本指南介绍了如何在将 Amazon Virtual Private Cloud(Amazon VPC)附加到 AWS 云 WAN 网段或从中分离时自动更新 Amazon VPC 的路由表。它提供了一个自动化的 Amazon VPC 路由解决方案,使得位于不同区域的 Amazon VPC 中的工作负载可以相互进行网络通信。
架构图
[架构图描述]
第 1 步
将一个新的 Amazon Virtual Private Cloud(Amazon VPC)附加到 AWS 云 WAN。
第 2 步
网络管理员在 Amazon VPC 附件上附加元数据(例如:键值对标签)。这可确保 Amazon VPC 附件进入正确的 AWS 云 WAN 网段。在本指南中,键值对标签必须采用“department:”格式。例如,department:Finance。
第 3 步
当 Amazon VPC 附加到网段时,AWS 云 WAN 会生成一个事件。此事件包括一个包含“attachment-id”和“VPC-id”等详细信息的 JSON 对象。
第 4 步
Amazon EventBridge 会记录此事件。EventBridge 规则将调用区域 AWS Lambda 函数。
第 5 步
Lambda 接受事件的 JSON 字符串作为输入。
第 6 步
Lambda 会检查 Amazon VPC IP 地址管理器(IPAM)中是否有与第 2 步中提供的 Amazon VPC 附件具有相同标签值的池。在此示例中,预期的标签是 Finance。
第 7 步
IPAM 会将与 IPAM 池关联的无类别域间路由返回给 Lambda。
第 8 步
Lambda 会使用在第 7 步中获得的 CIDR 向 Amazon VPC 路由表添加一条路由。这条路由的目标是 AWS 云 WAN 核心网络。
第 9 步
相同的步骤可以应用于不同区域的 Amazon VPC。
第 10 步
这样就完成了多区域 AWS 云 WAN 部署的端到端路由
第 1 步
将一个新的 Amazon Virtual Private Cloud(Amazon VPC)附加到 AWS 云 WAN。
第 2 步
网络管理员在 Amazon VPC 附件上附加元数据(例如:键值对标签)。这可确保 Amazon VPC 附件进入正确的 AWS 云 WAN 网段。在本指南中,键值对标签必须采用“department:”格式。例如,department:Finance。
第 3 步
当 Amazon VPC 附加到网段时,AWS 云 WAN 会生成一个事件。此事件包括一个包含“attachment-id”和“VPC-id”等详细信息的 JSON 对象。
第 4 步
Amazon EventBridge 会记录此事件。EventBridge 规则将调用区域 AWS Lambda 函数。
第 5 步
Lambda 接受事件的 JSON 字符串作为输入。
第 6 步
Lambda 会检查 Amazon VPC IP 地址管理器(IPAM)中是否有与第 2 步中提供的 Amazon VPC 附件具有相同标签值的池。在此示例中,预期的标签是 Finance。
第 7 步
IPAM 会将与 IPAM 池关联的无类别域间路由返回给 Lambda。
第 8 步
Lambda 会使用在第 7 步中获得的 CIDR 向 Amazon VPC 路由表添加一条路由。这条路由的目标是 AWS 云 WAN 核心网络。
第 9 步
相同的步骤可以应用于不同区域的 Amazon VPC。
第 10 步
这样就完成了多区域 AWS 云 WAN 部署的端到端路由
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
AWS 云 WAN 提供了一个集中式控制面板,用于在多个 Amazon VPC 之间进行连接,使您能够快速构建全球网络。该控制面板可生成您 AWS 网络的完整视图,以便监控安全性和性能。
由于使用了 AWS 托管服务,AWS Service Health 控制面板将显示是否有任何服务出现故障,并帮助您应对事故和事件。
-
安全性阅读《安全性》白皮书
使用 AWS Identity and Access Management(IAM)策略授予 Lambda 必要的访问权限,以便进行 API 调用或更新 Amazon VPC 路由表。本指南中使用的 IAM 角色遵循“最低权限”权限模型。
AWS 云 WAN 上的操作将生成事件,而 EventBridge 则会将这些事件安全地传输到正确的区域并调用 Lambda 函数。
-
可靠性阅读《可靠性》白皮书
本指南使用了默认情况下具有高可用性的 AWS 云 WAN、IPAM 和 EventBridge 服务。Lambda 会对同一区域内的 Amazon VPC 进行 API 调用,因此不存在跨区域依赖关系。此外,Lambda 会自动代表您监控 Lambda 函数,并将日志发送到 Amazon CloudWatch。您的 Lambda 函数会带有 CloudWatch 日志组和每个函数实例的日志流。
您应注意一些可能影响可靠性的限制。EventBridge 的每秒请求限制为 50 次。但是,您每秒新增 50 个 Amazon VPC 到全球网络的情况不太可能发生。
-
性能效率阅读《性能效率》白皮书
本指南中选择的服务是专门为这一用途构建的,提供了一个端到端的全自动化全球网络解决方案:
- AWS 云 WAN:协调全球网络的创建。
- Amazon VPC:一种逻辑隔离的构造,您可以在其中部署服务。每个 VPC 都会连接到 AWS 云 WAN。
- IPAM:存储每个部门路由信息的容器。
- EventBridge:传输由 AWS 云 WAN 生成的事件并调用相应的 Lambda 函数。
- Lambda:在新附加的 Amazon VPC 路由表中添加正确的路由。
我们建议您在运营所在区域部署 Lambda 函数,以减少延迟并提高性能。EventBridge 将会始终调用本地或区域 Lambda 函数以最大限度地降低延迟。本指南还会将正确的路由推送到每个 Amazon VPC 路由表,帮助确保仅启用预期的流量模式。
-
成本优化阅读《成本优化》白皮书
本指南采用按实际使用量付费的方式,如同我们绝大多数的云服务一样。您只为您需要的服务付费,具体根据您的使用时间计费。AWS 云 WAN 和 EventBridge 可根据需求自动扩展,并且仅使用所需的最低资源。
如果将 AWS 云 WAN 设置为通往 Amazon VPC 的默认路由,那么所有匹配默认路由的 VPC 出站流量都会被发送到 AWS 云 WAN,这将产生数据处理费用。本指南仅会将个人的网络路由推送到 Amazon VPC 路由表中,可帮助您降低成本。
-
可持续性阅读《可持续性》白皮书
Lambda 针对本指南进行了优化,提供自动扩缩功能,可帮助确保您仅使用最少的资源,同时持续满足工作负载的需求。
元数据源自 AWS 云 WAN 事件驱动机制,在这种机制中,数据不会被存储,且只能由 EventBridge 传输。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。