REL 2: 如何规划网络拓扑?
工作负载通常存在于多个环境中。其中包括多个云环境(可公开访问云和私有云),可能还包括现有数据中心基础设施。相关计划必须涵盖网络注意事项,如系统内部和系统间连接、公有 IP 地址管理、私有 IP 地址管理,以及域名解析。
资源
AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking
最佳实践:
-
为工作负载公有终端节点使用高度可用的网络连接: 这些终端节点及其路由必须高度可用。为此,需使用高度可用的 DNS、内容分发网络 (CDN)、API Gateway、负载均衡或反向代理。
-
为云环境和本地环境之间的私有网络预置冗余连接: 在单独部署的私有网络之间使用多个 AWS Direct Connect (DX) 连接或 VPN 隧道。使用多个 DX 位置以实现高可用性。如果使用多个 AWS 区域,请确保其中至少有两个区域存在冗余。您可能想要评估终止 VPN 的 AWS Marketplace 设备。如果您使用 AWS Marketplace 设备,请在不同的可用区中部署冗余实例以实现高可用性。
-
确保 IP 子网分配考虑扩展和可用性: Amazon VPC IP 地址范围必须足够大,以满足工作负载的要求,包括考虑未来的扩展以及跨可用区为子网分配 IP 地址。这包括负载均衡器、EC2 实例和基于容器的应用程序。
-
轴辐式拓扑优先于多对多网格: 如果通过 VPC 对等连接、AWS Direct Connect 或 VPN 连接的网络地址空间超过两个(例如,VPC 和本地网络),则使用与 AWS Transit Gateway 所提供的模型类似的轴辐式模型。
-
在互相连接的所有私有地址空间中必须采用非重叠的私有 IP 地址范围: 多个 VPC 通过对等连接或 VPN 连接时,各个 VPC 的 IP 地址范围不得重叠。与之类似,您必须避免 VPC 和本地环境或与其他您使用的云提供商之间出现 IP 地址冲突。您还必须能够在需要时分配私有 IP 地址范围。
改进计划
为工作负载公有终端节点使用高度可用的网络连接
- 确保您与用户之间具有高度可用的连接
- 如果您的用户通过互联网访问应用程序,请使用服务 API 操作以确保正确使用互联网网关。另外,请确保托管应用程序终端节点的子网的路由表条目正确无误。
DescribeInternetGateways
DescribeRouteTables - 如果用户通过本地环境访问您的应用程序,请确保 AWS 与本地环境之间的连接高度可用。
- 如果您的用户通过互联网访问应用程序,请使用服务 API 操作以确保正确使用互联网网关。另外,请确保托管应用程序终端节点的子网的路由表条目正确无误。
- 确保使用高度可用的 DNS 来管理应用程序终端节点域名
- 使用 Route 53 管理您的域名
What is Amazon Route 53? - 使用符合您要求的第三方 DNS 提供商
- 使用 Route 53 管理您的域名
- 确保在应用程序前使用高度可用的反向代理或负载均衡器
- 使用 Elastic Load Balancing
What is Elastic Load Balancing? - 使用符合您要求的 AWS Marketplace 设备
- 使用 Elastic Load Balancing
为云环境和本地环境之间的私有网络预置冗余连接
- 确保您拥有面向本地环境的冗余连接: 您可能需要面向多个 AWS 区域的冗余连接,以满足可用性需求。
AWS Direct Connect Resiliency Recommendations
Using Redundant Site-to-Site VPN Connections to Provide Failover- 使用服务 API 操作确定 Direct Connect 线路的正确使用
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - 如果您仅有一个或没有 Direct Connect 连接,请设置连接虚拟私有网关的冗余 VPN 隧道
What is AWS Site-to-Site VPN?
- 使用服务 API 操作确定 Direct Connect 线路的正确使用
- 捕获您的当前连接(例如,Direct Connect、虚拟私有网关、AWS Marketplace 设备)
- 使用服务 API 操作查询 Direct Connect 连接的配置
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - 使用服务 API 操作收集路由表使用的虚拟私有网关
DescribeVpnGateways
DescribeRouteTables - 使用服务 API 操作收集路由表使用的 AWS Marketplace 应用程序
DescribeRouteTables
- 使用服务 API 操作查询 Direct Connect 连接的配置
确保 IP 子网分配考虑扩展和可用性
- 根据您的服务要求、延迟、法规和灾难恢复 (DR) 要求选择相关 AWS 账户和区域
- 确定您的区域 VPC 部署需求
- 确定您是否要部署多个 VPC 连接
What Is a Transit Gateway?
Single Region Multi-VPC Connectivity - 确定您是否需要隔离网络以满足法规要求
- 确定您是否要部署多个 VPC 连接
- 确定 VPC 的大小
- 使 VPC 尽可能大。最初为 VPC 分配的 VPC CIDR 块无法更改或删除,但您可以向 VPC 添加额外的非重叠 CIDR 块。但是,这样可能会分割您的地址范围
- 允许使用 Elastic Load Balancer、Auto Scaling 组、并行 AWS Lambda 调用和服务终端节点
轴辐式拓扑优先于多对多网格
- 如果只有两个此类网络,您只需将其相互连接即可,但随着网络数量的增长,这种复杂的网格连接将变得无法维持。AWS Transit Gateway 提供易于维持的轴辐式模型,允许在您的多个网络中路由流量。
What Is a Transit Gateway?
在互相连接的所有私有地址空间中必须采用非重叠的私有 IP 地址范围
- 捕获当前的 CIDR 使用量(例如,VPC、子网等)
- 使用服务 API 操作收集当前的 CIDR 使用量数据
- 捕获您当前的子网使用量
- 使用服务 API 操作在每个区域中按 VPC 收集子网
DescribeSubnets - 记录当前使用量
- 确定您是否创建了任何重叠 IP 范围
- 计算备用容量
- 记录重叠的 IP 范围: 您可以迁移到新地址范围,或使用 AWS Marketplace 的网络和端口转换 (NAT) 设备(如果需要连接重叠范围)。
- 使用服务 API 操作在每个区域中按 VPC 收集子网