[解决方案] 通过 AWS Cloud WAN 服务插入简化新部署的出口检查

[解决方案] 通过 AWS Cloud WAN 服务插入简化新部署的出口检查   # 解决方案分析 ## 解决方案概述本解决方案聚焦于使用AWS Cloud WAN的Service Insertion功能简化出口检查（egress inspection），针对greenfield部署。该方案旨在构建、管理和监控统一全球网络，连接云端和本地资源，并集成安全检查服务。**AWS Cloud WAN** 通过定义**网络功能组（NFGs）** 和流量重定向规则，实现流量在**Amazon VPC**、AWS区域、本地位置和互联网之间的安全路由。核心目标是解决传统网络架构中出口流量检查的复杂性，提升安全性，同时优化延迟和成本。适用于新部署场景，特别是需要处理北向（north-south）流量的企业环境，如全球分布式应用。背景信息显示，该功能于2024年推出，基于AWS全球基础设施，响应行业对高效网络安全的需求。 ## 实施步骤 1. **创建网络功能组（NFGs）**：使用JSON政策定义NFG，例如为“InspectionNFG”指定名称和描述，确保不要求附件接受。通过此步骤，建立流量重定向的基础，逻辑上衔接后续路由配置。 1.1. 示例代码： ```json "network-function-groups": [ { "name": "InspectionNFG", "description": "Route segment traffic to the inspection VPC", "require-attachment-acceptance": false } ] ``` 2. **创建VPC附件**：使用AWS CLI为检查VPC创建附件，并添加关键标签（如Key=environment,Value=InspectionNFG）。此步骤确保附件与NFG关联，技术原理涉及标签匹配以自动化路由决策。 3. **配置附件政策**：定义政策规则分析附件标签，并将匹配的附件映射到NFG。例如，使用“tag-value”条件将环境标签为“InspectionNFG”的附件添加到相应组中。该过程依赖AWS Cloud WAN的路由评估机制，确保流量精确重定向。 3.1. 示例代码： ```json "attachment-policies": [ { "rule-number": 100, "condition-logic": "or", "action": { "add-to-network-function-group": "InspectionNFG" }, "conditions": [ { "type": "tag-value", "value": "InspectionNFG", "operator": "equals", "key": "environment" } ] } ] ``` 4. **配置段动作（Segment Actions）**：使用“send-to”参数将NFG插入流量路径，例如将Prod段的出口流量路由到InspectionNFG。该步骤触发默认路由添加，实现自动化流量转向，适用于单区域或多区域场景。 4.1. 示例代码： ```json "segment-actions": [ { "segment": "Prod", "action": "send-to", "via": { "network-function-groups": [ "InspectionNFG" ] }, "when-sent-to": { "segments": "Prod" } } ] ``` 5. **验证流量流**：通过包流分析确保流量正确路由，例如从Prod VPC到检查VPC再到互联网。该过程依赖AWS Cloud WAN的路由优先级机制，如优先本地区域路由。 ## 方案客户价值 - **提升安全性**：通过强制出口流量经由安全设备（如**AWS Network Firewall**）检查，显著减少网络威胁风险，实现全面的北向流量监控，与传统手动路由方案相比，简化了安全集成过程。 - **优化成本和性能**：保持流量在本地区域处理，降低延迟并减少跨区域传输费用，例如在单区域部署中，避免不必要的全球路由开销。 - **简化网络管理**：利用自动化政策和NFG，减少手动配置工作量，与竞品相比，提供更灵活的全球网络控制，但可能在多区域场景中增加政策管理复杂度。 - **业务灵活性**：支持greenfield部署的扩展性，适用于突发流量或全球分布应用，帮助企业快速响应行业需求，如云计算趋势下的混合网络架构。 ## 涉及的相关产品 - **AWS Cloud WAN**：核心服务，用于构建和管理全球网络，提供Service Insertion功能，实现流量重定向。 - **AWS Network Manager**：用于定义政策和NFG，简化网络监控和配置，在方案中处理流量规则。 - **Amazon VPC**：承载Prod和Inspection VPC，提供隔离的网络环境，支持流量检查和路由。 - **AWS Network Firewall**：作为安全设备，处理出口流量检查，提升网络防护能力。 - **Gateway Load Balancer (GWLB)**：用于负载均衡第三方安全设备，确保高可用性和流量分布。 ## 技术评估本方案的技术先进性体现在自动化流量路由和政策驱动架构上，利用**NFGs** 和边缘覆盖（Edge Override）实现高效的北向流量管理，适用于单区域和多区域部署，符合云计算趋势向软件定义网络（SDN）的演进。可行性高，依赖AWS全球基础设施，但需客户具备核心网络概念知识。优势包括灵活的路由优先级机制，能优化延迟和成本；然而，在大规模多区域组网时，可能面临管理复杂度上升和路由决策不优化的限制，如未经边缘覆盖的流量可能选择次优路径。整体而言，该方案在greenfield环境中表现出色，但需结合具体场景评估潜在挑战。   # 使用 AWS Cloud WAN 服务插入简化新部署的出口检查 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/simplifying-egress-inspection-with-aws-cloud-wan-service-insertion-for-greenfield-deployments/](https://aws.amazon.com/blogs/networking-and-content-delivery/simplifying-egress-inspection-with-aws-cloud-wan-service-insertion-for-greenfield-deployments/) **发布时间:** 2025-04-15 **厂商:** AWS **类型:** BLOG --- [AWS Cloud WAN (AWS Cloud WAN)](https://aws.amazon.com/cloud-wan/) 是一种托管的广域网 (WAN) 服务，帮助您构建、管理和监控一个统一的全球网络，用于连接云和本地资源。在 2024 年，我们推出了 [服务插入 (service insertion)](https://aws.amazon.com/about-aws/whats-new/2024/06/aws-cloud-wan-service-insertion/)，这是 AWS Cloud WAN 的一个功能，用于简化将安全和检查服务集成到全球网络中。通过 [AWS Network Manager (AWS Network Manager)](https://docs.aws.amazon.com/managedservices/latest/userguide/networking-manager.html) 控制台或 JSON 策略，您可以定义 [网络功能组 (NFGs, Network Function Groups)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-network-function-groups.html) 和流量重定向规则，以引导全球网络流量在 [Amazon Virtual Private Clouds (Amazon VPCs)](https://aws.amazon.com/vpc/)、[AWS Regions](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)、本地位置和互联网之间，通过安全设备或检查服务进行路由。配置后，它会自动将流量路由通过安全服务，用于东西向和南北向通信模式。本帖专注于在新部署中实施 AWS Cloud WAN 与服务插入，特别是针对过滤和检查互联网出站 (南北向 [north-south](https://en.wikipedia.org/wiki/North-south_traffic)) 流量 (出口流量)。为了保持低延迟并优化成本，我们建议将您的出口流量保持在资源部署的 Region 中。AWS Cloud WAN 在全球范围内运行，但使用集中式 [AWS Network Firewall (AWS Network Firewall)](https://aws.amazon.com/network-firewall/) 或位于 [Gateway Load Balancer (GWLB, Gateway Load Balancer)](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 后面的第三方设备进行安全检查，则是在一个 Region 内部署的。在 Amazon VPC 内或 Amazon VPC 之间传输的过滤和检查流量 (也称为东西向流量 [east-west traffic](https://en.wikipedia.org/wiki/East-west_traffic)) 是一个有效的用例，但本帖不讨论。在本帖中，我们将检查三个场景： 1. 单 Region 出口 (南北向) 检查 2. 多 Region 出口 (南北向) 检查，在所有 Region 中都有出口堆栈 3. 多 Region 出口 (南北向) 检查，使用地理集群和边缘覆盖 ## **先决条件** 本帖扩展了我们之前帖子的概念，[使用 AWS Cloud WAN 服务插入简化全球安全检查](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/)。该帖子涵盖了跨 Region、单 Region 和跨段的键益和架构模式。在继续本帖之前，您必须充分理解之前讨论的 [全球和核心网络关键概念 (Global and core network key concepts)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-concepts-key)。在所有场景中，虽然我们展示了 IPv4 寻址，但 AWS Cloud WAN 支持 IPv4 和 IPv6 寻址。 ## **场景 1: 单 Region 出口 (南北向) 检查** 图 1 显示了场景 1，其中包含一个单 Region (Region 1)，包括两个 VPC： 1. Prod VPC 1 (10.1.0.0/16): 附加到 Prod 段。 2. Inspection VPC 1 (100.64.1.0/24): 附加到 Inspection NFG，并托管安全设备。在此场景中，从 Prod VPC 1 退出到互联网的所有流量首先路由通过 Inspection VPC 1。返回流量遵循相同的路径。此检查过程通过 Inspection NFG 的服务插入实现，从而增强安全，通过筛选所有互联网出站流量。 ![图 1: 单 Region 中的互联网出口检查](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/Fig1-1310.png) 图 1: 单 Region 中的互联网出口检查我们可以通过一个演练来概述在 us-east-1 Region 中使用 AWS Cloud WAN 服务插入的 [网络功能组 (NFG)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-network-function-groups.html)，将安全结构插入 Prod VPC 1 和互联网之间的出口流量路径的过程。 **步骤 1:** 使用以下示例创建 InspectionNFG NFG: "network-function-groups": [ { "name": "InspectionNFG", "description": "Route segment traffic to the inspection VPC", "require-attachment-acceptance": false } ], **步骤 2:** 使用以下示例创建 Inspection VPC 1 附加，并添加键值标签。您可以使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 创建附加: aws networkmanager create-vpc-attachment \ --core-network-id "<core-network-id>" \ --vpc-arn "<vpc-arn>" \ --subnet-arns "<subnet-arn>" \ --tags Key=environment,Value=InspectionNFG **步骤 3:** 附加策略会分析我们在步骤 2 中指定的 Cloud WAN 附加键值标签，而不是与 VPC 资源关联的标签。以下示例附加策略会分析附加，并将带有标签 “environment”: “InspectionNFG” 的附加映射到 InspectionNFG NFG。在使用段动作插入流量路径之前，必须将 Inspection VPC 1 附加映射到 InspectionNFG NFG: "attachment-policies": [ { "rule-number": 100, "condition-logic": "or", "action": { "add-to-network-function-group": "InspectionNFG" }, "conditions": [ { "type": "tag-value", "value": "InspectionNFG", "operator": "equals", "key": "environment" } ] }, ], **步骤 4:** 使用以下示例 [segment-actions send-to 参数](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policies-json.html#cloudwan-segment-actions-json) 将 InspectionNFG NFG 插入互联网出口流量路径。此步骤应在创建 Inspection VPC 1 附加并将其关联到 InspectionNFG NFG 后执行: "segment-actions": [ { "segment": "Prod", "action": "send-to", "via": { "network-function-groups": [ "InspectionNFG" ] }, "when-sent-to": { "segments": "Prod" } } ] 当您使用 send-to 参数将 InspectionNFG NFG 插入流量路径时，会在应用该动作的段中添加默认路由。因此，所有从 Prod 段的互联网出口流量都会被引导通过 Inspection VPC 1 中的防火墙。AWS Cloud WAN 会执行以下操作： - 将 Prod VPC 1 CIDR (10.1.0.0/16) 传播到 InspectionNFG 路由表中，以 Prod VPC 1 附加作为下一跳。在同一 Region 内传播的路由，其下一跳会被重定向到本地 NFG 附加。 - 在 Prod 段路由表中添加 0.0.0.0/0 和 ::/0 路由，以本地 NFG 附加作为下一跳。 ![图 2: 互联网出口检查流量流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/Fig2-1310.png) 图 2: 互联网出口检查流量流 # **数据包演练** 此演练 (图 2) 显示了 Prod VPC 1 中的资源在同一 Region 内向互联网发送流量时的数据包流： - **(A)** 当 Prod VPC 1 中的资源启动到互联网目的地的连接时，它会在 Prod VPC 1 路由表中执行查找。数据包匹配以核心网络 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 作为目标的默认路由条目，随后路由到核心网络。 - **(B)** 到达核心网络后，会在 Prod 段路由表中执行查找，以 US East-1 作为边缘位置 (因为 Prod VPC 1 与 Prod 段关联)。数据包匹配默认 0.0.0.0/0 CIDR 条目，该条目以 Inspection VPC 附加作为目标。因此，数据包被路由到 Inspection VPC。 - **(C)** Inspection VPC 中的核心网络 ENI 将数据包转发到防火墙/安全设备 (Network Firewall 或 GWLB) 通过防火墙端点 (此处未显示) 进行检查。如果数据包被允许，则端点将其转发到一个 [NAT Gateway (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) (此处未显示)。然后，NAT Gateway 将数据包转发到一个 Internet Gateway (IGW)，IGW 将其发送到互联网。 - **(D)** 对于返回流量，IGW 将数据包发送回同一可用区 (AZ) 中的 NAT Gateway，该 AZ 是流量起源的。 - **(E)**, **(F)** 返回流量沿相反方向遵循相同的路径。 ## **场景 2: 多 Region 出口 (南北向) 检查，在所有 Region 中都有出口堆栈** 图 3 显示了资源分布在三个 AWS Regions 中: us-east-1、us-west-1 和 us-west-2。每个 AWS Region 包括两个 VPC: 一个 Prod VPC 和一个 Inspection VPC。Prod VPCs 被映射到 Prod 段，而 Inspection VPCs 被映射到 InspectionNFG NFG。此多 Region 部署扩展了之前描述的单 Region 架构。 ![图 3: 多 Region 架构，在所有 AWS Regions 中都有出口堆栈](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/Fig3-1310..png) 图 3: 多 Region 架构，在所有 AWS Regions 中都有出口堆栈 AWS Cloud WAN [segments](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 可以配置为全局或区域对象。此配置允许您设计路由，使每个 AWS Region 都有针对特定目标 CIDR 的区域附加。因此，您可以控制出口流量的出口点。当我们使用 send-to 参数将 InspectionNFG NFG 插入流量路径时，AWS Cloud WAN 会向应用该动作的段添加默认路由。此默认路由使用相应的区域 Inspection VPC 附加作为下一跳。这种路由行为是因为，对于具有相同目标 IP 地址但不同目标的路由，AWS Cloud WAN 优先选择相同/本地 Region 的路由，而不是远程 Region 的路由。有关此行为的更多详细信息，请查阅 [AWS Cloud WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 中的 [Route Evaluation](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-create-attachment.html#cloudwan-route-evaluation) 部分。 ![图 4: 场景 2 的流量流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/Fig4-1310.png) 图 4: 场景 2 的流量流 # **数据包演练** 数据包流 (图 4) 遵循场景 1 中概述的过程。在每个 AWS Region 中，资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。 ## **场景 3: 多 Region 出口 (南北向) 检查，使用地理集群和边缘覆盖** 对于互联网出口，您可以选择两种方法: 在每个 AWS Region 中部署出口 VPC (安全堆栈) (如场景 2 所述)，或在一个单 Region 中实施出口 VPC，以检查和处理来自多个 AWS Regions 的流量。例如，您可以根据地理区域 (如美洲 (AMER) 或欧洲 (EMEA)) 部署防火墙和 NAT Gateways，来管理每个相应 AWS Region 的出口流量。 # **没有边缘覆盖** 图 5 演示了场景 3，其中 Region 1 (us-east-1) 和 Region 2 (us-west-2) 各有自己的 Inspection VPCs 和防火墙，而 Region 3 (us-west-1) 没有。 ![图 5: 多 Region 架构，没有在所有 AWS Regions 中都有出口堆栈](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/Fig5-1310..png) 图 5: 多 Region 架构，没有在所有 AWS Regions 中都有出口堆栈当在某个 AWS Region 中部署出口 VPC 以检查和处理来自多个 AWS Regions 的流量时，必须仔细考虑下一跳选择。默认情况下，当从多个核心网络边缘 (CNEs) 接收到具有相似属性的多个附加时，系统会使用一个 [ordered list](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions) 来选择哪个 Region (以及哪个附加) 转发流量。这可能导致次优的路由行为。例如，虽然 us-west-1 (N. California) 在地理上更接近 us-west-2 (Oregon)，但默认情况下，来自 us-west-1 (N. California) 的出口流量会通过 us-east-1 (N. Virginia) 防火墙路由，而不是更近的 us-west-2 (Oregon) 防火墙。这是因为，根据 [ordered list](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions)，us-east-1 的优先级高于 us-west-2。此行为如图 6 所示。 ![图 6: 没有边缘覆盖的流量流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/02/Fig6-1310.png) 图 6: 没有边缘覆盖的流量流 # **数据包演练** 数据包流 (图 6) 与场景 2 类似。在 us-east-1 和 us-west-2 Regions 中，资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。然而，对于没有自己的区域出口 VPC 的 us-west-1，资源通过 us-east-1 中的防火墙连接到互联网 (标签 **(B)**)。 # **有边缘覆盖** AWS Cloud WAN 服务插入的边缘覆盖属性允许您修改默认的下一跳选择过程。在配置 AWS Cloud WAN 策略时，您可以使用边缘覆盖来重定向来自特定源 Region 的流量，通过您首选的 AWS Region 中的防火墙 (Inspection VPC)。以下是边缘覆盖策略配置的示例: "segment-actions": [ { "action": "send-to", "segment": "Prod", "via": { "network-function-groups": [ "InspectionNFG" ], "with-edge-overrides": [ { "edge-sets": [ [ "us-west-1" ] ], "use-edge-location": "us-west-2" } ] }, "when-sent-to": { "segments": "Prod" } } ], 使用边缘覆盖允许您将来自 us-west-1 Region 的流量路由通过 us-west-2 Region 中的防火墙，而不是 us-east-1 Region 中的防火墙。图 7 显示了此配置。 ![图 7: 有边缘覆盖的流量流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/02/Fig7-1310.png) 图 7: 有边缘覆盖的流量流 # **数据包演练** 数据包流 (图 7) 与场景 2 类似。在 us-east-1 和 us-west-2 Regions 中，资源通过其指定的区域防火墙连接到互联网 (标签 **(A)**)。然而，对于没有自己的区域出口 VPC 的 us-west-1，资源通过 us-west-2 中的防火墙连接到互联网，而不是 us-east-1，由于边缘覆盖配置 (标签 **(B)**)。 ## **注意事项** **** 有关详细信息，请参考以下内容： - AWS Cloud WAN [文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) - 帖子“使用 AWS Cloud WAN 服务插入简化全球安全检查”中的 [注意事项](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/) 部分 ## **结论** 本帖探讨了使用 AWS Cloud WAN 服务插入的互联网出口 (南北向) 检查架构模式。此功能简化了流量引导，通过部署在 VPC 或本地网络中的网络功能 (如防火墙和安全设备)。使用 AWS Network Manager 或 JSON，您可以定义策略和 NFGs，以重定向段之间的流量，通过指定的附加。这支持互联网出口，以及 Region 内和跨 Region 流量流。有关更多信息，请查阅 [AWS Cloud WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)。 ## **作者介绍** ![riz-2.jpg](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2021/02/10/riz-2.jpeg) ### Rizwan Mushtaq Rizwan 是 AWS 的首席解决方案架构师。他帮助客户使用 AWS 服务设计创新、弹性和经济高效的解决方案。他拥有威奇托州立大学的电气工程硕士学位。 ![pmankad-headshot1.jpg](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2020/11/06/pmankad-headshot1.jpg) ### Pratik R. Mankad Pratik 是 AWS 的网络解决方案架构师。他对网络技术充满热情，并喜欢创新以帮助解决客户问题。他乐于架构解决方案并提供技术指导，以帮助客户和合作伙伴实现技术与业务目标。 ![umairahd.jpg](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/29/umairahd.jpg) ### Umair Ahmed Umair Ahmed 是 AWS 战略账户的高级解决方案架构师。在这个角色中，Umair 帮助企业客户架构高度可扩展、安全和高效的云解决方案，以实现基础设施和应用的现代化。Umair 的深厚技术专长和以客户为中心的做法，使他成为一些 AWS 最复杂客户的值得信赖的顾问。