AWS 云 WAN 连接管理指南

开始使用

Well-Architected 支柱

• 卓越运营

  EventBridge 筛选网络管理器事件并将其发送到 Amazon SNS。在不同的区域，多个 Amazon SQS 队列会订阅 Amazon SNS，接收这些事件供 Lambda 处理，然后 Lambda 根据元数据自动执行连接配置。

  对于意外事件，Amazon SQS DLQ 会捕获格式错误的事件以防止数据丢失。此设置无需用户干预即可自动管理 AWS 云 WAN 连接，用于两个用途。第一，它可以防止跨网域泄漏；第二，它无需人工监督，支持对复杂网络配置进行高效、安全的管理。
  

  阅读《卓越运营》白皮书 
• 安全性

  Lambda 的 AWS Identity and Access Management (AWS IAM) 角色限制了对特定资源（如 Amazon SQS 和 Amazon SNS）的访问权限，执行最低权限原则。此外，Amazon SQS 和 Amazon SNS 中的资源策略定义范围较窄，仅授予正常应用程序功能所需的最低权限。

  通过实施这些安全措施，组织仅限制对 AWS 云 WAN 连接配置资源的授权访问。这种方法减少了潜在的攻击面，最大限度地降低了未经授权访问或数据泄露的风险。
  

  阅读《安全性》白皮书 
• 可靠性

  为了支持可靠的工作负载，用于 AWS 云 WAN 连接的 Lambda 功能至少部署在两个区域中。这种多服务、多区域的方法创建了一个弹性系统，可以承受各种类型的故障并继续平稳运行。此外，EventBridge 将事件路由到 Lambda 进行处理，而 Amazon SQS 和 Amazon SNS 则为 Lambda 提供健全的订阅机制，以之作为路由控制的一部分。对于事件处理和路由控制，Lambda 提供了跨两个区域部署的无服务器框架，以减少区域故障。作为托管服务，EventBridge、Amazon SQS 和 Amazon SNS 显著降低了发生故障的可能性，有助于确保在不停机的情况下处理所有相关事件。
  

  阅读《可靠性》白皮书 
• 性能效率

  本指南使用基于订阅的持久机制来处理至少两个区域的事件。例如，EventBridge、Amazon SQS、Amazon SNS 和 Lambda 协同工作，实时处理 AWS 控制面板事件，特别是在 AWS 云 WAN 中学习到的新路由。这种设置为事件处理提供了近乎实时的性能。EventBridge 通过捕获和路由事件启动流程，而 Amazon SQS 和 Amazon SNS 则协同工作，帮助确保可靠的消息传递。部署在多个区域的 Lambda 函数可以高效处理这些事件，从而最大限度地减少网络配置更新的延迟。通过利用这些服务，系统在 AWS 云 WAN 中连接网段时可实现最小延迟。
  

  阅读《性能效率》白皮书 
• 成本优化

  配置后，本指南会处理与网络拓扑变化相关的控制面板事件，不过这些事件通常不会每天大量发生。这种事件驱动方法可以节约资源，因为只有在事件处理需要时才使用计算能力。因此，该系统可避免将资源浪费在闲置、长期运行的流程上，从而优化成本，提高资源利用率。此外，EventBridge、Amazon SQS、Amazon SNS 和 Lambda 只处理与 AWS 云 WAN 中新路由相关的特定 AWS 控制面板事件。这些服务仅在新事件发生时启动，无需长时间运行。
  

  阅读《成本优化》白皮书 
• 可持续性

  EventBridge、Amazon SQS、Amazon SNS 和 Lambda 是完全托管的 AWS 服务，与传统的长期运行或计算密集型服务相比，它们具有更高的效率。通过只处理与 AWS 云 WAN 中新路由相关的特定 AWS 控制面板事件，该系统最大限度地减少了不必要的资源消耗。这种近乎实时的无服务器事件处理方法无需持续运行计算资源，只有在需要处理事件时才消耗能源，从而减少了对环境的影响。
  

  阅读《可持续性》白皮书