Auto-sync: 2026-04-28 20:03

wiki/concepts/Transit-Gateway.md

@@ -0,0 +1,42 @@
+---
+title: "Transit Gateway"
+type: concept
+tags: [AWS, Networking, Multi-Account]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## Transit Gateway
+
+AWS Transit Gateway 是区域级网络中枢，用于简化多个 VPCs 和账户之间的网络互联互通。
+
+## Definition
+
+Transit Gateway 在 AWS Landing Zone 架构中扮演网络互联的核心角色：
+- **范围**：区域级（Regional），连接同一区域内所有账户的 VPCs
+- **功能**：Hub-and-Spoke 架构的中心节点，所有跨账户流量经由 Transit Gateway 路由
+- **与 Checkpoint 集成**：Transit Gateway 的流量通过 Checkpoint Appliance 进行安全监控
+
+## Role in SAS Landing Zone
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 Network 账户中：
+- **部署位置**：Network Account
+- **连接范围**：连接 Core/Baseline/Shared Services/Product 所有账户的 VPCs
+- **安全监控**：Checkpoint Appliance 部署于 Transit Gateway 层面，按标签（Tagging Approach）监控跨账户流量
+- **访问控制**：资源必须携带特定标签（如 `internet-access=true`）才能访问互联网或 On-prem 网络
+
+## Key Properties
+- **Type**: Network Hub
+- **Scope**: Regional
+- **Architecture**: Hub-and-Spoke
+- **In SAS LZ**: Network Account 核心组件
+
+## Relationship to Checkpoint
+- Transit Gateway 负责路由
+- Checkpoint Appliance 负责流量安全检查（按标签策略）
+- 两者协同：路由 + 安全监控
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ Network 账户核心组件
+- [[ctp-topic-18-wide-area-networking-in-aws-cloud]] — 广域网（WAN）连接设计
+- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] — 网络分段与安全访问