Carrier Ethernet

全球企业如何利用AWS构建现代化的广域网

Teh 更新时间 2024年12月24日

快连VPN:速度和安全性最佳的VPN服务

免费试用了解更多

全球公司历史上一直投入大量财力和工程资源来建立广域网（WAN），以便不同地区的人们能够保持连接并作为一个整体运作。这些WAN通常通过领先的电信提供商提供的载波以太网（CE）服务实现，通常称为MPLS服务。

云计算的崛起

近年来，这些企业的IT“重心”迅速从本地数据中心和分支机构转移到了云端。如今，企业主要选择云端来部署他们的应用程序。由于这一重大转变，这些全球企业正在寻找新的方式，以确保全球员工能够连接并访问他们成功所需的重要业务关键应用程序。

架构概述

在本文中，我将描述一个虚构的全球公司——示例公司（Example Corp.）如何利用AWS Transit Gateway、AWS Direct Connect和AWS加速站点到站点VPN架构一个现代、安全、可扩展且具有成本效益的广域网，建立在AWS全球网络之上。

构建模块

在2019年re:Invent大会上，我们宣布AWS Transit Gateway现在支持跨区域对等连接。这意味着连接到某个AWS区域的AWS Transit Gateway的所有Amazon VPC、站点到站点VPN连接和Direct Connect网关可以与其他AWS区域中部署的资源交换流量。跨区域流量经过加密，穿越AWS全球网络，并未暴露于公共互联网，从而减少了攻击面。

AWS全球网络基础设施以高可用性设计和运营，最小化不同位置之间的延迟，并使用AWS拥有和控制的私有网络容量构建。

架构需求

示例公司是一家总部位于英国伦敦的全球企业，在那里他们拥有一个数据中心和总部办公室。他们在全球范围内还有许多分支机构，其中最大的位于洛杉矶和首尔。示例公司大部分应用程序托管在eu-west-2区域（伦敦）和ap-northeast-2区域（首尔），还有一些正在迁移的遗留应用程序托管在伦敦的数据中心。

他们的分支机构需要与AWS区域之间的网络容量为500 Mbps，以及与数据中心之间的10 Mbps。分支机构之间不允许路由。数据中心与AWS区域之间需要5 Gbps的网络容量，以处理数据密集型工作负载的迁移。以下图表总结了这些需求。

设计方案

以下图片展示了设计方案，接下来我将详细解释每个部分。

数据中心

考虑到吞吐量需求（5 Gbps），本地数据中心通过一对10 Gbps的AWS Direct Connect专用连接与eu-west-2 AWS区域连接。我创建两个传输虚拟接口（T-VIF），每个Direct Connect连接一个，并将这些接口关联到Direct Connect网关（dxgw-eu-west-2）。Direct Connect网关连接到在eu-west-2区域配置的AWS Transit Gateway（tgw-eu-west-2）。

我通过BGP路由协议指定Direct Connect通过允许的前缀列表宣布的路由。具体而言，我宣布数据中心必须到达的网络路由（所有VPC、所有分支机构范围）。

我还配置了我们的客户网关（每个Direct Connect连接一个），以与Direct Connect网关建立BGP会话，并在两个Transit VIF上宣传本地路由（10.0.0.0/8网络）。

分支机构

所有分支机构均通过加速站点到站点VPN与AWS连接。这样，我们确保客户数据尽可能靠近客户位置进入AWS全球网络，从而最大化使用AWS骨干网的好处。

我确保这些分支机构具有能够处理所需流量（500 Mbps全双工）的互联网连接，并且客户网关（最好不止一个）支持IPsec VPN技术。有关完整要求列表，请参见此页面。

我为所有分支机构创建三个加速站点到站点VPN连接： - 首尔分支连接到在ap-northeast-2区域配置的VPN连接（vpn-icn）； - 伦敦分支连接到在eu-west-2区域配置的VPN连接（vpn-lhr）； - 洛杉矶分支连接到在eu-west-2区域配置的两个VPN连接（vpn-lax）。