Objetivo:
Mostrar como compartilhar o Transit Gateway (TGW) com outras contas e criar attachments.
Introdução:
Muitas redes são montadas utilizando o AWS Transit Gateway de forma que este serviço fica estabelecido em uma conta AWS que contém serviços compartilhados e que podem ser utilizados por outras contas dentro ou fora do seu Organizations. Neste post iremos mostrar como compartilhar o TGW com outras contas AWS e criar attachments do TGW para que VPCs possam falar entre si e com o ambiente on-premises.
O cenário apresentado neste post considera que o TGW é utilizado para permitir o tráfego leste/oeste (entre VPCs) e o tráfego norte/sul (entre AWS e on-primeses), conforme ilustrado na imagem abaixo.
COMPARTILHANDO TRANSITE GATEWAY COM OUTRA CONTA AWS
Logado na console AWS da conta que tem o TGW, abra o Resource Access Manager (RAM). Este serviço permite compartilhar recursos entre contas e aqui iremos compartilhar o TGW com outra conta.
Selecione Resource shares → Create resource share
Entre com o nome → Type = Transit Gateway → Selecione o Transit Gateway → Next
Clique em Next
Selecione Compartilhar com todos → AWS Account → Entre com o ID da conta AWS → Add → Selecione a conta → Next
Create resource share
ACEITAR O COMPARTILHAMENTO DO TRANSIT GATEWAY
Faça login na conta que irá receber o compartilhamento.
Acesse a console do Resource Access Manager → Shared with me → Resource shares
Selecione o compartilhamento pendente de aprovação.
Clique em Accept resource share
Confirme
Verifique se o Resource share está ativo.
Ainda logado na conta que aceitou o Resource share, acesse a console VPC → Transit Gateways → Verifique o status avaliable
CRIAR UM TRANSIT GATEWAY ATTACHMENT
Logado na conta AWS que deseja se conectar ao Transit Gateway acesse a console VPC.
Selecione Transit gateway attachments → Create transit gateway attachment
Entre com o nome do attachment → ID do TGW → Type = VPC → Selecione a VPC e subnet → Create attachment
Na console VPC, verifique que o Attachment criado fica pendente de aprovação.
ACEITAR O ATTACHMENT
Logar na conta que tem o TGW para que o novo attachment possa ser aceito.
Na console VPC → Transit gateway attachments → Verificar que há um attachment pendente de aceitação
Selecionar o attachment → Actions → Accept transit gateway attachment
Confirmar o aceite.
Verificar o status de “Pending”.
Verifica que após alguns instantes o status muda para “Available”.
Em Transit gateway route tables → Verificar que a rota da VPC associada ao attachment foi propagada
EDITAR AS ROTAS PUBLICADAS NO BGP
Logado na conta AWS que tem o TGW, acesse a console do Direct Connect.
Transit gateway → Selecione o TGW
Em Direct connect gateway associations → Selecione o TGW → Edit
Verifique se o CIDR da VPC que está associando ao Transit Gateway já está listado, se não estiver, adicione e clique em Edit Association.
Esta operação de associação pode demorar até 15 minutos.
Verificar que a atualização do status “updating” para “associated”.
EDITAR A TABELA DE ROTAS DA SUBNET
A tabela de rotas da subnet que está sendo conectada ao Transit Gateway não é atualizada automaticamente, assim, uma rota estática deve ser adicionada.
Faça login na conta que contém a VPC que está sendo conectada ao Transit Gateway.
Acesse a console de VPCs → Route Tables → selecione a tabela de roteamento da subnet que se quer conectar ao TGW → Clique em Routes → Edit routes
Adicione uma nova rota para o Transit Gateway e clique em Save changes.
O campo “destination” deve conter os CIDRs das outras VPCs e redes on-premises com quais desejamos conectar através do TGW.
O processo foi concluído e os recursos AWS e on-premises já podem se conectar.
It’s done!
