REL02-BP02 为云环境和本地环境之间的私有网络预置冗余连接
在云环境和本地环境中的专用网络之间实施冗余连接,以实现连接的韧性。这可以通过部署两条或更多链路和流量路径来实现,从而在网络出现故障时仍然保持连接。
常见反模式:
-
仅依赖一个网络连接,这会造成单点故障。
-
仅使用一个 VPN 隧道,或者使用多个隧道,但是多个隧道又连接到同一个可用区。
-
依赖一家互联网服务提供商(ISP)来提供 VPN 连接,这会导致在 ISP 中断期间彻底故障。
-
未实施像 BGP 这样的动态路由协议,这些协议对于在网络中断期间重新路由流量至关重要。
-
忽略了 VPN 隧道的带宽限制,高估了 VPN 隧道的备份能力。
建立此最佳实践的好处:通过在云环境和企业或本地环境之间实施冗余连接,两个环境之间的依赖服务就能够可靠通信。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
使用 AWS Direct Connect 将您的本地网络连接到 AWS 时,如果使用不同的连接来连接到多个本地位置和多个 AWS Direct Connect 位置中的不同设备,则可以实现出色的网络韧性(SLA 为 99.99%)。这种拓扑结构可抵御设备故障、网络连接问题以及彻底的位置中断。或者,您可以通过使用两个单独的连接与多个位置相连(每个本地位置连接到一个 Direct Connect 位置)来实现较高的韧性(SLA 达到 99.9%)。这种方法可以防止因光纤中断或设备故障而导致的连接中断,并有助于缓解完全的位置故障。AWS Direct Connect 韧性工具包有助于您设计 AWS Direct Connect 拓扑。
您也可以考虑使用与 AWS Transit Gateway 相连的 AWS Site-to-Site VPN,以经济实惠的方式备份至主 AWS Direct Connect 连接。这种设置支持跨多个 VPN 隧道的等价多路径(ECMP)路由,即使每个 VPN 隧道的吞吐量上限为 1.25 Gbps,也能实现高达 50 Gbps 的吞吐量。但值得注意的是,AWS Direct Connect 仍然是大幅减少网络中断并实现稳定连接的极佳选择。
在通过互联网使用 VPN 将您的云环境连接到本地数据中心时,将两个 VPN 隧道配置为单个 Site-to-Site VPN 连接的一部分。为了实现高可用性,每条隧道都应连接到不同的可用区,并使用冗余硬件来防止本地设备故障。此外,可以考虑使用不同互联网服务提供商(ISP)的多个互联网连接来连接到本地位置,避免因单个 ISP 中断而导致彻底中断 VPN 连接。选择具有不同路由和基础设施的 ISP,尤其是那些具有单独物理路径通往 AWS 端点的 ISP,可实现高连接可用性。
除了通过多个 AWS Direct Connect 连接和/或多个 VPN 隧道实现物理冗余外,实施边界网关协议(BGP)动态路由也至关重要。动态 BGP 可根据实时网络状况和配置的策略,自动将流量从一条路径重新路由到另一条路径。这种动态行为特别有助于在链路或网络出现故障时,保持网络可用性和服务连续性,进而快速选择替代的路径,增强网络的韧性和可靠性。
实施步骤
-
在 AWS 和本地环境之间获取高度可用的连接。
-
在单独部署的专用网络之间使用多个 AWS Direct Connect 连接或 VPN 隧道。
-
使用多个 AWS Direct Connect 位置来实现高可用性。
-
如果使用多个 AWS 区域,请至少在其中两个区域中创建冗余。
-
-
如果可能,请使用 AWS Transit Gateway 终止 VPN 连接。
-
评估 AWS Marketplace 设备以终止 VPN 或将 SD-WAN 扩展到 AWS。如果您使用 AWS Marketplace 设备,请在不同的可用区中部署冗余实例以实现高可用性。
-
提供面向本地环境的冗余连接。
-
您可能需要面向多个 AWS 区域 的冗余连接来满足可用性需求。
-
使用 AWS Direct Connect 韧性工具包开始操作。
-
资源
相关文档:
相关视频: