亚马逊AWS官方博客

Tag: BJS DX

构建健壮的混合云网络——BJS DX+VPN篇

背景介绍: 近年来,随着公有云的普及,一方面,越来越多的用户选择利用公有云在弹性、灵活性等方面的优势,在云上部署新的应用系统,另一方面,大量的企业有很多现有的本地基础设施投资,所以企业上云的过程并不是一触而就的,期间势必存在云应用与本地数据中心应用并存的局面,为了更好的融合云与本地数据中心的应用环境,实现整体应用系统的稳定性和高可用性,构建一个健壮的混合云网络至关重要。 在AWS上,用来连接AWS与本地数据中心的方式主要有以下3种: 1.    纯VPN组网 2.    纯专线组网 3.    VPN与专线的混合组网 其中,对于AWS中国区来讲,由于AWS自身的VPN服务VGW目前尚未落地,客户急需要一个替代方案,能够达到类似于VGW的冗余及故障切换功能。 本篇主要讲述第三种组网方式,着眼点在于如何实现混合云网络的健壮性及故障自愈。 此外笔者始终认为“Network is not just ping success”,尤其对于大型企业来说,网络流量的监控,故障事件的告警,日志的搜集检索等功能并非可选项,所以本篇也会顺带介绍如何在AWS云上实现这些功能。 对于第一,第二种组网方式的高可用实现,请参考: 《构建健壮的混合云网络——BJS VPN篇》 《构建健壮的混合云网络——BJS DX篇》 注意:本篇以AWS中国区VGW尚未落地为前提,VPN部分以开源软件实现,但应用场景并不仅限于AWS中国区,如何客户需要一些VGW暂时无法满足的功能,同样可以在AWS Global利用本篇搭建符合自身需求的解决方案,具体可能的需求包括但不限于: 1.    需要使用VGW暂时不支持的加解密算法 2.    需要使用VGW暂时不支持的hash算法 3.    需要使用证书认证 4.    All in one解决方案,VPN设备除了提供VPN功能外,还需要提供防火墙,NAT等功能 拓扑图: 对于DX与VPN互备的场景,有如下几种情况: 1.    1条DX+1条VPN 2.    2条DX+1条VPN 3.    1条DX+2条VPN 4.    2条DX+2条VPN 对于1,2两种场景下,可以简单地通过调整Private-1,Private-2的路由表实现AWS侧的主备,即:流量优先选择DX专线,在专线故障时切换到VPN链路。 启用路由传递,路由表中会出现一条10.10.0.0/16,target为VGW的路由 设置一条静态路由10.0.0.0/8,target为VPN设备的eni 由于路由最长匹配的原则,默认去往本地站点10.10.0.0/16的流量会通过VGW走专线,当专线发生故障的时候,10.10.0.0/16的路由不会传递进入路由表,此时10.0.0.0/8的路由生效,流量切换到VPN链路。 对于3,4两种场景下,无法通过上述方式在两条VPN链路之间切换,需要部署拓扑图中的monitor设备来监控DX和VPN链路及VPN设备的健康状态并实现链路切换。 本例主要介绍monitor及Strongswan设备上的脚本功能,及如何与监控,告警相结合。 VPC基本配置,DX基本配置,Strongswan配置及本地站点切换方式请参考: 《构建健壮的混合云网络——BJS VPN篇》 《构建健壮的混合云网络——BJS DX篇》 […]

Read More