Category: Networking & Content Delivery

在尚未提供远程访问 VPN 托管服务（Client VPN）的亚马逊云科技中国区域，本文设计实现了基于开源的 OpenConnect 项目的 SSL VPN 解决方案。该方案利用 SSL/TLS 协议的加密和认证机制，在云端数据中心和远程用户之间建立安全通道，实现远程用户通过互联网安全、便捷地访问企业内部网络和应用。同时该方案具有配置选项丰富，支持商用企业级 VPN 客户端的特点，结合亚马逊云科技的负载均衡器还可以实现可扩展且具有弹性的企业级远程访问 VPN 解决方案。

上周，我前往泰国参加了曼谷 AWS Summit。这是一场充满活力且激动人心的活动。我们设立了开发者休息室，开 […]

现在，我们很高兴地宣布，Amazon CloudFront SaaS Manager 正式发布，这是一项新功能 […]

上周，我们在阿姆斯特丹举办了 AWS Summit，这是 Amazon Web Services (AWS) […]

在单 VPC 中部署路由器实例实现跨可用区的冗余网关故障保护切换时，由于受到亚马逊云科技的云环境限制，比如：VPC 不支持组播/广播流量、子网不能跨可用区等，传统的 VRRP/HSRP 等冗余网关协议无法实施。在本文中，我们设计利用了 Cisco 云虚拟路由器的 HA 功能，以及亚马逊云科技的 EventBridge 结合 Lambda 函数修改子网路由表，这两种方式分别为 Cisco 和其他开源虚拟路由器在跨可用区部署时实现了冗余网关的故障保护切换提供了配置指南，并验证了结果。

本篇讨论了亚马逊云科技中国区和云下本地数据中心的互连的实现和优化。通过采用云端的 TGW 和虚拟路由器与云下数据中心的边缘路由器通过基于互联网的隧道技术实现了互连互通，同时，本设计也考虑到了网络的冗余负载，对路由器和线路进行了 HA 部署并采用 BFD 技术弥补了互联网传输不稳定的问题，并能做到快速路由收敛。利用 BGP 支持的等价多路径特性，互连的带宽增加了一倍。本篇还对等价多路径和 BFD 以及 VRRP 的实现做了验证和对比，并且针对 WAN 链路失效下 VRRP 不起作用的场景提出了优化解决方案，使本设计达到企业级联网要求。

本设计为亚马逊云科技中国区用户在云端数据中心和用户本地网络间提供了高性价比的基于互联网的 Site-to-Site VPN 企业级互连解决方案，兼顾了快速部署、高性能、低延迟、全冗余、可扩展、安全性等企业所关心的网络特性。本设计方案的实现请参考后续发布的“利用 Site-to-Site VPN 在亚马逊云科技中国区实现企业级混合云互连（实践篇）”一文。

现在，我们在所有商业区域以及 AWS GovCloud（美国）区域中，针对 Amazon API Gatewa […]

The Chinese version[1] of this blog post is published a […]

本文介绍了一种基于 Amazon CloudFront 和 MPEG-DASH 的视频流媒体安全架构。它利用 AWS 数据湖服务（Glue、Athena）对 CloudFront 访问日志进行分区分析，识别异常高频访问 IP。随后通过 Lambda 将这些 IP 动态添加到 WAF 阻止列表，并采用动态关联策略，仅在发现异常时将 WAF 与 CloudFront 关联，从而最大限度节省 WAF 使用成本。该架构还融入了 QuickSight 可视化服务，展示异常访问趋势和统计指标，支持决策分析，全方位保护视频内容安全。