AWS Direct Connect专线与数据中心互通-Hub-and-Spoke架构(使用Terraform实现)

AWS Direct Connect专线与数据中心互通-Hub-and-Spoke架构(使用Terraform实现)

Deng YongJie's blog 21 2025-05-18

总体的链路

Hub-and-Spoke架构
image-1747361757824
image-1747361797200
本地 → 网络账户专线 → 网络账户 TGW → 成员账户共享 TGW → 成员账户 VPC → EC2

  1. 本地 → 网络账户专线 → 网络账户 TGW
    • 确保专线已正确连接到网络账户的 TGW。
  2. 网络账户 TGW → 成员账户共享 TGW
    • 确保网络账户 TGW 路由表已将成员账户 VPC 的 CIDR 块转发到共享 TGW。
  3. 成员账户共享 TGW → 成员账户 VPC
    • 确保成员账户 VPC 路由表已将 CIDR 块指向共享 TGW。
  4. 成员账户 VPC → EC2
    • 确保 EC2 安全组和子网 ACL 允许入站流量。

因此成员账户的路由表,也必须要有网络账户及本地的回程路由,否则流量”有来无回“

建立Direct Connect专线过程略过
image-1747361685744

专线的虚拟接口是必须要配置的,还需要添加本地设备专线的对等连接,以下是解释本地设备对等连接IP地址为局域网
image-1747361892340

首先Terraform创建1个vpc附加关联,关联到网络账户的共享TGW

注意:只需要将当前成员账户的VPC附加到共享的TGW ID即可。前提是网络账户已经将TGW共享给成员账户的account
image-20250513111453656

成员账户的VPC附加到共享的TGW ID,子网只能选择3个
image-20250513111158018

然后把需要互通的子网,路由表添加规则,涉及的网络账户CIDR指向共享的TGW ID
image-20250513111830829

variables输入变量定义数据类型
image-20250513111849374

tfvars变量值文件定义CIDR列表
image

然后控制台查看RAM是否有资源显示,如果成员账户没有成功关联共享的TGW,控制台是不会有显示共享资源的!路由表是由网络账户统一控制管理的。
image-20250513112246314
image-1747362042284

AWS Terraform