如何輕松搞定企業AWS混合組網?

您在使用多個VPC時

是否也因其互通實現的復雜性而苦惱？

構建AWS云上業務的第一步就是配置Amazon Virtual Private Cloud。

客戶IT團隊正忙著幫助公司以各種各樣的方式配置他們的 VPC，并部署許多網絡連接選項和網關，包括 AWS Direct Connect、NAT Gateway、IGW、VPC Peering、AWS 托管的 VPN 連接等。

Vecloud云團隊經常會發現客戶使用分布在 AWS 賬戶和區域內的多個 VPC。由于VPC之間只能做對等Peering連接，無法傳遞的特性，部署多VPC的連接環境會變得非常復雜，VPC之間不得不通過full mesh的對等連接來實現互通性。

①如何解決VPC無法互通的問題？

我們可以借助AWS Transit Gateway，構建中心輻射型網絡拓撲，可以將現有的 VPC、數據中心、遠程辦公室和遠程網關連接到托管的Transit Gateway，簡化整體網絡架構，降低運營開銷，并集中管理外部連接。

AWS Transit Gateway是什么？

AWS Transit Gateway 是一項服務，使客戶能夠將 Amazon Virtual Private Cloud (VPC) 及其本地網絡連接到單個網關。面對數百個 VPC使用對等連接組成Amazon VPC 對時，此解決方案的構建可能非常耗時，也難以進行管理。使用 AWS Transit Gateway，只需創建和管理從中央網關到網絡中每個 Amazon VPC、本地數據中心或遠程辦公室的單個連接，從而顯著簡化管理并降低運營成本，使您可以隨著增長輕松擴展網絡。

②  AWS Transit Gateway如何幫助您解決問題？

傳統的VPC連接是利用VPC Peering功能，將區域內或者跨區域之間的VPC進行連接，利用Direct Connect 或VPN實現非AWS基礎設施與AWS的互聯。

每一個 VPC 都需要單獨建立一個 VPC Peering 到另一個 VPC，同時 Direct Connect Gateway 和 VPN 都需要單獨建一個連接到每一個 VGW 上，非常復雜，管理起來也很混亂。

當然我們也可以考慮做一個 Transit VPC，來減少一定的拓撲復雜度，但是我們一樣需要考慮 Transit VPC 中軟路由的性能，高可用問題。

如果有了 AWS Transit Gateway之后，我們可以將架構圖簡化為以下這樣：

我們只需本地機房通過一條 Direct Connect 專線接入到 AWS，并且使用 Direct Connect Gateway到達兩個不同的 Transit Gateway （TGW），TGW 之間做了 Peering。這樣設計之后，所有的 VPC 和本地數據中心都能做到兩兩互通。

③ Vecloud為您提供專業的VPC互聯解決方案

簡而言之，要解決多VPC，多類型網絡互聯場景的問題，Vecloud為您提出以下專業可選方案:

No.1 AWS 解決方案

正如上面所介紹的那樣，采用Transit Gateway方案時，解決了多個 VPC 之間要建立大量對等連接的問題，而配置和之前 Transit VPC的配置方式一樣簡單，只需要將路由指向Transit Gateway，即可實現 VPC 的互聯互通。拓撲如下圖：

No.2 第三方安全廠商的解決方案

這里以Fortinet為例，該方案典型拓撲如下：

· Spoke VPC 的 VGW 與 Transit VPC 中的兩臺 FortiGate 分別建立連接；

· Spoke VPC 的所有非本 VPC 的流量都會通過 VGW 發送到Transit VPC的 FortiGate 上，流量經過過濾后，被允許的流量會通過 IPsec 發送到目的 Spoke VPC 中。