使用亚马逊云科技构建混合网络连接

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/TNC217-Building_hybrid_network_connectivity_with_AWS-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 在本论坛中，了解如何以混合模式使用云和现有数据中心。探索亚马逊云科技网络服务，以及如何通过几个用例在现有数据中心和云之间建立混合连接。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共2100字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者John向超过200名热情洋溢的网络专业人士表示欢迎，他们齐聚一堂，共同探讨如何利用亚马逊云科技构建混合网络连接。作为一名经验丰富的亚马逊云科技讲师，John简要介绍了他的职业生涯。起初，他是一名开发者，后来罕见地转型成为了一名网络管理员。 John曾开玩笑地说，作为开发者，他总是傲慢地责怪网络团队的问题，声称自己的代码完美无瑕，而实际问题出在他们的基础设施上。为此，John决定亲自加入网络团队，体验其中的挑战。在这个过程中，他发现大多数问题实际上是由他的代码中的缺陷引起的，而非基础设施不足。 在完成这段令人振奋的网络工作经历后，John于2016年加入了亚马逊云科技的解决方案架构师团队。他幽默地说，亚马逊云科技觉得他说话太多，于是将他调到了培训团队。然而，培训团队也认为他过于唠叨，最终将他交给了宣传团队。然而，宣传团队认为他说得还不够多，因此又将他送回了现在的培训机构。基于这样的背景，John表示很高兴能与大家共同探讨网络问题，并在过程中分享一些幽默故事，引发观众的笑声。 在讨论关键趋势时，John引用了Gartner的一项统计数据，该数据显示，88%的企业已经采用了云优先战略，但仍有86%的企业仍在运营大量的传统基础设施。他认为，这表明迫切需要混合连接解决方案来连接传统数据中心和基础设施与云端。 接下来，John概述了亚马逊云科技的全球基础设施情况，指出目前全球共有32个亚马逊云科技区域可用，分布在美洲、欧洲、中东、非洲和亚洲太平洋地区。他强调，他期待着加拿大西部的推出，预计将于2023年底或2024年初上线，但目前仍显示为“建设中”。 约翰解释说，该地区包含了多个被称为可用区的隔离位置，这些可用区本身容纳着实际的亚马逊云科技数据中心。然而，他强调，亚马逊云科技还在全球范围内运营了超过250个边缘位置，被列为服务点。与32个区域数据中心集群相比，这些边缘在全球范围内提供了更细粒度的存在。约翰强调，在讨论混合连接选项时，这种广泛的全球Region和边缘足迹将是一个重要的考虑因素。 转换话题，约翰介绍了一个虚构企业AnyCompany的客户故事，该公司运营两个内部数据中心，并希望将其大部分工作负载迁移到亚马逊云科技。然而，AnyCompany需要能够轻松地全球扩展其基础设施，处于高度监管的行业，并要求强大的安全性。 约翰阐述了一种将AnyCompany连接到亚马逊云科技的混合网络架构，从在美国东海岸的亚马逊云科技Region部署一个虚拟专用云开始。要将VPC连接到AnyCompany的数据中心，他在亚马逊云科技中部署了一个具有两个公共IP地址的虚拟专用网关以实现冗余。 这个网关通过公共互联网建立了到客户网关(位于纽约数据中心的自有路由器)的IPsec VPN隧道，该网关具有自己的公共IP地址。约翰解释道，每个VPN连接可以提供高达1.25Gbps的吞吐量。因此，这个网关对网关的VPN架构为AnyCompany提供了两个冗余的1.25Gbps IPsec隧道，以在他们的数据中心和亚马逊云科技之间提供高可用性连接。 为了将连接扩展到AnyCompany在迈阿密的第二个数据中心，约翰只是创建了到该地点的另一客户网关的两个额外的VPN隧道。他注意到，通常，所需的IPsec连接的数量等于访问的亚马逊云科技Region数量乘以连接的VPC数量的倍数。 所以，对于两个数据中心、一个亚马逊云科技Region和一个VPC，AnyCompany需要四个VPN连接。然而，约翰指出，随着AnyCompany在其多个Region和VPC中扩展其云足迹，这种配置可能会变得非常复杂且难以管理。 作为替代方案，约翰建议采用亚马逊云科技的Transit Gateway来简化路由并提高带宽可扩展性。通过将一个区域中的所有VPC连接到过渡网关，AnyCompany将他们的VPN连接减少到仅数据中心数量乘以区域的数量。在这种情况下，两个数据中心和一个亚马逊云科技区域只需要两个连接即可，而非四个。 约翰还表示，过渡网关支持等成本多路径路由，这使得VPN隧道的总带宽可以被用于总共2.5Gbps的使用。这给了AnyCompany使用他们双VPN隧道的全部带宽的灵活性。 接着讲述，约翰透露AnyCompany的需求已经扩大到包括全球数千家分支机构的安全访问，需要一致的网络性能到亚马逊云科技。虽然亚马逊云科技Direct Connect可以提供这种服务，但配置专用光纤连接需要大量时间。 相反，约翰展示了AnyCompany如何使用亚马逊云科技Global Accelerator服务通过亚马逊云科技边缘网络优化其分支机构到亚马逊云科技的连接。这样可以避免穿越多个公共互联网网络的不可预测性，提高AnyCompany分支机构位置的性能一致性。 接下来，约翰解释道，AnyCompany需要其不断增长的远程员工能够安全地访问在亚马逊云科技VPC中运行的工作负载和应用。他概述了一个使用亚马逊云科技Client VPN的方案，该服务提供了一种可扩展以支持超过60,000个同时连接的托管VPN端点服务。 远程用户可以利用任何标准的OpenVPN客户端通过公共互联网连接到亚马逊云科技Client VPN。约翰指出，用户首先需要通过SAML、Active Directory或相互认证TLS证书进行验证。 经过验证后，Client VPN可以根据配置的授权规则为基础为特定VPC提供细粒度的访问权限。为了实现授权访问，Client VPN使用放置在VPC子网中的弹性网络接口背后的源网络地址转换功能。 约翰指出，必须将这些ENI应用到适当的安全组中以限制只允许来自AnyCompany客户池的批准来源的访问。最后，他展示了如何过渡网关可以用来允许AnyCompany在美国东部地区的Client VPN服务连接到其他地区如美国西部的VPC。 John随后表示，AnyCompany目前正在将更多的业务迁移到Amazon Web Services（亚马逊云科技），并且需要建立一个稳定、高效且成本合理的连接，以便与内部环境实现无缝集成。他认为，亚马逊云科技的Direct Connect可能是一个理想的选择，因为它可以在AnyCompany的路由器与亚马逊云科技网络之间建立一个专用的物理连接。 John强调，为了确保安全，可以在10G和100G的Direct Connect连接上启用MACsec加密技术来保护AnyCompany的数据流。然而，由于AnyCompany在亚马逊云科技的任何Direct Connect设施中都不存在，John建议与亚马逊云科技的Direct Connect合作伙伴共同建立一个本地环路连接。 这些合作伙伴可以提供高达10G的托管连接，并通过管理连接容量进行二次销售。但是，合作伙伴只能为AnyCompany提供一个托管的虚拟接口。因此，额外的容量或备份只能通过合作伙伴建立多个托管连接来实现。 为了满足高可用性和跨地区的需求，John向AnyCompany展示了在美国东西海岸的不同亚马逊云科技设施中建立两个1G的Direct Connect专用连接的方法。尽管在不同设施中的连接不支持链路聚合，但John展示了如何通过BGP社区来控制路由，以及如何使用等成本多路径路由将AnyCompany的流量引导到不同的链路上。 John提醒听众，Direct Connect的主要优势在于其较低的数据传输速度，而非成本节省——除非涉及到大量的100 Tbps以上的流量。他估计，AnyCompany需要仔细评估为其工作负载建立冗余Direct Connect的成本是否合理。 以这个例子为例，John指出，AnyCompany意识到他们每月有数PB的[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)流量仍在使用他们的互联网连接。他重申，S3是一种区域性服务，具有公共IP地址，并与VPC隔离。 通过在Direct Connect上创建一个公共虚拟接口，AnyCompany可以绕过不确定的互联网，访问S3和其他亚马逊云科技公共服务，从而为他们庞大的S3使用提供一致的性能并减少数据传输费用。 最后，John再次讨论了AnyCompany全球分支机构对于一致性能的需求。他展示了如何结合亚马逊云科技的Global Accelerator服务和Transit Gateway来优化到亚马逊云科技边缘位置的路径，然后再经过AnyCompany的专用VPN连接。 This refers to the advantage of utilizing AnyCompany's direct connections to improve the performance of VPN traffic originating from its global branch locations. Subsequently, John revealed that the security team at AnyCompany requires all network traffic to be encrypted, posing a challenge to their direct connections. He presented two options to achieve full encryption. Firstly, an IPsec tunnel can be established on AnyCompany's direct connection public virtual interface to transmit traffic to Amazon Web Services' gateway, isolating the encrypted traffic from AnyCompany's direct connection infrastructure. Alternatively, by deploying Amazon Web Services direct connection gateways and using transport virtual interfaces, end-to-end private encryption can be achieved without additional hops through public IP addresses. The security team at AnyCompany prefers this method to meet their demand for fully encrypted traffic. Next, John noted that AnyCompany needs to increase the redundancy of its direct connections to achieve high availability. He demonstrated an architecture that utilizes replicated 1G connections and routers between two different Amazon Web Services direct connection facilities on the east and west coasts. Although link aggregation is not supported between facilities, John reiterated how AnyCompany can use BGP communities and equivalent cost multi-path routing to balance load balancing AnyCompany's traffic. This enables AnyCompany to achieve high redundancy for its critical Amazon Web Services connections. Then, John pointed out that AnyCompany has multiple locations connected through direct connections and wishes to exchange traffic among them on Amazon Web Services' backbone network. He showed how this can be achieved using Amazon Web Services direct connection gateway site link functionality, connecting AnyCompany's global connections together. John noted that, although performance may vary due to traffic passing through Amazon Web Services' edge locations instead of optimal internal paths, this gives AnyCompany a convenient way to connect its distributed sites. Finally, John revealed that AnyCompany is inquiring about how to simplify management of its exponentially growing Amazon Web Services network footprint. He responded by introducing Amazon Web Services Cloud WAN (now known as Amazon Web Services CloudOne). 提供了一项自动化管理服务，可应对核心网络服务的部署需求，包括通道网关、客户端VPN和安全等方面。据约翰介绍，通过采用基于标签的资源附和访问策略，AnyCompany已成功地将云宽带与其在亚马逊云科技上的现有网络资源相融合。这使得AnyCompany能够在全球范围内实现网络的自动化管理，并可根据自定义隔离策略来定义网络段。通过这种方式，AnyCompany能够轻松地管理其复杂的混合网络。此外，约翰还向AnyCompany展示了如何在内部环境和亚马逊云科技VPC之间实现混合DNS解析。通过设计入站和出站亚马逊云科技解析器端点，AnyCompany能够将其内部的DNS查询转发至VPC中的解析器，同时将VPC解析器作为Route 53中私有托管区域的权威目的地进行广告。AnyCompany的内部位置共享则使用了亚马逊云科技资源访问管理器的共同Resolver规则，以便将请求转发至出站端点。与此同时，入站端点则通过IP地址引用了AnyCompany的VPC解析器。这种选择性转发方式使得AnyCompany的数据中心和亚马逊云科技云之间得以实现完整的DNS功能。借助Route 53解析器，AnyCompany在其混合环境中实现了无缝的DNS解析。总的来说，约翰强调，使用亚马逊云科技构建混合网络涉及到诸多方面的互连，例如站点到站点VPN、亚马逊云科技直接连接、通道网关、客户端VPN、全球加速器和CloudOne等。为了帮助AnyCompany继续在云计算领域取得进步，他还强调了通过Skillbuilder获取更多的亚马逊云科技网络培训资源和实际操作实验室的重要性。 **下面是一些演讲现场的精彩瞬间：** 约翰是一名来自亚马逊云科技的讲师，他从一个开发者转变为了一名网络管理员，以便更深入地了解开发者所面临的各种网络问题。  现在正是利用亚马逊云科技的传输网关以及Cloud One的灵活性来实现自定义配置的好时机。  通过使用自动连接的云附接策略并添加标签，可以实现在不同账户、区域和VPC之间的应用。  领导者们详细讲解了如何将转发规则配置为一个解析器端点的IP地址，从而使查询能够从VPC内部访问私有托管区域。  此外，演讲者还解释了如何使用RAM技术使得VPC能够在地区间共享出站解析器规则，而同时保持每个VPC的进站规则独立。  ## 总结 从VPN开始用于基本的数据中心连接，但随着多个地区和VPC的复杂性增加，它可能会变得复杂。 - 通过允许一个网关连接到多个VPC和数据中心，传输网关大大简化了连接过程。 - 直接连接提供了高性能且安全的私有连接。可以将多个连接组合在一起以提高可用性。 - 全球加速器改进了远程办公室通过VPN连接的性能。 - 亚马逊云科技客户端VPN安全地将远程工作人员连接到云资源。 - 亚马逊云科技云广域网（CloudOne）进一步简化了跨账户、区域和自有资源的全球网络连接。 总的来说，演讲者概述了构建跨越自有设施和多区域云资源的强大、安全、高性能混合网络的演变选项。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")