云对比

AWS 网络服务的深度 - VPC、Transit Gateway、PrivateLink 实现的企业网络设计

将以 AWS 的 VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall 为核心的网络服务群与 Azure VNet/ExpressRoute 及 GCP VPC/Cloud Interconnect 进行比较,解析企业网络设计中灵活性的优势。

約 2 分で読めます

云网络的复杂性与重要性

云的网络设计与计算和存储相比看似低调,但在企业环境中是最重要的基础。多账户架构下的网络隔离、与本地环境的安全连接、服务间的私有通信、流量检查和过滤等,需求多种多样。网络设计的错误直接导致安全事件或性能问题,因此需要精细的控制。AWS 在这一领域以 VPC 为基础提供丰富的网络服务群,在实现企业所需的复杂网络拓扑的灵活性方面超越其他提供商。

VPC 与 Transit Gateway - 可扩展的网络拓扑

AWS 的 VPC(Virtual Private Cloud)是在云上构建逻辑隔离网络空间的基础服务。通过子网、路由表、网络 ACL、安全组实现多层访问控制,从 CIDR 块设计到路由控制,可以达到与本地网络设计同等的粒度。Transit Gateway 是以中心辐射型连接多个 VPC 和本地网络的服务。可以将数百个 VPC 集中到一个 Transit Gateway,通过路由表统一管理流量控制。在多账户、多区域环境中,通过 Transit Gateway 对等连接还可以整合跨区域网络。Azure 的 Virtual WAN 也提供类似的中心辐射配置,但 Transit Gateway 在路由灵活性方面更高,可以实现更精细的流量控制。

PrivateLink - 服务间的私有连接

PrivateLink 是一种机制,可以从 VPC 内的资源向 AWS 服务或第三方服务建立不经过互联网的私有连接。只需创建 VPC 端点,到 S3、DynamoDBSageMaker 等 AWS 服务的流量就在 AWS 的私有网络内完成。PrivateLink 的真正价值在于可以将自己的服务私有地暴露给其他 AWS 账户。SaaS 提供商通过 PrivateLink 向客户提供服务,大企业的共享服务团队向内部其他团队公开私有 API 端点等用途被广泛使用。Azure 的 Private Link 也提供类似功能,但 AWS 的 PrivateLink 支持的服务数量更多,生态系统更成熟。GCP 的 Private Service Connect 是相对较新的服务,功能上正在追赶 AWS 的 PrivateLink,但在第三方支持方面仍有差距。

Direct Connect 与 Network Firewall - 企业连接与安全

Direct Connect 是通过专线连接 AWS 和本地数据中心的服务。与互联网 VPN 相比,提供稳定的带宽、低延迟和一致的网络质量。使用 Direct Connect Gateway,可以通过一条专线访问多个区域的 VPC,简化全球企业的网络设计。Azure 的 ExpressRoute 也提供同等的专线连接,功能差异正在缩小。但 AWS 的 Direct Connect 合作伙伴站点数量更多,特别是在亚太地区的连接点选择更丰富。Network Firewall 是 VPC 级别的有状态防火墙,通过 Suricata 兼容的规则引擎提供入侵检测/防御、域过滤和 TLS 检查。与 Azure Firewall 和 GCP 的 Cloud Firewall 相比,直接使用 Suricata 规则便于迁移现有安全策略是其优势。

与 GCP 网络的比较

GCP 的网络利用 Google 的全球网络基础设施具有独特优势。GCP 的 VPC 默认是全球性的,可以在一个 VPC 内放置跨区域的子网。与 AWS 的 VPC 以区域为单位不同,GCP 的全球 VPC 使多区域配置更简单。然而,这种简单性也是一种权衡。AWS 的 VPC 以区域为单位隔离,因此更容易限制故障影响范围,可以明确定义安全边界。在企业网络设计中,这种隔离性在很多场景下被重视。此外,GCP 没有直接对应 Transit Gateway 的服务,大规模多 VPC 环境的中心辐射配置需要通过 Cloud Router 和 VPC 对等连接的组合来实现,增加了管理复杂性。

企业网络设计的实践

在大规模企业环境中,需要组合 AWS 网络服务的多层设计。典型配置是以 Transit Gateway 为中心连接共享服务 VPC、工作负载 VPC、安全 VPC,并通过 Network Firewall 检查 VPC 间流量。通过 Direct Connect 连接总部和数据中心,经 Transit Gateway 路由到所有 VPC。各工作负载 VPC 对 AWS 服务的访问通过 PrivateLink 实现闭域化,通过 Route 53 Resolver 整合本地和云的 DNS。实现这种复杂拓扑的构建块的丰富性,是 AWS 网络的最大优势。关于网络设计的实践模式,相关书籍 (Amazon) 也可作为参考。

总结

AWS 的网络服务以 VPC 为基础,通过组合 Transit Gateway、PrivateLink、Direct Connect、Network Firewall 等专业服务,提供实现企业所需复杂网络拓扑的灵活性。GCP 的全球 VPC 在简洁性方面优秀,但在大规模环境的精细控制和隔离性方面 AWS 更胜一筹。Azure 的 Virtual WAN 和 ExpressRoute 在功能上正在接近 AWS,但在 Transit Gateway 的路由灵活性和 PrivateLink 生态系统的成熟度方面仍有差距。网络是云基础设施的根基,这个根基的设计自由度高,是支撑长期架构演进的重要因素。

相关服务

Amazon VPC在 AWS 云中构建逻辑隔离的虚拟网络的服务AWS Direct Connect通过专线连接本地环境与 AWS,提供稳定低延迟网络的服务Amazon Route 53高可用且可扩展的 DNS 和域名注册服务Amazon CloudFront从全球边缘节点高速分发内容的 CDN 服务

相关文章

AWS 的先发优势与规模经济 - 2006 年起 18 年积累的意义从服务数量、API 稳定性、生态系统厚度的角度,将 AWS 自 2006 年创造公有云市场以来 18 年间构建的先发优势与 Azure、GCP 进行比较。AWS 的服务数量与专业性 - 200 多项服务所体现的「目的特化型」设计哲学将 AWS 提供 200 多项服务的「目的特化型」设计哲学与 GCP 的「少而精」和 Azure 的「Microsoft 整合」方式进行比较,解析服务广度与深度兼备所带来的实际价值。AWS 容器编排 - ECS、EKS、Fargate 三驾马车提供的选择自由将 AWS 提供的 ECS、EKS、Fargate 三种容器编排方案与 Azure ACI/AKS 及 GCP Cloud Run/GKE 进行比较,解析根据工作负载特性灵活选择所带来的实际优势。AWS 的存储分层策略 - S3 的 8 种存储类别与 Intelligent-Tiering 的自动优化将 AWS S3 的 8 种存储类别和 Intelligent-Tiering 自动优化与 Azure Blob Storage 和 GCS 的存储层进行比较,解析 AWS 在层级精细度和自动化成熟度方面的优势。

本主题的更多内容

Amazon.com 是 AWS 最大的客户 - 内部吃狗粮机制打造的服务质量秘密从 Amazon.com 的电商网站、Prime Video、Alexa 运行在 AWS 上的事实出发,解析内部吃狗粮机制如何提升服务质量,以及 Prime Day 的负载如何锤炼 AWS 的架构设计。AWS AI/ML 服务层级结构 - SageMaker、Bedrock 与 API 型服务三层实现的灵活性将 AWS 的 AI/ML 服务整理为 SageMaker(完全控制)、Bedrock(托管式生成 AI)和 Rekognition 等(API 型)三层结构,通过与 GCP Vertex AI 和 Azure OpenAI Service 的对比,解析包含自研芯片集成在内的 AWS 灵活性优势。AWS 数据分析与数据湖 - Athena、Glue、Lake Formation、Redshift 的集成生态系统解析 AWS 的 Athena、Glue、Lake Formation、Redshift、QuickSight 构成的集成数据分析栈,与 Azure Synapse Analytics 和 GCP BigQuery 对比,阐述 AWS 在生态系统整体集成度方面的优势。AWS 的向后兼容性与 API 稳定性 - 永不废弃已发布 API 的方针所建立的信任解析 AWS 坚持不废弃已发布 API 的实绩,与 Azure 的品牌变更和 GCP 的服务停用案例对比,阐述 API 稳定性对企业为何至关重要。AWS 可用区设计 - 物理隔离与故障隔离带来的可靠性差异解析 AWS 可用区作为物理独立数据中心群的设计理念,与 Azure 和 GCP 的可用区对比,通过实际故障案例阐述故障隔离成熟度的差异。AWS 技能的招聘市场价值与认证资格的薪资溢价分析 AWS 技能相关的职位数量、认证资格持有者的薪资溢价及对职业路径的影响,与 Azure 和 GCP 对比,评估 AWS 资格认证的投资回报。AWS 技术社区与学习资源 - 从 re:Invent 到 JAWS-UG将 re:Invent、AWS Summit、JAWS-UG 等技术社区以及日语文档和培训的充实度与 Azure 和 GCP 对比,解析 AWS 学习环境的优势。AWS 143 项以上合规认证的全面覆盖 - 从 ISMAP 到 PCI DSS 压倒性的取得实绩以 ISMAP、SOC、PCI DSS、HIPAA 为轴解析 AWS 取得的 143 项以上合规认证,并与 Azure 和 GCP 的认证覆盖度进行对比。

相似的文章与服务

使用 AWS Transit Gateway 构建中心辐射型网络 - 多 VPC 连接设计通过中心辐射型架构集中管理多个 VPC 和本地网络,利用路由表隔离建立安全边界。同时介绍通过对等连接实现多区域互联。AWS Transit Gateway以中心辐射型拓扑互连多个 VPC 和本地网络,大幅简化网络架构的服务AWS Transit Gateway集中连接多个 VPC 和本地网络的网络中转枢纽AWS Network Manager统一可视化、监控和管理包括 VPC、Transit Gateway、VPN、Direct Connect 在内的全球网络拓扑的服务Amazon VPC在 AWS 云中构建逻辑隔离的虚拟网络,完全控制 IP 地址范围、路由和安全的服务