每天迁移超过 10 Tbps 的
流量和 2500 多亿个连接
将联网工单
减少了 90%
更快、按需
扩展防火墙
提高了
弹性
简化了
预置和管理
概述
Amazon Web Services(AWS)成立于 2006 年,现已成为世界上最全面、应用最广泛的云服务提供商之一,他们的服务组合还在不断增加,现已超过 200 多种。多年来,AWS 开发了很多解决方案,以帮助简化数据从本地硬件迁移到更高效、更具可扩展性、基于云的解决方案的过程。自从 AWS 开始提供云计算服务以来,该公司一直在将自己的工作负载从硬件设备迁移到基于云的解决方案。和他们的客户一样,AWS 最初也使用硬件防火墙保护自己的网络,但后来,他们的专用硬件设备开始遇到常见的挑战,例如可扩展性有限以及昂贵的升级导致运营成本增高。于是,AWS 着手改进这一环境,引入了令人兴奋的新功能和便于客户使用的迁移过程。
AWS 网络管理员利用 AWS Network Firewall 在他们的虚拟私有云和账户之间预置了新的防火墙,AWS Network Firewall 是一项有状态的托管式防火墙服务,旨在提供极具可扩展性和弹性的防火墙。AWS 将他们的所有剩余工作负载从硬件防火墙迁移到这项新服务,以降低运营复杂性并提高性能。这一迁移是 AWS 历史上规模最大的迁移之一。
机会 | AWS 利用 AWS Network Firewall 取代基于硬件的防火墙
在他们历史的早期阶段,AWS 使用一个专用的物理网络在传统的数据中心环境中托管服务。该公司于 2009 年和 2011 年在云端扩展了这一网络,并推出了 Amazon Virtual Private Cloud(Amazon VPC)(一项用来在逻辑隔离的虚拟网络中定义和启动 AWS 资源的服务)和 AWS Direct Connect(建立 AWS 专用网络连接)。在从那以后的几年里,AWS 几乎将他们的所有服务和网络功能都迁移到了云端。然而,一些功能仍然保留在传统物理网络中,包括用来保护特定网络路径的防火墙。
采购、部署和管理硬件防火墙需要花费大量的时间。随着时间的推移,AWS 使用不同的硬件防火墙平台,从监控到配置资源,每个平台都面临着独特的挑战。AWS 还需要通过专职团队来管理防火墙,这样就增加了运营开销。随着公司的发展壮大,扩展防火墙变得越来越困难。由于很多服务共享相同的防火墙,因此每次更改都要投入大量的时间和维护成本。
随着 AWS Network Firewall 在 2020 年底问世,AWS 网络团队拥有了一些工具,可以将流经基于硬件的防火墙的所有剩余内部流量(总共 10 Tbps)迁移到原生 AWS 云服务。
“使用 AWS Network Firewall,我们可以在几小时内轻松、主动地进行扩展,这样,我们就可以专注于经营业务和部署解决方案。”
Wade Millican
Amazon Web Services 高级经理
解决方案 | 将超过 10 Tbps 的流量迁移到基于云的防火墙
AWS 于 2022 年初开始计划迁移到 AWS Network Firewall。为了支持此次迁移,该团队与各个 AWS 产品团队合作,共同开发了一些新功能,以帮助 AWS 以及他们依赖 NAT 网关和 AWS Network Firewall 服务的客户降低管理复杂性和成本。例如,AWS 使用多 IP 地址支持,以便最大限度地减少更大环境中所需的 NAT 网关数量。AWS 还为 AWS Network Firewall 添加了传输控制协议(TCP)拒绝和 TCP 重置功能,通过消除流量转移或网络失效转移期间的超长 TCP 超时时间,提高了延迟敏感型应用程序的性能。
在 2023 年,AWS 成功完成了他们历史上规模最大的迁移之一,将支持 AWS 各个部分的内部微服务的 TCP/IP 流量转移到 AWS Network Firewall。在短短的几个月内,该公司每天将全球范围内超过 10 Tbps 的流量和 2500 多亿个连接迁移到云端。总共部署了 2600 个 NAT 网关和 1300 个 AWS Network Firewall。
在新的云架构中,AWS 采用的策略是部署多个专门用于特定网段的小型防火墙,而不是使用大型防火墙集群处理所有流量。这种方法提供了对每项服务的精细可见性,并将故障域的大小从整个可用区缩小到可用区内的单个服务。“传统的防火墙监控技术只显示一个庞大的整体流量,因此很难区分个别声音,”AWS 的高级开发工程师 Andy Lemin 表示。“而使用 AWS Network Firewall,每个客户都有他们自己的防火墙。当一个客户遇到问题时,日志会显示这个客户的流量中的个别声音。这样就极大地改善了故障诊断和识别。”
实施更具可扩展性的基础设施意味着,随着 AWS 的发展壮大和更多客户的加入,防火墙可以在不全面改造或不停机的情况下进行扩展。AWS Network Firewall 基础设施可以按需自动扩展和预置资源,因此客户无需规划防火墙容量。此外,AWS Network Firewall 还使用来自这些工作负载的数据来优化自动扩缩过程,为每个人提供了更好的功能。
此外,云技术推动了敏捷更新。AWS 可以绕过外部供应商的支持工单流程,并在内部解决潜在问题,这样就将联网工单减少了 90%。这样,该公司就能够快速调整和优化 AWS Network Firewall,以应对不断变化的网络挑战。这一迁移不但消减了 AWS 投入的成本、时间和精力,还加快了他们的创新步伐。
“扩展硬件防火墙项目的容量通常需要 6 到 12 个月的时间。由于僵化、昂贵的硬件防火墙需要专用的设备,因此迁移和扩展时需要执行额外的步骤,而使用 AWS Network Firewall 无需执行这些步骤,”公司内部防火墙运营团队的 AWS 高级经理 Wade Millican 说道。“从采购硬件到安装多个机架,所有这些任务现在都可以抛到脑后了。使用 AWS Network Firewall,我们可以在几小时内轻松、主动地进行扩展,这样,我们就可以专注于经营业务和部署解决方案。”
架构图
成果 | 推出新的防火墙功能以使 AWS 客户受益
在迁移到 AWS Network Firewall 之后,AWS 最大限度地降低了运营成本,同时提高了网络弹性、容量、灵活性和可观测性。展望未来,该公司计划利用从此次迁移中获得的洞察改进他们的服务并增加新功能,以造福客户。
“AWS Network Firewall 从这种新工作负载中获得的好处是,他们可以利用自己高度发达的运营监控功能直接连接到一组内部客户,”AWS Network Firewall 的高级软件开发工程师 Jamie Lavigne 表示。“通过直接与内部 AWS 服务所有者合作,我们对性能相关挑战的长尾以及这些挑战与最终用户应用程序详细信息的具体关系获得了新的洞察。根据我们从这些深入探究中了解的信息,我们将在 2024 年推出新的功能。”
关于 Amazon Web Services
Amazon Web Services(AWS)是世界上最全面、应用最广泛的云提供商之一,可提供 200 多种功能齐全的服务。数百万全球客户使用 AWS 降低成本、提高敏捷性和加速创新。
更多软件和互联网客户案例
行动起来
无论行业无论规模,每天都有各种机构在使用 AWS 实现自身业务转型、实现企业愿景。欢迎您联系我们的专家,立即踏上您的 AWS 之旅。