我很高兴地宣布，我们推出了 Amazon Cloud WAN，这是一项新的网络服务，它可以轻松构建和运营连接您的数据中心和分支机构以及多个 Amazon 区域中的多个 VPC 的广域网（WAN）。

亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技术，观点，和项目，并将中国优秀开发者或技术推荐给全球云社区。如果你还没有关注/收藏，看到这里请一定不要匆匆划过，点这里让它成为你的技术宝库！

 

通常，大型企业的资源在不同的本地数据中心、分支机构和云中运行。为了连接这些资源，网络团队使用来自多个提供商的多种联网、安全和互联网服务来构建和管理自己的全局网络。他们很可能使用多种技术和提供商来管理基于云的网络、将其数据中心连接到 Amazon 云以及本地数据中心和分支机构之间的连接。所有这些网络都采用不同的连接、安全和监控方法，导致各个网络错综复杂地拼凑在一起，难以配置、保护和管理。

例如，为了防止未经授权访问跨地点运行的资源，这些地点使用不同网络技术连接，网络运营团队必须将来自不同供应商的不同防火墙解决方案组合在一起，然后手动配置和管理它们之间的策略。每一个新的位置、网络设备和安全要求都会使复杂性呈指数级增长。

借助 Cloud WAN，联网团队可通过他们选择的本地网络提供商连接到 Amazon，然后使用中央控制面板和网络策略来创建连接其位置和网络类型的统一网络。这样就无需单独配置和管理不同的网络，即使它们基于不同的技术也是如此。Cloud WAN 可生成本地网络和 Amazon 网络的完整视图，帮助您直观地了解整个网络的运行状况、安全和性能。

Cloud WAN 提供先进的安全和网络隔离，我对这种网络分段带来的可能性感到兴奋。无论您向网络中添加了多少个 Amazon 区域或本地位置，都可以使用 Cloud WAN 中的策略轻松对网络流量进行分段。例如，您可以轻松地将来自零售支付处理的网络流量与公司网络上的其他流量隔离开来，同时仍然允许两个分段访问共享的公司资源。另一个例子是通过为每个环境创建逻辑网段来隔离开发和生产环境。这样，在将大量位置与 VPC 连接时更容易确保一致的安全策略，尤其是当您的策略需要应用于具有独特安全性和路由要求的大型组时。Cloud WAN 代表您维护跨区域的一致配置。在传统网络中，分段类似于全局一致的虚拟路由和转发（VRF）表或通过 MPLS 网络传输的第 3 层 IP VPN。分段是可选的；较小的组织可以将 Cloud WAN 与一个网段结合使用，涵盖您的所有流量。

除了网络分段及其为网络管理任务带来的简单性之外，我还看到了使用 Cloud WAN 的四个主要优势：

集中式管理和网络监控控制面板 – Network Manager 提供了一个中央控制面板，用于连接和管理分支机构、数据中心、VPN 连接和软件定义的广域网（SD-WAN），以及您的 Amazon VPC 和 Amazon Transit Gateway。此控制面板可帮助您在一个位置监控和查看网络的运行状况，从而简化日常运营。

集中式策略管理 – 您可以在以 JSON 表示的中央网络策略文档中定义访问控制和流量路由规则。更新策略时，Cloud WAN 使用两步流程来确保意外错误不会影响您的全局网络。首先，检查并验证您的更改在生产环境中能否按预期运行。批准更改后，Cloud WAN 将处理整个网络的配置详细信息。您可以使用 Amazon 管理控制台或 Cloud WAN API 更改策略文档。

多区域 VPC 连接 – Cloud WAN 跨 Amazon 区域连接您的 VPC。使用简单的网络策略文档，您可以创建连接所有 EC2 资源的全局网络，也可以选择跨区域对这些网络进行分段。

内置自动化。Cloud WAN 可以自动将新的 VPC 和网络连接附加到您的网络，因此您无需手动批准每项更改。这减少了管理不断增长的网络所涉及的运营开销。您可以通过标记附件和定义自动将带有特定标签的附件映射到特定网段的网络策略来实现此目的。通过这种标记结构，您可以选择哪些附件可以自动加入分段，哪些分段需要手动批准，以及同一分段中的附件是否可以相互通信，所有这些都基于您选择的标签。

我们开始吧

要开始使用 Cloud WAN，我打开了 Amazon 管理控制台。在 VPC 部分中，左侧菜单中有一个针对 Amazon Cloud WAN 的新条目。创建和配置全局网络分为四个步骤。

首先，我先创建一个全局网络和一个核心网络。

输入 Name（名称）和可选 Description（描述）后，我选择 Next（下一步）。

为核心网络指定 Name（名称）和 Description**（描述）后，我输入我的 ASN range（ASN 范围）和 Edge locations（边缘站点）列表，然后为我的默认分段输入 Segment name（分段名称）和 Segment description（分段描述）。默认分段将在所有选定的边缘站点自动启用。

其次，我定义并附上我的核心联网策略。核心策略定义了跨分段和 Amazon 区域控制网络访问的规则。第三，我配置分段和分段操作。我可以查看所有路由，并按网络 Segment（分段）和 Edge location（边缘站点）进行筛选。

最后，我将现有的 Transit Gateway 注册到新的全局网络。

配置完成后，您的全局网络将拥有一个单一的监控控制面板。您可以访问网络清单。

或者，您可以使用 Topology graph（拓扑图）和 Topology tree（拓扑树）获得更精细的详细视图。

其他注意事项

在运行 Cloud WAN 的预览阶段，我们经常会收到这样一个问题：“何时应该使用 Cloud WAN 而不是 Transit Gateway 构建网络？” 这是一个符合逻辑的问题，因为 Transit Gateway 和 Cloud WAN 都允许在 Amazon VPC 和本地位置之间进行集中连接。Transit Gateway 是一个区域性网络连接中心，当您在少数 Amazon 区域运营，或者想要管理自己的对等和路由配置或更喜欢使用自己的自动化时，它是最佳选择。

另一方面，Cloud WAN 是一种托管广域网（WAN），它统一了您的数据中心、分支机构和 Amazon 网络。虽然您可以通过跨区域互连多个 Transit Gateway 来创建自己的全局网络，但 Cloud WAN 提供了专为构建和运营全局网络而设计的内置自动化、分段和配置管理功能。Cloud WAN 增加了自动化 VPC 附件、集成性能监控和集中配置等功能。

但是世界在一起会变得更美好，您可以将您的 Transit Gateways 与 Cloud WAN 的核心网络边缘（CNE）对等，并从我之前描述的集中管理和监控功能中受益。Cloud WAN 和 Transit Gateway 之间的对等互连使您的选择保持开放，您可以从一个网关迁移到另一个，或者使用 Cloud WAN 集中连接所有现有的 Transit Gateway。

但是随后，Amazon 在去年 12 月发布了 SiteLink。什么时候应该使用 SiteLink，什么时候应该使用 Amazon Cloud WAN？ 根据您的使用案例，您可以选择一个、另一个或两者结合。Cloud WAN 可以创建和管理跨多个区域的 VPC 网络。另一方面，SiteLink 绕过 Amazon 区域将 Direct Connect 地点连接在一起，以提高性能。Direct Connect 是您将来可以在 Cloud WAN 本地使用的几种连接选项之一。截至目前，您可以通过 Transit Gateway 对等连接将 Direct Connect 与 Cloud WAN 互连。

可用性和定价

Cloud WAN 现已在以下 Amazon 区域推出：美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（北加利福尼亚）、美国西部（俄勒冈州）、非洲（开普敦）、亚太地区（孟买）、亚太地区（新加坡）、亚太地区（悉尼）、亚太地区（东京）、加拿大（中部）、欧洲地区（法兰克福）、欧洲地区（爱尔兰）、欧洲地区（伦敦）、欧洲地区（米兰）、欧洲地区（巴黎）、欧洲地区（斯德哥尔摩）和中东（巴林）。

像往常一样，没有安装费或预付费，并且根据您的实际使用情况按需计费。使用 Amazon Cloud WAN 支付的费用取决于四个因素。首先，部署的核心网络边缘（CNE）的数量。其次，每个 CNE 的附件数量。附件可能是 Amazon VPC、VPN 或 SD-WAN。第三，与您的 CNE 对等的 Transit Gateway 的数量。第四，通过每个 CNE 发送的流量需要支付数据处理费。

除了这些特定于 Cloud WAN 的因素之外，在区域之间发送数据会触发 EC2 区域间数据传出费用。虽然 EC2 区域间数据传出与 Cloud WAN 分开计费，但这是 Cloud WAN 服务总成本中的一个因素。定价页面包含详细信息。

去构建您的全局网络吧！

– seb

文章来源：https://dev.amazoncloud.cn/column/article/6309aaa686218f3ca3e8f809?sc_medium=regulartraffic&sc_campaign=crossplatform&sc_channel=CSDN