ZS 使用 Network Orchestration for AWS Transit Gateway 优化成本和扩展案例分析
ZS 使用 Network Orchestration for AWS Transit Gateway 优化成本和扩展案例分析
About
ZS 使用 Network Orchestration for AWS Transit Gateway 优化成本和扩展案例分析
原文:How ZS Used Network Orchestration for AWS Transit Gateway to Optimize Costs and Scale Up 链接:https://aws.amazon.com/blogs/networking-and-content-delivery/how-zs-used-network-orchestration-for-aws-transit-gateway-to-optimize-costs-and-scale-up/ 发布日期:2024-01-23
一、公司背景
ZS 是一家专注于全球医疗保健领域的管理咨询和技术公司,在 AWS 上托管多个客户应用。随着业务增长,其网络架构变得复杂,横跨多个 AWS 区域和账户。
二、原有架构与痛点
2.1 原有架构
ZS 原本依赖第三方工具(基于 Amazon EC2 实例)来管理内部网络,该工具负责:
| 功能 | 实现方式 |
|---|---|
| 路由编排 | 第三方 EC2 实例 |
| 防火墙负载均衡 | 第三方 EC2 实例 |
| NAT 网关 / FQDN 过滤 | 第三方 NAT 实例 |
| IPsec VPN 隧道 | 第三方设备 |
| 网络可视化 | 第三方工具 |
核心组件: - Spoke 账户 A:VPC 通过 Transit Gateway VPC 附件连接到网络账户的 Transit Gateway - Spoke 账户 B:需要 FQDN 过滤的 VPC 流量经过第三方 NAT 实例 - 安全账户:托管第三方 EC2 实例(用于负载均衡和防火墙) - 网络账户:包含 Transit Gateway,并通过 RAM 共享给组织内其他账户
流量路径:
Spoke VPC → Transit Gateway → 安全账户第三方实例 → 互联网/其他VPC/IPsec隧道2.2 痛点
- 成本高:EC2 实例和第三方许可费用
- 运维复杂:需要持续补丁、升级和维护
- 与 AWS 服务集成度低:缺乏自动化能力
- 扩展困难:手动配置路由,难以快速扩展
三、解决方案:AWS 原生服务替换
ZS 采用 AWS 原生服务替换第三方工具:
| 原有方案 | 新方案 |
|---|---|
| 第三方路由编排工具 | Network Orchestration for AWS Transit Gateway |
| 第三方负载均衡器 | Gateway Load Balancer (GWLB) |
| 第三方 NAT/FQDN 过滤 | 防火墙虚拟设备 + GWLB + TGW |
| 第三方可视化工具 | Network Orchestration 仪表盘 + AWS Global Network View |
四、Network Orchestration for AWS Transit Gateway
4.1 核心组件
Network Orchestration 基于以下 AWS 服务构建:
- CloudFormation:基础设施即代码
- EventBridge:事件驱动自动化
- Lambda:无服务器计算
- Step Functions:工作流编排
4.2 部署架构
| 堆栈类型 | 部署位置 | 功能 |
|---|---|---|
| 管理堆栈 | 组织管理账户 | 集中管理和审批 |
| 中心堆栈 | 网络账户(TGW 所在) | 路由表管理 |
| Spoke 模板 | 所有 Spoke 账户 | VPC 自动注册 |
4.3 自动化路由管理
通过 VPC 标签 触发自动化路由变更: - 自动关联路由表 - 自动传播路由 - 支持变更审批流程
4.4 静态路由补充
通过 CloudFormation 自定义资源(Lambda 函数)添加静态路由。
五、Gateway Load Balancer (GWLB) 配置
5.1 部署架构
- 在安全账户部署 GWLB 和防火墙实例
- 使用 GWLB 端点(VPC 端点)接收 Transit Gateway 流量
- 通过 GENEVE 协议将流量封装后发送至防火墙
5.2 流量路径优化
| 流量类型 | 路径 |
|---|---|
| 互联网流量 | 防火墙 → IGW |
| 内部流量 | Transit Gateway → 目标 VPC |
| IPsec 流量 | 专用防火墙设备处理 |
六、实施成果
6.1 成本优化
- 消除第三方 EC2 实例费用
- 消除第三方许可费用
- 利用 Serverless 架构降低运维成本
6.2 运维简化
- 基于 Serverless 架构(Lambda、EventBridge 等)
- 减少补丁和升级工作
- 自动化路由管理
6.3 可靠性提升
- 利用 GWLB 的高可用性
- 利用 Transit Gateway 的高可用性
- 消除单点故障
6.4 扩展性增强
- 自动化路由编排支持快速扩展新 VPC
- 支持多区域部署
- 标签驱动的自动化
6.5 可视化改进
- Network Orchestration 仪表盘集中管理
- AWS Global Network View 全局视图
七、关键技术要点
- Network Orchestration for AWS Transit Gateway:AWS 提供的开源解决方案,用于自动化 TGW 路由管理
- Gateway Load Balancer:第三层负载均衡器,支持透明网络网关(防火墙、IDS/IPS)
- GENEVE 协议:GWLB 使用的封装协议,保留原始流量信息
- 标签驱动自动化:通过 VPC 标签触发路由变更,实现 GitOps 风格管理
八、适用场景
- 多账户、多区域的企业级 AWS 网络架构
- 需要集中化防火墙检查的场景
- 希望从第三方网络工具迁移到 AWS 原生服务
- 需要自动化路由管理和变更审批
九、参考资源
| 资源 | 链接 |
|---|---|
| Network Orchestration for AWS Transit Gateway | https://aws.amazon.com/solutions/implementations/network-orchestration-aws-transit-gateway/ |
| Gateway Load Balancer 文档 | https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/ |
| Transit Gateway 文档 | https://docs.aws.amazon.com/vpc/latest/tgw/ |
分析日期:2025-12-23