亚马逊AWS官方博客
亚马逊云科技 Cloud-WAN 集成 Fortinet SD-WAN 和 Zenlayer 资源实现非 Region 覆盖区域网络优化
功能简介
亚马逊云科技 Cloud WAN
作为一项新的网络服务,它可以轻松构建和运营连接数据中心和分支机构以及多个 亚马逊云科技 区域中的多个 VPC 的广域网(WAN)。
Fortinet SD-WAN
作为全球企业组织交付快速响应、可扩展以及弹性灵活的安全SD-WAN解决方案,支持企业组织率先构建云优先、安全敏感型本地基础架构。独创安全驱动型组网方法,全面融合网络和安全技术,采用单一简化操作系统和集中式管理平台,为企业组织构建具有卓越的用户体验,高效的安全态势感知能力,确保高效持续运营的安全网络架构。
Zenlayer
Zenlayer是全球领先的边缘云服务提供商,以即刻提升全球用户数字体验为公司目标,依托270余个遍布全球的边缘节点、超过37Tbps全球网络带宽以及对印度、东南亚和南美等新兴市场的深刻洞察,打造连通全球的边缘计算服务平台,紧密贴合企业需求,让用户随享迅捷、稳定、超低延迟的优质网络体验。。
示例说明
在前面的示例中,我们通过亚马逊云科技 Cloud-WAN和Fortinet SD-WAN的集成,基于SD-WAN POP之间的安全连接实现企业分支的直连通信,使得Singapore办公室的管理终端可以通过SD-WAN网络安全快速连接到Virginia工厂的设备,安全的传输企业数据。详见:
https://fusecommunity.fortinet.com/blogs/alan/2022/10/27/aws-cloud-wan-integration-fortinet-sd-wan-3
关于如何从零集成Fortinet SD-WAN与亚马逊云科技 Cloud WAN可参考:
在本例中,为了让越南工厂设备的运行数据能够安全快速传输到部署在亚马逊云科技的业务系统中,我们通过合作伙伴Zenlayer的网络资源解决亚马逊云科技在越南没有可用区覆盖的问题,用以优化越南工厂和部署在亚马逊云科技的业务系统之间的网络体验,同时基于Fortinet SD-WAN的业务拨测和智能选路让越南工厂可以和部署在亚马逊云科技的业务系统之间始终保持拥有一条安全有效的网络连接用于企业数据的安全稳定传输。
架构图:
部署配置
地址信息:
Site | SD-WAN IP Address |
LAN IP/Netmask |
Business EC2 | – | 10.0.2.80/24 |
Singapore POP | 10.0.254.254 | – |
Vietnam POP | 10.254.21.254 | – |
Vietnam Factory | 10.254.21.1 10.0.254.2 |
192.168.90.2/24 |
亚马逊云科技的配置
创建一个Virtual Private Gateway,用来绑定连接Direct Connect资源
接受并激活Direct Connect
创建Virtual Interface,填入Direct Connect信息,绑定到此前建立的Virtual Private Gateway
把Virtual Private Gateway绑定到业务VPC
配置业务VPC路由发布,启用Virtual Private Gateway接口
禁用业务系统EC2主机的网络源目检查,允许其他非本VPC内的IP地址与EC2主机通信
越南 POP的配置
把Port2接口IP地址配置为亚马逊云科技 Virtual Interface的互联地址
启用BGP,配置越南 POP和亚马逊云科技 Virtual Interface的邻居信息,以及本地网络信息
创建名为SD-WAN的IPSec Tunnel,为越南工厂提供SD-WAN接入服务
配置SD-WAN接口IP地址信息和访问权限
配置越南工厂通过SD-WAN访问亚马逊云科技业务系统的Firewall Policy
越南工厂FortiGate的配置
配置越南工厂到越南 POP的SD-WAN接入
配置越南工厂到Singapore POP的SD-WAN接入
配置SD-WAN Zones,把port1,sdwan01,sdwan02加到Virtual WAN Link
配置SD-WAN Performance SLA
配置SD-WAN Rules
验证
当SD-WAN处于正常状态时,上传业务系统的数据流量走越南 POP的SD-WAN连接
当越南 POP的SD-WAN连接业务拨测出现异常的时候,上传业务系统的数据流量走Singapore POP的SD-WAN连接。