专线直连 AWS 建立混合 IT 环境实务指南

阅读数:126 2019 年 11 月 20 日 08:00

专线直连AWS建立混合IT环境实务指南
### **AWS Direct Connect 简介 **
复制代码
云计算已经走入到每个企业中。然而,一些大型企业过去都是自建数据中心,购买了大量的基础设施,在使用公有云服务时又不能抛弃原有的设备,因此采用混合云的方式,既可以保护原有的投资,又可以通过公有云的方式来随时按需使用。很多企业都正在通过混合云的方式来逐步走上全方位采用云的道路。
过去,用户需要通过在传统的公网架设 VPN(Virtual Private Network,虚拟专用网络),来保障数据传输的安全性,但是,这种方式无法完全保证带宽、低延迟、时效性。而 AWS Direct Connect 可以实现低带宽的成本,更稳定的网络性能,更可靠的网络效果,并且可以兼容 AWS 其他的云计算服务帮助用户实现混合云的架构。
AWS Direct Connect 服务使用标准的 802.1q VLAN 标准,可将连接客户数据中心和 AWS 的单个专线连接逻辑分割成多个虚接口(Virtual Interface)。这样客户可以通过同一个连接访问共享资源(如通过公有 IP 地址空间提供服务的 Amazon S3 中的对象)和专有资源(如使用私有 IP 空间在 VPC 中运行的 Amazon EC2 实例),同时又能在公有和专用环境之间保持网络隔离。
如下图所示,从客户路由器到 AWS Direct Connect 路由器的以太网连接上的不同 VLAN 与不同的虚接口相关联,客户可以通过 Public VIF 访问诸如 S3,DynamoDB、AWS API 端点等在公共地址空间中的服务,也可以通过 Private VIF 与绑定到 VPC 的 VGW 相连接,实现对多个 VPC 的访问。
!
AWS Direct Connect 有 1Gbps 和 10Gbps 两种端口可用。客户可以通过建立多个连接来实现更大的带宽和更高的冗余。而对于带宽要求不高的客户也可向支持 AWS Direct Connect 的 APN 合作伙伴预定带宽粒度更细的托管连接。需要注意的是每个托管连接仅能支持访问单个 VPC,或者只能访问公有地址空间的 AWS 服务端点。当然客户可以通过多个托管连接用于访问多个 VPC。
### ** 常见的接入场景及分工界面 **
** 场景一: 客户网络边界已经到达特定 Direct Connect 节点 **
如图所示,客户在特定的 Direct Connect 节点(图中虚框所示位置)所在的机房已经部署了网络边界设备,那么可以向运营该节点的运营商订购 到 AWS Direct Connect 路由器的楼内跳线即可完成连接。
!
此场景下,分工界面较为简单:
!
各部分的技术要求分解如下:
!
** 场景二: 客户通过以太网专线 与 AWS Direct Connect 互联 **
如图所示,客户数据中心的网络边界通过 AWS 合作伙伴或者独立第三方提供的以太网专线相互连接。
!
此场景下, 802.1q VLAN 终结在客户侧路由器上, AWS Direct Connect 路由器与 客户路由器建立 BGP 邻居并相互发布路由信息;这里特别需要关注的是,以太网专线需要支持 VLAN 透传,确保双方向的以太网帧能够携带正确的 VLAN 标签抵达对端。
此场景下,建议分工界面如下:
!
各部分的技术要求分解如下:
!
** 场景三: 客户通过 MPLS 网络与 AWS Direct Connect 互联 **
如图所示,客户数据中心的网络边界通过 AWS 合作伙伴或者独立第三方提供的 MPLS 网络相互连接。
此场景下, 802.1q VLAN 终结在 MPLS 网络的 PE 路由器上, AWS Direct Connect 路由器与 PE 路由器建立 BGP 邻居并相互发布路由信息;
!
建议分工界面如下:
!
各部分的技术要求分解如下:
!
当然对于某些 MPLS 服务提供商而言,上述技术需求不一定能够满足;在这种场景下,客户可以通过在 Direct Connect 节点部署 CE 路由器来解决,此时这个场景就等同于前述场景一,相当于客户把网络边界通过第三方 MPLS 网络延伸到 Direct Connect 节点。
### 案例、经验与最佳实践
** 案例一 **
某客户 A 需要建设连接国内总部和海外某 AWS Region 的以太网专线;因客户自身供应商名单的限制,客户选用了独立的第三方供应商建设专线,在建设过程中由于网络资源和覆盖不全,供应商又将该连接的海外部分链路分包给其它供应商,导致在整个实施过程周期长、沟通成本高、进度缓慢; 在最后楼内跳线环节中出现了尾纤插错口的差错,但是由沟通效率低,该问题耗费了接近一周时间才最终修正。
经验与最佳实践:
* 支持 AWS Direct Connect 的 APN 合作伙伴[1]具备丰富的项目实施经验和完善的流程,能够快速完成 Direct Connect 连接的部署,建议客户在实施时予以考虑 ;
* 楼内跳纤环节,自测环节应当在客户路由器或专线终结设备处面向 AWS 侧做硬环,客户可自助在控制台上观察该连接对应的 AWS 侧路由器的接口的状态,如果连接状态未能从 down 跳转为 up,责说明光纤或连接有异常,需要即时排查;全流程的排查请参见 AWS Direct Connect 用户指南的相关章节[2];
** 案例二 **
某客户 B 在与独立的第三方供应商购买以太网专线的过程中,未能充分沟通 VLAN 透传的技术需求,导致在专线实施的最后验证环节专线供应商因资源利用率的问题拒绝支持此技术要求,除非客户大幅提升专线带宽。
经验与最佳实践:
* 在前期需求沟通阶段客户应与供应商充分沟通所适用场景的技术需求,避免后期被动;
* 部分独立的第三方专线供应商在特定场景下会对提供千兆光口、VLAN 透传等功能,附带要求客户承诺比较高的签约带宽(例如 50Mbps ~ 200Mbps,具体请咨询相关专线供应商)才予以满足;
* 在低带宽、连接单个 VPC 的场景下,建议客户向支持 AWS Direct Connect 的 APN 合作伙伴预定连接;
** 案例三 **
某客户 C 使用场景二所示的以太网专线连接与 AWS 互联,并选用了独立的第三方运营商进行专线建设。在专线铺设过程中,第三方运营商因资源问题无法直接在终结设备上提供 1000BASE-LX 光口,而是 使用了独立的电转光设备完成接口类型转换。在后续的使用过程中,曾经出现由于该转换设备出现故障而导致专线临时中断, 影响了业务可用性。
经验与最佳实践:
* 专线的可用性取决于整条链路中可靠性最弱的一环,客户需要与专线供应商明确各个环节的可用性 SLA 及如何保障的议题 ;
* AWS Direct Connect 支持客户通过多条连接实现相互负载分担和冗余,同时也支持专线与 VPN 之间的相互备份。可用性要求较高的场景下,建议客户通过两个或以上的 Direct Connect 连接,或者采用 VPN 备份方式在专线意外中断时保护业务可用性;
* 专线的备份机制需要时常验证和演练,确保在异常情况下能够按预期工作 ;
** 案例四 **
某客户 D 的业务需求需要一条能够保证从 AWS 海外区域到国内某数据中心的低延迟、稳定的链路用于传输实时视频流。通过与支持 AWS Direct Connect 的 某 APN 合作伙伴订购了一条带宽为 20Mbps 的托管连接,整个实施过程在 3 天以内即告完成,客户实测带宽和线路丢包率、抖动等都符合业务需求,而且该连接的带宽具备一定弹性。该 APN 合作伙伴承诺的扩容等后续服务的响应和实施周期等都明显快于传统方式。
经验与最佳实践:
* 对于小带宽、仅需要与单个 VPC 进行互联的应用场景,支持 AWS Direct Connect 的 APN 合作伙伴的托管连接能够给予客户更快的实施周期和更灵活的签约带宽;在适用的场景、或者项目周期较为紧迫的情况下推荐选用;
* 客户可以订购多个类似的托管连接,实现与多个 VPC 分别互联;
### 参考链接
2] http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/Troubleshooting.html
** 作者介绍 **
!
丁成银
AWS 解决方案架构师,获得 AWS 解决方案架构师专业级认证和 DevOps 工程师专业级认证。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广,在数字媒体、电信、互联网和游戏、企业混合 IT 等方面有着丰富的实践和设计经验。在加入 AWS 之前,历任数字媒体娱乐系统工程师、宽带业务架构师、云解决方案架构师,负责数字媒体娱乐系统、云计算解决方案等服务的咨询和架构设计工作。

本文转载自 AWS 技术博客。

原文链接:
https://amazonaws-china.com/cn/blogs/china/hybrid-it/

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布