AWS Transit Gateway 如何在全球范围内优化 Aruba SD-Branch

在这篇文章中，我们将介绍如何使用 AWS Transit Gateway 和 Aruba SD-WAN 分支机构到云的连接来简化全球网络架构。我们还将探讨 Aruba 的客户如何在全球范围内利用 AWS Transit Gateway 的优势。

Aruba 是 Hewlett Packard Enterprise（慧与）的子公司，是安全、智能的边缘到云网络解决方案的全球领导者。Aruba 使用云原生方法来帮助每一位客户解决有线、无线 LAN 和 WAN 的所有问题。慧与是 AWS 高级咨询合作伙伴。

企业上云的需求在全球范围内持续增长，但是随着计划在云上运行生产应用程序的组织数量的增长，客户仍希望保留一定规模的本地部署 IT 环境。

此外，组织及其应用程序日益分散的特性使 IT 环境变得更加复杂和难以管理。这些组织需要确保其基于云的资源能够与内部部署环境相互联网，同时不会增加 IT 网络复杂性和相关成本。

通常，将本地办公室和数据中心连接到云需要使用点对点（P2P）连接，例如 IPsec 虚拟专用网络（VPN）隧道或专用网络光纤连接。

将虚拟网络（联网的云资源组）彼此连接也需要 P2P 连接。然而，随着本地办公室和虚拟网络的数量增加，P2P 连接的数量也在增长，从而导致管理起来困难、麻烦且成本高的大型网状网络。

AWS 混合云架构

使用 Amazon Web Services（AWS）的客户通常使用 AWS Direct Connect 和 AWS Site-Site VPN 将其本地部署环境连接到位于全球区域的各个 Amazon Virtual Private Cloud（VPC），并使用 VPC Peering 实现 Amazon VPC 之间的相互连接。

图 1 – 本地网络连接到 AWS 架构

随着客户部署地理位置更加分散的 VPC，AWS 最初提供了一种称为 Transit VPC 的网络结构来管理其不断增长的 AWS 环境。Transit VPC 充当了 VPC 对等连接以及 Amazon VPC 和客户本地部署站点之间连接的中心枢纽。

虽然 Transit VPC 有助于让网络连接集中化，但客户仍需要在 Transit VPC 中手动配置冗余的第三方虚拟路由器。如果 Transit VPC 出现问题，客户需要在多个供应商之间寻求外部支持。

理想情况下，客户应该能够连接其云和本地部署资源，而不会增加网络复杂性以及持续的管理和运营工作。

AWS Transit Gateway

AWS Transit Gateway 是一种托管的、区域性的、可扩展的服务，使组织能够互连大量 Amazon VPC 和内部网络，而无需依赖大量点对点连接或 Transit VPC。

AWS Transit Gateway 通过充当第 3 层网络连接的中心点，简化了客户如何将多 VPC 互连以及连接到区域内的本地部署网络。通过启用星型拓扑，该解决方案可以帮助客户减少 VPC 对等连接的数量，并整合对本地网络的访问。

尽管上面图一中的 VPC 数量很少，并且仅显示了一个企业本地部署站点，仍然可以很容易地看出 AWS Transit Gateway 如何简化环境。想象一下，当企业有更多的本地部署站点以及可以处理多达 5,000 个并发连接的 Amazon VPC 时复杂性会降低多少？

现在，客户只需通过 AWS Transit Gateway 将本地部署网络与 Amazon VPC 连接起来即可。

图 2 – AWS 中转网关减少了 P2P 连接的数量

使用 AWS Transit Gateway 路由流量

Amazon VPC 和本地部署站点通过 Transit Gateway 附件连接到 AWS Transit Gateway。这些功能使 AWS Transit Gateway 能够将流量路由到本地或 AWS Cloud 上的正确目的地。

通过 Transit Gateway 附件将 Amazon VPC 与 AWS Transit Gateway 连接时，AWS Transit Gateway 的默认路由表将自动填充所连接 Amazon VPC 的目标 IP 地址，AWS Transit Gateway 可将流量定向到该地址。

从 Amazon VPC 路由传出流量需要管理员使用相关的目标 IP 地址更新 VPC 路由表。通过 VPN 隧道或 AWS Direct Connect 将本地部署站点连接到 AWS Transit Gateway 时，会发生类似的 IP 地址信息交换。

图 3 – AWS 中转网关路由

客户还可以通过在 AWS Transit Gateway 中创建 20 个路由表来分割和隔离网络流量（这是一个软限制，可以增加）。每个路由表对应一个路由域，该域根据业务需求将流量定向到特定的 Amazon VPC 或本地部署站点。

由于 AWS Transit Gateway 可以在一个区域中支持多个路由表，因此管理员可以基于每个附件控制路由。客户发现，由于托管路由，可以轻松地将入口和出口整合到单个 VPC，这使您可以节约部署所需的防火墙或 NAT 网关数量方面的运营成本。

许多客户都要求利用本地部署的现有防火墙技术，以便在开始使用 AWS 时使用现有的防火墙专业知识。许多防火墙供应商的软件版本都在 AWS Marketplace 可以找到，采用自带许可证（BYOL）或即用即付定价模式。这些应用产品可与 AWS Transit Gateway 和 Elastic Load Balancing 等现有 AWS 技术完美集成。

减少单独创建和配置的 P2P 连接总数，以及 AWS Transit Gateway 与客户本地部署站点和 Amazon VPC 之间的动态路由，有助于降低网络复杂性，同时提高运营效率。

对于少量本地站点和 Amazon VPC，创建 AWS Direct Connect、AWS Site-Site VPN 和 VPC 对等连接可能需要少量的手动操作（例如导航多个接口以及配置路由器和网关）。

然而，对于 IT 环境跨越数百个 VPC 和多个本地办公室的企业来说，这种手动工作以及相关的资源和成本很快就会变得难以管理。

无论如何，使用 AWS Transit Gateway 有助于降低运营工作量和成本，同时提高业务灵活性。

构建全球企业网络体系结构

客户可以使用 AWS Transit Gateway 构建其 IT 网络，而无需进行大量的网络架构规划和升级。他们可以利用 AWS 或 AWS 合作伙伴提供的其他网络和安全服务来部署全球企业级网络，而不是手动集成来自多个供应商的不同解决方案。

由于 AWS Transit Gateway 是一项托管服务，企业还可以避免硬件和软件更新和升级周期，这些周期通常与类似的基于硬件或软件的解决方案相关。

AWS Transit Gateway 的主要功能可用于构建全球网络架构，同时实现集中控制、最大限度地提高网络和应用程序性能并确保整体网络安全，包括：

• AWS Transit Gateway 区域间对等
• 跨账户支持
• 多播支持
• 安全

SD-WAN 集成

客户通常使用软件定义的广域网（SD-WAN）解决方案，在指定主路径上的应用程序或网络性能下降时，通过在备用网络路径上自动重新路由来最大限度地利用网络传输资源。

借助精心挑选的 SD-WAN 解决方案，组织还可以选择使用 SD-WAN 解决方案的管理界面，以最少的手动工作量直接在分支和 AWS Transit Gateway 之间创建 AWS Site-to-Site VPN 隧道。

AWS 合作伙伴提供的 SD-WAN 解决方案与 AWS Transit Gateway Network Manager 的集成可帮助客户可视化、管理和监控本地部署和 AWS 上部署的 IT 环境。

图4 – SD-WAN 与 AWS Transit Gateway 的集成

通过 Aruba SD-Branch 实现分支机构到云的连接

拥有多个本地部署站点的大型组织一直在采用 SD-WAN 解决方案来简化分支机构到分支机构的连接。

随着企业越来越多地采用基础架构即服务（IaaS）来承载选定的工作负载，需要扩展分支机构到云的连接，同时保留使用 SD-WAN 所带来的可扩展性、自动化编排和成本优化优势。

通过 AWS Transit Gateway 和 Aruba SD-Branch，大型企业可以简化、自动化和扩展本地部署数据中心和分支机构与多个 Amazon VPC 的互连。

该解决方案将以 SAAS 的方式对外提供服务，主要组成部分包括：

• Aruba 分支网关：部署在数据中心和分支机构中的网关可帮助 IT 管理员创建和支持任意两个站点之间的多个连接（或 IPSec 隧道）。这些网关建立 SD-WAN 叠加网络，用于在各个站点的 IT 网络中之间创建虚拟连接。
• Aruba 虚拟网关：部署在 Amazon VPC 中，这些虚拟网关支持分支机构和连接到公有云的数据中心之间的安全连接。虚拟网关支持公共互联网和专用连接，如 AWS Direct Connect。
• Aruba SD-WAN Orchestrator：借助基于 Web 的 Orchestrator，组织可以在 Aruba 分支网关之间动态创建 IPSec 隧道，以构建 SD-WAN 叠加网络。Orchestrator 自动学习 Aruba 分支网关之间的路由，并在叠加网络中分发所有路由信息。
  如果叠加网络中的一个网络路径无法承载流量，Aruba SD-WAN Orchestrator 将动态重新路由流量，以最大限度地减少对最终用户的服务中断。
• Aruba Central：这是一个云原生的图形用户界面（GUI），可为园区、分支和数据中心环境中的有线、无线和 SD-WAN 运营提供统一管理、人工智能支持和安全性。

Aruba 还设计了许多运维工具，这些工具可以是开箱即用的功能，也可以通过Aruba 应用程序编程接口（API）以编程方式实现自动化。

管理大型复杂分布式企业（包括本地部署和 AWS）的 IT 人员可以从中受益，因为自动化可以减少与日常网络操作相关的手动步骤。例如，在多个分支机构和 Amazon VPC 之间设置路由和隧道，以及将网络访问控制列表（ACL）应用于多个站点。

借助 Aruba SD-Branch，组织可以减少配置和管理分支机构、数据中心、云服务提供商和 SaaS 提供商之间的连接所花费的时间和资源。例如，他们可以花更少的时间在各个位置手动安装和配置网络路由器。

它们还可以最大化来自不同通信服务商的现有网络带宽的使用，同时减少它们对用于建立可用的容错连接的昂贵 MPLS 资源的依赖。

Aruba SD-Branch 使用 AWS Transit Gateway 的好处

使用 AWS Transit Gateway 的 Aruba SD-Branch 客户可以通过集成这两种解决方案获得额外的好处。该集成首先简化了组织通过两种方式将本地部署站点连接到 Amazon VPC 的方式：

• 参考 AWS Marketplace 中的 Aruba Virtual Gateway：部署 Aruba 虚拟网关（vGW）并通过 Transit VPC 将 Aruba SD-WAN 结构扩展到 AWS 云中。通过将 AWS 帐户导入 Aruba Central，IT 管理员可以查看该帐户中的所有 Amazon VPC。
  Aruba vGW 可以集中配置和部署（通过 Amazon EC2 实例）到任何基于 Aruba 的 Transit VPC。每个 Transit VPC 都将成为一个“站点”，可以连接到 SD-WAN 网络中包含的其他本地部署站点。同时，Transit VPC 通过 AWS Transit Gateway 连接到组织的 Amazon VPC。
• 直接将本地部署的 Aruba 分支机构网关连接到 AWS Transit Gateway：组织可以利用 AWS Transit Gateway Network Manager 和 Aruba Central 之间的集成和自动化。
  管理员无需在 Amazon Transit VPC 中部署 Aruba vGW 并将这些 vGW 与选定分支连接，而是可以将一组 Aruba 分支网关（在 AWS 区域内共享通用配置和策略）连接到 AWS Transit Gateway。

图 5 – 使用 Aruba SD-Branch 通过 AWS Transit Gateway 连接到多个 VPC

IT 管理员使用 Aruba Central 的 Cloud Connect 应用程序导入 AWS 帐户。Aruba Central 然后检测分支组可访问的 AWS Transit Gateway。

通过单击“连接”复选框，分支组将自动连接到选定的中心站点。建立连接后，AWS Transit Gateway 和分支组中的 Aruba 分支网关之间会自动交换允许地址的 IP 前缀。

将分支组连接到 AWS Transit Gateway 不限于某个 AWS 区域。借助 AWS Transit Gateway 跨区域对等，这些分支组可以访问部署在全球 AWS 区域的 Amazon VPC。

图 6 – 在分支组和 AWS Transit Gateway 之间建立连接

来自任何本地站点的流量都可能到达任意一个连接到所选 AWS Transit Gateway 的 Amazon VPC。分支机构和 AWS Transit Gateway 之间的 P2P 连接数量减少了，创建这些分支机构到云的连接所花费的时间也减少了。

分支组和 AWS Transit Gateway 之间的连接也可以通过管理员创建的策略进行管理。

在出现影响性能的问题时，监控性能和重新配置连接所花费的时间更少，从而延长了服务正常运行时间。

通过 AWS Transit Gateway Network Manager 和 Aruba Central 的集成，组织可以获得跨本地部署站点和 AWS 云的端到端网络可见性。

例如，IT 管理员可以查看网络的地理位置、AWS 资源（中心站点和 Amazon VPC）数量列表、分支组和中心站点之间的连接数量和类型以及本地部署站点的数量。

借助 Aruba Central，管理员还可以查看连接分支组和 AWS Transit Gateway 的 SD-WAN 叠加层，以及其他相关信息，如源和目的 IP 地址。

集成视图有助于提高网络的端到端可见性，同时最大限度地减少要使用的管理界面数量。减少了管理工作所花费的时间，有助于降低运营成本。

例如，正如最近的 Enterprise Strategy Group 白皮书中所讨论的，Aruba 客户 Verisk Analytics 面临着在全球范围内部署和扩展最终用户的 SD-WAN 连接的挑战。该客户将 Aruba VGW 部署到位于分支机构和 AWS Transit Gateway 之间的 Amazon VPC中，该 VPC 支持 VPC 对等连接和挂载到 Central Hub。

现在，Verisk Analytics 使用 AWS Transit Gateway 对等技术来互连全球不同地区的 Amazon VPC，并利用 AWS 全球主干网来增加底层网络可用性，以防其专用网络主干网出现故障。

总结

客户对云基础设施服务的采用不断增加，但大多数客户计划保持一定规模的本地部署环境。

构建和更新混合云基础网络可能是一项复杂且耗时的工作，会降低业务敏捷性。为了消除这一负担，组织可以从这个解决方案中受益，该解决方案支持连接云和本地部署环境的全球网络体系结构，同时降低整体网络复杂性。

AWS Transit Gateway 通过集中 Amazon VPC、本地部署数据中心和远程分支机构的第 3 层网络连接，简化了混合云网络。

AWS Transit Gateway 与 Aruba SD-Branch 配合使用时，可帮助组织简化将本地部署站点连接到 Amazon VPC 的方式，而无需使用大量 P2P 连接。通过利用分支组（其中包含在 AWS 区域内共享通用配置和策略的 Aruba 分支网关），组织可以直接将这些组与 AWS Transit Gateway 连接起来。

Aruba SD-WAN Orchestrator 通过自动化编排在分支机构组与 AWS Transit Gateway 之间交换源和目标 IP 地址，实现分支机构和 VPC 通过 AWS Transit Gateway 的自动化连接。

AWS Transit Gateway Network Manager 与 Aruba Central 的集成为组织提供了集中配置和端到端的网络可见性，涵盖本地部署站点和 AWS 云。

本篇作者