REL02-BP04 轴辐式拓扑优先于多对多网格 - 可靠性支柱
实施指导资源

REL02-BP04 轴辐式拓扑优先于多对多网格

连接多个私有网络时,例如连接虚拟私有云(VPC)与本地网络,应优先选择轴辐式拓扑而不是网格拓扑。在网格拓扑中,每个网络直接连接到其他网络,这会增加复杂性和管理开销,而轴辐式拓扑则不同,这种拓扑架构通过单个中心枢纽来集中连接。这种集中式方法简化了网络结构,并且可以增强可操作性、可扩展性和控制能力。

AWS Transit Gateway 是一项托管服务,可扩展且能够提供高可用性,专为在 AWS 上构建轴辐式网络而设计。该服务充当网络的中心枢纽,提供网络分段、集中路由功能,并可简化与云端以及与本地环境的连接。下图说明了如何使用 AWS Transit Gateway 来构建轴辐式拓扑。

AWS Transit Gateway connecting various services like VPCs, Direct Connect, and third-party appliances.

期望结果:您已通过中心枢纽连接虚拟私有云(VPC)和本地网络。可以通过此枢纽配置对等连接,该枢纽充当高度可扩展的云路由器。因为您不必处理复杂的对等关系,所以路由得以简化。网络之间的流量已加密,并且您可以隔离网络。

常见反模式:

  • 您构建复杂的网络对等规则。

  • 您在不应彼此通信的网络之间提供路由(例如,没有相互依赖关系的独立工作负载)。

  • 枢纽实例的治理效率低下。

建立此最佳实践的好处:随着互联网络数量增加,网格连接的管理和扩展变得越来越有挑战性。网格架构会带来其它挑战,例如额外的基础设施组件、配置要求和部署注意事项。网格还为管理和监控数据面板和控制面板组件带来了额外的开销。您必须考虑如何提供网格架构的高可用性,如何监控网格运行状况和性能,以及如何处理网格组件的升级。

另一方面,轴辐式模型可在多个网络之间建立集中式流量路由。它提供了一种更简单的方法来管理和监控数据面板和控制面板组件。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

如果网络服务账户不存在,请创建一个此类账户。将枢纽置于组织的网络服务账户中。这种方法可让网络工程师对枢纽进行集中管理。

轴辐式模型的枢纽充当虚拟路由器,用于路由在虚拟私有云(VPC)和本地网络之间流动的流量。这种方法降低了网络复杂性,并且可以更轻松地对网络问题进行故障排除。

考虑您的网络设计,包括要互连的 VPC、AWS Direct Connect 和 Site-to-Site VPN 连接。

考虑为每个中转网关 VPC 连接使用单独的子网。对于每个子网,请使用小型 CIDR(例如 /28),以便您有更多地址空间用于计算资源。此外,创建一个网络 ACL,并将其与已和枢纽关联的所有子网相关联。确保网络 ACL 在入站和出站方向打开。

设计并实现路由表,以便仅在应进行通信的网络之间提供路由。忽略不应彼此通信的网络之间的路由(例如,在没有相互依赖关系的不同工作负载之间)。

实施步骤

  1. 规划网络。确定要连接的网络,并确认它们不共享重叠的 CIDR 范围。

  2. 创建 AWS Transit Gateway 并连接您的 VPC。

  3. 根据需要,创建 VPN 连接或 Direct Connect 网关,并将其与 Transit Gateway 关联。

  4. 通过配置 Transit Gateway 路由表,定义如何在连接的 VPC 和其他连接之间路由流量。

  5. 使用 Amazon CloudWatch 进行监控并根据需要调整配置,从而优化性能和成本。

资源

相关最佳实践:

相关文档:

相关视频:

相关讲习会: