云网络创新的力量

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/NET208-INT-The_power_of_cloud_network_innovation-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 从一开始，亚马逊云科技网络就是亚马逊云科技履行云计算承诺的基础。在本讲座中，[Amazon EC2 ](https://aws.amazon.com/cn/ec2/?trk=cndc-detail)网络和计算服务副总裁 Dave Brown 将与您一起回顾亚马逊云科技网络的发展历史，以及亚马逊云科技网络的发展和创新是如何延续至今--帮您释放创造力，实现飞跃。Dave 结合现实世界中的实例和幕后观察，深入探讨了亚马逊云科技核心网络基础架构、VPC 网络、面向人工智能/[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)的数据中心网络、安全性和全球连接性方面的最新创新。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1900字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 首先进行演讲的专家生动地阐述了人际关系网络的重要价值，并带领我们回顾了15世纪40年代德国的历程，以及约翰内斯·古腾堡发明革命性活字印刷术的故事。尽管印刷术的影响力无可估量，但它本身并不能保证成功，因为在当时，识字率仅仅局限于城市中的约3%的人口。然而，一些聪明的德国印刷商移居到了繁忙的地中海贸易中心威尼斯，船只将他们印刷的书籍带到了世界的各个角落，使思想得以在全球范围内传播。由此可见，具有变革性的创新需要通过网络来实现其最大效益。 从根本上讲，网络使得跨越地理限制的连接、合作和思想交流成为可能。当亚马逊创建亚马逊云科技时，他们构想了一个网络，其中的数据流量能够从点A无缝地流到点B，而客户无需担忧性能、可靠性或安全性——这都依赖于他们完全控制的亚马逊云科技骨干网络，该网络不断扩展以满足快速增长的需求。 需求激增的例子包括福克斯体育将超级碗的比特率从x gbps翻倍至2x gbps，以升级到4K视频；企业每年产生惊人的74 zettabytes的数据；以及自动驾驶汽车等新技术的出现带来了巨大的连通性需求。亚马逊云科技在过去3年里令人印象深刻地将骨干网络容量翻了一番，展示了其迅猛的增长速度。 亚马逊云科技还迅速增加了区域数量，从2006年首次推出的美国东部地区到此后启动的33个更多地区，并有计划再推出41个地区，展示了其惊人的扩张能力。额外的地区提供了更广泛的地区选择，通过可用性区域提高韧性，并通过边缘位置减少延迟。与其他云服务提供商不同，亚马逊云科技在构建区域时会精心放置多个隔离的可用性区域，这些区域相互隔开，但又足够近，以保持优秀的延迟。每个地区至少有3个不同的可用区，连接互联网骨干的传输中心，以及引入每个地区的巨大互联网容量。这种深思熟虑的设计为客户如Netflix提供了信心，使他们可以运行最关键的负载。 一些客户对延迟的要求非常低，因此亚马逊云科技推出了本地区域服务。首个本地区域位于2019年的洛杉矶，主要针对媒体和娱乐公司。例如，Netflix在亚马逊云科技上使用本地区域服务将视频编辑的往返延迟从25毫秒降至令人惊叹的1-2毫秒，这对于这类使用场景来说具有颠覆性的影响。目前，亚马逊云科技在全球拥有超过35个本地区域。 一个典型的例子是Proto Hologram公司利用亚马逊云科技的本地区域服务来渲染全息图像，以提供真实的3D人的存在的令人毛骨悚然的印象，其中低延迟对于可信度至关重要。本地区域服务使Proto能够将延迟从25毫秒降至1-2毫秒，从而创建出一个更加无缝、引人入胜的体验。 除了延迟之外，网络可用性也非常关键。许多客户，如Capital One公司，使用亚马逊云科技的Direct Connect服务完全绕过公共互联网，并通过物理光纤直接连接到全球Equinix设施内的亚马逊云科技路由器。现在，Direct Connect在全球有100多个位置支持最高达100 Gbps的速度。 今年标志着亚马逊云科技CloudFront服务的15周年，每天处理惊人的3万亿次请求。在短短5年内，CloudFront从150个点位增长到超过600个点位，并设有13个地区边缘缓存。在周四晚上的美国职业橄榄球联赛比赛中，CloudFront达到了惊人的120 Tbps峰值，展示了亚马逊Prime Video的巨大规模。 在印度迪士尼+ Hotstar流媒体平台上观看板球世界杯时，创下了5.9亿同时在线观看的纪录，这得益于CloudFront庞大的全球网络。虽然连接亚马逊云科技数据中心的问题很重要，但向最终用户提供服务同样至关重要——这是CloudFront的使命。 回顾过去，早期的长途通信使用了光学电报来手动在塔楼之间传递消息，这是不可靠和不安全的，因为消息可能被拦截。电磁铁的发明开启了电子电报的革命，首次使得远程通信变得可靠。 类似于电磁如何催化MRI等创新技术的出现，Nitro系统解锁了许多突破性的EC2功能。Nitro可以减轻主机硬件上的虚拟化开销，回收资源的同时增强安全性。这使得亚马逊云科技能够为其工作负载使用零主机资源，所有网络、存储和安全等功能都独立处理。 在没有Nitro的情况下，每个实例的网络带宽将受限于100Gbps。然而，随着Nitro的出现，网络吞吐量已经迅速从2008年C1实例的1Gbps增长到2010年CC1实例的10Gbps，再到2017年的C5实例的25Gbps，如今已经达到了C7g实例的200Gbps。这仅仅是在过去的十年多里实现了超过200倍的增长。 AI/ML工作负载对网络需求产生了巨大影响。2020年，P4d实例通过使用Nvidia A100 GPU为客户（如Anthropic）提供了400Gbps的网络连接。然而，随着生成性AI的快速发展，我们必须重新考虑云计算数据中心网络的设计，因为现在的模型需要超过10,000个GPU和宠物级规模的网络。 亚马逊云科技在2020年开始使用基于Clos拓扑的交换机来部署Ultra集群，以实现AI/ML的隔离。然而，由于前所未有的增长，我们需要重新设计为Ultra Cluster 2.0，这是一种更扁平、更宽泛的结构，专门针对ML加速器进行了优化。它可以降低延迟16%，提供高达10倍的带宽，支持每集群64,000个GPU，并实施新的路由协议，以实现在校区之间的亚秒收敛。 新的EC2实例拓扑API可以显示实例布局的可见性，使客户能够优化网络性能。传统上，TCP会选择一个单一的流路径，这有可能导致拥塞。然而，亚马逊云科技率先推出了可扩展的可靠数据报路由，该路由被弹性纤维适配器用于在不产生瓶颈的情况下在多个路径上传输流量。 SRD现在在85个使用ENA Express的实例上受到支持，将流量限制翻倍至25Gbps，同时减少尾延迟50%，而无需进行任何应用程序更改。 虽然使用VPC扩展基础设施至关重要，但管理IP地址也带来了挑战。两年前，亚马逊云科技发布了VPC IP地址管理器(IPAM)，以自动化大规模客户的IP任务，如分配、跟踪和监控地址，例如AthenaHealth等客户。 今天宣布的新IPAM功能包括：增强的自动化，可以在分钟内而非周内将IP分配给VPC子网；自带自治系统号，以便企业在迁移到亚马逊云科技时能保留现有的自治系统号；以及一个新的免费层，以提供公共IP的可视性，以实现成本优化。 IPv6作为IPv4的升级版本，正逐渐成为互联网领域的未来趋势。亚马逊云科技致力于为互联网应用和大规模工作负载提供IPv6支持，以应对日益紧张的IPv4资源问题。至2023年，亚马逊云科技将推出一系列最新的IPv6增强功能，包括通过灵活编址实现连续块支持、支持端到端IPv6流量的Gateway Load Balancer以及扩展Global Accelerator的IPv6支持，使其支持的服务数量达到35项。 除了解决IPv6地址问题外，亚马逊云科技还提供了诸如[Amazon VPC](https://aws.amazon.com/cn/vpc/?trk=cndc-detail)等工具来帮助客户构建网络拓扑。这些工具已经被许多企业，如Capital One，广泛应用于数千个VPC中。起初，亚马逊云科技曾认为客户只需要一个VPC，但后来发现这是错误的。 VPC对等连接技术实现了VPC之间的通信，但其范围仅限于大约100个VPC。直到2018年，亚马逊云科技推出了Transit Gateway，彻底改变了跨区域和客户自有设施之间数千个VPC的连接方式。此外，Transit Gateway还集成了VPN、Direct Connect等功能。 Capital One的高级副总裁Will Meyer详细介绍了该公司在亚马逊云科技上的云之旅。他们在2020年关闭了最后一个数据中心，转而优先发展效率、交付速度和创新能力。如今，Capital One已拥有庞大的规模，包括数十万个EC2实例和Lambda函数，以及通过Transit Gateway互连的约4000个VPC。 Meyer分享了他们在云化过程中的一些经验教训。首先，“可编程的基础设施就是魔法”——自动化的基础设施使得交付频率提高了10倍，同时也大幅降低了存储/计算成本，从而释放了更多的数据价值。此外，大多数新应用程序都采用了[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)架构，通过在AZ和区域之间运行主动-主动模式，增强了弹性，减少了事故，尽管变更操作增加了三倍。 然而，复杂性仍然存在。随着他们的环境从几十个VPC增长到几千个，Capital One面临着路由限制问题，这需要重新设计架构。虽然云计算带来了自动化，但在大规模环境下处理地址管理仍然是一个挑战。Capital One期待借助亚马逊云科技的Cloud WAN来实现云原生网络。 最后，David研究了亚马逊云科技的[Elastic Load Balancing](https://aws.amazon.com/cn/elasticloadbalancing/?trk=cndc-detail)，现在其每日峰值处理能力已经达到了惊人的300Tbps。通过负载均衡，可以减少优化应用程序以进行垃圾收集等操作的需求，从而实现更稳定的性能。 随着时间的推移，亚马逊云科技不断推出新功能，如跨区域负载均衡、限制爆炸范围的AZ内隔离以及最近宣布的自动异常检测。这些功能通过减少向表现不佳的目标发送流量，利用[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)识别并减轻灰色故障。 负载均衡器在安全方面发挥着第一道防线的作用。自2011年起，亚马逊云科技开始支持TLS加密。在2014年的Heartbleed事件之后，亚马逊云科技开发了用于加强安全的开源TLS实现s2n。近期，亚马逊云科技已利用s2n安全地实现了互TLS身份验证，并与亚马逊云科技证书管理器集成。这为ALB背后的应用程序提供了基于证书的标识和互认证。 除了新功能外，亚马逊云科技关注用户体验，提供CloudFormation支持，及时更新Kubernetes用户的ALB控制器，以及支持IPv4/IPv6的双栈配置。 亚马逊云科技还重新发明了网络技术，通过VPC Lattice超越了IP地址和路由。它使服务到服务的通信变得简单，无需像Block这样的客户进行复杂的网络调整。 Block使用Lattice简化Square、Tidal和Afterpay等服务之间的跨子公司通信，而无需重构应用程序。 数据传输的安全性经历了几个世纪的发展，从古希腊的scytale到罗马密码，最终发展到Enigma加密。在20世纪70年代，加密技术进入IT领域以保护数据，推动了今天的安全在线交易。 亚马逊云科技致力于提供最安全的云环境，构建在安全基本原理上，并与合作伙伴广泛合作。在大规模运营中，亚马逊云科技拥有广泛的威胁能见度，使其能够持续将见解投资到基础设施中。 亚马逊云科技讨论了Project Mad Pot计划，该计划通过数千个诱饵吸引威胁并以获取情报。仅2023年第一季度，它就阻止了超过130万次DDoS攻击，禁用了一千多个命令和控制服务器，解散了23万个层7 DDoS机器人，并在向公司发出被入侵资源的警报的同时，与亚马逊云科技WAF、盾牌等分享见解。 尽管Mad Pot能够实现周边威胁检测，但亚马逊Network Firewall却能按需扩展以保护AthenaHealth等客户内部安全。近期的防火墙功能升级包括TLS解密/检查和基于资源标签的微分段策略，同时还支持通过防火墙管理器的多个管理员支持。 通过网关负载均衡器，客户还能依赖可靠的第三方防火墙供应商，如Palo Alto Networks，同时保持亚马逊云科技的可扩展性和可用性。亚马逊云科技、合作伙伴解决方案和混合模式在保护环境方面展现了灵活性。 零信任是一个持续发展的领域，它基于身份、设备姿态和上下文而非信任网络/IP地址来授权访问权限。去年推出的亚马逊云科技Verified Access简化了零信任部署，通过集成多因素认证、设备合规性等多个评估请求的策略。 新集成自动执行政策中的设备姿态检查，将强制分流至亚马逊云科技WAF，允许在部署前进行政策模拟，并提供可读的人类政策语言。身份和设备管理合作伙伴的集成使得客户能够利用现有系统。 总的来说，网络推动了全球交流和创新。亚马逊云科技致力于客户的发明，这从其对于现代互联网的巨大影响力中可见一斑。加密技术实现了安全的数字交易。亚马逊云科技以其惊人的规模阻止威胁，同时为客户带来最灵活和最安全的网络功能。演讲者在最后向与会者提问：在这些技术的支持下，他们将构建何物？ **下面是一些演讲现场的精彩瞬间：** 在开始详细阐述亚马逊云科技的网络安全创新之前，演讲者首先探讨了网络连接的重要性。  回顾亚马逊云科技的发展历程，领导者们分享了在设计[Amazon VPC](https://aws.amazon.com/cn/vpc/?trk=cndc-detail)初期阶段以及如何将传统网络架构融入其中的思考过程。  自2018年以来，传输网关的问世彻底改变了VPC与内部网络之间的连接方式。  领导者们强调，亚马逊云科技的编程化基础设施具有强大的魔力，能够加速交付速度、降低成本并提高创新能力。  得益于亚马逊云科技的自动化能力，Capital One变得更加坚韧，减少了故障事件，并将曾经极为困难的复杂网络连接和扩展变得轻而易举。  领导者们展示了亚马逊云科技如何借助传输网关连接数千个VPC，测试区域故障场景，并通过有效的IP地址管理实现大规模扩展。  最后，领导者们向观众们发问：你们将如何用亚马逊云科技去创造美好未来？。  ## 总结 亚马逊云科技在云计算领域取得了显著的进步，以满足客户日益变化的需求。对于支持全球范围内的协作和分享思想，网络基础设施至关重要。为了突出近期的创新成果，亚马逊云科技探讨了Nitro系统如何提升了EC2实例的性能，实现了单实例最高200Gbps的带宽。同时，他们展示了如何通过重新设计数据中心网络为AI/ML工作负载提供更高需求的支持，实现16%的延迟降低和更大的规模。此外，他们还宣布了一系列新功能，包括用于优化网络性能的EC2实例拓扑API、提高网络吞吐量的ENA快速通道以及简化SD-WAN集成的通道连接。这些功能使得客户能够构建更优化的网络拓扑并将其广域网带向新的高度。在应用交付方面，亚马逊云科技推出了负载均衡器的异常检测功能，以自动检测和减轻故障的应用程序目标。同时，他们还提供了相互TLS身份验证这一高需求功能，以增强负载均衡器的安全性。亚马逊云科技正在彻底改变网络服务，例如通过VPC框架为开发者消除网络复杂性。他们的目标是提供一个安全的基础设施，如新的威胁检测系统Mad Pot，该系统每天阻止超过一百万次攻击。总之，亚马逊云科技正推动云计算网络向前发展，拥有可扩展的基础设施和功能，使客户能够持续快速创新。他们的进步支持全球范围内的连接和思想交流——网络真正的价值所在。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")