目录
AWS Network Connectivity Options
AWS Site-to-Site VPN 和 AWS Client VPN
网络服务总览
网络基础:Amazon VPC(opens in a new tab)、AWS Transit Gateway(opens in a new tab)、AWS PrivateLink(opens in a new tab)
混合连接:AWS Direct Connect(opens in a new tab)、AWS Site-to-Site VPN(opens in a new tab)、AWS Client VPN(opens in a new tab)、AWS Cloud WAN(opens in a new tab)
边缘联网:Amazon CloudFront(opens in a new tab)、Amazon Route 53(opens in a new tab)、AWS Global Accelerator(opens in a new tab)
应用程序联网:AWS App Mesh(opens in a new tab)、Amazon API Gateway(opens in a new tab)、AWS Cloud Map(opens in a new tab)
联网安全:AWS Shield(opens in a new tab)、AWS WAF(opens in a new tab)、AWS Network Firewall(opens in a new tab)、AWS Firewall Manager
AWS 还提供以下方面的指导:
- AWS Well-Architected Framework(opens in a new tab) 用于为应用程序和工作负载构建安全、性能出色、有弹性且高效的网络。该框架围绕六大支柱构建:
- 卓越运营
- 安全性
- 可靠性
- 性能效率
- 成本优化
- 可持续性
Well-Architected Framework 让客户与合作伙伴可以通过一致的方式评估架构并实施可扩缩的设计。
- AWS 责任共担模型(opens in a new tab)用于为网络和环境添加定义的安全管理。在 AWS 中,安全性与合规性是您与 AWS 的共同责任。概括来讲,AWS 负责云本身的安全,而您负责云内部的安全,其中包括您在 AWS 中的数据、应用程序和网络流量。
责任共担模型是指 AWS 如何明确哪些系统安全领域属于他们,哪些由您(客户)负责。
规划网络设计和添加成本优化
AWS Well-Architected Framework 的第五大支柱,即成本优化支柱(opens in a new tab),建议对基础设施进行测量和监控。
这一步十分关键,因为随着网络规模的扩大,您的环境也在变化。您需要制定措施来监控和衡量使用情况和成本。
数据传输费在您的设计中经常被忽略,您必须在设计决策中考虑数据传输费以节约成本。所有区域中跨所有服务的入站数据传输均不收取任何费用。但从 AWS 到互联网的数据传输是按服务收费的,具体费率根据发起区域而定。
定义您的指标、设定目标、定义和执行您的标签添加策略(opens in a new tab)、使用成本分配标签,并确保您定期审查是否有任何变化。这样可以帮助您跟踪成本并添加成本优化。AWS 提供 AWS Cost Explorer(opens in a new tab)、AWS 账单和管理控制台(opens in a new tab)、AWS Budgets(opens in a new tab) 和 AWS Trusted Advisor(opens in a new tab) 服务来跟踪支出和使用情况。
整个框架和混合网络概览(opens in a new tab)提供了一致的网络评估方式,并提供了实施可随时间随网络扩缩的设计指导。
联网安全
责任共担模型使用网络控制、配置等方式遍历网络,从而可以平衡网络敏捷性与提高数据安全性的需求。
要详细了解责任共担模型的每一层,请选择每个带编号的标记。
AWS 提供联网和内容分发服务,以运行您的网络和应用程序工作负载。借助这些服务,您能够以最高级别的安全性、可靠性和性能优化通信和数据传输。
如果您将 Amazon VPC 与本地数据中心做对比,便会立即看到硬件成本方面的节省。在 AWS 中,您只需按实际使用量付费。但是,由于您可以按需增加服务,如果使用的账户策略不合适,成本也会迅速增加。利用这种弹性方案,容量规划变得更简单,客户无需提交采购订单或等待路由器、交换机和服务器交付、进行机架安装和配置。下面我们来深入了解 AWS 中的更多网络选项。
AWS 拥有大型全球网络布局,提供多种连接类型和用于构建混合网络的联网服务。AWS 还提供连接,以在本地和无线环境中运行 AWS 服务。
(opens in a new tab)这样一来,无论您在何处连接 AWS 服务,都可以通过工具满足每个要求、应用程序和业务目标的特定需求。如果您的网络是在 Amazon VPC 中配置、在本地运行或使用网络边缘,则可以使用 AWS 联网选项。
AWS中的OSI
全球基础设施
全球基础设施(opens in a new tab)旨在通过分散在全球各个地理位置的冗余硬件和连接实现弹性和高可用性。AWS 具有多个区域(opens in a new tab)、多个可用区、本地区域(opens in a new tab)和多个边缘站点(opens in a new tab),有助于设计具有弹性和高可用性的系统。
AWS 创建的全球基础设施集合了位于全球各地的单独基础设施。AWS 在全球范围提供区域、可用区、本地区域和边缘站点。
一、软件定义网络(SDN)与AWS VPC
-
SDN核心概念
-
控制平面与数据平面分离,通过软件(控制器/API)管理底层网络基础设施。
-
AWS VPC是大规模SDN实践:通过软件服务(如路由表、安全组、子网)构建虚拟网络,简化配置并降低运营成本,用户无需关注底层硬件。
-
-
VPC基础组件
-
公有子网:通过互联网网关(IGW)连接公网,资源需分配公网IP。
-
私有子网:通过NAT网关(出向流量)或PrivateLink(私有连接)与外部通信,无公网直接访问。
-
CIDR块:定义VPC的IP地址范围,支持辅助CIDR扩展(需与主CIDR同属一个RFC1918范围或可公开路由的非RFC1918块)。
-
二、私有连接技术
-
AWS PrivateLink
-
功能:在VPC间、VPC与AWS服务/第三方服务间建立私有连接,无需IGW、NAT或公网IP,减少暴露风险(如暴力破解)。
-
与VPC终端节点的关系:PrivateLink是技术框架,VPC终端节点是实现私有连接的入口点(如创建终端节点服务供其他VPC访问)。
-
-
连接选项对比
-
公有连接:IGW、公网IP(适用于面向公众的服务)。
-
私有连接:PrivateLink、VPC对等连接、Direct Connect(适用于敏感数据传输,提升安全性)。
-
三、安全与责任共担模型
-
责任划分
-
AWS职责:保护基础设施(如数据中心、硬件)和托管服务的安全。
-
客户职责:配置VPC、安全组、网络ACL(NACL),保护自身数据和应用程序(如子网隔离、访问策略)。
-
-
访问控制层
-
安全组:资源级ACL,控制入站/出站流量(状态化,允许响应流量自动返回)。
-
网络ACL:子网级ACL,无状态,需显式允许入站/出站规则(优先级高于安全组)。
-
四、高可用性与架构设计
-
区域与可用区(AZ)
-
区域:地理分布的基础设施集群(如北美、欧洲),用于部署主/备VPC实现多区域容灾。
-
可用区:区域内隔离的独立数据中心集群,故障不互通,通过在多个AZ部署资源实现高可用性(如负载均衡器跨AZ分布)。
-
-
典型架构示例(三层Web架构)
-
第一层(公有子网):负载均衡器(LB),路由表配置默认路由(0.0.0.0/0 → IGW),允许公网访问。
-
第二层(私有子网):Web服务器,路由表配置默认路由(0.0.0.0/0 → NAT网关),支持出站流量(如软件更新)。
-
第三层(私有子网):数据库,路由表仅含本地路由(同VPC子网互通),通过PrivateLink或VPC对等连接实现私有通信。
-
五、流量控制与路由
-
路由表核心功能
-
每个子网必须关联路由表,控制子网内流量走向(目的地→目标,如IGW、NAT网关、VPC对等连接)。
-
默认本地路由:自动添加,允许同VPC子网间通信(10.0.0.0/8 → 本地)。
-
-
设计注意事项
-
避免VPC间CIDR块重叠,否则无法创建对等连接/Direct Connect。
-
负载均衡器子网需使用≥/27的CIDR,确保足够IP地址用于扩展。
-
六、混合连接与跨环境集成
-
本地到AWS连接:Direct Connect(专用物理连接)、托管式VPN/自管理VPN(加密隧道)、Transit Gateway(集中式路由枢纽,简化多连接管理)。
-
跨VPC连接:VPC对等连接(直接互通)、PrivateLink(通过终端节点服务私有访问)。
总结
AWS VPC通过SDN理念简化网络部署,结合私有连接技术、分层安全控制和高可用架构,帮助用户高效构建安全、可扩展的云端网络。核心设计原则包括:**子网隔离、路由精准控制、责任共担安全、跨区域/可用区冗余**。
联网网关
VPC 对等连接
AWS Transit Gateway
AWS PrivateLink
注意事项
1、AWS 为 网络基础、 混合连接、 边缘联网、 应用程序联网和网络安全提供了联网和内容分发服务。
2、 VPC 是一种联网基础服务(opens in a new tab), 您可以通过此服务完全控制虚拟联网环境,包括资源置放、连接和安全。
AWS Cloud Map 和 AWS App Mesh 是应用程序联网服务。
AWS Direct Connect 是一种混合连接联网服务。
3、AWS Direct Connect是一种混合连接服务(opens in a new tab),是访问 AWS 资源的最短路径。网络流量传输时会停留在 AWS 全球网络中,绝不会进入公共互联网。
Amazon VPC 是网络基础联网服务。
Amazon API Gateway 是一种应用程序联网服务。
AWS Global Accelerator 是一种边缘联网服务。
4、网络设计文档和示意图能够将网络的各个组件可视化,包括路由器、防火墙和设备,还会显示这些组件之间的交互方式。
将整个网络可视化。跟踪网络流量路由。识别安全漏洞。
5、通信协议决定了通过网络传输数据所使用的格式和规则。这适用于硬件和软件。通信协议还会处理身份验证和错误检测,以及为使模拟和数字通信正常进行所必须遵守的语法、同步和语义。
网络管理协议定义用于监控、管理和维护网络的策略和程序。这有助于确保网络实现稳定通信并达到最佳性能,并且可以将这些协议应用于网络中的所有设备(计算机、交换机、路由器和服务器)。管理协议可以帮助:
- 排查主机与客户端设备之间的连接故障。
- 提供连接状态、可用性、数据包或数据丢失等与网络连接运行状况相关的信息。
网络安全协议可以确保网络中数据流量的安全。这些协议定义了网络如何保护数据免受恶意攻击,保护数据,避免未授权用户、服务或设备访问您的网络数据。网络安全协议依靠加密和密码来保护数据。
网络设计协议和网络配置协议是网络管理、通信和安全协议的组合。
6、互联网协议 (IP) 规定了设备如何在 AWS 中通信以及如何通过互联网通信。有两种互联网协议:互联网协议版本 4 (IPv4) 和互联网协议版本 6 (IPv6)。
Secure Shell 协议 (SSH) 是一种加密网络协议,用于在非安全网络上安全地运行网络服务。
传输控制协议 (TCP) 是定义如何建立和维护应用程序可用来交换数据的网络对话的标准。TCP 与互联网协议 (IP) 配合使用,定义了计算机如何相互发送数据包。
用户数据报协议 (UDP) 是一种通信协议,主要用于在互联网上的应用程序之间建立低延迟和容错连接。UDP 在接收方同意传输之前就开始数据传输,可以加快传输速度。
7、OSI 模型是一种逻辑模型,通过将通信过程划分为更小、更简单的组件来描述通信系统的功能。 TCP/IP 模型设计用于标准协议,是 OSI 模型的一个子部分。该模型将 OSI 模型的 7 层结构合并为四层。
TCP/IP 模型和 OSI 模型是最常用的通信网络协议。两个模型的主要区别是,OSI 是概念性模型,它定义了应用程序如何通过网络进行通信。TCP 和 IP 模型则用于描述 TCP 和 IP 协议如何在网络中建立链路以及如何进行交互。
TCP/IP 协议制定了创建互联网的标准,而 OSI 模型则提供了通信准则。
传输层安全 (TLS) 和 Secure Shell (SSH) 不会融入 OSI 模型或 TCP/IP 模型的任何一层。TLS 位于网络安全协议之下,在一些可靠的传输协议(如 TCP)之上运行。它向更高层添加了加密功能,这通常是表示层的功能。
AWS Key Management System (AWS KMS) 是一种安全的弹性服务,它使用已经过 FIPS 140-2 验证或正在接受验证的硬件安全模块来保护您的密钥。AWS KMS 可与 AWS CloudTrail 集成,从而为您提供所有密钥的日志记录,满足您对监管和合规性的需求。
8、AWS 创建的全球基础设施(opens in a new tab)集合了位于全球各地的单独基础设施。因此,AWS 在全球范围提供区域、可用区、 本地区域和边缘站点。
子网是 VPC 中的一系列 IP 地址。您可以在特定子网中启动 AWS 资源,例如 Amazon EC2 实例。
AWS 数据中心部署在全球各地。
AWS 确实可以提供本地服务。但这些服务基于全球网络运行,可以是区域、全球或可用区性服务。AWS 中的服务是全球、区域和可用区性服务。
9、AWS 可以帮助为您的应用程序构建安全、高性能、弹性和高效的基础设施,并提供访问控制和安全组,以在需要的情况下添加精确的安全功能。
网络访问控制列表(网络 ACL)是 VPC 的可选安全层,用作控制进出一个或多个子网的流量的防火墙。
安全组起着虚拟防火墙的作用,控制允许到达和离开与其关联的资源的流量。例如,当您将安全组与一个 EC2 实例关联后,它将控制该实例的入站和出站流量。
AWS 不支持数据包嗅探。而 AWS 允许对某些服务进行渗透测试 ,AWS明确禁止协议、端口和请求泛洪。
Amazon CloudWatch 是一种监控和可观察性服务,为您提供数据和富有实用价值的见解,用于监控应用程序、响应系统范围的性能变化,以及优化资源利用率。CloudWatch 以日志、指标和事件的形式收集监控和运维数据。
Amazon Simple Storage Service (Amazon S3) 是一种对象存储服务,可以提供行业领先的可扩缩性、数据可用性、安全性和性能。
10、随着您的环境在全球范围内的扩展,您的设计的另一部分应为与 AWS 服务的安全私有连接。AWS PrivateLink 可以在 Amazon VPC、AWS 服务和您的本地部署网络之间提供私有连接,而不会将流量暴露到公共互联网。由于您的数据不会暴露在互联网上(在互联网上可能会遭受攻击),您可以放心迁移和使用更多 AWS 服务,并确保流量的安全。您不必在使用服务和向互联网公开关键数据之间做出选择。
AWS Direct Connect 云服务是访问 AWS 资源的最短路径。网络流量传输时会停留在 AWS 全球网络中,绝不会进入公共互联网。这样可以降低遇到瓶颈或延迟意外增加的概率。
AWS Site-to-Site VPN 是一种完全托管式服务,可以使用互联网安全协议 (IPSec) 隧道在您的数据中心或分公司与 AWS 资源之间建立安全连接。使用 Site-to-Site VPN 时,您可以同时连接到 Amazon Virtual Private Cloud (Amazon VPC) 和 AWS Transit Gateway,并且每个连接使用两个隧道,以增加冗余。
VPC 对等连接是两个 VPC 之间的联网连接,使您可以使用私有 IPv4 地址或 IPv6 地址在这两个 VPC 之间路由流量。任一 VPC 中的实例都可以相互通信,就像它们在同一个网络中一样。您可以在自己的 VPC 之间创建 VPC 对等连接,也可以与其他 AWS 账户中的 VPC 创建对等连接。VPC 可以位于不同区域(也称为区域间 VPC 对等连接)。
AWS Transit Gateway 提供的中心辐射式设计作为完全托管式服务连接 Amazon VPC 和本地网络,不需要您对 Cisco 云服务路由器 (CSR) 等虚拟设备进行预置。不需要 VPN 覆盖,由 AWS 管理高可用性和可扩展性。
NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,使私有子网中的实例可以连接到 VPC 以外的服务,但外部服务不能发起与这些实例的连接
实用链接
要了解本课程中所涵盖主题的详细信息,请参阅以下链接。
- (opens in a new tab)(opens in a new tab)AWS re:Post(opens in a new tab)
- 联网基础(opens in a new tab)
- 混合连接(opens in a new tab)
- 边缘联网(opens in a new tab)
- 应用程序联网(opens in a new tab)
- 互联网号码分配机构 (IANA)(opens in a new tab)
AWS Network Connectivity Options
- Virtual Private Cloud (VPC) 终端节点和 AWS PrivateLink
- VPC 对等连接
- AWS Direct Connect
- AWS Site-to-Site VPN 和 AWS Client VPN
- AWS Transit Gateway
VPC 终端节点
接口终端节点
接口终端节点由 AWS PrivateLink 提供支持,它是一个弹性网络接口,具有子网 IP 地址范围内的一个私有 IP 地址。它充当流向受支持的 AWS 服务或 VPC 终端节点服务的流量的入口点。
Gateway Load Balancer 终端节点
Gateway Load Balancer 终端节点是一个弹性网络接口,其私有 IP 地址来自子网的 IP 地址范围。这种终端节点充当入口点,用于拦截流量并将其路由到使用 Gateway Load Balancer 配置的服务,例如,用于安全检查。您将 Gateway Load Balancer 终端节点指定为路由表中路由的目标。仅为 Gateway Load Balancer 配置的终端节点服务支持 Gateway Load Balancer 终端节点。
与接口终端节点一样,Gateway Load Balancer 终端节点也由 AWS PrivateLink 提供支持。
AWS PrivateLink
AWS PrivateLink 的益处
AWS PrivateLink 注意事项
- AWS PrivateLink 不支持 IPv6。
- 流量将来自服务提供商 VPC 内的 Network Load Balancer。从服务提供商应用程序的角度来看,所有 IP 流量都将来自 Network Load Balancer。应用程序记录的所有 IP 地址都将是 Network Load Balancer 的私有 IP 地址。服务提供商应用程序永远不会看到客户或服务使用者的 IP 地址。
- 您可以激活代理协议 v2 以深入了解网络流量。Network Load Balancer 使用代理协议 v2 发送其他连接信息,例如源和目的地。这可能需要对应用程序进行更改。
- 无法标记终端节点服务。
- 终端节点的私有域名系统 (DNS) 不会在 VPC 外部解析。可以将私有 DNS 主机名配置为直接指向终端节点网络接口 IP 地址。终端节点服务在创建它们的 AWS 区域中可用,并且可以使用区域间 VPC 对等连接在远程 AWS 区域中访问终端节点服务。
- 客户账户中的可用区名称可能不会映射到与其他账户中的可用区名称相同的位置。例如,可用区 US-East-1A 可能与另一账户的 US-East-1A 不在同一可用区。终端节点服务根据其在客户账户中的映射来配置可用区。
DNS
创建接口终端节点时,将生成可用于与服务通信的终端节点特定的 DNS 主机名。在创建终端节点后,您可以通过以下三种方式向提供商的服务提交请求。
VPC 终端节点定价
接口终端节点和 Gateway Load Balancer 终端节点按 VPC 终端节点在每个可用区中保持预置状态的每小时以及通过 VPC 终端节点处理的每 GB 数据计费。有关详情,请参阅 AWS PrivateLink 定价(opens in a new tab)。
使用网关终端节点不收取任何额外费用。采用标准的数据传输和资源使用计费方式。您可以为发往 DynamoDB 或 Amazon S3 的流量选择网关终端节点,从而降低成本。
VPC 对等连接
定价
设置或运行 VPC 对等连接不收取任何费用。无论涉及哪些可用区,通过对等连接传输的数据均按发送和接收的每 GB 收费。
AWS Direct Connect
以下是关于准备本地站点连接到 AWS Direct Connect 的核心步骤、选项及关键知识点的总结:
一、连接形式选择
-
三种部署方式
-
并置在 Direct Connect 站点
-
用户自行部署设备到 AWS 合作的 Direct Connect 站点,负责设备、本地到站点的线路,以及站点到 AWS 路由器的连接。
-
-
与 Direct Connect 合作伙伴合作
-
合作伙伴提供并维护站点内设备,用户只需负责本地到合作伙伴设备的物理连接(推荐场景)。
-
-
直接连接到 Direct Connect 节点
-
用户自建从本地到 AWS 节点的物理连接,需联系 AWS 代表协调(较少使用)。
-
-
二、技术参数配置
-
基础要求
-
封装协议:仅支持 802.1Q VLAN 封装。
-
带宽与硬件
-
支持 1 Gbps、10 Gbps、100 Gbps 以太网连接(单模光纤)。
-
需禁用自动协商,手动配置端口速度(全双工)和对应收发器(如 10 Gbps 用 10GB BASE-LR 收发器)。
-
-
-
路由协议
-
BGP 必需:支持 BGP MD5 身份验证(可选 BFD 快速故障检测)。
-
ASN 选择
-
私有 ASN:用于私有虚拟接口(无需注册,自行定义)。
-
公有 ASN:用于公有虚拟接口(需购买并注册)。
-
-
-
IP 协议与帧大小
-
支持 IPv4、IPv6 或两者,默认启用 IPv4(场景中选择 IPv4)。
-
以太网帧大小:默认 1522 字节(支持巨型帧 9023 字节,需设备兼容,场景中选择 1522)。
-
三、实施步骤
-
控制台操作
-
登录 AWS 控制台,创建 Direct Connect 连接,选择区域、连接形式(如合作伙伴模式)、带宽(如 10 Gbps)。
-
AWS 生成 **授权书 (LOA-CFA)**,共享给合作伙伴完成物理连接(交叉连接到 AWS 路由器)。
-
-
虚拟接口配置
-
私有虚拟接口:连接 VPC 私有资源,需关联 Direct Connect 网关以接入多个 VPC(场景中使用)。
-
公有虚拟接口:访问 VPC 公有 IP 或 AWS 公有终端节点,路由到全局公有 IP 地址。
-
中转虚拟接口:连接到 Transit Gateway,集中管理跨环境流量(支持多账户 VPC 互通)。
-
四、架构与集成
-
典型架构:本地数据中心 → 合作伙伴设备(Direct Connect 站点)→ AWS 路由器 → 虚拟接口(私有/公有/中转)→ VPC 或 Transit Gateway。
-
高弹性:通过 BGP 实现路由冗余,BFD 可选优化故障检测速度。
五、计费模式
-
按使用付费:无最低费用,包含两项计费元素
-
端口时间:按连接时长计费(1 Gbps/10 Gbps/100 Gbps 不同单价)。
-
出站数据传输:从 AWS 到本地的数据流量费用(入站免费)。
-
-
额外费用:可能涉及合作伙伴设备托管、本地线路租赁等外部成本(需单独确认)。
六、核心优势与适用场景
-
优势:低延迟、高吞吐量、专用连接(相比 VPN 更稳定),适合大规模数据传输或混合云架构。
-
适用场景:企业需高频访问 AWS 私有资源(如数据库、存储),或对网络稳定性、安全性要求高的场景(如金融、医疗)。
总结
准备 Direct Connect 需依次确定 **连接形式→带宽→BGP 配置→IP 与帧大小**,通过控制台创建连接后由合作伙伴完成物理部署,最终通过虚拟接口接入 AWS 环境。核心是根据业务需求(私有/公有访问、多 VPC 管理)选择合适的虚拟接口类型,利用专用连接提升混合云网络的性能与可靠性。
此外,您的网络必须满足以下条件:
- 您的网络必须使用单模光纤和以下设备之一:
- 1000BASE-LX (1,310 nm) 收发器(1 GB 以太网)
- 10GBASE-LR (1,310 nm) 收发器(10 GB 以太网)
- 100GBASE-LR4(100 GB 以太网)
- 必须停用端口的自动协商。必须手动配置端口速度和全双工模式。
- 整个连接(包括中间设备)必须支持 802.1Q VLAN 封装。
- 您的设备必须支持边界网关协议 (BGP) 和 BGP MD5 身份验证。
- (可选)您可以在网络上配置双向转发检测 (BFD)。会自动为 Direct Connect 虚拟接口激活异步 BFD,但在您在路由器或客户网关设备上配置它之前不会生效。
有关详情,请参阅 AWS Direct Connect 定价(opens in a new tab)。
AWS Site-to-Site VPN 和 AWS Client VPN
AWS Site-to-Site VPN 限制
- 部分支持 IPv6 流量。对于内部流量,AWS Site-to-Site VPN 通过单独的隧道支持 IPv4/IPv6-Dualstack。不支持外部隧道连接的 IPv6。
- AWS Site-to-Site VPN 不支持路径 MTU 发现。内部隧道接口上可用的最大传输单元 (MTU) 为 1,399 字节。
- AWS Site-to-Site VPN 连接的吞吐量有限。在虚拟私有网关上终止时,只有一个隧道可以处于活动状态,并且最大承载 1.25 Gbps。但是,实际吞吐量约为 1 Gbps。在 AWS Transit Gateway 上终止时,两个隧道都可以处于活动状态,并且最大聚合承载 2.5 Gbps。不过,实际吞吐量为 2 Gbps。每个流(例如,TCP 流)仍将限于最大 1.25 Gbps,实际值约为 1 Gbps。
- 每个 VPN 隧道每秒最大数据包数 (PPS) 为 140,000。
- 在 AWS Transit Gateway 上终止的 AWS Site-to-Site VPN 支持在相同和不同连接中的隧道之间实现等价多路径路由 (ECMP) 和多出口鉴别器 (MED)。ECMP 仅适用于在 AWS Transit Gateway 上激活的 Site-to-Site VPN 连接。MED 用于标识使用 BGP 的 Site-to-Site VPN 连接的主隧道。请注意,AWS Site-to-Site VPN 尚不支持 BFD,但 Direct Connect 支持 BFD。
- AWS Site-to-Site VPN 终端节点使用公有 IPv4 地址,因此需要公有虚拟接口才能通过 Direct Connect 传输流量。目前尚不支持通过私有 Direct Connect 的 AWS Site-to-Site VPN。
- 对于全球分布式应用程序,加速的 Site-to-Site VPN 选项提供通过 AWS Global Accelerator 与全球 AWS 骨干网络的连接。由于 Global Accelerator IP 空间未通过 Direct Connect 公有虚拟接口公布,不能将加速的 Site-to-Site VPN 与 Direct Connect 公有虚拟接口配合使用。
此外,当您将 VPC 连接到通用本地网络时,我们建议您对网络使用不重叠的 CIDR 块。
AWS Site-to-Site VPN 监控
您可以使用 Amazon CloudWatch 监控 VPN 隧道,它会从 VPN 服务收集原始数据,将其转换为近乎实时的可读指标。这些统计数据的记录期限为 15 个月。您能够访问历史信息,可更好地了解您的 Web 应用程序或服务的运行情况。VPN 指标数据会在可用时自动发送到 CloudWatch。
重要提示: AWS Classic VPN 连接不支持 CloudWatch 指标。有关详情,请参阅 Site-to-Site VPN 类别(opens in a new tab)。
AWS Site-to-Site VPN 定价
AWS Site-to-Site VPN:
- 每小时 AWS Site-to-Site VPN 连接(因区域而异)
- 数据传出费用(请参阅 Amazon EC2 按需定价(opens in a new tab))
加速 Site-to-Site VPN:
- 每小时 AWS Site-to-Site VPN 连接(因区域而异)
- 数据传出费用(请参阅 Amazon EC2 按需定价(opens in a new tab))
- 每个 VPN 连接两个 AWS Global Accelerator 的小时费用
- 数据传出额外 (DT-Premium) 费用
- DT-Premium 取决于源(AWS 区域)和目的地(边缘站点)。(请参阅 AWS Global Accelerator 定价(opens in a new tab))
有关详情,请参阅 AWS VPN 定价(opens in a new tab)。
Client VPN
Client VPN 限制
- Client VPN 仅支持 IPv4 流量。不支持 IPv6。
- 基于安全断言标记语言 (SAML) 2.0 的联合身份验证仅适用于 AWS 提供的客户端 v1.2.0 或更高版本。
- SAML 与 AWS Single Sign-On 集成需要一种变通方法。目前正在开发更好的集成。
- 客户端 CIDR 范围的块大小必须至少为 /22,且不得大于 /12。
- Client VPN 终端节点不支持专用租赁 VPC 中的子网关联。
- Client VPN 不符合联邦信息处理标准 (FIPS)。
- 客户端 CIDR 范围不能与关联子网所在的 VPC 的本地 CIDR 重叠。它也不能与手动添加到 Client VPN 终端节点路由表的任何路由重叠。
- 客户端 CIDR 范围内的部分地址用于支持 Client VPN 终端节点的可用性模型,无法分配给客户端。因此,我们建议您分配一个包含的 IP 地址数量是所需 IP 地址数量两倍的 CIDR 块。这将确保您计划在 Client VPN 终端节点上支持的并发连接达到最大数量。
- 创建 Client VPN 终端节点后,无法更改客户端 CIDR 范围。
- 与一个 Client VPN 终端节点关联的子网必须位于同一 VPC 中。
- 您不能将同一可用区的多个子网与一个 Client VPN 终端节点关联。
- 双向身份验证不支持 AWS Certificate Manager (ACM) 证书,因为您无法提取私钥。您可以使用 ACM 服务器作为服务器端证书。但是,要将客户端证书添加到客户配置,您不能使用通用 ACM 证书,因为您无法提取所需的私钥详细信息。因此,您必须通过以下两种方式之一访问密钥。您可以在拥有密钥的地方生成自己的证书,或使用 AWS Certificate Manager Private Certificate Authority (ACM PCA) 提供私钥。如果客户基于 Active Directory 或 SAML 进行身份验证,则可以使用常规 ACM 生成的证书,因为只需要服务器证书。
Client VPN 监控
- 最终用户使用情况报告可通过 Amazon CloudWatch Logs 获取。
- 您可以使用客户端连接处理程序对 Lambda 执行基本状况评估,因为 Client VPN 不支持原生状况评估。
- Client VPN 会向 CloudWatch 发布 Client VPN 终端节点的指标。每五分钟将指标发布到 CloudWatch。
Client VPN 定价
在 Client VPN 中,您需要为每小时的活动客户端连接数和每小时与 Client VPN 关联的子网数付费。
首先,您创建一个 Client VPN 终端节点并将子网关联到该终端节点。您可以将一个 VPC 中的多个子网关联到一个 Client VPN 终端节点(如果它们都属于同一 AWS 账户)。与 Client VPN 终端节点关联的每个子网必须属于不同的可用区,我们将向 VPC 账户所有者收费。
在建立子网关联时开始计费。使用不满一小时按比例计算。下一步是将用户连接到 Client VPN 终端节点。这可能因为用户需要该服务而动态发生。您需要根据每小时连接到 Client VPN 终端节点的活动客户端数量支付第二笔费用。任何少于一小时的客户端连接也会按比例计算。
AWS Transit Gateway
AWS Transit Gateway 概念
AWS Transit Gateway 跨区域对等互连
AWS 提供两种对等连接,用于在不同区域中的 VPC 之间路由流量:VPC 对等连接和 Transit Gateway 对等连接。两种对等连接类型都是一对一的,但 Transit Gateway 对等连接具有更简单的网络设计和更统一的管理。
假设客户在三个不同的区域中有多个 VPC。如下图所示,要允许网络流量在每个 VPC 之间路由,需要创建 72 个 VPC 对等连接。每个 VPC 需要 8 种不同的路由配置和安全策略。
使用 AWS Transit Gateway,同一环境只需要三个对等连接。每个区域中的 Transit Gateway 可将网络流量路由到其区域中的所有 VPC。由于所有路由都可以由 Transit Gateway 管理,客户只需维护三个路由配置,从而简化了管理工作。
有关性能和限制的信息,请参阅 AWS Transit Gateway 常见问题(opens in a new tab)。
定价
AWS Transit Gateway 按每小时的连接数和处理的每 GB 数据收费。有关详情,请参阅 AWS Transit Gateway 定价(opens in a new tab)。
案例
1、您有兴趣使用安全公司的日志记录和分析软件即服务 (SaaS) 产品。
日志记录分析服务提供了通过公有 Amazon Web Services (AWS) 终端节点接收数据的选项。但是您对更安全的选项感兴趣,即数据不经过公有线路。
您的研究表明,您的应用程序和分析服务托管在 AWS 上并位于同一区域。您需要一个将数据保留在私有网络上的选项。
哪种 AWS 服务允许您在不使用公有终端节点的情况下将数据传递到分析服务产品?
AWS PrivateLink
托管日志记录分析 SaaS 服务的服务提供商可以通过在其服务前面部署 Network Load Balancer 来创建终端节点服务。您可以使用 AWS PrivateLink 连接到 Network Load Balancer。您在每个子网中创建一个 VPC 终端节点。子网托管将日志发送到分析服务的实例,并使用 AWS PrivateLink 连接到服务提供商的 Network Load Balancer。
此解决方案提供与日志记录服务的专用私有连接。这样可以最大程度降低日志记录数据被未批准的一方截获的几率。
2、您是一家大型区域慈善组织的高级网络工程师,该组织使用 Amazon Web Services (AWS) 托管自身的所有系统和服务。该组织最近与位于附近城市的三个较小的慈善组织合并,以扩大其影响力。这三个慈善组织也使用 AWS 托管他们的系统和服务。随着合并确定,IT 部门通过与其他慈善组织的 Virtual Private Cloud (VPC) 建立对等连接来快速集成服务。
现在合并已经完成,附近城市的三个慈善组织的办公室将合并为一个办公室,以节省成本。IT 主管要求您利用新的办公室这个机会来简化新组织的网络并尽可能集中管理工作。
哪种 AWS 服务最适合实现这一目标?
AWS Transit Gateway
AWS Transit Gateway 允许您通过集中管理的服务将组织的所有流量路由到每个 VPC。AWS Transit Gateway 允许您直接连接慈善组织的 AWS Site-to-Site VPN 和 Direct Connect 线路。这提供了一种服务,便于所有本地位置与组织的所有 AWS 托管服务进行通信。
AWS Transit Gateway Network Manager 提供私有网络的单一全局视图。您可以在 AWS Transit Gateway Network Manager 控制面板上定义要监控的资源。您可以在拓扑图或地理图上呈现您的网络。您可以快速访问使用情况指标,并针对已注册资源的状态更改发出警报。AWS Transit Gateway Network Manager 还与许多软件定义广域网 (SD-WAN) AWS 合作伙伴产品集成。因此,您可以从一个集中式控制台监控本地网络资源。
3、贵公司正在为 Amazon Web Services (AWS) 托管系统实施集中式日志记录和分析服务。随着时间推移,公司的 AWS 环境已发展成为在三个区域中有八个 Virtual Private Cloud (VPC)。这可能是公司未来所需的最大数量的 VPC。
这项新服务正在考虑两种解决方案。第一种解决方案建议将区域内的每个 VPC 链接到专用 Transit Gateway。每个 Transit Gateway 将连接到仅托管新日志记录和分析服务的隔离 VPC。
另一种解决方案建议使用 VPC 对等连接,将八个 VPC 的每一个连接到托管新日志记录和分析服务的隔离 VPC。
目前哪种解决方案是成本和性能的最佳平衡?
VPC 对等连接,AWS Transit Gateway 可以提供必要的连接,但在此场景下,它不是最佳答案。
VPC 对等连接
VPC 对等连接提供了成本和性能的最佳平衡。第一个解决方案需要三个与新服务 VPC 对等连接的 Transit Gateway。每个 Transit Gateway 将产生 VPC 连接和数据传输费用。VPC 对等连接仅产生数据传输费用。与 Transit Gateway 不同,VPC 对等连接没有总带宽限制。最后,部署 Transit Gateway 会在数据源和数据目的地之间添加跃点。这可能会增加连接的延迟。VPC 对等连接不会增加任何额外跃点。
简化多 VPC 路由
中心辐射型场景
想象一下,贵公司两年前与竞争对手合并,整合了办公室,只留下了总部和另一个城市的卫星办公室。合并发生时,两家公司在多个 VPC 中有 AWS 业务。新合并的 IT 团队决定将 VPC 对等连接以加快合并速度,而这一决定从未被重新审视过。
下图显示了此网络架构。要了解详情,请选择每个热点。
在此场景中,您已经看到客户关于服务中断的工单呈增长趋势。您已确定中断是由于新系统上线或在生产中实施修改时配置冲突造成的。
您检查工单并与解决工单的工程师交谈。这样,您已确定支持 VPC 对等连接和多个 Site-to-Site VPN 的复杂路由配置是冲突的最常见原因。这是因为无法集中管理流量。您决定将 VPN 和 VPC 对等连接的当前网状模式替换为更简单的中心辐射型设计。您联系架构师,制定使用 AWS Transit Gateway 实现此过程的计划。
您和架构师确定的计划是一种中心辐射型设计模式,它将部署 Transit Gateway 并逐步淘汰 VPC 对等连接。这将降低网络的复杂性,并从分布式模型转向集中管理模型,从而减少运营开销。
要详细了解新网络配置,请选择每个热点。
通过迁移到 Transit Gateway,该公司获得了以下益处:
- 一个 Transit Gateway 取代所有五个 VPC 对等连接。
- 所有路由表都集中在 Transit Gateway 上,从而简化了管理工作。
- VPN 连接的数量减少到一个,而不会削弱卫星办公室对公司 AWS 环境的访问能力。
- Direct Connect 连接在 Transit Gateway 上终止。因此,Direct Connect 网关的数量减少到一个,而不会削弱总部对公司 AWS 环境的访问能力。
弹性混合网络
高度可用的混合网络连接
在以下网络设计中,一家公司拥有两个物理数据中心,并使用两个不同的 Direct Connect 合作伙伴位置来建立与公司 AWS 环境的连接。AWS 保证 Direct Connect 服务高度可用,即为服务提供 4 个 9 (99.99%) 服务等级协议。但是,该保证仅从公司所连接的 AWS 路由器开始,而不从之前的连接段开始。
或者,如果连接到公司数据中心之一的公司路由器或线路在 Direct Connect 合作伙伴位置遇到问题。在问题解决之前,公司将无法使用 Direct Connect 连接访问 AWS。
通过更新下图所示的原始设计,该公司消除了上图中显示的单点故障。
区域高可用性
跨区域 VPC 对等连接
以下网络设计显示了一个假设的跨区域高可用性应用程序。在多个区域中部署应用程序有助于:
- 将用户实时路由到相对于其位置延迟最低(最佳响应时间)的区域
- 跨区域分配应用程序负载 – 例如,如果托管在一个区域中的应用程序性能下降,则可以将工作定向到性能最佳应用程序的区域
- 应用程序的冗余 – 例如,如果托管应用程序的区域遇到服务中断,您的用户仍然可以从备用区域访问您的应用程序
在下图中,Amazon Route 53 将最终用户路由到延迟最低的区域。每个区域中的数据库使用两个区域之间的 VPC 对等连接进行同步。如果用户在会话中断后重新连接,此设计可确保无论重新连接到哪个区域,都可以恢复会话。例如,用户在区域 1 中开始会话并断开。重新连接时,他们将被路由到区域 2。他们可以恢复会话,因为数据库是通过 VPC 对等连接同步的。
AWS Transit Gateway 对等连接
如您所知,AWS Transit Gateway 支持在 AWS 区域内的两个或多个 VPC 之间路由流量。这使您能够集中管理您在区域内部署的所有资源、服务和账户之间的流量。AWS Transit Gateway 还支持 AWS VPN 和 Direct Connect 网关,能够集中管理一个区域的传入和传出流量。
对于大型多区域 AWS 环境,AWS Transit Gateway 支持区域间对等连接。区域间对等连接在功能上类似于区域间 VPC 对等连接。此连接类型创建从一个区域中的 Transit Gateway 到另一个区域中的 Transit Gateway 的非可传递双向路由。通过区域间对等连接的流量会被自动加密,并且永远不会离开全球 AWS 骨干网络。因为不经过公共互联网,您的流量得以避免公共互联网上的威胁媒介,例如 DDoS 和中间人攻击。
下图描述了一个大型多区域 AWS 环境。一个 VPC 配置为进入或离开大型 AWS 环境的所有流量的中转 VPC。中转 VPC 的 Transit Gateway 与环境中的所有其他 Transit Gateway 对等连接。因此,公共流量可以路由到更大环境中的任何地方。
Transit Gateway 是一项区域性服务,支持部署它们的区域内的中心辐射型网络设计。这允许将一个已连接 VPC 的流量通过该区域的 Transit Gateway 路由到任何其他已连接 VPC。Transit Gateway 区域间对等连接是不可传递的。这意味着区域之间的流量路由只能从始发区域中的 Transit Gateway 传递到目标区域中的 Transit Gateway。
要使用 Transit Gateway 创建高度可用的多区域 AWS 环境,需要网状网络设计。网状设计可确保每个 Transit Gateway 与环境中的所有其他 Transit Gateway 对等连接,因此流量根据需要在环境中流动。
有关可能影响设计的注意事项,请参阅 Transit Gateway 的配额(opens in a new tab)。
知识点
1、AWS Site-to-Site VPN 和 Direct Connect 都是允许您将本地网络连接到 VPC 中的实例的服务。
Global Accelerator、AWS PrivateLink 和 AWS Transit Gateway 本身不提供将本地环境直接连接到 AWS 云的方式。在某些配置中,它们可以与 AWS Site-to-Site VPN 和 Direct Connect 结合使用。但作为一项独立服务,它们不能达到两个适用服务的目的。
2、在下图中,可以进行哪些更改来提高关键工作负载的复原能力?(请选择三项。)
①复制应用程序以在辅助 Amazon Web Services (AWS) 区域中实现故障转移,并将 Direct Connect 网关连接到每个 Virtual Private Cloud (VPC) 的虚拟私有网关。
②将本地数据复制到第二个数据中心,并将该数据中心连接到第二个 AWS Direct Connect 站点。
③将本地数据复制到第二个数据中心。将每个位置的两个客户网关连接到两个 AWS Direct Connect 站点中每个站点的两个路由器。
多区域应用架构可提高云中的复原能力。在使用 Direct Connect 时,使用在多个站点的不同设备上终止的单独连接,您可以实现最大弹性。
在此场景下,添加第二个 Direct Connect 网关并不是一个完整的解决方案。虚拟私有网关和 Transit Gateway 不是等效的服务。两者都不会增加解决 Direct Connect 连接是单点故障这一问题所需的冗余。
在此场景下,Direct Connect 连接是客户本地位置与 AWS 之间的单点故障。将 AWS Direct Connect 连接替换为 Site-to-Site VPN 就是将一个单点故障替换为另一个单点故障。
3、您可以使用 VPC 对等连接或 Transit Gateway 对等连接在不同区域中的 VPC 之间建立通信。VPC 不支持传递对等连接。
4、AWS Transit Gateway 解决了大规模创建和管理多个 VPC 对等连接所涉及的复杂性。
实用链接
请参阅以下链接,详细了解本课程中所涵盖的主题。
Amazon Virtual Private Cloud 文档(opens in a new tab)
AWS Virtual Private Network 文档(opens in a new tab)
扫一扫
1589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
