利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境(三)

阅读数:1 2020 年 1 月 9 日 15:58

利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境(三)

Direct Connect 为主,VPN 为备用线路

如果需要高可用,我们还可以在使用 Direct Connect 的前提下,再建立单独的 Site-to-Site VPN 连接到不同的 Transit Gateway 上。

  1. 我们需要先创建一个 Customer Gateway,写入本地路由器的公网地址,并且选择动态路由协议。
  2. 创建 Transit Gateway Attachment,类型选择 VPN,选择刚才创建的 Customer Gateway 和动态路由协议。并建议开启 Enable Acceleration 选项,这个也是 2019 年底出的新功能,能利用 AWS 骨干网和边缘节点让本地路由器更快接入到 AWS 内网中,详情可查看 Accelerated Site-to-Site VPN Connections 利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境(三)
  3. 其他配置可以保持默认
  4. 创建完成后,下载本地路由器的配置文件,然后根据配置文件配置本地的路由器。
  5. 每一个 VPN 连接都会包含 2 个 Tunnel,配置正确后两个 Tunnel 的状态应该都是 up 的。

关于 Site to Site VPN 配置指南,可以查看官网教程

Network Manager

我们还可以利用刚发布的 Network Manager 服务来查看不同的 Transit Gateway 之间以及和本地网络之间的流量数据和状态,比如网络吞吐,丢包率等等信息。

我们还能添加本地设备到这个拓扑图中(比如图中东京的这个路由器)。

利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境(三)

总结

本文主要讲解了如何利用 AWS Direct Connect Gateway,将本地网络接入到 AWS 的区域,并且借助 Transit Gateway 接入到不同的 AWS 区域的不同 VPC。不仅有效解决南北流量(本地数据中心到云上)的通行,也解决了东西流量(不同区域的不同 VPC 之间)的通行,真正地让我们整个网络都完全打通了,而不需要像以前那样需要做很多 Peering,需要管理很多点对点的连接,很大程度上减少了管理的复杂度。

另外在 Transit Gateway 上我们可以创建不同路由表,这个类似 VRF (Virtual Route Forwarding) 的概念,我们可以创建不同的路由区域,让 A 区域可以访问 B 区域,但是 C 区域能访问 A 区域却不能访问 B 区域等。在一些网络设计中我们可能需要对这些流量进行精细化控制,比如所有的 VPC 之间都不能互相访问,但是所有 VPC 都能访问一个共享服务 (Share Service)的 VPC。

Transit Gateway 是云上的路由器,而且目前已经能支持跨区域的 Peering 了,给我们做路由控制和流量控制带来了很大的方便。它本身也是高可用的,并且也能承载非常高的流量,我们不用再担心给这个路由器升级,打补丁,扩容的问题了!

我们还可以巧妙利用 Transit Gateway 和 AWS 的全球骨干网来减少企业网的全球网络部署成本,减少目前我们在 MPLS 上的线路支出,具体请期待下一篇相关文章!

作者介绍:

!
复制代码
亚马逊 AWS 解决方案架构师,负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。现主要负责初创企业行业解决方案,曾任职于 IBM,联想,Avnet,多年大型企业网络架构和运维经验。

本文转载自 AWS 技术博客。

原文链接: https://amazonaws-china.com/cn/blogs/china/creating-a-multinational-enterprise-network-environment-with-direct-connect-gateway-and-transit-gateway/

评论

发布