亚马逊AWS官方博客

利用亚马逊云科技Direct Connect和Transit Gateway轻松构造企业混合云解决方案

概述

企业上云是企业在数字化转型的关键一步,数据表明全球有88%的企业将上云作为优先战略,但同时,86%的企业基础架构支出中仍在本地的系统部署上,这说明企业向云端迁移还需要一段时间。同时,公有云、混合云、多云的多种方式接入已成为企业的主流选择。亚马逊云科技希望把云迁移变得更加简单,所以亚马逊云科技一直致力于更新和迭代混合云的功能,帮助客户实现高速、安全、平滑、高可用的混合云构造解决方案。

本文通过Direct Connect、Transit VIF、Transit Gateway Connect等亚马逊云科技网络服务,推荐了以下几种混合云方案:

 

方案一:混合云组网

利用中转虚拟接口(Transit VIF)实现客户本地私有云和云上网络的高速互联

随着云计算的发展,企业私有云和公有云互联互通已成为企业普遍的选择。利用亚马逊云科技的Direct Connect Gateway的中转虚拟接口(Transit VIF),可以轻松帮助客户搭建一个高速、低延迟且安全的混合云。

目前,亚马逊云科技北京区域和宁夏区域的Direct Connect 已经支持连接 Transit Gateway。借助此功能,客户可以使用 1/10/100 Gbps Direct Connect 将多个亚马逊云区域中的数千个VPC连接到他们的本地私有云。

Direct Connect 引入了一种称为中转虚拟接口的新型虚拟接口(Transit VIF),以支持与Transit Gateway 的连接。客户可以在任何Direct Connect 接入点使用 1/10/100 Gbps Direct Connect创建Transit VIF。通过创建Transit VIF,客户可以让其本地私有云和亚马逊云上数千个VPC互联,打通南北向流量,实现混合云组网的快速一建部署。

相比于本地私有云通过VGW和VPC建立点到点的Direct Connect专线不同,使用Transit VIF可以帮助本地私有云和亚马逊云上的上千VPC同时互联,让客户可以通过一条专线、一次部署、一键构造点到多点的本地到云上的网络,实现混合云组网。

利用Transit Gateway Connect 实现客户SD-WAN网络和云上网络的定制化互联

随着SD-WAN的蓬勃发展,目前已经有大量的客户完成了企业网络的SD-WAN改造。很多企业希望除了通过专线的方式连接亚马逊云之外,还可以快速高效的将亚马逊云上资源与企业SD-WAN网络互联互通。亚马逊云科技的Transit Gateway Connect 服务正是为满足此类客户的需求应运而生。

目前,亚马逊云科技北京区域和宁夏区域推出了Transit Gateway Connect 服务,给客户提供安全通道和SD-WAN接入云上VPC的能力。

Transit Gateway Connect 是Transit Gateway 新推出的一项功能,它通过将软件定义的广域网 (SD-WAN) 设备本地集成到亚马逊云中,简化分支机构的连接。客户现在只需在SD-WAN应用上单击几下,就可以使用通用路由封装 (GRE) 和边界网关协议 (BGP) 等标准协议,将其 SD-WAN 边缘无缝扩展到亚马逊云。Transit Gateway Connect让客户无需在 SD-WAN 设备和亚马逊云之间设置多条安全通道,只需要和云上的SD-WAN厂商应用或客户自有的虚拟化应用之间建立一条安全通道,即可实现客户本地私有云和亚马逊云上数千个VPC互联,这大大简化了客户整体网络设计并降低了运营成本。

 

方案二:混合云容灾

部署Direct Connect多线路实现混合云容灾

当客户部署Direct Connect连接到亚马逊云时,我们建议客户至少在两个Direct Connect接入点创建两个Direct Connect连接,保证混合云通道的高可用。

最佳实践如上图所示,客户在两个Direct Connect接入点创建两个Direct Connect连接,并创建一个Direct Connect网关关联多个VPC。客户再通过创建两个VIF建立本地私有云CGW和Direct Connect网关的两个BGP Peer,配置AS-Path或BGP community等BGP策略实现进出云流量的双活负载分担或主备流量冗余。

部署单线路Direct Connect 和Transit Gateway Connect实现混合云容灾

当客户由于预算或其他原因不能部署Direct Connect双线路时,我们建议客户使用Transit Gateway Connect实现混合云容灾。客户可以通过此方案,构建一条本地数据中心到云上VPC的安全通道或SD-WAN链路,当Direct Connect出现故障或维护时,Transit Gateway Connect可以承载客户本地私有云到VPC的业务流量,保护您的业务实时在线。容灾备份方案如下图所示:

客户构建一个Transit Gateway和Transit VPC,并在Transit VPC中安装Transit Gateway Connect 合作伙伴的云上SD-WAN应用或客户自有的支持GRE+BGP+安全通道的应用,再使用本地机房CGW用安全通道和此应用互联,就可以构建一条从VPC到Transit Gateway到SD-WAN应用最终到数据中心本地路由器的备份链路(图中黄线),当客户的Direct Connect专线(图中绿线)出现故障时,备份链路就可以无缝承载客户的业务,保证客户混合云永远在线。

 

方案三:多云环境互联

随着数字化转型越来越深入,越来越多的客户会在不同云服务提供商搭建服务来满足业务的多样化和冗余需要,如何构建稳定高效的多云环境是客户的迫切需求。

用Direct Connect和第三方云专线实现客户多云互联

用Direct Connect连接亚马逊云科技云资源和第三方云,最简单的方式就是用客户的本地私有云出口CGW同时创建两个BGP Peer,同时客户在CGW上配置BGP策略实现两个云资源的流量打通。

然而,这样的解决方案有两个缺陷:

  1. 客户本地私有云所在城市,可能不同时存在Direct Connect接入点和第三方云的接入点
  2. 客户有多个本地机房,实现多云互联的同时还需要实现企业自组网,需要配置MPLS VPN或DMVPN,配置复杂、维护困难

为了解决上述问题,我们建议客户使用Direct Connect和亚马逊云科技的合作伙伴网络共同解决方案连接多云,如下图所示:

客户找到亚马逊云科技的合作伙伴,该合作伙伴既有亚马逊云的Direct Connect专线的接入能力,又有第三方云的云专线接入能力。合作伙伴的骨干网和POP接入点覆盖全国,客户可以在全国任意位置接入合作伙伴的骨干网络,通过其骨干网接入各个公有云服务商。同时,合作伙伴的骨干网还可以帮助客户构建自身企业的网络互联,客户无需维护复杂MPLS VPN或DMVPN的网络配置,即可实现即插即用的企业自组网和多云互联。

用SD-WAN方式实现客户多云互联

客户除了用Direct Connect实现多云连接,还可以通过SD-WAN方式实现多云的互联互通,Direct Connect的优势在于高速、稳定,SD-WAN的优势在于部署的快速和灵活。如下图所示:

客户可以在本地私有云中部署SD-WAN CPE、在亚马逊云中部署SD-WAN vCPE、在第三方云部署SD-WAN vCPE,通过SD-WAN厂家的SD-WAN Overlay协议跨越Internet打通用户本地私有云、亚马逊云和第三方云,快速实现多云资源的互联互通。

 

方案四:亚马逊云科技WAN as a Service

WANaaS是一种新的公有云网络服务,它能够帮助客户够轻松地构建企业的骨干网络,客户无需真正拥有、构建和维护自己的基础架构,包括交换机、路由器和传输设备等基础设施。不仅如此,客户还可以随着自身需求的变化,快速部署网络服务和灵活扩展企业的网络覆盖范围,在帮助客户增加灵活性和扩展性的同时,帮助客户消除硬件支出成本。

亚马逊科技可以为用户提供WANaaS服务,如下图所示:

客户本地私有云分别在两个区域所在的城市,客户没有自己的企业骨干网,客户可以通过Direct Connect网关+Transit Gateway方式或Transit Gateway Connect的方式,将两个本地IDC资源连接至亚马逊云的两个区域,再通过路由配置让流量穿越亚马逊云骨干网,实现本地IDC流量通过亚马逊云骨干网转发。亚马逊云骨干网作为客户企业骨干网承载客户两地私有云间的流量,客户只需按使用量付费,无需再花很大的成本构建企业骨干网。

如果客户已经部署了自己的企业骨干网,还可以利用上述方式构造一个备份骨干网线路,如上图所示,一旦客户企业骨干网(图中绿线)出现故障,流量立刻可以切换至亚马逊云骨干网(图中灰线),实现企业网业务永不掉线。使用本方案的另外一个好处是,亚马逊云骨干网按流量收费,如果客户企业骨干网不出现故障,亚马逊云骨干网线路是客户的免费备份通道,为客户实时提供免费的骨干网备份线路资源。

最佳实践举例

综上所述,亚马逊云科技的混合云推荐的部署方案如下图所示:客户在多个Direct Connect接入点部署多条Direct Connect连接,通过Direct Connect网关和Transit VIF实现客户本地私有云和云上网络的南北流量和东西流量的互联互通。同时,通过Transit Gateway Connect功能利用SD-WAN的方式接入亚马逊云,构造Direct Connect专线接入亚马逊云的备份通道。不仅如此,客户再利用亚马逊云科技的合作伙伴网络,使用Direct Connect和第三方云专线将客户本地私有云、亚马逊云和第三方云打通,打造客户的多云环境。

 

总结

亚马逊云科技以业界最领先、最丰富和覆盖最广泛的网络服务,为客户提供高速、低延迟和安全的混合云网络构建平台,客户可以在亚马逊云科技一键单击构建混合云,为客户的私有云、多企业分支、数据中心和最终用户都提供高速、低延迟和安全的网络平台,赋能客户在任意地点、任意环境构造属于自己的网络。