您在使用多个VPC时
是不是也因其互通实现的复杂性而苦恼?
构建AWS云上业务的第一步就是配置Amazon Virtual Private Cloud。
客户IT团队正忙着帮助公司以各种各样的方式配置他们的 VPC,并部署许多网络连接选项和网关,包括 AWS Direct Connect、NAT Gateway、IGW、VPC Peering、AWS 托管的 VPN 连接等。
桂哥网络云团队经常会发现客户使用分布在 AWS 账户和区域内的多个 VPC。由于VPC之间只能做对等Peering连接,无法传递的特性,部署多VPC的连接环境会变得非常复杂,VPC之间不得不通过full mesh的对等连接来实现互通性。
①怎么解决VPC无法互通的问题?
我们可以借助AWS Transit Gateway,构建中心辐射型网络拓扑,可以将现有的 VPC、数据中心、远程办公室和远程网关连接到托管的Transit Gateway,简化整体网络架构,降低运营开销,并集中管理外部连接。
AWS Transit Gateway是什么?
AWS Transit Gateway 是一项服务,使客户能够将 Amazon Virtual Private Cloud (VPC) 及其本地网络连接到单个网关。面对数百个 VPC使用对等连接组成Amazon VPC 对时,此解决方案的构建可能非常耗时,也难以进行管理。使用 AWS Transit Gateway,只需创建和管理从中央网关到网络中每个 Amazon VPC、本地数据中心或远程办公室的单个连接,从而显著简化管理并降低运营成本,使您可以随着增长轻松扩展网络。
② AWS Transit Gateway如何帮助您解决问题?
传统的VPC连接是利用VPC Peering功能,将区域内或者跨区域之间的VPC进行连接,利用Direct Connect 或VPN实现非AWS基础设施与AWS的互联。
每一个 VPC 都需要单独建立一个 VPC Peering 到另一个 VPC,同时 Direct Connect Gateway 和 VPN 都需要单独建一个连接到每一个 VGW 上,非常复杂,管理起来也很混乱。
当然我们也可以考虑做一个 Transit VPC,来减少一定的拓扑复杂度,但是我们一样需要考虑 Transit VPC 中软路由的性能,高可用问题。
如果有了 AWS Transit Gateway之后,我们可以将架构图简化为以下这样:
我们只需本地机房通过一条 Direct Connect 专线接入到 AWS,并且使用 Direct Connect Gateway到达两个不同的 Transit Gateway (TGW),TGW 之间做了 Peering。这样设计之后,所有的 VPC 和本地数据中心都能做到两两互通。
③ 桂哥网络为您提供专业的VPC互联解决方案
简而言之,要解决多VPC,多类型网络互联场景的问题,桂哥网络为您提出以下专业可选方案:
No.1 AWS 解决方案
正如上面所介绍的那样,采用Transit Gateway方案时,解决了多个 VPC 之间要建立大量对等连接的问题,而配置和之前 Transit VPC的配置方式一样简单,只需要将路由指向Transit Gateway,即可实现 VPC 的互联互通。拓扑如下图:
No.2 第三方安全厂商的解决方案
这里以Fortinet为例,该方案典型拓扑如下:
· Spoke VPC 的 VGW 与 Transit VPC 中的两台 FortiGate 分别建立连接;
· Spoke VPC 的所有非本 VPC 的流量都会通过 VGW 发送到Transit VPC的 FortiGate 上,流量经过过滤后,被允许的流量会通过 IPsec 发送到目的 Spoke VPC 中。
