什么是全球传输网络 Global Transit Network?
AWS 在全球 21 个地理区域内运营着 66 个可用区,得利于 AWS 广泛的全球基础设施,企业可以快速地将业务部署到全球各地,同时出于业务需求他们往往需要将分布在全球各地的 IT 资源连接起来,通过内网实现应用程序间安全、高效的通讯。典型的应用场景有:游戏的全球同服、企业全球内部组网等。
我们将在这篇文章中描述如何利用 AWS 丰富的网络服务构建全球传输网络。
构建全球传输网络我们需要解决什么问题?
AWS 提供了丰富的网络组件和服务帮助用户灵活的构建他们的网络架构,AWS 的用户可以利用 Amazon VPC 创建多个虚拟网络,Amazon VPC 之间包括非 AWS 基础设施可以实现相互连接。
传统的做法是利用 VPC Peering 功能,将区域内或者跨区域之间的 VPC 进行连接,利用 Direct Connect 或 VPN 实现非 AWS 基础设施与 AWS 的互联。参见如下架构图:
随着 AWS 上运行的工作负载数量的增加,传统方式的管理工作将成倍增加,迫切需要提供一种集中管理链接的方案。AWS 在 2018 年 Re:Invent 推出了新的服务 AWS Transit Gateway,使用 AWS Transit Gateway,只需创建和管理从中央网关到网络中每个 Amazon VPC、本地数据中心或远程办公室的单个连接。Transit Gateway 就像一个中心,控制流量在所有连接的网络之间的路由方式,而这些网络就像辐条。这种轴辐式模型可显著简化管理并降低运营成本,因为每个网络只需连接到 Transit Gateway,而不是连接到所有其他网络。任何新的 VPC 都只需连接到 Transit Gateway,然后自动向连接到 Transit Gateway 的所有其他网络开放。这种易连接性使您可以随着增长轻松扩展网络。
AWS Transit Gateway 目前只支持单个区域内 VPC 的连接,如果需要实现跨区域的全球传输网络,我们可以借助 Transit VPC 的方式来实现。
全球传输网络架构概览:
区域内部使用 AWS Transit Gateway 替代 VPC Peering 简化 VPC 之间的互联
选取一个区域创建一个 VPC 我们称之为 Transit VPC,部署软路由(例如:Cisco CSR),各个区域内的 Transit Gateway 通过 VPN 连接到 Transit VPC 实现跨区域的连接
非 AWS 基础设施(例如本地数据中心、远程办公室)通过专线或者 VPN 方式接入 AWS Transit Gateway
全球传输网络实施方案:
1.网络拓扑
2.实施部署
2.1 实验环境准备
分别在 Oregon Region 和 Frankfurt Region 部署 VPC 实验环境,并且配置 Transit Gateway(以下简称 TGW),具体的配置如下表:
如果不熟悉 VPC 创建和 TGW 配置请参考:
VPC 创建:
https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/vpc-getting-started.html
TGW 配置:
https://aws.amazon.com/cn/blogs/china/build-transit-gateway-easily-use-complex-network-structure/
2.2 部署 Transit VPC(Cisco)
我们将在 Singapore Region 使用 CloudFormation 自动创建 Transit VPC,在本方案中我们使用 AWS Transit Gateway 来替换 VGW,所以只需要完成 步骤 1 和 步骤 2 即可。
在创建 CloudFormation 时,请注意我们这里使用 BGP ASN 为 65300 ,其它保持默认配置即可。
具体操作参考:
Transit Network VPC (Cisco CSR):
https://docs.aws.amazon.com/solutions/latest/cisco-based-transit-vpc/deployment.html
整个创建过程将在 10 分钟内完成,当 CloudFormation Stacks 状态为 Complete 时,查看 Outputs 信息,并且记录 CSR1 和 CSR2 的 Public IP 信息(以下将简称 CSR1-PublicIP, CSR2-PublicIP )。
注意:CloudFormation 模版在 N.Virginia 启动,注意手动切换到 Singapore Region。
2.3 建立 Transit Gateway 与 Transit VPC 之间的连接
步骤 1: 创建 Transit Gateway Attachments
控制台切换到 Oregon, 进入 VPC 服务,选择 Transit Gateway Attachments。
按照下表作为参数,创建两个 Transit Gateway Attachment,TGW 将分别与两个 CSR 建立 VPN 连接。
步骤 2: 下载并修改 VPN 隧道配置文件
在 VPC 服务控制台中,选择 Site-to-Site VPN Connections ,选中 CSR-1 点击 Download Configuration,下载 Platform 为 CSRv AMI 的模版。
用文本编辑器,打开 配置模版,替换
<interface_name/private_IP_on_outside_interface> 为 GigabitEthernet 1。
用 ssh 命令登录 CSR1(例如:ssh -i key.pem ec2-user@CSR1-PublicIP)
进入配置模式:输入 config ,粘贴所有配置模版中的内容
步骤 3: CSR 状态检查
退出配置模式: (config)# exit
检查 Key 交换状态: # show crypto isakmp sa
检查 IPSec 状态: # show crypto ipsec sa
检查 BGP 状态: # show ip bgp summary
检查路由传播:#show ip route
2.4 在 Frankfurt Region 建立 Transit Gateway 与 Transit VPC 之间的连接
在 2.3 章节中,我们介绍了在 Oregon Region 中创建 Transit Gateway 与 Transit VPC 之间的连接,接下来我们重复 2.3 章节的内容在 Frankfurt Region 执行相同配置。
注意:当执行 “章节 2.3 步骤 2: 下载并修改 VPN 隧道配置文件”,修改配置文件的时候,
需要把 interface Tunnel1 改为 interface Tunnel3,interface Tunnel2 改为 interface Tunnel4 ,不然会覆盖 Oregon Region 的配置。
保存 Cisco 配置:# copy running-config startup-config
2.5 Transit VPC 高可用 部署
参考 2.3 & 2.4 配置 CSR2 实现 Transit VPC 的高可用架构。
3.VPC 的路由策略与连通性测试
通过章节 2 的部署与配置,我们已经完成了 Transit VPC 与 两个不同 Region 之间的高可用连接。要让分布在两个 Region 之间的 VPC 能够互相通讯,我们还需要配置一下,VPC 子网的路由表,以及 安全组。
3.1 配置 VPC 子网路由表
添加一条记录 10.0.0.0/8 指向 Region 所在的 TGW
3.2 配置安全组
根据需求开放对应的协议和端口即可。
3.3 连通性测试
从 VPC-3(Frankfurt Region)EC2 Ping VPC-1 (Oregon Region)EC2
至此,本次部署完成,您可以参考本教程,把跨账户、跨 Region、甚至是本地机房通过专线 接入 Transit VPC 完成全球传输网络的部署。
作者介绍:
高寅敬
AWS 解决方案架构师,负责基于 AWS 云计算方案架构的咨询和设计,在国内推广 AWS 云平台技术和各种解决方案。在加入 AWS 之前就职于美国虚拟运营商,超过 10 年的互联网通信应用系统开发和架构经验。超过 7 年的 AWS 技术实践经验, 精通基于 AWS 全球分布式 VoIP 系统的开发、运营及部署,深度理解 AWS 核心的计算、网络、存储以及云计算的弹性伸缩,目前专注于移动互联网应用及物联网解决方案设计。
刘天龙
AWS 解决方案架构师,负责支持客户完成各种 Workload 在 AWS 上的架构设计,加入 AWS 之前先后服务于运营商、电力等大型企业,以及 Microsoft 和 Citrix 等外企,熟悉大型网络构建及优化,迁移上云及容灾等解决方案。
本文转载自 AWS 技术博客。
原文链接:
https://amazonaws-china.com/cn/blogs/china/use-aws-dms-mongodb-amazon-aurora/
评论