REL 2: 如何規劃您的網路拓撲?
工作負載經常存在於多個環境中。這些環境包括多個 (可公開存取和私有的) 雲端環境,且可能包含您現有的資料中心基礎設施。計畫必須包括系統內和系統間連線、公有 IP 地址管理、私有 IP 地址管理和網域名稱解析等網路考量因素。
資源
AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking
最佳實務:
-
針對工作負載公有端點使用高可用性網路連線: 這些端點及其路由必須具備高可用性。為達成此目的,請使用高度可用的 DNS、內容交付網路 (CDN)、API Gateway、負載平衡或反向代理。
-
在雲端中的私有網路與內部部署環境之間佈建冗餘連線能力: 在單獨部署的私有網路之間使用多個 AWS Direct Connect (DX) 連線和多個 VPN 通道。使用多個 DX 位置以實現高可用性。如果使用多個 AWS 區域,請至少在其中兩個區域中確保冗餘。您可能需要評估終止 VPN 的 AWS Marketplace 設備。如果您使用 AWS Marketplace 設備,可在不同的可用區域中部署冗餘執行個體以實現高可用性。
-
確保 IP 子網路分配帳戶具有擴展性和可用性: Amazon VPC IP 地址範圍必須足夠大,以適應工作負載的要求,包括考慮將來擴展 IP 地址以及跨可用區域將 IP 地址分配給子網路。這包括負載平衡器、EC2 執行個體和容器型應用程式。
-
偏好軸幅式拓撲而非多對多網狀拓撲: 如果兩個以上的網路地址空間 (例如,VPC 和內部部署網路) 透過 VPC 對等互連、AWS Direct Connect 或 VPN 連線,則使用軸幅式模型,例如 AWS Transit Gateway 提供的此類模型。
-
在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍: 如果透過 VPN 對等互連或連線,則每個 VPC 的 IP 地址範圍不得重疊。同樣地,您必須避免 VPC 與內部部署環境或您所使用之其他雲端供應商之間出現 IP 地址衝突。您也須有一種在需要時分配私有 IP 地址範圍的方法。
改進方案
針對工作負載公有端點使用高可用性網路連線
- 確保您與使用者的連線高度可用
- 如果使用者透過網際網路存取您的應用程式,請使用服務 API 操作來確認正確使用網際網路閘道。同時確認託管應用程式端點之子網路的路由表項目正確。
DescribeInternetGateways
DescribeRouteTables - 如果使用者透過您的內部部署環境存取您的應用程式,應確保 AWS 與您的內部部署環境之間的連線高度可用。
- 如果使用者透過網際網路存取您的應用程式,請使用服務 API 操作來確認正確使用網際網路閘道。同時確認託管應用程式端點之子網路的路由表項目正確。
- 確保您使用的是高度可用的 DNS 來管理應用程式端點的網域名稱
- 使用 Route 53 來管理您的網域名稱
What is Amazon Route 53? - 使用符合您要求的第三方 DNS 供應商
- 使用 Route 53 來管理您的網域名稱
- 確保在應用程式前面使用高可用性的反向代理或負載平衡器
- 使用 Elastic Load Balancing
What is Elastic Load Balancing? - 使用滿足您要求的 AWS Marketplace 設備
- 使用 Elastic Load Balancing
在雲端中的私有網路與內部部署環境之間佈建冗餘連線能力
- 確保與內部部署環境之間存在冗餘連線: 您可能需要與多個 AWS 區域的冗餘連線才能滿足可用性需求。
AWS Direct Connect Resiliency Recommendations
Using Redundant Site-to-Site VPN Connections to Provide Failover- 使用服務 API 操作來識別對 Direct Connect 線路的正確使用
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - 如果僅存在一個 Direct Connect 連線,或者一個都沒有,則設定到虛擬私有閘道的冗餘 VPN 通道
What is AWS Site-to-Site VPN?
- 使用服務 API 操作來識別對 Direct Connect 線路的正確使用
- 擷取您當前的連線 (例如,直接連線、虛擬私有閘道、AWS Marketplace 設備)
- 使用服務 API 操作來查詢 Direct Connect 連線的組態
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - 使用服務 API 操作來收集路由表使用的虛擬私有閘道
DescribeVpnGateways
DescribeRouteTables - 使用服務 API 操作收集路由表使用的 AWS Marketplace 應用程式
DescribeRouteTables
- 使用服務 API 操作來查詢 Direct Connect 連線的組態
確保 IP 子網路分配帳戶具有擴展性和可用性
- 根據您的服務要求、延遲、法規和災難復原 (DR) 要求,選擇相關的 AWS 帳戶和區域
- 確定您對區域 VPC 部署的需求
- 確定是否要部署多 VPC 連線
What Is a Transit Gateway?
Single Region Multi-VPC Connectivity - 確定您是否需要區隔聯網以滿足法規要求
- 確定是否要部署多 VPC 連線
- 確定 VPC 的大小
- 讓 VPC 盡可能保持較大規模。雖然無法變更或刪除分配給 VPC 的最初 VPC CIDR 區塊,但您可以將不重疊的其他 CIDR 區塊新增至 VPC。但這可能會導致地址範圍片段化
- 允許使用 Elastic Load Balancer、Auto Scaling 群組、並發 AWS Lambda 叫用和服務端點
偏好軸幅式拓撲而非多對多網狀拓撲
- 如果只有這兩種網路,則僅需將這兩種網路相互連線,但隨著網路數量增加,此類網狀連線的複雜性將變得難以處理。AWS Transit Gateway 提供容易維護的軸幅式模型,以便跨多條網路路由流量。
What Is a Transit Gateway?
在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍
- 擷取當前的 CIDR 消耗 (例如,VPC、子網路等)
- 使用服務 API 操作來收集當前的 CIDR 消耗
- 記錄當前的子網路用量
- 使用服務 API 操作來收集每個區域中每個 VPC 的子網路
DescribeSubnets - 記錄當前用量
- 確定是否建立了任何重疊的 IP 範圍
- 計算備用容量
- 注意重疊的 IP 範圍: 如果需要連線重疊範圍,則可以遷移至新的地址範圍,也可以使用 AWS Marketplace 的網路和連接埠轉換 (NAT) 設備。
- 使用服務 API 操作來收集每個區域中每個 VPC 的子網路