IBM Cloud Docs
IBM Cloud Transit Gateway的规划

IBM Cloud Transit Gateway的规划

在订购 IBM Cloud® Transit Gateway之前,请确保查看以下注意事项。

一般注意事项

VPC 的所有前缀和经典网络的所有子网都将连接到 Transit Gateway,因此它们不重叠很重要。 创建旨在连接到运输网关的 VPC 时,请确保创建具有非重叠 VPC 前缀的 VPC。

  • IBM Cloud Transit Gateway 支持在 IBM Cloud Transit Gateway位置 中列出的区域配置转接网关。

  • 在适合工作负载的位置创建 Transit Gateway。 例如,如果要连接 us-south (达拉斯) 区域中的两个 VPC 和 eu-de (法兰克福) 区域中的一个 VPC,那么在 us-south 区域中创建网关对于您的工作负载最有效。

  • 您不能将 传统访问 VPC 直接连接到中转网关。 要连接经典资源,请使用 IBM Cloud 经典基础架构连接,然后自动连接经典访问 VPC 中的所有资源。

  • 传输网关需要至少两个连接,网络流量才能流经传输网关。 在 45 天或更长时间内具有少于两个连接的传输网关将被回收 (暂挂,然后在 30 天后删除)。

  • 您可以将 VPC,Direct Link或经典基础架构连接到多个本地网关和单个全局网关。

  • 在供应后,传输网关及其连接可能需要几分钟才能可用。

  • 在命名 Transit Gateway 连接时进行描述。 跨帐户连接到资源时,必须指定连接名称。 当连接到与 Transit Gateway 相同的帐户中的资源时,VPC 名称或单词 "classic" 是缺省选择,可以修改。

  • IBM Cloud Transit Gateway 是一个多租户应用程序,其中软件的单个实例及其支持基础结构为多个客户提供服务。 因此,监视带宽使用情况很重要。 如果使用过多带宽,那么可能会暂挂 Transit Gateway 实例。 如果您怀疑是这种情况,请检查 Transit Gateway 实例连接状态以查看其是否处于 Suspended 状态。 如果是这样,请 联系支持人员 以将其恢复。

  • 以下 ASN 在 Transit Gateway 通用路由封装 (GRE) 和 Direct Link 连接上受阻。 避免在设备上使用这些 ASN,以便这些 ASN 不包含在 AS 路径中的广告路由上。 将这些 ASN 包括在内会阻止网络正常工作。

    0, 13884, 36351, 64512, 64513, 65100, 65200-65234, 65402-65433, 65500, 65516, 65519, 65521, 65531 and 4201065000-4201065999

ECMP 考虑因素

  • 在规划 ECMP(等成本多路径)时,请记住吞吐量不会随直接链路数量的增加而线性增长。 例如,如果将两条 10 GB 的直接链路连接到具有 ECMP 功能的中转网关,就不会获得 20 GB 的吞吐量;吞吐量会大于 10 GB,但小于 20 GB。 这是因为 ECMP 以每个流或每个源为基础工作,这意味着如果流量来自单个端点,它可能会偏向于一条链路,而不是两条链路。 要实现更均衡的吞吐量,建议从多个来源驱动流量,因为这样可以在可用的直接链接上更均匀地分配负载。

  • 限制:ECMP 不适用于单个路由器上的直接链接。 相反,只要有直接链接的多个路由器发布相同的前缀广告,就支持跨路由器使用。

  • 已知限制:新的中转网关支持 4 路 ECMP,但现有网关无法使用此功能,除非您 打开支持案例 寻求帮助。

    如果您不希望在您的中转网关上启用 ECMP 功能,您可以打开一个支持案例,将其添加到拒绝列表中,这样就可以在您的网关上禁用该功能。

定价注意事项

Transit Gateway 配置页面上的 IBM Cloud 成本估算器 无法解释网络连接类型。 为了获得可靠的成本估算,请输入预计的传输网关和连接数量。 请记住,如果创建冗余 GRE,那么每个隧道都是一个单独的连接,根据您的 连接限制 进行计数。

经典基础架构连接注意事项

  • 要使用 Transit Gateway 将 VPC 连接到 IBM Cloud 经典基础架构,必须为虚拟路由和转发 (VRF) 启用经典帐户,并将其链接到 IBM Cloud 帐户。 有关为 VRF 启用帐户的信息,请参阅 启用 VRF 和服务端点

  • 将 VPC 和经典基础架构连接到 Transit Gateway 时,VPC 中的所有前缀都将对经典基础架构 VRF 可见,后者将使用 10.0.0.0/8 空间中的 IP 地址。 要确保与经典基础架构成功连接,请勿在 VPC 中使用与 10.0.0.0/1410.200.0.0/1410.198.0.0/1510.254.0.0/16 块重叠的前缀。 此外,请勿使用经典基础架构子网中的地址。 要查看经典基础架构子网的列表,请参阅 查看所有子网

  • 经典虚拟服务器实例可以同时具有专用 (eth0) 和公用 (eth1) 网络接口。 目前,这些接口的路由表将缺省网关指向公共接口 (eth1)。您可能必须添加路由条目以通过专用接口从其他 VPC 路由子网。

  • 所有跨 MZR 的 IBM Cloud 经典基础架构网络都可通过此连接进行访问,而无论指定的传输网关位置或路由类型如何。

  • 位于这些 数据中心 中的经典基础架构资源通过 Transit Gateway 连接到 VPC 资源。

  • 当经典基础架构连接到运输网关时,它还包括附加到帐户的任何“经典访问 VPC”,因为这些 VPC 的子网与经典基础架构 VRF 相关联。 这是将 Transit Gateway 连接到 Classic Access VPC 的唯一方法: 通过将整个经典基础架构连接到 Transit Gateway (而不是特定的 Classic Access VPC)。

  • 驻留在同一数据中心内的经典连接如果位于与 Transit Gateway 不同的区域中,那么无法相互通信。

通用路由封装 (GRE) 连接注意事项

查看特定 GRE 连接的以下注意事项。

常规 GRE 连接注意事项

  • 配置 GRE 隧道时,必须指定要在其中创建隧道的可用性区域。 因此,如果由于某种原因该区域变得不可用,那么无法访问通过该区域上的 GRE 隧道连接的任何网络。 要配置高可用性 GRE 隧道,必须在多个区域中创建 GRE 隧道,以连接相同的端点。
  • GRE 连接需要在 GRE 隧道 IP 地址之间使用 BGP 服务。 在连接到其他隧道端点之前,Transit Gateway 在隧道连接上配置 BGP 服务。 然后,一旦 BGP 协议在连接的端点和传输网关之间交换路由,GRE 隧道就会成为路由流量的数据路径。
  • GRE 隧道路由直接在隧道上建立的 BGP 会话上学习。 因此,不会对这些连接启用前缀过滤。
  • 连接到运输网关的 GRE 隧道数量是有配额限制的。 缺省配额为 12。
  • 如果在 GRE 和 Direct Link 之间使用等成本路径(路径长度相同),则首选 Direct Link,而不是在 GRE 和 Direct Link 之间进行负载平衡。

冗余 GRE 注意事项

  • 冗余 GRE 本质上是由至少两个 GRE 隧道组成的分组。
  • 每个区域的隧道数量不能超过两条。
  • 您可以将隧道放置在相同或不同区域中的冗余 GRE 中。
  • 运输网关上的所有连接和隧道都必须具有唯一名称。
  • 冗余 GRE 中的所有隧道都以同一网络和帐户为目标。
  • 使用 VPC 基本网络类型时:
    • 必须对 VPC 网络类型启用 IP 电子欺骗标志。 有关启用 IP 电子欺骗检查的信息,请参阅 关于 IP 电子欺骗
    • 虚拟服务器接口概要文件必须是 v2。
    • 本地网关 IP:
      • 必须符合 RFC 1918 (或者 VPC 上没有浮动 IP 或公共网关)。
      • 必须不是 224.0.0.0239.255.255.255 多播范围内的 IP 地址,并且不能与连接到中转网关的任何现有网络冲突。
      • 不能用作使用相同底层网络的另一个 GRE 的 local-gateway-ip

未绑定的 GRE 隧道注意事项

  • 经典路线通过未绑定的 GRE 隧道进行广告宣传。
  • 可以通过连接到同一可用性区域中的同一运输网关的其他未绑定 GRE 隧道进行通信。

如果需要网络隔离,请考虑使用单独的传输网关。

  • 在 Transit Gateway 上不需要经典连接。 经典网络子网不会向中转网关上的连接发布广告(反之亦然)。
  • 可由未绑定 GRE 隧道作为目标的唯一基本网络的缺省数量限制为 5 个。 如果需要扩展这些服务限制,您可以打开 IBM 支持案例

有关更多信息和用例示例,请参阅 使用高可用性 GRE 隧道连接网络

旧 GRE 注意事项

  • 经典路线不会通过传统的 GRE 隧道进行广告宣传。
  • 无法通过同一中转网关上的其他 GRE 通道进行通信。
  • 在创建之前,需要在 Transit Gateway 上建立经典连接。 因此,所有经典子网都将向连接到 Transit Gateway 的所有连接以及经典网络上的任何其他连接子网发布广告。

Direct Link 连接注意事项

您可以创建到 Transit Gateway 的 Direct Link 连接,以允许本地网络连接到 IBM Cloud中的其他网络。 直接链路连接到中转网关后,本地网络将接收到对所有其他中转网关连接的访问。 同样,连接到运输网关的所有其他网络都可以访问本地网络。 Direct Link 连接遵循与标准 Direct Link 产品相同的物理或虚拟交叉连接过程。 从运输网关中删除连接后,运输网关将以从未连接到直接链路的方式运行。

对于运输网关连接,相同的网络子网注意事项也适用于 Direct Link 连接。 要确保连接成功,请勿在 Direct Link 连接的网络中使用与其他连接重叠的前缀。

Power Virtual Server 连接注意事项

您可以将 Power Virtual Server 实例连接到 Transit Gateway。 这允许您将 Power Virtual Server 直接连接到下游传输网关。 Power Virtual Server 连接到 Transit Gateway 后,您的 Power Virtual Server 服务实例便可以访问所有下游 Transit Gateway 资源和服务。 同样,连接到 Transit Gateway 的所有下游网络都将有权访问 Power Virtual Server 实例。

Power Virtual Server 连接可以使用本地或全局路由。 但是,只有与 Transit Gateway 位于同一区域的 Power Virtual Server 实例可以使用本地路由。 此外,Power Virtual Server 实例可以通过本地路由连接到多个传输网关,但只能通过全局路由连接到一个传输网关。 下游服务将根据 Transit Gateway 类型采用路由首选项。

针对 Transit Gateway 连接的相同网络子网注意事项也适用于 Power Virtual Server 连接。 要确保连接成功,请勿在 Power Virtual Server 实例中使用与其他连接重叠的前缀。 请注意,Transit Gateway 提供了前缀过滤以限制要公开的前缀,还提供了路由表报告以在创建连接后查看任何重叠。

VPC 注意事项

  • IBM Cloud VPC 允许在 VPC 中单独使用 RFC-1918 和 IANA 注册的 IPv4 地址空间,IANA 特殊用途范围中有一些例外,并允许选择分配给 IBM Cloud 服务的范围。 在企业内以及与 IBM Cloud Transit Gateway结合使用 VPC 内的 IANA 注册范围时,必须在每个专区中安装定制路径。 有关更多信息,请参阅 IANA 注册的 IP 分配的路由注意事项

  • 您可以创建单个或多个运输网关,以互连多个 IBM Cloud VPC。 您还可以将 IBM Cloud 经典基础架构连接到 Transit Gateway,以提供与经典基础架构资源的无缝通信。 有关更多信息,请参阅 互连 VPC

  • 不支持 VPC 中的裸机。

路由注意事项

  • 与运输网关的所有连接都相互连接,因此在决定本地或全局路由是否适合每个网关之前,请仔细考虑要互连的所有资源。

    来自任一路由选项的流量不会离开专用 IBM Cloud 网络,并且会针对性能进行优化。

  • 如果计划使用网关来连接同一多专区区域 (MZR) 中的 VPC,请使用本地路由来提供与同一 MZR 中所有可访问资源的连接; 例如 us-south (达拉斯)。

    本地路由
    本地路由
    *

  • 如果计划使用传输网关在本地和不同 MZR 之间连接 VPC,请将本地网关用于同一 MZR 中的 VPC,并将全局网关用于跨 MZR 的 VPC。 您还可以使用遵循高可用性 (HA) 方案的示例。 VPC A 和 B 中的所有数据都可以复制到 VPC C 和 D。 如果美国南部地区存在问题,那么连接将重新路由到美国东部。

    全局路由选择
    本地和全局路由选择
    *

    无论指定的路由类型如何,IBM Cloud Transit Gateway 都可以连接到位于任何 MZR 中的经典基础架构网络。 要实现此目的,只需将经典连接添加到 Transit Gateway。

  • 您可以在供应网关的路由类型后对其进行编辑。 但是,要将路由类型从 Global 更改为 Local,必须首先删除任何全局连接(即与网关不在同一位置的资源的连接)。 请注意,与 IBM Cloud 经典基础架构的连接始终被视为本地连接。

  • Local 路由更改为 Global 路由时,将对所有相关的全局连接收费。 更改路由类型时,不会影响网络流量。

路线报告注意事项

  • 路由报告中显示的 AS 路径提供了单一区域的视角。 如果来源地或目的地跨越不同区域,路径长度可能会有所不同。 例如,考虑两个直接链接:一个在 DAL10,另一个在 DAL12,两个链接都有相同的 AS 路径长度,指向连接到 VPC 或传统环境的基于 DAL 的中转网关。 从 DAL10 虚拟服务器实例调用时:

    • 首选 DAL10 直接链接。
    • 对于来自 DAL12 的连接,首选 DAL12 直接连接。
    • 在 DAL13 的情况下,如果网关设置了 ECMP 路由,则可以使用 ECMP 路由,或者使用单个直接链接。 不过,在 BGP 重置期间,它可以切换到另一条直接链路。

  • 在配置运输网关时,重叠路线是一个常见问题。 如果来自两个或多个连接的路由重叠,那么流量可能无法按预期进行路由。 有关更多信息,请参阅 寻址路由冲突

  • 在新的虚拟连接 (VPC,经典基础架构或 Direct Link) 达到 活动 状态后,请允许 5 分钟用于由 Transit Gateway 学习的路线。 在学习所有路由之前生成路由报告将生成部分路由报告。

  • 如果连接公开 0.0.0.0/0 的路由,那么在计算重叠前缀时将忽略该路由。

  • 每个网关在任何时候都只有一个报告可用。 如果生成新报告,那么将删除旧报告。

  • 添加或除去连接后,较旧的路由报告可能不准确。 因此,如果在这些连接中更新路由,那么建议您生成新的路由报告。

  • 如果 前缀过滤器 拒绝一个或多个路由,那么这些路由不会显示在路由报告中。

服务限制

在使用 IBM Cloud Transit Gateway 时,请记住以下服务限制。

IBM Cloud Transit Gateway服务限制
服务限制 缺省值
中转网关数 每个帐户 10 个网关,每个区域 5 个网关
每个传输网关的连接数
  • 10 个 IBM Cloud VPC 连接
  • 5 个 IBM Cloud 经典连接
  • 5 个 IBM Cloud Direct Link 连接
  • 5 个 Power Virtual Server 连接
每个连接的前缀数
  • VPC 连接的 15 个前缀
  • 经典连接的 120 个前缀
  • GRE 连接的 120 个前缀
  • Direct Link 连接的 120 个前缀
  • Power Virtual Server 连接的 120 个前缀
具有前缀过滤器的连接数 每个网关具有前缀过滤器的 2 连接
每个连接的前缀过滤器数 每个连接 10 个前缀过滤器
每个传输网关的 GRE 隧道数 每个网关 12 个 GRE 隧道
每个传输网关以未绑定 GRE 隧道为目标的唯一基本网络数 每个网关以未绑定的 GRE 隧道为目标的 5 唯一基本网络

如果需要扩展服务限制,可以打开 IBM 支持案例