and VPCs to access all your resources across all MZRs
Connect to the IBM classic network and VPCs to access all your resources across all MZRs

用例 5: 跨帐户互连 VPC

通过本地 Transit Gateway 连接由不同 IBM Cloud 帐户拥有的同一区域中的 VPC。

跨账户连接两个或多个 VPC
连接两个或多个 VPC* 跨
连接两个或多个 VPC*

用例 6: 将网络 (VPC 和经典) 连接到多个本地网关

请记住:

  • 本地流量将保留在本地 Transit Gateway 上,这将减少等待时间。
  • 提供了高可用性 (HA) 功能,因为 VPC C 和 D 中的数据可能会在 E 和 F 中的 VPC 中复制。
  • 经典基础架构 Transit Gateway 连接必须与 Transit Gateway 所有者位于同一帐户中。

将网络(VPC 和传统网络)连接到多个网关
将网络(VPC 和传统网络)连接到多个本地网关*将网络(VPC 和传统网络)连接到多个本地

用例 7: 跨帐户互连网络 (VPC 和经典)

将跨帐户 IBM Cloud 经典帐户连接到一个或多个传输网关。 为此,拥有 Transit Gateway 的 IBM Cloud 帐户请求来自 IBM Cloud 经典帐户的许可权,以将其连接到 Transit Gateway。 在建立连接之前,IBM Cloud 经典帐户必须核准请求。 您可以对多个 IBM Cloud 经典帐户连接重复此过程,如下所示。

跨账户同时连接 VPC 和
同时连接 VPC 和 classic* 跨
同时连接 VPC 和 classic*

用例 8: 使用高可用性 GRE 隧道连接网络

使用 GRE 隧道将 IBM Cloud 经典基础架构连接到本地 Transit Gateway。

此图显示高可用性 GRE 隧道配置。 设置 GRE 隧道配置时,必须指定可用性区域。 要使此用例高度可用,必须设置两个具有相同端点的 GRE 隧道,但使用不同的可用性区域。

![使用 GRE 隧道进行连接](/images/HA-GRE.png "使用高可用性 GRE 隧道进行连接使用高可用性 GRE 隧道进行网络连接 使用高可用性 GRE" caption-side="bottom"}"){: caption="网络

Transit Gateway GRE 连接需要网关所有者针对其需求专门配置 HA。 GRE 连接是点对点连接,没有内置冗余,是单点故障。 在 Transit Gateway 上配置 GRE 连接时,必须指定可用性区域。 对于稳健的 HA 解决方案,请使用不同的可用性区域来配置多个 GRE 连接。

用例 9: 使用 Direct Link 连接本地网络

连接 IBM Cloud Direct Link,以允许内部部署通过 Transit Gateway 连接到 IBM Cloud 网络。 这允许本地网络访问连接到 Transit Gateway 的所有网络。 在以下示例中,Direct Link 网关与 4 VPC 和 IBM Cloud 经典基础架构一起连接到全局中转网关。 相反也是如此,因为连接到运输网关的所有其他网络现在都连接到本地网络。

Direct Link 可以连接到本地或远程传输网关。

Connect On-Premise Network to Transit Gateway
Connect on-premises network using Direct Link

使用 Transit Gateway 的 Power Virtual Server 用例

有关涉及 Power Virtual Server 工作场所的用例,请参阅 Power Edge Router 用例