AWS Network Manager
统一可视化、监控和管理包括 VPC、Transit Gateway、VPN、Direct Connect 在内的全球网络拓扑的服务
概述
AWS Network Manager 是一项统一可视化和管理 AWS 上的网络资源及本地站点在内的全球网络的服务。它将 Transit Gateway、Site-to-Site VPN、Direct Connect、Cloud WAN 等网络资源汇聚到一个仪表板中,提供拓扑图、路由分析和网络事件监控。大幅简化多区域、多账户环境的网络运维。
全球网络与核心网络
Network Manager 的核心概念是全球网络。全球网络是将组织整体网络资源进行逻辑分组的容器,可在一个 AWS 账户中创建多个。将 Transit Gateway 注册到全球网络后,其下属的 VPC、VPN 连接和 Direct Connect 网关会自动纳入管理范围。本地站点作为 Site 注册,设置物理位置(地址、经纬度)后可在地理拓扑图上显示。每个站点可关联设备(路由器、防火墙等)和链路(线路信息),记录站点的网络配置。使用 Cloud WAN 时,核心网络在全球网络内创建,以分段为单位定义流量隔离和跨区域连接策略。核心网络的策略文档以 JSON 格式编写,支持版本管理。
拓扑可视化与路由分析
Network Manager 控制台以交互式拓扑图展示已注册资源的连接关系。区域、Transit Gateway、VPC、VPN、Direct Connect 的连接状态实时反映,故障发生时可立即掌握受影响的路径。路由分析功能解析指定源和目标之间的路由路径,显示路径上各跳和路由表条目。当路由不存在或检测到黑洞路由时,可定位问题所在。通过与 CloudWatch 指标集成,可监控 Transit Gateway 的字节数、数据包数和丢弃数,设置流量异常检测告警。网络事件(VPN 隧道中断、BGP 对等状态变化等)发布到 EventBridge,可构建与 Lambda 或 SNS 联动的自动通知和自动恢复工作流。
Cloud WAN 集成与策略管理
Cloud WAN 是构建在 Network Manager 之上的全球广域网服务,可直接从 Network Manager 控制台操作。通过核心网络策略定义分段(生产、开发、共享服务等),以策略方式声明式管理分段间的通信允许与拒绝。将 VPC、VPN、Direct Connect、Transit Gateway 对等作为附件连接,并将各附件分配到分段。策略变更以版本保存,应用前可通过试运行确认影响范围。通过与 Organizations 集成,可使用自动接受功能将成员账户的 VPC 自动连接到核心网络。费用基于核心网络边缘位置数、附件数和数据处理量按量计费。与单独使用 Transit Gateway 相比成本较高,但在数十个区域、数百个 VPC 规模的网络中,基于策略的集中管理带来的运维成本降低更为显著。