最新动态
了解我们,行业趋势以及包罗万象的新知识
您所在的位置:
首页 最新动态 知识库
云网互联(三)
2022年06月27日

1. 终端节点(Endpoint)

除了VPC内的私网云资源外,AWS还提供很多公网云资源,比如AWS的云存储S3就是公网访问的。VPC内的云主机访问自己的云存储,就得从公网转一圈儿。同样,VPC内的云主机访问另一VPC暴露到公网的服务,也得从公网转一圈儿。如果您不差钱,不在乎性能,这样绕着走也没什么。而且很多云用户就是这么绕着走的。但您要是追求完美,还是有既省钱、又高效、又安全的办法的。这就是设置终端节点和终端节点服务(Endpoint Service)。方法就是把需要别的VPC直接访问的访问设置为终端节点服务,在对方的VPC里为终端节点服务和AWS的公网服务设置个终端节点,原理上是在VPC上长个网卡/网关连着对端服务。



云




2. 对等连接(VPC Peering)
终端节点方式允许VPC通过内网访问其他VPC发布的服务,但并不是两个VPC内任意虚机可以互通。而且可以是跨区域、跨AWS账户互通的。




云




3. 中转网关(Transit Gateway)

VPC Peering实现了两个VPC的互通,如果N个VPC都要互通咋办?只能两两之间设置VPC Peering。需要n*(n-1)/2个VPC Peering。如果n=10,要设45个;n=20呢,要设190个。傻了吧?之所以这么傻,笔者认为是以前多VPC互通的需求并不多。
随着传统企业大规模上云,此类需求当然会增多。所以AWS新推出了Transit Gateway。这个东西基本上就是个路由器,哪些VPC需要互联,相互之间路由怎么设置,您随意。有了Transit gateway,云中VPC互联,基本上跟传统网络互联一样、随您设置了。


云网VPN互联主要担心服务和数据安全,对网络带宽和质量要求不是很高的情况下,使用VPN实现云网互联是高性价比的选择。这是在云中VPC和企业网这两个私有网络之间,透过现有的互联网专线、在互联网上搭建一个VPN通道实现的。




云




客户网关就是传统的VPN设备、支持VPN的路由器或者软件,如果云端也部署云主机,自行安装VPN软件的话,就是传统的VPN方案,跟云没有一毛钱关系,网络老炮们对此应不陌生。当然,云端的VPN软件,您也可以从AWS云市场中选用熟悉的思科、Juniper之类的VPN软件,实现一键安装部署。大部分客户更常见的选择是,使用AWS提供的VPN网关服务。


云网专线互联使用专线实现云网互联相对复杂,云上概念和云下施工都较复杂,是本文Know What的重点。
先说云下看得见摸得着的部分,这个需要一定的广域网集成经验,大多数传统客户也是请集成商协调运营商搞的。您要首先确定云网专线的两端(运营商黑话叫AZ端)的地点,比如从某市某区某楼某层某处,到AWS指定的某市某区某楼某层某处;然后确定所需的带宽和质量要求。


然后找运营商询价买专线。总体说来带宽越高、距离越远就越贵,不同运营商、不同省份、不同线路、不同购买渠道价格差异还是挺大的,一般大企业才买(又扯远了)。
买好专线,配合运营商施工,要运营商保证专线AZ端连通,集成商保证A端(企业网)到Z端(AWS指定机房内)的路由器互通。


上面过程可能耗时上月、花费不菲,但敲黑板了,这个与AWS没有一毛钱关系,AWS文档也不会提。与AWS的云网互联操作及费用,是从AWS指定的某市某区某楼某层某处的这个路由器开始的:在AWS Direction Connect服务中,提交专线开通申请,等待AWS线下批准(这个服务黑话叫DX,别问我为什么,我也不知道);
然后与AWS配合,从上面那个路由器上拉条光纤进AWS。


对了,路由器及相关设备占的机房和机柜不属于AWS云,您可能需要自己找这个IDC租机位。还有,要是您所需带宽小于1G,还得找AWS授权的网络合作伙伴接线。到此为止,物理网络施工完成。下面是云内逻辑部件及服务,还是比较复杂,概述如图




云






您身边的数字化转型专家
太平洋电信致力于为全球企业提供创新ICT解决方案,助力企业更加轻松的实现数字化转型
走进太平洋电信