AWS 的区域间虚拟私有云对等连接

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

AWS 的首席布道师 Jeff Barr 在其新的博文中，为大家介绍了区域间虚拟私有云 (VPC) 对等连接的新特性。在美国拉斯维加斯最近召开的 AWS re:Invent 大会上，亚马逊公司宣布 AWS 将支持区域间 VPC 对等连接。借助此功能，AWS 客户可以在不同地区运行的 VPC 对等资源之间建立通信，而无需额外的网关、VPN 连接或单独的网络设备。

从 2014 年开始，用户就可以在同一地区内通过对等连接在多个 VPC 之间进行通信，现在他们可以使用相同的方法在区域间进行通信。The Scale Factory 的 CTO 兼联合 CEO Jon Topper 在 re:Invent 2017 之后对域间对等连接进行了评价，并在 ITProPortal 的文章中提到了它的优点：

到目前为止，当客户需要在多个地区之间进行工作时，我们需要建立并配置一个 VPN 网络服务供其使用，并且该服务也同样需要开发、监控与维护。但是使用区域间 VPC 对等连接服务时，用户再也不需要进行以前那些繁琐的步骤了：对于两个不同区域的 VPC，我们只需要配置一个连接，之后亚马逊会接管该连接，所有的安全性与可靠性都将由亚马逊维护。

VPC 对等连接会直接在现有的 AWS 通信结构上进行改进，而不需要其他通道、VPN 连接或者独立的网络设备。对等连接允许用户在 VPC 之间进行资源的共享，当然用户也可以选择将资源集中在一个 VPC 上，然后从其他的 VPC 访问这些资源。此外，域间的 VPC 对等连接在不同地区的 AWS 之间提供一种高度的隔离。如此一来，为满足监管要求与其他限制，客户们可以为计算资源以及存储资源选择合适的地理位置。

图片来源： https://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/Welcome.html

设置一个典型的区域间对等连接需要下面这些步骤：首先需要在一个区域内配置 VPC，然后使用另一个区域的 VPC 创立一个对等连接，该连接可以使用 AWS 控制台、VPC API、AWS 命令行接口 (CLI)、或者 AWS 的 Windows PowerShell 工具创建。

图片来源： https://aws.amazon.com/blogs/aws/new-almost-inter-region-vpc-peering

在创建了一个对等连接之后，接收方必须同意另一个区域发来的请求。下一步就是在每个地区创建路由表条目，这样每个区域间的 VPC 才可以使用 IPv4 地址进行通信。同时，VPC 与 AWS 全球网络之间的数据传输是加密的。Jeff Barr 在他的新博文中解释了数据加密机制：

数据加密采用了 AEAD 方式，使用了现代化算法以及由 AWS 提供的自旋转托管秘钥。所有的对等连接，都将通过同一个秘钥对其通信链进行加密。这样对于客户来说，所有的通信链都是相同的。在间歇使用域间 VPC 时，这种匿名性的连接方式将提供额外的保护。

使用 IPv4 通信的区域间 VPC 对等连接现在已经在以下地区开放，包括：美国东部地区 (北维吉尼亚)、美国东部地区 (俄亥俄)、美国西部地区 (俄勒冈) 和欧盟地区 (爱尔兰)。有区域间 VPC 对等连接的信息请查看 AWS 官方文档

查看英文原文: Inter-Region Virtual Private Cloud Peering in AWS

感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。