EN
企业如何轻松搞定 ,AWS混合组网?
来源: | 作者:proa2ca1f | 发布时间: 2020-03-02 | 2948 次浏览 | 分享到:
您在使用多个VPC时

是否也因其互通实现的复杂性而苦恼?

构建AWS云上业务的第一步就是配置Amazon Virtual Private Cloud。

客户IT团队正忙着帮助公司以各种各样的方式配置他们的 VPC,并部署许多网络连接选项和网关,包括 AWS Direct Connect、NAT Gateway、IGW、VPC Peering、AWS 托管的 VPN 连接等。

JOS云团队经常会发现客户使用分布在 AWS 账户和区域内的多个 VPC。由于VPC之间只能做对等Peering连接,无法传递的特性,部署多VPC的连接环境会变得非常复杂,VPC之间不得不通过full mesh的对等连接来实现互通性。

如何解决VPC无法互通的问题?

好消息是今年AWS中国正式推出全新的AWS Transit Gateway!

今天,我们可以借助全新的 AWS Transit Gateway,构建中心辐射型网络拓扑,可以将现有的 VPC、数据中心、远程办公室和远程网关连接到托管的Transit Gateway,简化整体网络架构,降低运营开销,并集中管理外部连接。

AWS Transit Gateway是什么?
AWS Transit Gateway 是一项服务,使客户能够将 Amazon Virtual Private Cloud (VPC) 及其本地网络连接到单个网关。面对数百个 VPC使用对等连接组成Amazon VPC 对时,此解决方案的构建可能非常耗时,也难以进行管理。使用 AWS Transit Gateway,只需创建和管理从中央网关到网络中每个 Amazon VPC、本地数据中心或远程办公室的单个连接,从而显著简化管理并降低运营成本,使您可以随着增长轻松扩展网络。


②  AWS Transit Gateway如何帮助您解决问题?

传统的VPC连接是利用VPC Peering功能,将区域内或者跨区域之间的VPC进行连接,利用Direct Connect 或VPN实现非AWS基础设施与AWS的互联。
每一个 VPC 都需要单独建立一个 VPC Peering 到另一个 VPC,同时 Direct Connect Gateway 和 VPN 都需要单独建一个连接到每一个 VGW 上,非常复杂,管理起来也很混乱。

当然我们也可以考虑做一个 Transit VPC,来减少一定的拓扑复杂度,但是我们一样需要考虑 Transit VPC 中软路由的性能,高可用问题。

如果有了 AWS Transit Gateway之后,我们可以将架构图简化为以下这样:


我们只需本地机房通过一条 Direct Connect 专线接入到 AWS,并且使用 Direct Connect Gateway到达两个不同的 Transit Gateway (TGW),TGW 之间做了 Peering。这样设计之后,所有的 VPC 和本地数据中心都能做到两两互通。




③ JOS为您提供专业的VPC互联解决方案
简而言之,要解决多VPC,多类型网络互联场景的问题,JOS为您提出以下专业可选方案:

No.1 AWS 解决方案

正如上面所介绍的那样,采用Transit Gateway方案时,解决了多个 VPC 之间要建立大量对等连接的问题,而配置和之前 Transit VPC的配置方式一样简单,只需要将路由指向Transit Gateway,即可实现 VPC 的互联互通。拓扑如下图:


No.2 第三方安全厂商的解决方案

这里以Fortinet为例,该方案典型拓扑如下:

· Spoke VPC 的 VGW 与 Transit VPC 中的两台 FortiGate 分别建立连接;
· Spoke VPC 的所有非本 VPC 的流量都会通过 VGW 发送到Transit VPC的 FortiGate 上,流量经过过滤后,被允许的流量会通过 IPsec 发送到目的 Spoke VPC 中







获取更多方案详情

HKBN JOS致力帮助您IT运营及数字化转型,让我们了解如何助您成就伟业。

立即咨询 >