{"version":"https://jsonfeed.org/version/1.1","title":"untitled","home_page_url":"https://my-blog-dxh.pages.dev","feed_url":"https://my-blog-dxh.pages.dev/json/","description":"","icon":"https://my-blog-dxh.pages.dev/assets/default/channel-image.png","favicon":"https://my-blog-dxh.pages.dev/assets/default/favicon.png","language":"en-us","items":[{"id":"2n127uTVAC_","title":"ZS 使用 Network Orchestration for AWS Transit Gateway 优化成本和扩展案例分析","content_html":"ZS\n使用 Network Orchestration for AWS Transit Gateway\n优化成本和扩展案例分析\n
\n

原文:How ZS Used Network Orchestration for AWS\nTransit Gateway to Optimize Costs and Scale Up\n链接:https://aws.amazon.com/blogs/networking-and-content-delivery/how-zs-used-network-orchestration-for-aws-transit-gateway-to-optimize-costs-and-scale-up/\n发布日期:2024-01-23

\n
\n
\n

一、公司背景

\n

ZS\n是一家专注于全球医疗保健领域的管理咨询和技术公司,在 AWS\n上托管多个客户应用。随着业务增长,其网络架构变得复杂,横跨多个 AWS\n区域和账户。

\n
\n

二、原有架构与痛点

\n

2.1 原有架构

\n

ZS 原本依赖第三方工具(基于 Amazon EC2\n实例)来管理内部网络,该工具负责:

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
功能实现方式
路由编排第三方 EC2 实例
防火墙负载均衡第三方 EC2 实例
NAT 网关 / FQDN 过滤第三方 NAT 实例
IPsec VPN 隧道第三方设备
网络可视化第三方工具
\n

核心组件: - Spoke 账户 A:VPC 通过\nTransit Gateway VPC 附件连接到网络账户的 Transit Gateway - Spoke\n账户 B:需要 FQDN 过滤的 VPC 流量经过第三方 NAT 实例 -\n安全账户:托管第三方 EC2 实例(用于负载均衡和防火墙) -\n网络账户:包含 Transit Gateway,并通过 RAM\n共享给组织内其他账户

\n

流量路径

\n
Spoke VPC → Transit Gateway → 安全账户第三方实例 → 互联网/其他VPC/IPsec隧道
\n

2.2 痛点

\n
    \n
  1. 成本高:EC2 实例和第三方许可费用
    2. \n
  2. 运维复杂:需要持续补丁、升级和维护
    3. \n
  3. 与 AWS 服务集成度低:缺乏自动化能力
    4. \n
  4. 扩展困难:手动配置路由,难以快速扩展
    5. \n
\n
\n

三、解决方案:AWS 原生服务替换

\n

ZS 采用 AWS 原生服务替换第三方工具:

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
原有方案新方案
第三方路由编排工具Network Orchestration for AWS Transit Gateway
第三方负载均衡器Gateway Load Balancer (GWLB)
第三方 NAT/FQDN 过滤防火墙虚拟设备 + GWLB + TGW
第三方可视化工具Network Orchestration 仪表盘 + AWS Global Network View
\n
\n

四、Network\nOrchestration for AWS Transit Gateway

\n

4.1 核心组件

\n

Network Orchestration 基于以下 AWS 服务构建:

\n\n

4.2 部署架构

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
堆栈类型部署位置功能
管理堆栈组织管理账户集中管理和审批
中心堆栈网络账户(TGW 所在)路由表管理
Spoke 模板所有 Spoke 账户VPC 自动注册
\n

4.3 自动化路由管理

\n

通过 VPC 标签 触发自动化路由变更: - 自动关联路由表\n- 自动传播路由 - 支持变更审批流程

\n

4.4 静态路由补充

\n

通过 CloudFormation 自定义资源(Lambda 函数)添加静态路由。

\n
\n

五、Gateway Load Balancer\n(GWLB) 配置

\n

5.1 部署架构

\n\n

5.2 流量路径优化

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
流量类型路径
互联网流量防火墙 → IGW
内部流量Transit Gateway → 目标 VPC
IPsec 流量专用防火墙设备处理
\n
\n

六、实施成果

\n

6.1 成本优化

\n\n

6.2 运维简化

\n\n

6.3 可靠性提升

\n\n

6.4 扩展性增强

\n\n

6.5 可视化改进

\n\n
\n

七、关键技术要点

\n
    \n
  1. Network Orchestration for AWS Transit Gateway:AWS\n提供的开源解决方案,用于自动化 TGW 路由管理
    2. \n
  2. Gateway Load\nBalancer:第三层负载均衡器,支持透明网络网关(防火墙、IDS/IPS)
    3. \n
  3. GENEVE 协议:GWLB\n使用的封装协议,保留原始流量信息
    4. \n
  4. 标签驱动自动化:通过 VPC 标签触发路由变更,实现\nGitOps 风格管理
    5. \n
\n
\n

八、适用场景

\n\n
\n

九、参考资源

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
资源链接
Network Orchestration for AWS Transit Gatewayhttps://aws.amazon.com/solutions/implementations/network-orchestration-aws-transit-gateway/
Gateway Load Balancer 文档https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/
Transit Gateway 文档https://docs.aws.amazon.com/vpc/latest/tgw/
\n
\n

分析日期:2025-12-23

\n","content_text":"ZS 使用 NETWORK ORCHESTRATION FOR AWS TRANSIT GATEWAY 优化成本和扩展案例分析\n\n> 原文:How ZS Used Network Orchestration for AWS Transit Gateway to Optimize Costs\n> and Scale Up\n> 链接:https://aws.amazon.com/blogs/networking-and-content-delivery/how-zs-used-network-orchestration-for-aws-transit-gateway-to-optimize-costs-and-scale-up/\n> 发布日期:2024-01-23\n\n--------------------------------------------------------------------------------\n\n\n一、公司背景\n\nZS 是一家专注于全球医疗保健领域的管理咨询和技术公司,在 AWS 上托管多个客户应用。随着业务增长,其网络架构变得复杂,横跨多个 AWS 区域和账户。\n\n--------------------------------------------------------------------------------\n\n\n二、原有架构与痛点\n\n\n2.1 原有架构\n\nZS 原本依赖第三方工具(基于 Amazon EC2 实例)来管理内部网络,该工具负责:\n\n功能 实现方式 路由编排 第三方 EC2 实例 防火墙负载均衡 第三方 EC2 实例 NAT 网关 / FQDN 过滤 第三方 NAT 实例 IPsec VPN\n隧道 第三方设备 网络可视化 第三方工具\n\n核心组件: - Spoke 账户 A:VPC 通过 Transit Gateway VPC 附件连接到网络账户的 Transit Gateway - Spoke\n账户 B:需要 FQDN 过滤的 VPC 流量经过第三方 NAT 实例 - 安全账户:托管第三方 EC2 实例(用于负载均衡和防火墙) - 网络账户:包含\nTransit Gateway,并通过 RAM 共享给组织内其他账户\n\n流量路径:\n\nSpoke VPC → Transit Gateway → 安全账户第三方实例 → 互联网/其他VPC/IPsec隧道\n\n\n2.2 痛点\n\n 1. 成本高:EC2 实例和第三方许可费用\n 2. 运维复杂:需要持续补丁、升级和维护\n 3. 与 AWS 服务集成度低:缺乏自动化能力\n 4. 扩展困难:手动配置路由,难以快速扩展\n\n--------------------------------------------------------------------------------\n\n\n三、解决方案:AWS 原生服务替换\n\nZS 采用 AWS 原生服务替换第三方工具:\n\n原有方案 新方案 第三方路由编排工具 Network Orchestration for AWS Transit Gateway 第三方负载均衡器\nGateway Load Balancer (GWLB) 第三方 NAT/FQDN 过滤 防火墙虚拟设备 + GWLB + TGW 第三方可视化工具\nNetwork Orchestration 仪表盘 + AWS Global Network View\n\n--------------------------------------------------------------------------------\n\n\n四、NETWORK ORCHESTRATION FOR AWS TRANSIT GATEWAY\n\n\n4.1 核心组件\n\nNetwork Orchestration 基于以下 AWS 服务构建:\n\n * CloudFormation:基础设施即代码\n * EventBridge:事件驱动自动化\n * Lambda:无服务器计算\n * Step Functions:工作流编排\n\n\n4.2 部署架构\n\n堆栈类型 部署位置 功能 管理堆栈 组织管理账户 集中管理和审批 中心堆栈 网络账户(TGW 所在) 路由表管理 Spoke 模板 所有 Spoke 账户\nVPC 自动注册\n\n\n4.3 自动化路由管理\n\n通过 VPC 标签 触发自动化路由变更: - 自动关联路由表 - 自动传播路由 - 支持变更审批流程\n\n\n4.4 静态路由补充\n\n通过 CloudFormation 自定义资源(Lambda 函数)添加静态路由。\n\n--------------------------------------------------------------------------------\n\n\n五、GATEWAY LOAD BALANCER (GWLB) 配置\n\n\n5.1 部署架构\n\n * 在安全账户部署 GWLB 和防火墙实例\n * 使用 GWLB 端点(VPC 端点)接收 Transit Gateway 流量\n * 通过 GENEVE 协议将流量封装后发送至防火墙\n\n\n5.2 流量路径优化\n\n流量类型 路径 互联网流量 防火墙 → IGW 内部流量 Transit Gateway → 目标 VPC IPsec 流量 专用防火墙设备处理\n\n--------------------------------------------------------------------------------\n\n\n六、实施成果\n\n\n6.1 成本优化\n\n * 消除第三方 EC2 实例费用\n * 消除第三方许可费用\n * 利用 Serverless 架构降低运维成本\n\n\n6.2 运维简化\n\n * 基于 Serverless 架构(Lambda、EventBridge 等)\n * 减少补丁和升级工作\n * 自动化路由管理\n\n\n6.3 可靠性提升\n\n * 利用 GWLB 的高可用性\n * 利用 Transit Gateway 的高可用性\n * 消除单点故障\n\n\n6.4 扩展性增强\n\n * 自动化路由编排支持快速扩展新 VPC\n * 支持多区域部署\n * 标签驱动的自动化\n\n\n6.5 可视化改进\n\n * Network Orchestration 仪表盘集中管理\n * AWS Global Network View 全局视图\n\n--------------------------------------------------------------------------------\n\n\n七、关键技术要点\n\n 1. Network Orchestration for AWS Transit Gateway:AWS 提供的开源解决方案,用于自动化 TGW 路由管理\n 2. Gateway Load Balancer:第三层负载均衡器,支持透明网络网关(防火墙、IDS/IPS)\n 3. GENEVE 协议:GWLB 使用的封装协议,保留原始流量信息\n 4. 标签驱动自动化:通过 VPC 标签触发路由变更,实现 GitOps 风格管理\n\n--------------------------------------------------------------------------------\n\n\n八、适用场景\n\n * 多账户、多区域的企业级 AWS 网络架构\n * 需要集中化防火墙检查的场景\n * 希望从第三方网络工具迁移到 AWS 原生服务\n * 需要自动化路由管理和变更审批\n\n--------------------------------------------------------------------------------\n\n\n九、参考资源\n\n资源 链接 Network Orchestration for AWS Transit Gateway\nhttps://aws.amazon.com/solutions/implementations/network-orchestration-aws-transit-gateway/\nGateway Load Balancer 文档\nhttps://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/ Transit Gateway\n文档 https://docs.aws.amazon.com/vpc/latest/tgw/\n\n--------------------------------------------------------------------------------\n\n分析日期:2025-12-23","date_published":"2025-12-23T06:11:40.000Z","_microfeed":{"web_url":"https://my-blog-dxh.pages.dev/i/zs-network-orchestration-for-aws-transit-gatewa-2n127uTVAC_/","json_url":"https://my-blog-dxh.pages.dev/i/2n127uTVAC_/json/","rss_url":"https://my-blog-dxh.pages.dev/i/2n127uTVAC_/rss/","guid":"2n127uTVAC_","status":"published","date_published_short":"Tue Dec 23 2025","date_published_ms":1766470300000}}],"_microfeed":{"microfeed_version":"0.1.5","base_url":"https://my-blog-dxh.pages.dev","categories":[],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://my-blog-dxh.pages.dev/rss/","image":"https://my-blog-dxh.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"ZXB_jd5cVYA"},{"name":"JSON","type":"json","url":"https://my-blog-dxh.pages.dev/json/","image":"https://my-blog-dxh.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"2wSUeI7Icva"}],"description_text":"","copyright":"©2025","itunes:type":"episodic","items_sort_order":"newest_first"}}