Tác giả: Shubham Singh và Mandar Alankar
Ngày: 02 tháng 5 năm 2025
Danh mục: Post Types, AWS Cloud WAN, AWS Direct Connect, Customer Solutions, Networking & Content Delivery, Thought Leadership
Các tổ chức đối mặt với thách thức phức tạp khi quản lý và bảo mật mạng trên nhiều AWS Regions, môi trường đám mây và các vị trí on-premises. AWS Cloud WAN giúp người dùng quản lý mạng phân tán thông qua một cách tiếp cận thống nhất. Dịch vụ này hợp lý hóa việc quản lý mạng bằng cách cung cấp một khung chính sách mạng duy nhất, khả năng phân đoạn, lan truyền định tuyến và giám sát thông qua dashboard tập trung. AWS Cloud WAN hiện bao gồm service insertion và native AWS Direct Connect attachment, giúp hợp lý hóa việc kiểm tra lưu lượng và tích hợp kết nối hybrid trong mạng toàn cầu.
Trước tính năng service insertion, người dùng đã cấu hình các tuyến tĩnh để định hướng lưu lượng qua các thiết bị firewall, như được mô tả trong các bài viết blog: Inspecting network traffic between Amazon VPCs with AWS Cloud WAN và Hybrid security inspection architectures with AWS Cloud WAN and AWS Direct Connect. Để giảm chi phí, người dùng thường triển khai firewall trong các AWS Regions được chọn. Tuy nhiên, với một phân đoạn kiểm tra toàn cầu duy nhất, lưu lượng không thể được định tuyến qua firewall trong các AWS Regions cụ thể. Để kiểm tra lưu lượng trong các AWS Regions tương ứng và duy trì định tuyến đối xứng, người dùng đã tạo một phân đoạn kiểm tra chia sẻ toàn cầu duy nhất cho mỗi AWS Region hoặc vị trí edge, như được chi tiết trong bài viết Achieve optimal routing with AWS Cloud WAN for multi-Region networks. Bài viết blog này giải thích cách AWS Cloud WAN service insertion hợp lý hóa việc kiểm tra lưu lượng và cho phép điều hướng lưu lượng cho mạng toàn cầu đa Region bằng cách định nghĩa các câu lệnh chính sách đơn giản trong chính sách mạng toàn cầu.
Điều Kiện Tiên Quyết
Trước khi tiến hành, chúng tôi giả định rằng bạn đã quen thuộc với các cấu trúc mạng như Amazon Virtual Private Cloud (Amazon VPC), AWS Direct Connect và AWS Cloud WAN. Thông tin chi tiết về các khái niệm AWS Cloud WAN service insertion được sử dụng trong phần trước của bài viết này có thể được tìm thấy trong hướng dẫn sử dụng AWS Cloud WAN Service Insertion. Bài viết này tập trung vào kiến trúc kiểm tra hybrid và luồng lưu lượng, nhưng nếu bạn muốn đọc về việc kiểm tra lưu lượng giữa các VPC sử dụng service insertion, thì hãy tham khảo bài viết Simplify Global Security Inspection with AWS Cloud WAN Service Insertion.
Tình Huống Kiểm Tra Hybrid
Trong phần này, chúng ta xem xét một ví dụ về kiến trúc kiểm tra hybrid đa Region với Direct Connect và AWS Cloud WAN và thực hiện packet walkthrough của bốn luồng sau:
1. Packet flow 1: Lưu lượng giữa Corp Data Center 1 và Prod VPC 1 trong us-east-2 (Ohio)
2. Packet flow 2: Lưu lượng giữa Corp Data Center 1 và Prod VPC 2 trong us-west-1 (N. California)
3. Packet flow 3: Lưu lượng giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) không có edge-override
4. Packet flow 4: Lưu lượng giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) có edge-override
Kiến Trúc
Hình 1: Kiến trúc kiểm tra Hybrid đa region với AWS Cloud WAN service insertion
(A) Ba Production VPC: Prod VPC 1, Prod VPC 2 và Prod VPC 3 được triển khai trong các AWS Regions, us-east-2 (Ohio), us-west-1 (N. California) và us-west-2 (Oregon) tương ứng với các dải CIDR sau:
• Prod VPC 1 trong us-east-2 (Ohio): 10.1.0.0/16
• Prod VPC 2 trong us-west-1 (N. California): 10.2.0.0/16
• Prod VPC 3 trong us-west-2 (Oregon): 10.3.0.0/16
(B) Một AWS Cloud WAN Core Network được tạo với ba AWS Regions được kích hoạt (AWS Cloud WAN Core Network Edge (CNE) trong mỗi AWS Region) và một phân đoạn Production trải rộng trên ba Regions. Các Prod VPC được liên kết với phân đoạn Production. Trong các AWS Regions tương ứng của chúng, các VPC này quảng cáo VPC CIDR cục bộ của chúng đến AWS Cloud WAN CNEs (CNEs 1, 2 và 3) sử dụng các VPC attachment tương ứng của chúng.
(C) Corporate (Corp) Data Center 1, với dải CIDR 192.168.1.0/16 được kết nối với Direct Connect Location 1 (homed to us-east-2 (Ohio)), và Corp Data Center 2 với dải CIDR 192.168.2.0/16 được kết nối với Direct Connect Location 2 (homed to us-west-1 (N. California)).
(D) Một transit virtual interface (VIF) được cấu hình cho mỗi kết nối Direct Connect kết thúc tại một Direct Connect Gateway.
(E) AWS Cloud WAN Core Network có một phân đoạn Hybrid trải rộng trên ba Regions. Direct Connect Gateway được liên kết với phân đoạn Hybrid trong tất cả ba AWS Regions. Cả hai data center đều quảng cáo các dải CIDR tương ứng của chúng đến Direct Connect Gateway qua các phiên BGP transit VIF. Không có BGP traffic engineering nào được áp dụng trên bất kỳ kết nối Direct Connect nào.
(F) AWS Regions 1 và 2 có Inspection VPC 1 và Inspection VPC 2 được triển khai tương ứng, với các dải CIDR sau:
• Inspection VPC 1 trong us-east-2 (Ohio): 100.64.1.0/24
• Inspection VPC 2 trong us-west-1 (N. California): 100.64.2.0/24
AWS Region us-west-2 (Oregon) không có Inspection VPC cục bộ. Core Network cũng có một Inspection Network Function Group (NFG) được tạo nơi Inspection VPCs 1 và 2 được liên kết.
(G) Tính năng AWS Cloud WAN service insertion được sử dụng để cấu hình một hành động “send-via” cho lưu lượng đi giữa phân đoạn Production và Hybrid Segment thông qua Inspection NFG. Do hành động này:
• Các dải CIDR của Prod VPCs 1, 2 và 3 được truyền vào bảng tuyến Inspection NFG của mỗi AWS Region.
• Các dải CIDR của Corp Data Centers 1 và 2 được truyền vào bảng tuyến Inspection NFG của mỗi AWS Region.
• Các dải CIDR của Corp Data Centers 1 và 2 được truyền vào bảng tuyến phân đoạn Production của us-east-2 (Ohio) với Inspection VPC 1 làm đích. Tương tự, các dải CIDR của Corp Data Centers 1 và 2 được truyền vào bảng tuyến phân đoạn Production của us-west-1 (N. California) với Inspection VPC 2 làm đích. AWS Region us-west-2 (Oregon) không có Inspection VPC cục bộ, do đó các dải CIDR của Corp Data Centers 1 và 2 được truyền vào bảng tuyến phân đoạn Production của us-west-2 (Oregon) với Inspection VPC 1 (của us-east-2 (Ohio)) làm đích. Điều này là do hành vi ordered list của AWS Cloud WAN với service insertion nơi us-east-2 (Ohio) được gán ưu tiên cao hơn us-west-1 (N. California).
• Các dải CIDR của Prod VPCs 1, 2 và 3 được truyền vào bảng tuyến phân đoạn Hybrid của us-east-2 (Ohio) với Inspection VPC 1 làm đích. Tương tự, các dải CIDR của Prod VPCs 1, 2 và 3 được truyền vào bảng tuyến phân đoạn Hybrid của us-west-1 (N. California) với Inspection VPC 2 làm đích. Các dải CIDR của Prod VPCs 1, 2 và 3 được truyền vào bảng tuyến phân đoạn Hybrid của us-west-2 (Oregon) với Inspection VPC 1 (của us-east-2 (Ohio)) làm đích một lần nữa do ưu tiên cao hơn của us-east-2 (Ohio).
Sau đây là một ví dụ JSON policy snippet của hành động service insertion “send-via” cho phân đoạn Production:
JSON
{
“action”: “send-via”,
“segment”: “Production”,
“mode”: “single-hop”,
“when-sent-to”: {
“segments”: [
“Hybrid”
]
},
“via”: {
“network-function-groups”: [
“InspectionNFG”
]
}
}
Trường Hợp Sử Dụng
• Corp Data Centers 1 và 2 cần giao tiếp với tất cả ba Prod VPC thông qua các kết nối Direct Connect tương ứng của chúng.
• Lưu lượng giữa Corp Data Center 1 và các Prod VPC cần được kiểm tra bởi firewall trong Inspection VPC 1 (của us-east-2 (Ohio)).
• Lưu lượng giữa Corp Data Center 2 và các Prod VPC cần được kiểm tra bởi firewall trong Inspection VPC 2 (của us-west-1 (N. California)).
• Cụ thể, lưu lượng giữa Corp Data Centers và Prod VPC 3 cần được kiểm tra bởi firewall trong us-west-1 (N. California) (Inspection VPC 2) thay vì Inspection VPC 1. Điều này là do us-west-2 (Oregon) gần hơn về mặt địa lý với us-west-1 (N. California) so với us-east-2 (Ohio), và việc kiểm tra lưu lượng trong Inspection VPC 2 cung cấp độ trễ tốt hơn.
Packet Walkthrough
Các bước sau đây hướng dẫn bạn qua luồng packet.
Packet Flow 1: Lưu lượng giữa Corp Data Center 1 và Prod VPC 1 trong us-east-2 (Ohio)
Trong phần này, chúng ta quan sát hành vi lưu lượng mặc định giữa Corp Data Center 1 và Prod VPC 1 trong us-east-2 (Ohio).
Hình 2: Packet flow giữa Corp Data Center 1 và Prod VPC 1 trong us-east-2 (Ohio)
(1) Lưu lượng từ Corp Data Center 1 (192.168.1.0/16) đến Prod VPC 1 (10.1.0.0/16) được định tuyến qua Direct Connect location 1 (qua transit VIF) đến Direct Connect Gateway.
(2) Direct Connect Gateway định tuyến lưu lượng đến CNE 1 trong us-east-2 (Ohio).
(3) Sau khi tra cứu bảng tuyến trong phân đoạn Hybrid của us-east-2 (Ohio), lưu lượng được chuyển tiếp đến Inspection VPC 1.
(4) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-east-2 (Ohio).
(5) và (6) Inspection NFG có tuyến đến Prod VPC 1 và lưu lượng được chuyển tiếp đến Prod VPC 1.
(7) và (8) Theo hướng ngược lại, lưu lượng từ Prod VPC 1 (10.1.0.0/16) đến Corp Data Center 1 (192.168.1.0/16) được định tuyến qua phân đoạn AWS Cloud WAN Production đến Inspection VPC 1 để kiểm tra.
(9) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-east-2 (Ohio).
(10) Inspection NFG có tuyến đến Corp Data Center 1, và lưu lượng được chuyển tiếp đến Direct Connect Gateway.
(11) và (12) Direct Connect Gateway định tuyến lưu lượng đến Corp Data Center 1 (192.168.1.0/16) được kết nối với Direct Connect Location 1.
Packet Flow 2: Lưu lượng giữa Corp Data Center 1 và Prod VPC 2 trong us-west-1 (N. California)
Lưu lượng giữa Corp Data Center 1 và Prod VPC 2 trong us-west-1 (N. California) tuân theo các luồng tương tự theo hướng thuận và ngược (các bước (1) đến (12) được hiển thị trong Hình 3).
Hình 3: Packet flow giữa Corp Data Center 1 và Prod VPC 2 trong us-west-1 (N. California)
Packet Flow 3: Lưu lượng giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) không có edge-override
Trong phần này, chúng ta quan sát hành vi lưu lượng mặc định giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon).
Hình 4: Packet flow giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) không có edge-override
(1) Lưu lượng từ Corp Data Center 2 (192.168.2.0/16) đến Prod VPC 3 (10.3.0.0/16) được định tuyến qua Direct Connect location 2 (qua transit VIF) đến Direct Connect Gateway.
(2) Direct Connect Gateway định tuyến lưu lượng đến CNE 3 trong us-west-2 (Oregon).
(3) Sau khi tra cứu bảng tuyến trong phân đoạn Hybrid của us-west-2 (Oregon), lưu lượng được chuyển tiếp đến Inspection VPC 1 trong us-east-2 (Ohio). Điều này là do us-west-2 (Oregon) không có Inspection VPC cục bộ, và AWS Cloud WAN đã gán ưu tiên cao hơn cho us-east-2 (Ohio) so với us-west-1 (N. California) sử dụng ordered lists.
(4) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-east-2 (Ohio).
(5) và (6) Inspection NFG có tuyến đến Prod VPC 3 và lưu lượng được chuyển tiếp đến Prod VPC 3.
(7) và (8) Theo hướng ngược lại, lưu lượng từ Prod VPC 3 (10.3.0.0/16) đến Corp Data Center 2 (192.168.2.0/16) được định tuyến qua phân đoạn AWS Cloud WAN Production đến Inspection VPC 1 trong us-east-2 (Ohio) để kiểm tra.
(9) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-east-2 (Ohio).
(10) Inspection NFG có tuyến đến Corp Data Center 2 và lưu lượng được chuyển tiếp đến Direct Connect Gateway.
(11) và (12) Direct Connect Gateway định tuyến lưu lượng đến Corp Data Center 2 (192.168.2.0/16) được kết nối với Direct Connect Location 2.
Lưu lượng giữa Corp Data Center 1 và Prod VPC 3 trong us-west-2 (Oregon) (không được hiển thị trong Hình 4) tuân theo các luồng tương tự theo hướng thuận và ngược.
Từ góc độ độ trễ, hành vi mong muốn là lưu lượng giữa Corp Data Centers và Prod VPC 3 trong us-west-2 (Oregon) luôn được kiểm tra bởi Inspection VPC 2 trong us-west-1 (N. California). Tuy nhiên, như đã thấy trong packet walkthrough trước, khi Inspection VPC cục bộ không có sẵn trong một Region cụ thể, hành vi định tuyến mặc định của AWS Cloud WAN có thể dẫn đến việc lưu lượng được kiểm tra bởi firewall trong Inspection VPC của Region từ xa dựa trên ưu tiên được đặt bởi ordered list của AWS Cloud WAN. Do đó, điều này có thể dẫn đến độ trễ và chi phí tăng thêm. Mối quan tâm này có thể được giải quyết thông qua tính năng “edge-override” của AWS Cloud WAN service insertion, cho phép bạn chỉ định một vị trí edge (CNE) được sử dụng bởi một Region. Trong phần tiếp theo, chúng tôi cho thấy cách “edge-override” có thể giúp chúng ta đạt được hành vi định tuyến mong muốn.
Packet Flow 4: Lưu lượng giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) có edge-override
Trong phần này, chúng ta quan sát hành vi lưu lượng giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) sử dụng edge-override.
Hình 5: Packet flow giữa Corp Data Center 2 và Prod VPC 3 trong us-west-2 (Oregon) có edge-override
(1) Lưu lượng từ Corp Data Center 2 (192.168.2.0/16) đến Prod VPC 3 (10.3.0.0/16) được định tuyến qua Direct Connect location 2 (qua transit VIF) đến Direct Connect Gateway.
(2) Direct Connect Gateway định tuyến lưu lượng đến CNE 3 trong us-west-2 (Oregon).
(3) Do cấu hình “edge-override”:
• Các dải CIDR của Corp Data Center 1 và Corp Data center 2 được truyền vào bảng tuyến phân đoạn Production của us-west-2 (Oregon) với Inspection VPC 2 làm đích.
• Các dải CIDR của Prod VPCs 1, 2 và 3 được truyền vào bảng tuyến phân đoạn Hybrid của us-west-2 (Oregon) với Inspection VPC 2 làm đích.
Sau đây là một ví dụ JSON policy snippet của hành động service insertion “send-via” với “edge-override” được cấu hình cho us-west-2 (Oregon) trong phân đoạn Production:
JSON
“action”:”send-via”,
“segment”:”Production”,
“mode”:”single-hop”,
“when-sent-to”:{
“segments”:[
“Hybrid”
]
},
“via”:{
“network-function-groups”:[
“InspectionNFG”
],
“with-edge-overrides”:[
{
“edge-sets”:[
[
“us-west-2”
]
],
“use-edge-location”:”us-west-1″
}
]
}
}
Sau khi tra cứu bảng tuyến trong phân đoạn Hybrid của us-west-2 (Oregon), lưu lượng được chuyển tiếp đến Inspection VPC 2 trong us-west-1 (N. California).
(4) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-west-1 (N. California).
(5) và (6) Inspection NFG có tuyến đến Prod VPC 3, và lưu lượng được chuyển tiếp đến Prod VPC 3.
(7) và (8) Theo hướng ngược lại, lưu lượng từ Prod VPC 3 (10.3.0.0/16) đến Corp Data Center 2 (192.168.2.0/16) được định tuyến qua phân đoạn AWS Cloud WAN Production đến Inspection VPC 2 trong us-west-1 (N. California) để kiểm tra.
(9) Sau khi Kiểm tra, lưu lượng vào Inspection NFG trong us-west-1 (N. California).
(10) Inspection NFG có tuyến đến Corp Data Center 2, và lưu lượng được chuyển tiếp đến Direct Connect Gateway.
(11) và (12) Direct Connect Gateway định tuyến lưu lượng đến Corp Data Center 2 (192.168.2.0/16), được kết nối với Direct Connect Location 2.
Cách tiếp cận này cho phép bạn đảm bảo rằng lưu lượng giữa Corp Data Centers và Prod VPCs trong us-west-2 (Oregon) luôn được kiểm tra bởi firewall trong một Region gần hơn với us-west-2 (Oregon) thay vì một Region từ xa.
Cân Nhắc
• NFG là toàn cầu theo nghĩa là bạn có thể thêm attachment vào nó từ bất kỳ Region nào thuộc về core network.
• Tất cả các loại attachment đều được hỗ trợ (VPC, VPN, Connect, Transit Gateway và Direct Connect Gateway) cho cả workload segments và NFGs.
• Bạn có thể cấu hình nhiều NFG trong cùng một core network. Tuy nhiên, bạn không thể chèn nhiều NFG với cùng một segment hoặc cặp segment.
• Không có phí bổ sung nào cho việc sử dụng service insertion ngoài các phí AWS Cloud WAN thông thường.
• Bạn chỉ có thể liên kết một Direct Connect Gateway với một AWS Cloud WAN segment duy nhất. Bạn có thể có nhiều Direct Connect Gateway được liên kết với cùng một segment. Bạn cũng có thể có các Direct Connect Gateway khác nhau được liên kết với nhiều AWS Cloud WAN segment. Tuy nhiên, bạn không thể có cùng một Direct Connect Gateway được liên kết với nhiều segment.
• Khi bạn liên kết một Direct Connect Gateway với một AWS Cloud WAN segment sử dụng Direct Connect attachment, bạn có thể chọn tất cả hoặc một tập con của AWS Cloud WAN CNEs.
• Direct Connect BGP community tags chỉ liên quan đến Direct Connect Gateway, và không ảnh hưởng đến các quyết định định tuyến core network của AWS Cloud WAN.
• Thứ tự đánh giá tuyến AWS Cloud WAN được chi tiết trong tài liệu.
Kết Luận
Trong bài viết này, chúng tôi đã đề cập đến cách các mạng hybrid quảng cáo các tuyến cụ thể từ on-premises có thể sử dụng AWS Cloud WAN service insertion để kiểm tra lưu lượng giữa môi trường AWS và mạng on-premises. Chúng tôi cũng đã thảo luận về cách khả năng edge-override trong AWS Cloud WAN service insertion giúp đạt được hiệu suất tối ưu trong các triển khai đa Region. Sự kết hợp của khả năng service insertion với tích hợp nguyên bản AWS Direct Connect cung cấp một giải pháp toàn diện giải quyết các thách thức phức tạp của việc bảo mật kiến trúc hybrid. Cách tiếp cận thống nhất này loại bỏ sự phức tạp truyền thống của việc quản lý nhiều cấu hình bảo mật trên các AWS Regions và môi trường khác nhau, đồng thời đảm bảo rằng các chính sách kiểm tra lưu lượng được áp dụng một cách nhất quán, cho dù lưu lượng chảy giữa VPC, vị trí on-premises hay internet. Để biết thêm thông tin, hãy xem tài liệu AWS Cloud WAN.
Về Các Tác Giả
Mandar Alankar
Mandar là Senior Networking Solutions Architect tại AWS. Anh ấy đam mê về các công nghệ mạng và thích đổi mới và giúp giải quyết các vấn đề phức tạp của khách hàng. Anh ấy có bằng thạc sĩ về Viễn thông từ Đại học Colorado Boulder. Mandar sống ở Seattle và thích du lịch và các hoạt động ngoài trời.
Shubham Singh
Shubham là Senior Network Specialist Solutions Architect tại AWS. Anh ấy giúp khách hàng thiết kế các giải pháp đổi mới, kiên cường và hiệu quả về chi phí sử dụng các dịch vụ AWS. Anh ấy đam mê về công nghệ và thích xây dựng các giải pháp trong Mạng và Bảo mật. Anh ấy có bằng MS về Quản lý Hệ thống Viễn thông từ Đại học Northeastern, chuyên về Mạng Máy tính.
TAGS: AWS Cloud WAN, AWS Direct Connect
AWS Study Group 