准备好下一步了吗？为增长和灵活性设计网络

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/NET310-Ready_for_what_s_next__Designing_networks_for_growth_and_flexibility-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 亚马逊云科技网络从一个 VPC 开始，但从那时起发生了很大变化，您需要为下一步工作做好准备。本论坛着眼于设计卓越且适应性强的云网络的实际策略。借鉴数万亚马逊云科技客户的经验，随着简单的网络变得越，越大和越，越复杂，请遵循该网络。了解如何使用 Amazon Transit Gateway、Amazon Cloud WAN 和 Amazon Direct Connect，增加弹性、扩展性和混合连接，并满足应用程序网络的需求。此外，获取您现在可以实现的参考架构！ ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1700字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 尊敬的先生开始了精彩的演讲，热情地欢迎观众们参加讨论如何建立增长和灵活性网络的最佳实践的会议。他自我介绍是亚马逊云科技的主解决方案架构师，他的同事本，来自Sonos的主要网络工程师，稍后会分享Sonos在亚马逊云科技上建立网络的过程。 先生在演讲中指出，每个组织在云计算的采用过程中都会面临各种挑战，无论是迁移现有的应用程序还是创建新的应用程序。随着生成性人工智能的发展，应用程序的数量将会迅速增长。作为网络工程师和架构师，我们的任务就是构建能够扩展并适应不同应用程序需求的网络——这就是我们今天要探讨的主题：为增长、灵活性和弹性设计架构。 先生进一步解释道，网络的规模和复杂性有很多方面。对于具有高吞吐量需求的应用程序，网络架构师必须考虑合适的实例类型、负载均衡技术和流量分配机制以满足需求。例如，某个应用程序可能需要极高的吞吐量，每秒数千兆比特，这就需要优化网络性能的实例类型以及跨服务器和可用区的智能负载均衡。精确地引导并在资源之间分割流量对于高吞吐量应用程序来说至关重要。 对于具有大量不同内部和外部连接需求的应用程序，隔离和安全变得尤为重要，同时也要支持灵活的连接。有些应用程序可能完全内部，而其他应用程序则需要互联网访问。在信任程度不同的应用程序之间强制隔离和访问控制是必要的。网络必须提供安全的内部或外部连接选项。 对于拥有多个业务部门的大型企业，路由隔离和分段是必需的。业务部门通常代表不同的安全域。网络基础设施必须允许在业务部门之间隔离路由，以限制横向访问并提供周边安全。 一个虚拟私有云（VPC）包含256,000个网络可用单元（NAU）。这些VPC可以是配对的，从而增加至512,000个NAU。为了保持在这个限制内，建议使用CloudWatch进行监控。 一种常见的导致大型VPC的策略是VPC共享，即在一个账户中共享具有各种应用程序组件的VPC。这允许组件之间实现低延迟连接并降低数据传输成本。然而，这种策略的缺点是庞大的NAU、复杂的安全组和访问控制列表以及更大的故障影响范围。 先生建议的一种更好的方法是将与业务部门捆绑在一起的VPC共享，例如由市场营销团队共享的市场营销VPC。关键在于避免超过网络可用单元配额的巨大VPC。 至于VPC间的连接性，先生概述了Transit Gateway和Amazon Web Services Cloud WAN都支持中心辐射式设计。 以下是关于Transit Gateway和亚马逊云科技(亚马逊云科技)Cloud WAN的关键功能和限制的概述。Transit Gateway的主要功能包括连接多达5000个附件、通过跨区域对等连接实现全球连通性、需要按区域配置的区域性服务、增强的混合规模——每个直接连接可以到达6个过渡网关,每个过渡网关有4个连接、通过区域路由表分段提供安全性以及性能最高可达每附件/AZ 100 Gbps。然而,Transit Gateway的局限性在于其区域性操作、复杂的静态路由要求和全球范围内的分段不扩展。 相比之下,Amazon Cloud WAN提供了完全托管的、在多个区域部署的Amazon Web Services Cloud WAN Edge(CNE)、将网络连接到最近的CNE以实现自动的全球路由、连接数千个网络(默认5000个附件)、通过亚马逊云科技 Network Manager实现全球网络可视性、通过全球分段提供安全性以及性能最高可达每附件/AZ 100 Gbps。此外,Amazon Cloud WAN具有自动化、动态路由和全球管理的优势。因此,专家建议对于全球网络架构,首选使用Amazon Cloud WAN。然后,可以根据具体需求添加特定的连接选项,如VPC对等连接、亚马逊云科技 PrivateLink和亚马逊云科技 VPC Lattice。 在覆盖其他规模考虑因素时,专家推荐了分层IP编址设计可汇总的IP范围(地区、环境、应用程序等)和使用IP Address Manager;标准化集中式但允许例外情况,例如通过WAF保护的负载均衡器实现的分布式互联网入口点;从一开始就正确设计VPC和IP地址;使用Direct Connect进行混合流量以避免区域依赖性;以及推荐使用无隧道连接而非基于GRE的连接作为SD-WAN连接。 最后,专家通过示例架构进行了总结。 Transit Gateway 向 Cloud WAN 的迁移 - 设置可比较的分段，关联路由表，逐个迁移 VPC。这包括了 SD-WAN 连接，在 VPC 中部署 SD-WAN 设备，创建与分段的 Connect 附件。针对扩展需求使用无隧道的 Connect。此外，还可以在本地扩展分段，使用 SD-WAN 时，通过多个 Connect 附件和 VRF 来实现；使用 Direct Connect 时，则可以通过 Transit Gateway 路由表或无隧道的 Connect 来实现。对于到本地的动态路由，SD-WAN 和 Direct Connect 会自动建立 BGP。 Sir 总结了一些关键要点： 1. 使用 Well Architected Framework 来关注应用需求。 2. 选择默认的连接模式并添加专用的选项。 3. 构建具有集中资源的中心辐射式设计。 4. 采用网络自动化和 DevOps 实践，如基础设施即代码。 5. 正确掌握 VPC 设计和 IP 寻址基础。 6. 使用 Direct Connect 实现混合流量而无区域依赖。 7. 推荐使用 SD-WAN 时的无隧道 Connect。 8. 了解 Cloud WAN 路由优先级以优化路由。 9. 通过 guardrails 实现具有分布式例外情况的集中资源。 10. 持续评估新的亚马逊云科技服务集成。 来自 Sonos 的 Ben 分享了他公司的经验。他们是一个领先的音频体验创新者，拥有超过 20 年的经验和数千万的专利。起初他们在本地运行，后来逐渐过渡到在多个 VPC 和站点间的 VPN 混合架构中运行工作负载。然而，这种初始混合方法在他们添加更多 VPC 时无法很好地扩展。于是他们部署了 Transit VPC 以获得动态路由功能，但 Transit VPC 在容量上有限制，并且需要复杂的每区域部署自动化。直到 2022 年，他们最终迁移到了 Cloud WAN，满足了对全球网络的需求，可以连接数百个 VPC，具有充足的跨区域容量、成本效益和资源共享灵活性。 分享云广域网核心网络集中化技术使得各个产品团队能够在无需网络团队介入的情况下自主接入所需的虚拟专用云（VPC），从而提高了灵活性。通过将自动化流程迁移至亚马逊云科技，云广域网网络策略大大减少了自动化需求。尤其是基于标签的自动将附件分配到合适分段的策略受到了高度评价。为了实现互操作性，BGP和OSPF支持提供了所需的动态路由功能。在云广域网上的集成包括SD-WAN、Direct Connect以及其他网络变得非常简单。此外，出口NAT容量从50Gbps增加到了100Gbps，进一步提升了灵活性。采用宏观分区及流量检测功能，增强了网络安全性能。 展望未来，我们期待与亚马逊云科技的新网络服务进行集成，并利用无隧道连接拓展SD-WAN的对等连接。我们要感谢亚马逊云科技团队倾听像Sonos这样的客户需求并提供了解决企业实际挑战的服务，例如云广域网。我们建议听众查阅Sonos的案例研究，以获取更多关于其云计算之旅的详细信息。 在总结发言中，Sir感谢Ben分享了Sonos富有洞察力的客户案例。他强调了网络学习资源的可获取性，以便深入了解更多关于如云广域网等服务的信息。接着，Sir启动了提问环节，强调了这个会议是多么引人入胜。 总的来说，这段视频全面阐述了构建可扩展、高性能、安全且高效运营的全球云网络的最佳实践和关键考量。亚马逊云科技专家以及现实世界中客户的观点强调了如何将诸如Transit Gateway和Cloud WAN等服务与技术相结合，以满足现代应用环境的需求。 **下面是一些演讲现场的精彩瞬间：** 本文主要探讨了Sonos公司如何运用亚马逊云科技的网络安全技术来推动其增长与发展。  文章强调了选择合适IP编址方案以便于分层管理的重要性。  演讲者还展示了如何在各个地区通过Cloud WAN实现传输网关间的动态路由，从而使得不同环境（如生产与开发）能够在不同地区进行对等连接。  此外，演讲者解释了如何通过具备VRF功能的SD-WAN设备将传输网关节段扩展至企业内部网络，从而实现对这些网段的隔离。  领导层强调了解决基本问题（如虚拟专用网络和IP地址设计）以预防未来面临规模挑战的重要性。  最后，文章提到了使用亚马逊云科技CloudFormation通过编码定义基础设施来自动化流程的优势。  ## 总结 专业人士对网络设计的理解——虚拟专用云（VPC）和IP编址方案的运用需要适应增长并进行优化。虽然共享VPC有其优势，但也要注意不要创建过大的VPC。遵循DevOps原则实现网络自动化，将基础设施视为代码，验证变更并融入安全性。这有助于简化规模化运作。采用亚马逊云科技 Cloud WAN或Transit Gateway作为中心节点来构建中心辐射式网络设计。首先连接本地工作负载，然后通过全球骨干网进行路由。同时，利用Direct Connect在本地扩展连接以提高性能。对于远程办公室，可以使用SD-WAN。全新的无隧道选项简化了设置过程。最后，借助Cloud WAN的全球动态路由和集中化管理功能，随规模扩张无需手动配置。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")