A. Virtual Private Gateway (VGW) —— 「單一 VPC 的專用私有門口」
- 它是什麼:位於 AWS 側的 VPN 集中器,專門用於建立與本地辦公室/資料中心的私有連接。
- 使用時機:簡單的 Site-to-Site VPN:當你只需要將 「一個」 特定 VPC 與公司機房連通時。Direct Connect (DX) 終端:當你租用了實體專線 (Direct Connect),需要一個對接點進入特定 VPC 時。
- 限制:一個 VGW 只能綁定一個 VPC。如果你有 10 個 VPC,就要管理 10 個 VGW,管理會變得很複雜。
B. AWS Transit Gateway (TGW) —— 「企業級網路轉運站(樞紐)」
- 它是什麼:一個區域級的網路 Hub,可以連接數千個 VPC 以及本地網路。
- 使用時機:複雜的多 VPC 架構:當你有數個、甚至數百個 VPC 需要彼此互通(Inter-VPC routing)時。集中化管理連接:當你想讓多個 VPC 共用 一條 Site-to-Site VPN 或 Direct Connect 專線時。Hub-and-Spoke 結構:適合大型企業。例如,AI 模型訓練在 VPC-A,數據儲存在 VPC-B,管理後台在 VPC-C,透過 TGW 進行統一調度。
- 關鍵優勢:它取代了複雜的 VPC Peering 網狀連接,讓網路拓撲變成星狀結構。
C. Internet Gateway (IGW) —— 「網際網路出入口」
- 它是什麼:讓 VPC 內的資源(如 EC2)能與外部網際網路通訊的橋樑。
- 使用時機:公有子網 (Public Subnet):當你的 Web 伺服器、API Gateway 或 AI 推論伺服器需要「接收來自網路的請求」或「抓取網路資料」時。配置對外服務:任何需要分配 Public IP 或 Elastic IP (EIP) 的資源,都必須經過 IGW。
- 特點:它是無狀態的、橫向擴展的,不需要擔心頻寬瓶頸。
D. Customer Gateway (CGW) —— 「本地機房的路由器窗口」
- 它是什麼:這不是 AWS 內部的硬體,而是 AWS 資源中對你「地端機房路由器」的邏輯代表。
- 使用時機:建立 Site-to-Site VPN 的第一步:當你在 AWS 控制台設定 VPN 時,你需要建立一個 CGW,輸入你公司機房路由器的 固定外部 IP 地址 和 ASN(自治系統編號)。身分識別:它告訴 AWS:「嘿,當你要傳資料回我家機房時,請找這個 IP 的設備。」
快速總結與比較表
AI 架構師的實務建議:
- 場景 1:如果你在做一個 AI 實驗環境,只有一個 VPC 且需要上網下載 Library(如 PyTorch/TensorFlow),你只需要 IGW。
- 場景 2:如果你在 大型企業 工作,需要讓開發者在辦公室安全地存取雲端的 SageMaker 筆記本,且資料庫在本地機房,你通常會選 TGW 來連接多個開發環境與本地 VPN。
- 場景 3:設定 VPN 時,你會在 AWS 側建立 VGW/TGW,並在設定中指向你定義好的 CGW。
