<!-- AI_TASK_START: AI标题翻译 -->
[解决方案] 通过 AWS Cloud WAN 服务插入简化新部署的出口检查
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 解决方案分析
## 解决方案概述
本解决方案聚焦于使用AWS Cloud WAN的Service Insertion功能简化出口检查(egress inspection),针对greenfield部署。该方案旨在构建、管理和监控统一全球网络,连接云端和本地资源,并集成安全检查服务。**AWS Cloud WAN** 通过定义**网络功能组(NFGs)** 和流量重定向规则,实现流量在**Amazon VPC**、AWS区域、本地位置和互联网之间的安全路由。核心目标是解决传统网络架构中出口流量检查的复杂性,提升安全性,同时优化延迟和成本。适用于新部署场景,特别是需要处理北向(north-south)流量的企业环境,如全球分布式应用。背景信息显示,该功能于2024年推出,基于AWS全球基础设施,响应行业对高效网络安全的需求。
## 实施步骤
1. **创建网络功能组(NFGs)**:使用JSON政策定义NFG,例如为“InspectionNFG”指定名称和描述,确保不要求附件接受。通过此步骤,建立流量重定向的基础,逻辑上衔接后续路由配置。
1.1. 示例代码:
```json
"network-function-groups": [
{
"name": "InspectionNFG",
"description": "Route segment traffic to the inspection VPC",
"require-attachment-acceptance": false
}
]
```
2. **创建VPC附件**:使用AWS CLI为检查VPC创建附件,并添加关键标签(如Key=environment,Value=InspectionNFG)。此步骤确保附件与NFG关联,技术原理涉及标签匹配以自动化路由决策。
3. **配置附件政策**:定义政策规则分析附件标签,并将匹配的附件映射到NFG。例如,使用“tag-value”条件将环境标签为“InspectionNFG”的附件添加到相应组中。该过程依赖AWS Cloud WAN的路由评估机制,确保流量精确重定向。
3.1. 示例代码:
```json
"attachment-policies": [
{
"rule-number": 100,
"condition-logic": "or",
"action": {
"add-to-network-function-group": "InspectionNFG"
},
"conditions": [
{
"type": "tag-value",
"value": "InspectionNFG",
"operator": "equals",
"key": "environment"
}
]
}
]
```
4. **配置段动作(Segment Actions)**:使用“send-to”参数将NFG插入流量路径,例如将Prod段的出口流量路由到InspectionNFG。该步骤触发默认路由添加,实现自动化流量转向,适用于单区域或多区域场景。
4.1. 示例代码:
```json
"segment-actions": [
{
"segment": "Prod",
"action": "send-to",
"via": {
"network-function-groups": [
"InspectionNFG"
]
},
"when-sent-to": {
"segments": "Prod"
}
}
]
```
5. **验证流量流**:通过包流分析确保流量正确路由,例如从Prod VPC到检查VPC再到互联网。该过程依赖AWS Cloud WAN的路由优先级机制,如优先本地区域路由。
## 方案客户价值
- **提升安全性**:通过强制出口流量经由安全设备(如**AWS Network Firewall**)检查,显著减少网络威胁风险,实现全面的北向流量监控,与传统手动路由方案相比,简化了安全集成过程。
- **优化成本和性能**:保持流量在本地区域处理,降低延迟并减少跨区域传输费用,例如在单区域部署中,避免不必要的全球路由开销。
- **简化网络管理**:利用自动化政策和NFG,减少手动配置工作量,与竞品相比,提供更灵活的全球网络控制,但可能在多区域场景中增加政策管理复杂度。
- **业务灵活性**:支持greenfield部署的扩展性,适用于突发流量或全球分布应用,帮助企业快速响应行业需求,如云计算趋势下的混合网络架构。
## 涉及的相关产品
- **AWS Cloud WAN**:核心服务,用于构建和管理全球网络,提供Service Insertion功能,实现流量重定向。
- **AWS Network Manager**:用于定义政策和NFG,简化网络监控和配置,在方案中处理流量规则。
- **Amazon VPC**:承载Prod和Inspection VPC,提供隔离的网络环境,支持流量检查和路由。
- **AWS Network Firewall**:作为安全设备,处理出口流量检查,提升网络防护能力。
- **Gateway Load Balancer (GWLB)**:用于负载均衡第三方安全设备,确保高可用性和流量分布。
## 技术评估
本方案的技术先进性体现在自动化流量路由和政策驱动架构上,利用**NFGs** 和边缘覆盖(Edge Override)实现高效的北向流量管理,适用于单区域和多区域部署,符合云计算趋势向软件定义网络(SDN)的演进。可行性高,依赖AWS全球基础设施,但需客户具备核心网络概念知识。优势包括灵活的路由优先级机制,能优化延迟和成本;然而,在大规模多区域组网时,可能面临管理复杂度上升和路由决策不优化的限制,如未经边缘覆盖的流量可能选择次优路径。整体而言,该方案在greenfield环境中表现出色,但需结合具体场景评估潜在挑战。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# 使用 AWS Cloud WAN 服务插入简化新部署的出口检查
**原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/simplifying-egress-inspection-with-aws-cloud-wan-service-insertion-for-greenfield-deployments/](https://aws.amazon.com/blogs/networking-and-content-delivery/simplifying-egress-inspection-with-aws-cloud-wan-service-insertion-for-greenfield-deployments/)
**发布时间:** 2025-04-15
**厂商:** AWS
**类型:** BLOG
---
[AWS Cloud WAN (AWS Cloud WAN)](https://aws.amazon.com/cloud-wan/) 是一种托管的广域网 (WAN) 服务,帮助您构建、管理和监控一个统一的全球网络,用于连接云和本地资源。在 2024 年,我们推出了 [服务插入 (service insertion)](https://aws.amazon.com/about-aws/whats-new/2024/06/aws-cloud-wan-service-insertion/),这是 AWS Cloud WAN 的一个功能,用于简化将安全和检查服务集成到全球网络中。通过 [AWS Network Manager (AWS Network Manager)](https://docs.aws.amazon.com/managedservices/latest/userguide/networking-manager.html) 控制台或 JSON 策略,您可以定义 [网络功能组 (NFGs, Network Function Groups)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-network-function-groups.html) 和流量重定向规则,以引导全球网络流量在 [Amazon Virtual Private Clouds (Amazon VPCs)](https://aws.amazon.com/vpc/)、[AWS Regions](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)、本地位置和互联网之间,通过安全设备或检查服务进行路由。配置后,它会自动将流量路由通过安全服务,用于东西向和南北向通信模式。
本帖专注于在新部署中实施 AWS Cloud WAN 与服务插入,特别是针对过滤和检查互联网出站 (南北向 [north-south](https://en.wikipedia.org/wiki/North-south_traffic)) 流量 (出口流量)。为了保持低延迟并优化成本,我们建议将您的出口流量保持在资源部署的 Region 中。AWS Cloud WAN 在全球范围内运行,但使用集中式 [AWS Network Firewall (AWS Network Firewall)](https://aws.amazon.com/network-firewall/) 或位于 [Gateway Load Balancer (GWLB, Gateway Load Balancer)](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 后面的第三方设备进行安全检查,则是在一个 Region 内部署的。在 Amazon VPC 内或 Amazon VPC 之间传输的过滤和检查流量 (也称为东西向流量 [east-west traffic](https://en.wikipedia.org/wiki/East-west_traffic)) 是一个有效的用例,但本帖不讨论。
在本帖中,我们将检查三个场景:
1. 单 Region 出口 (南北向) 检查
2. 多 Region 出口 (南北向) 检查,在所有 Region 中都有出口堆栈
3. 多 Region 出口 (南北向) 检查,使用地理集群和边缘覆盖
## **先决条件**
本帖扩展了我们之前帖子的概念,[使用 AWS Cloud WAN 服务插入简化全球安全检查](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/)。该帖子涵盖了跨 Region、单 Region 和跨段的键益和架构模式。在继续本帖之前,您必须充分理解之前讨论的 [全球和核心网络关键概念 (Global and core network key concepts)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-concepts-key)。
在所有场景中,虽然我们展示了 IPv4 寻址,但 AWS Cloud WAN 支持 IPv4 和 IPv6 寻址。
## **场景 1: 单 Region 出口 (南北向) 检查**
图 1 显示了场景 1,其中包含一个单 Region (Region 1),包括两个 VPC:
1. Prod VPC 1 (10.1.0.0/16): 附加到 Prod 段。
2. Inspection VPC 1 (100.64.1.0/24): 附加到 Inspection NFG,并托管安全设备。
在此场景中,从 Prod VPC 1 退出到互联网的所有流量首先路由通过 Inspection VPC 1。返回流量遵循相同的路径。此检查过程通过 Inspection NFG 的服务插入实现,从而增强安全,通过筛选所有互联网出站流量。

图 1: 单 Region 中的互联网出口检查
我们可以通过一个演练来概述在 us-east-1 Region 中使用 AWS Cloud WAN 服务插入的 [网络功能组 (NFG)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-network-function-groups.html),将安全结构插入 Prod VPC 1 和互联网之间的出口流量路径的过程。
**步骤 1:** 使用以下示例创建 InspectionNFG NFG:
"network-function-groups": [
{
"name": "InspectionNFG",
"description": "Route segment traffic to the inspection VPC",
"require-attachment-acceptance": false
}
],
**步骤 2:** 使用以下示例创建 Inspection VPC 1 附加,并添加键值标签。您可以使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 创建附加:
aws networkmanager create-vpc-attachment \
--core-network-id "<core-network-id>" \
--vpc-arn "<vpc-arn>" \
--subnet-arns "<subnet-arn>" \
--tags Key=environment,Value=InspectionNFG
**步骤 3:** 附加策略会分析我们在步骤 2 中指定的 Cloud WAN 附加键值标签,而不是与 VPC 资源关联的标签。以下示例附加策略会分析附加,并将带有标签 “environment”: “InspectionNFG” 的附加映射到 InspectionNFG NFG。在使用段动作插入流量路径之前,必须将 Inspection VPC 1 附加映射到 InspectionNFG NFG:
"attachment-policies": [
{
"rule-number": 100,
"condition-logic": "or",
"action": {
"add-to-network-function-group": "InspectionNFG"
},
"conditions": [
{
"type": "tag-value",
"value": "InspectionNFG",
"operator": "equals",
"key": "environment"
}
]
},
],
**步骤 4:** 使用以下示例 [segment-actions send-to 参数](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policies-json.html#cloudwan-segment-actions-json) 将 InspectionNFG NFG 插入互联网出口流量路径。此步骤应在创建 Inspection VPC 1 附加并将其关联到 InspectionNFG NFG 后执行:
"segment-actions": [
{
"segment": "Prod",
"action": "send-to",
"via": {
"network-function-groups": [
"InspectionNFG"
]
},
"when-sent-to": {
"segments": "Prod"
}
}
]
当您使用 send-to 参数将 InspectionNFG NFG 插入流量路径时,会在应用该动作的段中添加默认路由。因此,所有从 Prod 段的互联网出口流量都会被引导通过 Inspection VPC 1 中的防火墙。AWS Cloud WAN 会执行以下操作:
- 将 Prod VPC 1 CIDR (10.1.0.0/16) 传播到 InspectionNFG 路由表中,以 Prod VPC 1 附加作为下一跳。在同一 Region 内传播的路由,其下一跳会被重定向到本地 NFG 附加。
- 在 Prod 段路由表中添加 0.0.0.0/0 和 ::/0 路由,以本地 NFG 附加作为下一跳。

图 2: 互联网出口检查流量流
# **数据包演练**
此演练 (图 2) 显示了 Prod VPC 1 中的资源在同一 Region 内向互联网发送流量时的数据包流:
- **(A)** 当 Prod VPC 1 中的资源启动到互联网目的地的连接时,它会在 Prod VPC 1 路由表中执行查找。数据包匹配以核心网络 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 作为目标的默认路由条目,随后路由到核心网络。
- **(B)** 到达核心网络后,会在 Prod 段路由表中执行查找,以 US East-1 作为边缘位置 (因为 Prod VPC 1 与 Prod 段关联)。数据包匹配默认 0.0.0.0/0 CIDR 条目,该条目以 Inspection VPC 附加作为目标。因此,数据包被路由到 Inspection VPC。
- **(C)** Inspection VPC 中的核心网络 ENI 将数据包转发到防火墙/安全设备 (Network Firewall 或 GWLB) 通过防火墙端点 (此处未显示) 进行检查。如果数据包被允许,则端点将其转发到一个 [NAT Gateway (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) (此处未显示)。然后,NAT Gateway 将数据包转发到一个 Internet Gateway (IGW),IGW 将其发送到互联网。
- **(D)** 对于返回流量,IGW 将数据包发送回同一可用区 (AZ) 中的 NAT Gateway,该 AZ 是流量起源的。
- **(E)**, **(F)** 返回流量沿相反方向遵循相同的路径。
## **场景 2: 多 Region 出口 (南北向) 检查,在所有 Region 中都有出口堆栈**
图 3 显示了资源分布在三个 AWS Regions 中: us-east-1、us-west-1 和 us-west-2。每个 AWS Region 包括两个 VPC: 一个 Prod VPC 和一个 Inspection VPC。Prod VPCs 被映射到 Prod 段,而 Inspection VPCs 被映射到 InspectionNFG NFG。此多 Region 部署扩展了之前描述的单 Region 架构。

图 3: 多 Region 架构,在所有 AWS Regions 中都有出口堆栈
AWS Cloud WAN [segments](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 可以配置为全局或区域对象。此配置允许您设计路由,使每个 AWS Region 都有针对特定目标 CIDR 的区域附加。因此,您可以控制出口流量的出口点。当我们使用 send-to 参数将 InspectionNFG NFG 插入流量路径时,AWS Cloud WAN 会向应用该动作的段添加默认路由。此默认路由使用相应的区域 Inspection VPC 附加作为下一跳。
这种路由行为是因为,对于具有相同目标 IP 地址但不同目标的路由,AWS Cloud WAN 优先选择相同/本地 Region 的路由,而不是远程 Region 的路由。有关此行为的更多详细信息,请查阅 [AWS Cloud WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 中的 [Route Evaluation](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-create-attachment.html#cloudwan-route-evaluation) 部分。

图 4: 场景 2 的流量流
# **数据包演练**
数据包流 (图 4) 遵循场景 1 中概述的过程。在每个 AWS Region 中,资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。
## **场景 3: 多 Region 出口 (南北向) 检查,使用地理集群和边缘覆盖**
对于互联网出口,您可以选择两种方法: 在每个 AWS Region 中部署出口 VPC (安全堆栈) (如场景 2 所述),或在一个单 Region 中实施出口 VPC,以检查和处理来自多个 AWS Regions 的流量。例如,您可以根据地理区域 (如美洲 (AMER) 或欧洲 (EMEA)) 部署防火墙和 NAT Gateways,来管理每个相应 AWS Region 的出口流量。
# **没有边缘覆盖**
图 5 演示了场景 3,其中 Region 1 (us-east-1) 和 Region 2 (us-west-2) 各有自己的 Inspection VPCs 和防火墙,而 Region 3 (us-west-1) 没有。

图 5: 多 Region 架构,没有在所有 AWS Regions 中都有出口堆栈
当在某个 AWS Region 中部署出口 VPC 以检查和处理来自多个 AWS Regions 的流量时,必须仔细考虑下一跳选择。默认情况下,当从多个核心网络边缘 (CNEs) 接收到具有相似属性的多个附加时,系统会使用一个 [ordered list](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions) 来选择哪个 Region (以及哪个附加) 转发流量。这可能导致次优的路由行为。
例如,虽然 us-west-1 (N. California) 在地理上更接近 us-west-2 (Oregon),但默认情况下,来自 us-west-1 (N. California) 的出口流量会通过 us-east-1 (N. Virginia) 防火墙路由,而不是更近的 us-west-2 (Oregon) 防火墙。这是因为,根据 [ordered list](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions),us-east-1 的优先级高于 us-west-2。此行为如图 6 所示。

图 6: 没有边缘覆盖的流量流
# **数据包演练**
数据包流 (图 6) 与场景 2 类似。在 us-east-1 和 us-west-2 Regions 中,资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。然而,对于没有自己的区域出口 VPC 的 us-west-1,资源通过 us-east-1 中的防火墙连接到互联网 (标签 **(B)**)。
# **有边缘覆盖**
AWS Cloud WAN 服务插入的边缘覆盖属性允许您修改默认的下一跳选择过程。在配置 AWS Cloud WAN 策略时,您可以使用边缘覆盖来重定向来自特定源 Region 的流量,通过您首选的 AWS Region 中的防火墙 (Inspection VPC)。以下是边缘覆盖策略配置的示例:
"segment-actions": [
{
"action": "send-to",
"segment": "Prod",
"via": {
"network-function-groups": [
"InspectionNFG"
],
"with-edge-overrides": [
{
"edge-sets": [
[
"us-west-1"
]
],
"use-edge-location": "us-west-2"
}
]
},
"when-sent-to": {
"segments": "Prod"
}
}
],
使用边缘覆盖允许您将来自 us-west-1 Region 的流量路由通过 us-west-2 Region 中的防火墙,而不是 us-east-1 Region 中的防火墙。图 7 显示了此配置。

图 7: 有边缘覆盖的流量流
# **数据包演练**
数据包流 (图 7) 与场景 2 类似。在 us-east-1 和 us-west-2 Regions 中,资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。然而,对于没有自己的区域出口 VPC 的 us-west-1,资源通过 us-west-2 中的防火墙连接到互联网,而不是 us-east-1,由于边缘覆盖配置 (标签 **(B)**)。
## **注意事项**
**** 有关详细信息,请参考以下内容:
- AWS Cloud WAN [文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)
- 帖子“使用 AWS Cloud WAN 服务插入简化全球安全检查”中的 [注意事项](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/) 部分
## **结论**
本帖探讨了使用 AWS Cloud WAN 服务插入的互联网出口 (南北向) 检查架构模式。此功能简化了流量引导,通过部署在 VPC 或本地网络中的网络功能 (如防火墙和安全设备)。使用 AWS Network Manager 或 JSON,您可以定义策略和 NFGs,以重定向段之间的流量,通过指定的附加。这支持互联网出口,以及 Region 内和跨 Region 流量流。有关更多信息,请查阅 [AWS Cloud WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)。
## **作者介绍**

### Rizwan Mushtaq
Rizwan 是 AWS 的首席解决方案架构师。他帮助客户使用 AWS 服务设计创新、弹性和经济高效的解决方案。他拥有威奇托州立大学的电气工程硕士学位。

### Pratik R. Mankad
Pratik 是 AWS 的网络解决方案架构师。他对网络技术充满热情,并喜欢创新以帮助解决客户问题。他乐于架构解决方案并提供技术指导,以帮助客户和合作伙伴实现技术与业务目标。

### Umair Ahmed
Umair Ahmed 是 AWS 战略账户的高级解决方案架构师。在这个角色中,Umair 帮助企业客户架构高度可扩展、安全和高效的云解决方案,以实现基础设施和应用的现代化。Umair 的深厚技术专长和以客户为中心的做法,使他成为一些 AWS 最复杂客户的值得信赖的顾问。
<!-- AI_TASK_END: AI全文翻译 -->