专线直连 AWS 建立混合 IT 环境实务指南

云计算已经走入到每个企业中。然而，一些大型企业过去都是自建数据中心，购买了大量的基础设施，在使用公有云服务时又不能抛弃原有的设备，因此采用混合云的方式，既可以保护原有的投资，又可以通过公有云的方式来随时按需使用。很多企业都正在通过混合云的方式来逐步走上全方位采用云的道路。
过去，用户需要通过在传统的公网架设VPN（Virtual Private Network，虚拟专用网络），来保障数据传输的安全性，但是，这种方式无法完全保证带宽、低延迟、时效性。而AWS Direct Connect可以实现低带宽的成本，更稳定的网络性能，更可靠的网络效果，并且可以兼容AWS其他的云计算服务帮助用户实现混合云的架构。
AWS Direct Connect服务使用标准的802.1q VLAN标准，可将连接客户数据中心和AWS的单个专线连接逻辑分割成多个虚接口（Virtual Interface）。这样客户可以通过同一个连接访问共享资源（如通过公有IP 地址空间提供服务的Amazon S3中的对象）和专有资源（如使用私有IP空间在VPC中运行的Amazon EC2实例），同时又能在公有和专用环境之间保持网络隔离。
如下图所示，从客户路由器到AWS Direct Connect路由器的以太网连接上的不同VLAN与不同的虚接口相关联，客户可以通过Public VIF访问诸如S3，DynamoDB、AWS API端点等在公共地址空间中的服务，也可以通过Private VIF与绑定到VPC的VGW相连接，实现对多个VPC的访问。
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-1.jpg)
AWS Direct Connect有 1Gbps 和 10Gbps 两种端口可用。客户可以通过建立多个连接来实现更大的带宽和更高的冗余。而对于带宽要求不高的客户也可向支持 AWS Direct Connect 的 APN 合作伙伴预定带宽粒度更细的托管连接。需要注意的是每个托管连接仅能支持访问单个VPC，或者只能访问公有地址空间的AWS服务端点。当然客户可以通过多个托管连接用于访问多个VPC。
### **常见的接入场景及分工界面**
**场景一： 客户网络边界已经到达特定Direct Connect 节点**
如图所示，客户在特定的Direct Connect 节点（图中虚框所示位置）所在的机房已经部署了网络边界设备，那么可以向运营该节点的运营商订购 到AWS Direct Connect路由器的楼内跳线即可完成连接。
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-2.jpg)
此场景下，分工界面较为简单：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-3.PNG)
各部分的技术要求分解如下：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-4.PNG)
**场景二： 客户通过以太网专线 与AWS Direct Connect互联**
如图所示，客户数据中心的网络边界通过AWS合作伙伴或者独立第三方提供的以太网专线相互连接。
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-5.jpg)
此场景下， 802.1q VLAN终结在客户侧路由器上， AWS Direct Connect路由器与 客户路由器建立BGP邻居并相互发布路由信息；这里特别需要关注的是，以太网专线需要支持VLAN透传，确保双方向的以太网帧能够携带正确的VLAN 标签抵达对端。
此场景下，建议分工界面如下：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-6.PNG)
各部分的技术要求分解如下：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-7.PNG)
**场景三： 客户通过 MPLS网络与AWS Direct Connect互联**
如图所示，客户数据中心的网络边界通过AWS合作伙伴或者独立第三方提供的MPLS网络相互连接。
此场景下， 802.1q VLAN终结在MPLS 网络的PE路由器上， AWS Direct Connect路由器与 PE路由器建立BGP邻居并相互发布路由信息；
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-8.jpg)
建议分工界面如下：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-9.PNG)
各部分的技术要求分解如下：
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/0701-10.PNG)
当然对于某些MPLS服务提供商而言，上述技术需求不一定能够满足；在这种场景下，客户可以通过在Direct Connect节点部署CE路由器来解决，此时这个场景就等同于前述场景一，相当于客户把网络边界通过第三方MPLS网络延伸到Direct Connect 节点。
### 案例、经验与最佳实践
**案例一**
某客户A需要建设连接国内总部和海外某AWS Region的以太网专线；因客户自身供应商名单的限制，客户选用了独立的第三方供应商建设专线，在建设过程中由于网络资源和覆盖不全，供应商又将该连接的海外部分链路分包给其它供应商，导致在整个实施过程周期长、沟通成本高、进度缓慢； 在最后楼内跳线环节中出现了尾纤插错口的差错，但是由沟通效率低，该问题耗费了接近一周时间才最终修正。
经验与最佳实践：
* 支持 AWS Direct Connect 的 APN 合作伙伴［1］具备丰富的项目实施经验和完善的流程，能够快速完成Direct Connect连接的部署，建议客户在实施时予以考虑;* 楼内跳纤环节，自测环节应当在客户路由器或专线终结设备处面向AWS侧做硬环，客户可自助在控制台上观察该连接对应的AWS侧路由器的接口的状态，如果连接状态未能从down跳转为up，责说明光纤或连接有异常，需要即时排查；全流程的排查请参见AWS Direct Connect用户指南的相关章节［2］;
**案例二**
某客户B在与独立的第三方供应商购买以太网专线的过程中，未能充分沟通VLAN透传的技术需求，导致在专线实施的最后验证环节专线供应商因资源利用率的问题拒绝支持此技术要求，除非客户大幅提升专线带宽。
经验与最佳实践：
* 在前期需求沟通阶段客户应与供应商充分沟通所适用场景的技术需求，避免后期被动；* 部分独立的第三方专线供应商在特定场景下会对提供千兆光口、VLAN透传等功能，附带要求客户承诺比较高的签约带宽（例如50Mbps ~ 200Mbps，具体请咨询相关专线供应商）才予以满足；* 在低带宽、连接单个VPC的场景下，建议客户向支持 AWS Direct Connect 的 APN 合作伙伴预定连接；
**案例三**
某客户C使用场景二所示的以太网专线连接与AWS 互联，并选用了独立的第三方运营商进行专线建设。在专线铺设过程中，第三方运营商因资源问题无法直接在终结设备上提供1000BASE-LX光口，而是 使用了独立的电转光设备完成接口类型转换。在后续的使用过程中，曾经出现由于该转换设备出现故障而导致专线临时中断， 影响了业务可用性。
经验与最佳实践：
* 专线的可用性取决于整条链路中可靠性最弱的一环，客户需要与专线供应商明确各个环节的可用性SLA及如何保障的议题;* AWS Direct Connect支持客户通过多条连接实现相互负载分担和冗余，同时也支持专线与VPN之间的相互备份。可用性要求较高的场景下，建议客户通过两个或以上的Direct Connect连接，或者采用VPN备份方式在专线意外中断时保护业务可用性；* 专线的备份机制需要时常验证和演练，确保在异常情况下能够按预期工作;
**案例四**
某客户D的业务需求需要一条能够保证从AWS海外区域到国内某数据中心的低延迟、稳定的链路用于传输实时视频流。通过与支持AWS Direct Connect 的 某APN 合作伙伴订购了一条带宽为20Mbps的托管连接，整个实施过程在3天以内即告完成，客户实测带宽和线路丢包率、抖动等都符合业务需求，而且该连接的带宽具备一定弹性。该APN合作伙伴承诺的扩容等后续服务的响应和实施周期等都明显快于传统方式。
经验与最佳实践：
* 对于小带宽、仅需要与单个VPC进行互联的应用场景，支持 AWS Direct Connect 的 APN 合作伙伴的托管连接能够给予客户更快的实施周期和更灵活的签约带宽；在适用的场景、或者项目周期较为紧迫的情况下推荐选用；* 客户可以订购多个类似的托管连接，实现与多个VPC分别互联；
### 参考链接
［1］   [](http://amazonaws-china.com/cn/directconnect/partners/)
［2］  http://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/Troubleshooting.html
**作者介绍**
![](https://s3.cn-north-1.amazonaws.com.cn/images-bjs/Ding+Chandler.jpg)
丁成银
AWS解决方案架构师，获得AWS解决方案架构师专业级认证和DevOps工程师专业级认证。负责基于AWS的云计算方案架构的咨询和设计，同时致力于AWS云服务在国内的应用和推广，在数字媒体、电信、互联网和游戏、企业混合IT等方面有着丰富的实践和设计经验。在加入AWS之前，历任数字媒体娱乐系统工程师、宽带业务架构师、云解决方案架构师，负责数字媒体娱乐系统、云计算解决方案等服务的咨询和架构设计工作。