AWS Virtual Private Gateway vs Direct Connect Gateway vs Transit Gateway
- Cloud networking
- 10 luglio 2025
Confrontiamo i tre gateway di rete AWS per aiutarti a scegliere l’opzione migliore per la tua azienda.
Confrontiamo i tre gateway di rete AWS per aiutarti a scegliere l’opzione migliore per la tua azienda.
Nel novembre 2018, AWS ha lanciato la versione più recente del suo servizio nativo di routing di rete: Transit Gateway (TGW). Questo gateway di rete basato sul cloud consente ai clienti di connettere Virtual Private Cloud (VPC) su account diversi in una topologia hub and spoke, ed è la terza evoluzione di questa serie di funzionalità.
Il rilascio è stato preceduto da Direct Connect Gateway (DGW), annunciato nel 2017, e prima ancora da Virtual Private Gateway (VGW).
Orientarsi tra queste opzioni e capire quale si adatta al tuo caso d’uso può essere complicato. In questo post del blog, faremo chiarezza su ciascun servizio in modo che tu possa determinare facilmente quale soluzione sia giusta per la tua azienda.
Per cominciare, è meglio considerare i requisiti dei tuoi carichi di lavoro poiché ogni servizio offre alcune funzionalità ma non altre. La tabella qui sotto fornisce una panoramica rapida.
| VGW | DGW | TGW | |
|---|---|---|---|
| Multiple Regions | |||
| Multiple Accounts | |||
| S2S VPN | |||
| Direct Connect | |||
| Transitive Routing | |||
| Globally Available | |||
| Route Segmentation |
Analizziamo i benefici specifici di ogni gateway ed esploriamo come si sono evoluti nel tempo.
Virtual Private Gateway (VGW) in AWS
| VGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
Un Virtual Private Gateway (VGW) offre un modo efficiente per i clienti AWS di connettere più Virtual Private Cloud (VPC) alle risorse on-premises tramite AWS Direct Connect o VPN Site-to-Site. Risolve molte delle limitazioni e delle sfide di scalabilità affrontate in precedenza con Direct Connect.
Di seguito, approfondiamo i vantaggi e le funzionalità del VGW:
Caratteristiche principali del Virtual Private Gateway
- Efficienza dei costi:
Prima di VGW, i clienti AWS dovevano creare un’Interfaccia Virtuale Privata Direct Connect (VIF) per ogni VPC, creando una corrispondenza 1:1 tra VPC e circuiti Direct Connect. Questa configurazione non solo aumentava i costi, ma aggiungeva anche complessità amministrativa. VGW consente a più VPC nella stessa regione e nello stesso account di condividere una singola VIF Direct Connect, riducendo drasticamente la necessità di più circuiti. - SGestione semplificata della rete:
VGW riduce il carico amministrativo permettendo a più VPC di essere collegati a una singola connessione Direct Connect o VPN Site-to-Site. Ciò significa meno configurazioni, una gestione più semplice delle risorse di rete e una configurazione della connessione semplificata per la comunicazione inter-regionale e tra account. - Scalabilità:
L’introduzione del Virtual Private Gateway consente agli utenti AWS di scalare le connessioni Direct Connect o VPN eliminando la necessità di stabilire una connessione separata per ogni VPC. Finché i VPC sono nella stessa regione e account, possono utilizzare la connessione condivisa, facilitando la scalabilità delle risorse di rete per un’infrastruttura in crescita. - Supporto per architetture cloud ibride:
VGW è un componente chiave per estendere i data center on-premises su AWS, facilitando le architetture cloud ibride. Sia utilizzando AWS Direct Connect per una connessione dedicata a larga banda, sia una VPN Site-to-Site per traffico criptato su internet, VGW consente una comunicazione senza soluzione di continuità tra le risorse on-premises e i VPC su AWS.
VGW in azione con Direct Connect e Site-to-Site VPN
- Integrazione con Direct Connect:
Quando si utilizza VGW con AWS Direct Connect, si abilita una connettività privata tra AWS e le reti on-premises, riducendo la latenza e offrendo una connessione più stabile e affidabile. Condividendo una singola connessione Direct Connect tra più VPC, le organizzazioni possono evitare i costi e la complessità operativa di gestire connessioni separate per ogni VPC. - Integrazione con Site-to-Site VPN:
VGW può essere utilizzato anche con AWS Site-to-Site VPN per connettere in modo sicuro gli ambienti on-premises ad AWS. Questa opzione è vantaggiosa per le organizzazioni che potrebbero non necessitare della banda dedicata di Direct Connect, ma che richiedono comunque un collegamento sicuro e criptato alle risorse AWS.
Casi d’uso per VGW
- Migrazioni cloud enterprise:
VGW è ideale per le imprese che migrano carichi di lavoro su AWS, in quanto semplifica il processo di connessione di più VPC agli ambienti on-premises senza la necessità di configurazioni ridondanti di Direct Connect o VPN. - Ambienti cloud ibridi:
Per le aziende che gestiscono configurazioni cloud ibride, VGW offre un modo conveniente per interconnettere più VPC AWS con risorse on-premises tramite una singola connessione Direct Connect o VPN. - Networking attento ai costi:
Le organizzazioni che cercano di ottimizzare i costi possono sfruttare VGW per ridurre il numero di connessioni necessarie in ambienti multi-VPC, minimizzando le spese associate ai circuiti Direct Connect.
Direct Connect Gateway (DGW) in AWS
| DGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
AWS Direct Connect Gateway (DGW) amplia le capacità del Virtual Private Gateway (VGW), offrendo maggiore flessibilità grazie alla possibilità di connettere risorse in diverse regioni AWS. Con DGW, puoi collegare Virtual Private Cloud (VPC) in una regione AWS a una connessione Direct Connect che termina in una regione diversa. Questo aiuta a semplificare il networking tra regioni mantenendo sotto controllo costi e complessità.
Caratteristiche principali di DGW
Connettività Cross-Region:
DGW permette a VPC situati in più regioni AWS di condividere la stessa connessione Direct Connect. Questo rappresenta un notevole miglioramento rispetto a VGW, che limita la connettività ai VPC nella stessa regione. Con DGW, le aziende possono interconnettere i propri workload AWS distribuiti su diverse regioni utilizzando una singola connessione Direct Connect, migliorando l’efficienza e riducendo l’onere operativo.Blocchi CIDR Non Sovrapposti:
Un requisito fondamentale per usare DGW è che i blocchi CIDR dei VPC connessi non si sovrappongano. Se i blocchi CIDR si sovrappongono, possono verificarsi conflitti di routing che causano problemi di comunicazione di rete. È essenziale garantire spazi di indirizzi unici tra i VPC affinché DGW funzioni correttamente.Modello di Routing Hub-and-Spoke:
A differenza del routing tradizionale in cui il traffico può fluire direttamente tra i VPC, DGW impone un modello hub-and-spoke. Il traffico da un VPC (VPC-A) non viene instradato direttamente verso un altro VPC (VPC-B) tramite DGW. Invece, il traffico segue questo percorso:VPC-A > Direct Connect > Data Center Router > Direct Connect > VPC-B.
Questo modello garantisce che la comunicazione tra VPC tramite Direct Connect sia controllata attraverso il data center on-premises, fornendo un ulteriore livello di sicurezza e controllo del routing.
Vantaggi dell’uso di DGW
- Networking Cross-Region semplificato:
DGW elimina la necessità di configurare e gestire più connessioni Direct Connect in ciascuna regione AWS dove si trovano i VPC. Invece, una singola connessione Direct Connect può servire VPC distribuiti in varie regioni, semplificando l’architettura e riducendo i costi. - Controllo centralizzato della rete:
Instradando il traffico attraverso il data center on-premises, DGW consente di mantenere un controllo centralizzato sul routing e sulla sicurezza della rete. Ciò permette un controllo più granulare dei flussi di traffico e delle politiche di sicurezza per i workload distribuiti su più regioni AWS. - Risparmio sui costi:
La possibilità di collegare più VPC in diverse regioni a una singola connessione Direct Connect riduce la necessità di infrastrutture di rete ridondanti. Questo comporta risparmi significativi, soprattutto per le organizzazioni con una presenza globale su AWS.
Casi d’uso di DGW
- Architetture Multi-Region:
DGW è ideale per le organizzazioni che eseguono workload in più regioni AWS e desiderano semplificare la propria infrastruttura di rete. Con DGW è possibile creare un’architettura di rete unificata ed efficiente in termini di costi, dove tutti i VPC nelle varie regioni sono connessi a una singola connessione Direct Connect. - Ambienti Cloud Ibridi:
Per configurazioni cloud ibride, DGW permette alle aziende di estendere il proprio data center on-premises in più regioni AWS utilizzando una singola connessione. Questo assicura prestazioni e sicurezza coerenti, minimizzando la complessità di gestione delle connessioni in ogni regione. - Disaster Recovery e Failover:
DGW è utile anche per architetture di disaster recovery. Con VPC in regioni diverse, è possibile eseguire facilmente il failover dei workload tra regioni mantenendo una connessione affidabile alla propria infrastruttura on-premises tramite DGW.
Come Fluisce il Traffico con DGW
In una configurazione DGW, il traffico segue un percorso specifico quando collega VPC tra regioni diverse:
- Step 1: Il traffico da VPC-A viaggia tramite Direct Connect verso il router del tuo data center on-premises
- Step 2: Il data center instrada il traffico nuovamente attraverso Direct Connect verso VPC-B nella regione di destinazione.
Questo design a modello hub-and-spoke fornisce un controllo centralizzato sulla comunicazione tra VPC e garantisce che il routing del traffico sia gestito in modo sicuro attraverso la rete on-premises.
DGW svolge un ruolo cruciale nel semplificare il networking multi-regione e nell’ottimizzare i costi, rendendolo una soluzione preziosa per le aziende con workload distribuiti su più regioni AWS.
Transit Gateway (TGW) in AWS
| DGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
AWS Transit Gateway (TGW) è una soluzione di rete altamente scalabile e flessibile che semplifica il processo di connessione tra più VPC e reti on-premises. TGW si basa sulle funzionalità delle precedenti soluzioni AWS, come Virtual Private Gateway (VGW) e Direct Connect Gateway (DGW), offrendo un routing centralizzato e una gestione della rete migliorata, rendendolo ideale per ambienti AWS su larga scala.
Caratteristiche principali di Transit Gateway
- Hub di Routing Centralizzato:
TGW agisce come un hub centrale per il routing del traffico tra più VPC e ambienti on-premises. Invece di gestire connessioni di peering tra ogni VPC, TGW consente di creare un modello hub-and-spoke, in cui i VPC si connettono a un unico Transit Gateway, semplificando il routing e riducendo la complessità della rete. - Larghezza di Banda Scalabile con Connessioni VPN:
Ogni connessione VPN da sito a sito (Site-to-Site VPN) in TGW ha un limite di throughput di 1,25 Gbps. Se il traffico di rete supera questa soglia, TGW consente di scalare aggiungendo più connessioni VPN. Utilizzando il routing Equal-Cost Multi-Path (ECMP), TGW può distribuire il traffico su più connessioni VPN, offrendo una maggiore larghezza di banda aggregata oltre i 1,25 Gbps e migliorando le prestazioni complessive della rete. - Supporto per AWS Direct Connect:
Inizialmente, TGW non supportava AWS Direct Connect, ma questa limitazione è stata rimossa. Ora TGW può integrarsi con Direct Connect, permettendo connessioni a larga banda e bassa latenza tra reti on-premises e ambienti AWS, beneficiando allo stesso tempo delle capacità di routing centralizzato offerte da TGW. - Integrazione con AWS Resource Access Manager (RAM):
TTGW può essere condiviso tra più account AWS utilizzando AWS Resource Access Manager (RAM). Questo è particolarmente utile per le organizzazioni che adottano strategie multi-account, poiché consente una gestione centralizzata del routing tra account, mantenendo allo stesso tempo sicurezza e segmentazione. - Peering Interregionale:
TGW supporta ora il Peering Interregionale, che consente ai VPC situati in regioni AWS differenti di comunicare direttamente tra loro senza passare attraverso Internet pubblico o un data center on-premises. Questa funzionalità è ideale per implementazioni multi-regione, in quanto riduce la latenza e migliora le prestazioni del traffico tra regioni.
Funzionalità Avanzate di Routing
- Supporto per Sovrapposizione CIDR:
A differenza delle soluzioni precedenti come VGW e DGW, TGW consente la sovrapposizione di blocchi CIDR. Questo è possibile grazie all’utilizzo di tabelle di routing multiple. Ogni VPC connesso a TGW può essere associato alla propria tabella di routing, permettendo di isolare e segmentare il traffico tra i VPC. Questa funzionalità offre una capacità simile al Virtual Routing and Forwarding (VRF), utile per creare domini di routing isolati, migliorando la sicurezza e la gestione del traffico. - Evitare il Hairpin Routing:
Un grande vantaggio di TGW rispetto a VGW e DGW è l’eliminazione del hairpin routing. Con VGW e DGW, il traffico tra VPC doveva spesso passare per un data center on-premises prima di tornare su AWS, aumentando latenza e complessità. Con TGW, i VPC possono comunicare direttamente tra loro attraverso il Transit Gateway, senza dover far passare il traffico da un router on-premises. Questo riduce significativamente la latenza e migliora le prestazioni della comunicazione tra VPC.
Casi d’Uso per AWS Transit Gateway
- Ambienti con più VPC:
TGW è ideale per le aziende che gestiscono un gran numero di VPC distribuiti su più account. Semplifica l’architettura di rete agendo come un hub centralizzato, eliminando la necessità di configurazioni complesse di peering tra VPC e riducendo il carico di gestione. - Architetture Ibride Cloud:
Per le organizzazioni che adottano un approccio ibrido al cloud, TGW offre un’integrazione fluida tra i data center on-premises e gli ambienti AWS. Grazie al supporto per Direct Connect e VPN, TGW abilita connessioni sicure e scalabili tra l’infrastruttura on-premises e i VPC AWS. - Carichi di lavoro globali con traffico interregionale:
La funzionalità di peering interregionale rende TGW una scelta eccellente per le organizzazioni che eseguono carichi di lavoro distribuiti tra più regioni AWS. Consentendo comunicazioni dirette e sicure tra regioni, TGW garantisce una connettività a bassa latenza e prestazioni migliorate per applicazioni globali. - Segmentazione e Isolamento del Traffico:
Grazie alla possibilità di utilizzare tabelle di routing multiple, TGW è perfetto per scenari in cui la segmentazione del traffico è essenziale. Ad esempio, è possibile creare domini di routing isolati per diverse unità aziendali o team, assicurando che il traffico sia segmentato in modo sicuro e gestito correttamente.
Scalabilità della Larghezza di Banda VPN con ECMP
- Step 1: Se i requisiti di throughput della tua VPN superano i 1,25 Gbps, puoi aggiungere più connessioni VPN al Transit Gateway.
- Step 2: TGW utilizzerà Equal-Cost Multi-Path (ECMP) per bilanciare il carico di traffico su tutte le connessioni VPN disponibili, permettendo di aggregare la larghezza di banda e scalare la capacità della rete.
Questo approccio consente alle organizzazioni di scalare le prestazioni VPN in modo conveniente, senza dover investire in soluzioni dedicate ad alta capacità.
AWS Transit Gateway (TGW) è un potente servizio di rete che semplifica e migliora la connettività di rete tra VPC, regioni e ambienti locali. La sua capacità di supportare funzionalità di routing avanzate, insieme a caratteristiche quali ECMP, peering interregionale e gestione centralizzata del routing, rende TGW uno strumento essenziale per le moderne architetture cloud AWS scalabili.
AWS e Megaport
Utilizzando la rete Software Defined (SDN, Software Defined Network) di Megaport, puoi ottimizzare la connettività verso AWS per ottenere provisioning on-demand, maggiore sicurezza e migliori prestazioni di rete.
Grazie all’SDN di Megaport, puoi anche collegare le tue istanze AWS ad altri provider cloud tramite il Megaport Cloud Router (MCR) e realizzare una connettività branch-to-cloud verso AWS con uno dei nostri partner per l’integrazione SD-WAN su Megaport Virtual Edge (MVE).
Per maggiori informazioni su come connettersi ad AWS tramite Megaport e progettare l’architettura di rete più adatta alla tua azienda, contatta il nostro team qui.
