关键字: [Amazon Web Services re:Invent 2023, Vpc, Subnets, Transit Gateway, Hybrid Connectivity, Direct Connect]

本文字数: 1800, 阅读完需: 9 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1QH4y117WT

导读

在本论坛中，学习一种有条理的方法，以帮助您从策划的亚马逊云科技绿地体验中构建亚马逊云科技网络。了解网络连接模型，从单个地区的单个 VPC 开始，发展到混合云环境，将本地网络集成到全球网络连接模型中，以及亚马逊云科技合作伙伴网络如何帮助您完成愿景。探索 Amazon VPC、Amazon Transit Gateway、亚马逊云科技站点到站点 VPN、Amazon Direct Connect 和 Amazon Cloud WAN 等服务，并了解在亚马逊云科技上联网的一般建议。

演讲精华

以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

亚马逊云科技在re:Invent上举办了一场关于网络基础架构的研讨会，由主持人Mike Cormier、Anand Kurri和Naan Prakash共同主持。他们强调了理解亚马逊云科技网络基础架构的重要性，因为每个应用都是基于网络运行。

Mike首先概述了亚马逊云科技为全球客户提供的基础设施，包括其遍布全球的32个地理区域。这些区域作为亚马逊云科技数据中心集群的位置，使得客户能够在全球各地部署基础设施。在每个区域中，亚马逊云科技通过低延迟链接将隔离的区域（称为可用区）相互连接，形成一个冗余网络拓扑。这使得客户的资源如EC2实例或数据库在可用区之间能够高效地通信。

在更高的层次上，亚马逊云科技使用中转中心将可用区相互连接并连接到亚马逊云科技的全球网络。每个区域至少有两个中转中心，以便为中转到其他区域的流量提供冗余路径。这个全球网络是亚马逊云科的私有光纤网络，它使用亚马逊云科拥有的基础设施以及来自电信合作伙伴的租用容量来连接地区。

Mike强调，这种亚马逊云科技全球基础设施使客户能够在几分钟内将资源部署到任何地方。接下来，他转向讨论了客户如何在亚马逊云科技上创建他们的第一个VPC网络。他表示，VPC就像亚马逊云科的虚拟数据中心网络环境。客户获得一个大规模的私有IP地址范围，并将其划分为跨可用区的子网，类似于他们将数据中心网络划分为虚拟局域网(VLAN)的方式。VPC支持IPv4和IPv6寻址，提供了灵活的网络设计。

在创建虚拟专用连接（VPC）时，一个关键的决策是确定公用和私有子网。公用子网具有一个通往互联网网关的路由，而私有子网则没有。这决定了子网内的资源（例如Amazon EC2实例）是否能够直接访问互联网。

网络访问控制列表（ACL）提供了子网级别的进出安全保护，其功能类似于防火墙规则。客户可以利用这些规则来允许或拒绝子网之间的特定协议和端口。

路由表确定了数据包在子网之间以及到VPC之外资源（例如互联网）的路由方式。每个子网都与一个特定的路由表相关联。公用路由表包含通往互联网网关的路由，而私有路由表则不包含。

互联网网关是一个可水平扩展且冗余的组件，用于允许VPC与互联网之间的双向通信。它支持IPv4和IPv6流量。客户需要将其附加到其VPC，并修改路由表以将公用子网的流量路由到互联网网关。

弹性IP地址提供了一个静态IPv4地址，可以动态映射到资源（例如Amazon EC2实例）。这有助于客户在替换资源时避免更新IP允许列表。客户可以分配一个弹性IP地址，与其关联到一个实例，然后在需要时可以解除关联并重新关联。

对于只需要出站互联网访问的私有子网，客户可以部署NAT网关。NAT网关位于公用子网中，并为到达互联网的私有IPv4流量执行网络地址转换。客户将私有子网流量路由到NAT网关，然后NAT网关通过公用子网的互联网网关发送它。

VPC端点提供了从VPC到支持的亚马逊云科技服务的私有连接，例如Amazon S3，而不需要通过互联网路由。流量将留在亚马逊云科技网络且从不穿越公共互联网。客户需要在其VPC中建立端点，并更新路由表以将流量引导到该端点。

亚马逊云科技在VPC内提供托管DNS解析，使客户能够为其资源使用自定义DNS主机名。客户还可以将VPC DNS与Route 53私有托管分区相结合以管理私有域和记录。

Mike总结说，从一个单一的VPC开始涉及到选择地区，定义可用性区域，创建VPC和子网，配置路由表和互联网网关，以及在公用或私有子网中启动EC2实例。

他随后邀请同事Naan一起讨论从单一VPC扩展至多个VPC和区域的相关问题。

Naan首先阐述了多个VPC的一些常见应用场景。例如，客户可以利用它们来实现应用层次的隔离，在全球范围内分布应用，或者在应用之间实现文件共享。

要实现VPC间的连接，关键技术是VPC对等互联。通过亚马逊云科技的骨干网络，在VPC间建立私有连接。VPC可以在同一个或跨越不同区域和亚马逊云科技账户中进行对等互联。

Naan解释道，在对等互联连接建立后，客户需在每个VPC中定义路由表条目，以便将目标为对等VPC的流量通过对等连接进行路由。此外，安全组也可以引用对等VPC中的资源。

然而，VPC对等互联的一个局限在于其非传递性——即每个VPC必须明确与其他需连接的VPC进行对等互联。这对于大型的多VPC环境可能变得操作复杂。

为了解决这种复杂性，亚马逊云科技提供了一个名为传输网关的解决方案。传输网关作为区域的虚拟路由器，提供传递连接。客户将他们的VPC、VPN、直接连接等连接到传输网关，而传输网关会动态处理穿越所有连接到它的网络的流量。

传输网关可将复杂的网络拓扑简化为易于管理的中心辐射模型。它们支持具有动态和静态路由的路由表，使客户能够控制哪些VPC可以进行通信。传输网关可扩展至100 Gbps的吞吐量。

此外，客户还可以在不同区域中对等传输网关，以实现在全球范围内的企业和云环境连接。总的来说，传输网关大大减少了管理大量VPC对等互联的操作负担。

当谈到混合连接选项时，Anand从亚马逊云科技的VPN概述开始讲起。VPN使用IPsec隧道安全地连接客户的网络至亚马逊云科技。每个VPN连接由两个隧道组成，以实现冗余。VPN可以通过虚拟专用网关连接单个VPC，也可以通过传输网关连接多个VPC。

在使用静态路由时，流量会在隧道间进行随机负载均衡。Anand注意到，在这种情况下，客户需要确保其内部网关支持非对称路由。虚拟专用网关每隧道最高支持1.25 Gbps的吞吐量。若要超过此吞吐量，客户可在多个VPN连接中创建到传输网的多个连接并使用等成本多路径路由。这允许通过增加更多连接来扩大聚合吞吐量。

接着，Anand探讨了亚马逊云科技的Direct Connect，它在亚马逊云科技和内部场地之间提供了一个专用的私有连接。流量绕过公共互联网，并通过亚马逊云科技的全球网络传播。这带来了稳定的性能并降低了数据传输费用。

亚马逊云科技Direct Connect需要在靠近客户场地的Direct Connect地点设施建立连接。亚马逊云科技的合作伙伴可以帮助设置此连接。可用的专用端口速度选项范围从1 Gbps到100 Gbps。

与VPN类似，Direct Connect可用于对全球资源进行访问。传输网关在多个Direct Connect链路间的流量负载均衡方面非常有用。

Anan指出，客户可以通过在Direct Connect上实施IPsec VPN来实现VPN的安全性以及Direct Connect的性能结合。Direct Connect提供一个基本专用连接，而加密的VPN隧道位于其上。

为了冗余，客户可以将Direct Connect用作主连接，而VPN则用于故障切换。当Direct Connect链接下降时，流量将通过VPN隧道路由。客户还可在不同位置部署多个Direct Connect电路以获得最大弹性。

Anan最后讨论了整合内部和云DNS解析的方法。Route 53 Resolver通过提供入站和出站DNS解析端点消除了对条件转发的需求。客户配置Resolver规则以在网络和亚马逊云科技之间转发DNS查询。

最后，Anan介绍了亚马逊云科技Cloud WAN，它简化了跨越多个区域、账户和内部位置的全球网络架构。客户在其区域内部署Cloud WAN核心网络元素，这些元素通过核心网络元件动态互连。这替代了管理传输网关、VPN和Direct Connect的复杂性，实现了自动化的全球网络连接。

总的来说，亚马逊云科技的'网络基础'视频深入探讨了在单个地区或全球范围内设计和连接虚拟专用网络（VPC）的方法。该视频涵盖了关键网络概念，如子网、路由表、VPC对等互联、传输网关、VPN以及直接连接等。客户可以利用亚马逊云的托管网络服务和全球基础设施，轻松部署各种类型的混合或云原生网络架构。

下面是一些演讲现场的精彩瞬间：

领导者对那些在拉斯维加斯参加亚马逊云科技re:Invent的观众表示感谢，并向那些远程观看的人表示赞赏。

演讲强调了亚马逊云科技如何帮助客户从创建一个VPC开始，逐步扩展其基础设施。

亚马逊云科技通过内置的解析器支持私有托管区域，使得应用程序能够将其DNS名称解析为VPC内的私有IP地址。

构建高度可用且安全的VPC之旅始于选择跨越不同VPC的区域和可用性区域，添加公共和私有子网、路由表、互联网网关，并最终将资源放置在适当的子网中。

传输门户默认在所有附接之间传播路由，从而实现多个VPC、VPN和直接连接之间的连接。

虚拟专用门户允许客户通过VPN将其内部网络连接到其亚马逊云科技VPC。

总结

本次演讲主要介绍了亚马逊云科技在网络方面的基本知识，从单一虚拟私有云（VPC）开始，逐渐延伸到多个VPC、混合连接以及高级网络功能。演讲者首先详细解释了VPC的各个组成部分，包括子网、路由表、互联网网关、NAT网关和VPC端点。他们通过阐述如何配置具有公共和私有子网的VPC、如何接入互联网以及如何启用仅出站连接，逐步深入讲解了相关内容。

接着，演讲者们探讨了如何将VPC对等连接扩展至多个VPC，并重点讲解了应用场景以及如何使用路由表来控制VPC间的通信。随着VPC数量的增加，采用过渡路由和中心辐射模型变得至关重要，而这是亚马逊云科技的传输网关所发挥的作用。传输网关作为中枢机构，能够简化大量VPC和虚拟专用网络（VPN）之间的连接。

关于混合连接，演讲者解释了如何将VPC与亚马逊云科技的内部VPN相连，以及如何使用专用连接的Direct Connect。他们还概述了高可用性、流量工程以及结合VPN和Direct Connect的架构设计。此外，还涉及了一些高级功能，如跨内部和云的DNS解析，以及简化全球网络的亚马逊云科技Cloud WAN。

在整个演讲过程中，演讲者根据典型的客户使用场景和网络最佳实践给出了相关建议。他们强调要从简单的单一VPC开始，逐步拓展网络，并同时精心规划IP地址范围，以便未来进行扩展。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134785397

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。