[解决方案] 使用 AWS Cloud WAN 服务插入简化混合检查

[解决方案] 使用 AWS Cloud WAN 服务插入简化混合检查   # 解决方案分析 ## 解决方案概述 AWS Cloud WAN 服务插入解决方案旨在简化多区域混合网络检查，帮助组织管理并保护跨越多个 AWS 区域、云环境和本地位置的网络。该方案针对分布式网络管理问题，提供统一的网络政策框架、分割能力、动态路由传播和集中仪表板监控。核心目标是通过服务插入和原生 AWS Direct Connect 集成，优化流量检查和混合连接性，适用于全球网络架构。**AWS Cloud WAN** 解决了传统静态路由配置的复杂性，提升了网络灵活性和安全性，尤其在多区域部署中实现流量导向和对称路由。背景包括企业在混合环境中的网络安全挑战，以及对低延迟和高效率的需求。 ## 实施步骤 1. 准备环境，确保用户熟悉 **Amazon VPC**、**AWS Direct Connect** 和 **AWS Cloud WAN** 等概念，并参考相关用户指南配置核心网络。 2. 创建 **AWS Cloud WAN** 核心网络，启用多个 AWS 区域，并定义生产段（Production segment）和混合段（Hybrid segment），将 VPC 和 Direct Connect Gateway 与相应段关联。 - 在每个区域中，将生产 VPC 附加到生产段，并通过 BGP 会话广告 CIDR 范围。 3. 配置服务插入功能，使用 **"send-via"** 动作定义流量策略，例如将生产段与混合段之间的流量通过检查网络功能组（Inspection NFG）路由。 - 指定 NFG 并关联检查 VPC，确保 CIDR 范围在路由表中正确传播。 4. 针对特定场景应用 **edge-override** 配置，例如在 us-west-2 区域指定 us-west-1 的检查 VPC 作为优先路由目标，以优化延迟。 - 通过 JSON 政策语句实现路由调整，并验证流量流。 5. 监控和测试流量，例如通过包流 walkthrough 验证从本地数据中心到 VPC 的路由路径，确保检查和返回路径的一致性。 ## 方案客户价值 - 简化网络管理：通过统一的政策框架减少静态路由配置的复杂性，显著降低管理开销，使企业在多区域环境中更高效地处理网络流量。 - 优化成本和性能：用户可将防火墙部署在选定区域，避免不必要的流量长途迂回，例如通过 **edge-override** 减少延迟，确保流量在地理上更接近的检查点处理。 - 增强安全性：实现对称路由和流量检查，减少安全风险，与传统方案相比，消除了多重安全配置的复杂性，提供更一致的保护机制。 - 与传统 IaaS 架构的差异：相比手动路由，该方案利用 **AWS Cloud WAN** 的动态路由和服务插入，提升了灵活性，但可能在复杂政策下增加初始配置时间。 ## 涉及的相关产品 - **AWS Cloud WAN**：核心产品，提供统一网络管理、动态路由和服务插入功能，用于简化全球网络策略。 - **Amazon VPC**：用于部署生产和检查环境，作为流量端点，支持 CIDR 广告和段关联。 - **AWS Direct Connect**：实现本地数据中心与 AWS 的专用连接，支持混合段关联和 BGP 路由传播。 - **Direct Connect Gateway**：桥接 Direct Connect 与 Cloud WAN，处理跨区域流量路由。 - **Network Function Group (NFG)**：检查流量专用组，将检查 VPC 关联，确保流量通过指定防火墙。 ## 技术评估该解决方案的技术先进性体现在其动态路由和服务插入机制上，利用 **"send-via"** 和 **edge-override** 功能实现了高效的流量导向，提高了多区域网络的可行性和扩展性。优势包括简化政策管理、减少延迟（如在无本地检查 VPC 时优先地理接近区域）和成本优化，但在大规模组网中可能面临路由优先级冲突的问题，导致潜在的延迟增加或管理复杂度上升。该方案适用于全球混合架构，但需根据具体区域配置避免默认优先级的影响，整体可行性高，尤其在安全性与性能平衡方面。   # 使用 AWS Cloud WAN 服务插入简化混合检查 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-hybrid-inspection-using-aws-cloud-wan-service-insertion/](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-hybrid-inspection-using-aws-cloud-wan-service-insertion/) **发布时间:** 2025-05-02 **厂商:** AWS **类型:** BLOG --- 组织在管理并保护跨越多个 [AWS 区域 (AWS Regions)](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)、云环境和本地位置的网络时，面临着复杂挑战。 [AWS Cloud WAN](https://aws.amazon.com/cloud-wan/) 通过统一方法帮助用户管理分布式网络。该服务通过提供单一网络策略框架、分段能力、动态路由传播以及通过集中仪表板进行监控，简化了网络管理。AWS Cloud WAN 现已包括 [服务插入 (service insertion)](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/) 和 [原生 AWS Direct Connect 连接 (native AWS Direct Connect attachment)](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-hybrid-connectivity-with-aws-cloud-wan-and-aws-direct-connect-integration/)，从而简化了全球网络中的流量检查和混合连接集成。在服务插入功能出现之前，用户通过配置静态路由来引导流量通过防火墙设备，如博客文章中所述：[使用 AWS Cloud WAN 检查 Amazon VPC 之间的网络流量 (Inspecting network traffic between Amazon VPCs with AWS Cloud WAN)](https://aws.amazon.com/blogs/networking-and-content-delivery/inspecting-network-traffic-between-amazon-vpcs-with-aws-cloud-wan/) 和 [使用 AWS Cloud WAN 和 AWS Direct Connect 的混合安全检查架构 (Hybrid security inspection architectures with AWS Cloud WAN and AWS Direct Connect)](https://aws.amazon.com/blogs/networking-and-content-delivery/hybrid-security-inspection-architectures-with-aws-cloud-wan-and-aws-direct-connect/)。为了降低成本，用户通常在选定的 AWS 区域部署防火墙。然而，使用单一全局检查分段时，无法将流量路由到特定 AWS 区域的防火墙。为了在各自的 AWS 区域检查流量并保持对称路由，用户为每个 AWS 区域或边缘位置创建了唯一的全局共享检查分段，如博文 [使用 AWS Cloud WAN 实现多区域网络的最佳路由 (Achieve optimal routing with AWS Cloud WAN for multi-Region networks)](https://aws.amazon.com/blogs/networking-and-content-delivery/achieve-optimal-routing-with-aws-cloud-wan-for-multi-region-networks/) 中详述。本博文解释了 AWS Cloud WAN 服务插入如何通过在全局网络策略中定义简单的策略语句来简化流量检查，并为多区域全球网络启用流量引导。 ## 前提条件在继续之前，我们假设您熟悉网络结构，例如 [Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/)、[AWS Direct Connect](https://aws.amazon.com/directconnect/) 和 AWS Cloud WAN。本博文前面的部分中使用的 AWS Cloud WAN 服务插入概念的详细信息可在 [AWS Cloud WAN 服务插入 (AWS Cloud WAN Service Insertion)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-service-insertion.html) 用户指南中找到。本博文重点关注混合检查架构和流量流，如果您想了解使用服务插入在 VPC 之间进行流量检查，请参考博文 [使用 AWS Cloud WAN 服务插入简化全球安全检查 (Simplify Global Security Inspection with AWS Cloud WAN Service Insertion)](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-security-inspection-with-aws-cloud-wan-service-insertion/)。 ## 混合检查场景在本节中，我们将查看一个示例的多区域混合检查架构，该架构使用 Direct Connect 和 AWS Cloud WAN，并对以下四个流进行数据包演练： 1. 数据包流 1：Corp Data Center 1 和 us-east-2 (俄亥俄州) 中的 Prod VPC 1 之间的流量 2. 数据包流 2：Corp Data Center 1 和 us-west-1 (北加利福尼亚) 中的 Prod VPC 2 之间的流量 3. 数据包流 3：Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量 *不使用* edge-override 4. 数据包流 4：Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量 *使用* edge-override ### 架构 ![图 1: 使用 AWS Cloud WAN 服务插入的多区域混合检查架构](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/30/Figure_1-3.png) *图 1: 使用 AWS Cloud WAN 服务插入的多区域混合检查架构* **(A)** 三个生产 VPC：Prod VPC 1、Prod VPC 2 和 Prod VPC 3 分别部署在 AWS 区域 us-east-2 (俄亥俄州)、us-west-1 (北加利福尼亚) 和 us-west-2 (俄勒冈州)，并使用以下 CIDR 范围： * Prod VPC 1 在 us-east-2 (俄亥俄州)：10.1.0.0/16 * Prod VPC 2 在 us-west-1 (北加利福尼亚)：10.2.0.0/16 * Prod VPC 3 在 us-west-2 (俄勒冈州)：10.3.0.0/16 **(B)** 创建了一个 AWS Cloud WAN 核心网络，在三个 AWS 区域启用 (每个 AWS 区域的 AWS Cloud WAN 核心网络边缘 (CNE))，并有一个跨越三个区域的生产分段。Prod VPC 与生产分段关联。这些 VPC 在各自的 AWS 区域中，通过各自的 VPC 连接向 AWS Cloud WAN CNEs (CNEs 1、2 和 3) 公布其本地 VPC CIDR。 **(C)** Corp Data Center 1，使用 CIDR 范围 192.168.1.0/16，连接到 Direct Connect Location 1 (归属 us-east-2 (俄亥俄州))；Corp Data Center 2，使用 CIDR 范围 192.168.2.0/16，连接到 Direct Connect Location 2 (归属 us-west-1 (北加利福尼亚))。 **(D)** 为每个 Direct Connect 连接配置了一个传输虚拟接口 (VIF)，该接口终止于 Direct Connect Gateway。 **(E)** AWS Cloud WAN 核心网络有一个跨越三个区域的混合分段。Direct Connect Gateway 在所有三个 AWS 区域与混合分段关联。两个数据中心通过传输 VIF BGP 会话向 Direct Connect Gateway 公布各自的 CIDR 范围。未在任何 Direct Connect 连接上应用 BGP 流量工程。 **(F)** AWS 区域 1 和 2 分别部署了 Inspection VPC 1 和 Inspection VPC 2，使用以下 CIDR 范围： * Inspection VPC 1 在 us-east-2 (俄亥俄州)：100.64.1.0/24 * Inspection VPC 2 在 us-west-1 (北加利福尼亚)：100.64.2.0/24 AWS 区域 us-west-2 (俄勒冈州) 没有本地 Inspection VPC。核心网络还创建了一个检查网络功能组 (NFG)，其中关联了 Inspection VPCs 1 和 2。 **(G)** 使用 AWS Cloud WAN 服务插入功能为生产分段和混合分段之间的流量配置了 `"send-via"` 操作： * Prod VPCs 1、2 和 3 的 CIDR 范围传播到每个 AWS 区域的 Inspection NFG 路由表中。 * Corp Data Centers 1 和 2 的 CIDR 范围传播到每个 AWS 区域的 Inspection NFG 路由表中。 * Corp Data Centers 1 和 2 的 CIDR 范围传播到 us-east-2 (俄亥俄州) 的生产分段路由表中，以 Inspection VPC 1 为目的地。同样，Corp Data Centers 1 和 2 的 CIDR 范围传播到 us-west-1 (北加利福尼亚) 的生产分段路由表中，以 Inspection VPC 2 为目的地。AWS 区域 us-west-2 (俄勒冈州) 没有本地 Inspection VPC，因此 Corp Data Centers 1 和 2 的 CIDR 范围传播到 us-west-2 (俄勒冈州) 的生产分段路由表中，以 us-east-2 (俄亥俄州) 的 Inspection VPC 1 为目的地。这是由于 AWS Cloud WAN 服务插入的 [有序列表 (ordered list)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions) 行为，其中 us-east-2 (俄亥俄州) 被分配了比 us-west-1 (北加利福尼亚) 更高的优先级。 * Prod VPCs 1、2 和 3 的 CIDR 范围传播到 us-east-2 (俄亥俄州) 的混合分段路由表中，以 Inspection VPC 1 为目的地。同样，Prod VPCs 1、2 和 3 的 CIDR 范围传播到 us-west-1 (北加利福尼亚) 的混合分段路由表中，以 Inspection VPC 2 为目的地。**Prod VPCs 1、2 和 3 的 CIDR 范围传播到 us-west-2 (俄勒冈州) 的混合分段路由表中，以 us-east-2 (俄亥俄州) 的 Inspection VPC 1 为目的地，这是由于 us-east-2 (俄亥俄州) 的更高优先级。** 以下是生产分段的服务插入 `"send-via"` 操作的示例 JSON 策略片段： { "action":"send-via", "segment":"Production", "mode":"single-hop", "when-sent-to":{ "segments":[ "Hybrid" ] }, "via":{ "network-function-groups":[ "InspectionNFG" ] } } ### 使用场景 * Corp Data Centers 1 和 2 需要通过各自的 Direct Connect 连接与三个 Prod VPC 通信。 * Corp Data Center 1 和 Prod VPCs 之间的流量需要由 us-east-2 (俄亥俄州) 的 Inspection VPC 1 中的防火墙检查。 * Corp Data Center 2 和 Prod VPCs 之间的流量需要由 us-west-1 (北加利福尼亚) 的 Inspection VPC 2 中的防火墙检查。 * 具体来说，Corp Data Centers 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量需要由 us-west-1 (北加利福尼亚) 的 Inspection VPC 2 中的防火墙检查，而不是 Inspection VPC 1。这是因为 us-west-2 (俄勒冈州) 地理上更接近 us-west-1 (北加利福尼亚)，在 Inspection VPC 2 中进行检查可以提供更好的延迟。 ### 数据包演练以下步骤将引导您了解数据包流。 ### 数据包流 1：Corp Data Center 1 和 us-east-2 (俄亥俄州) 中的 Prod VPC 1 之间的流量在本节中，我们观察 Corp Data Center 1 和 us-east-2 (俄亥俄州) 中的 Prod VPC 1 之间的默认流量行为。 ![图 2: Corp Data Center 1 和 us-east-2 (俄亥俄州) 中的 Prod VPC 1 之间的数据包流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/30/Figure_2-3.png) *图 2: Corp Data Center 1 和 us-east-2 (俄亥俄州) 中的 Prod VPC 1 之间的数据包流* **(1)** 来自 Corp Data Center 1 (192.168.1.0/16) 的流量，目的地为 Prod VPC 1 (10.1.0.0/16)，通过 Direct Connect Location 1 (通过传输 VIF) 路由到 Direct Connect Gateway。 **(2)** Direct Connect Gateway 将流量路由到 us-east-2 (俄亥俄州) 中的 CNE 1。 **(3)** 在 us-east-2 (俄亥俄州) 的混合分段进行路由表查找后，流量转发到 Inspection VPC 1。 **(4)** 检查后，流量进入 us-east-2 (俄亥俄州) 中的 Inspection NFG。 **(5) 和 (6)** Inspection NFG 有到 Prod VPC 1 的路由，并将流量转发到 Prod VPC 1。 **(7) 和 (8)** 在反向方向，来自 Prod VPC 1 (10.1.0.0/16) 的流量，目的地为 Corp Data Center 1 (192.168.1.0/16)，通过 AWS Cloud WAN 生产分段路由到 Inspection VPC 1 进行检查。 **(9)** 检查后，流量进入 us-east-2 (俄亥俄州) 中的 Inspection NFG。 **(10)** Inspection NFG 有到 Corp Data Center 1 的路由，并将流量转发到 Direct Connect Gateway。 **(11) 和 (12)** Direct Connect Gateway 将流量路由到连接到 Direct Connect Location 1 的 Corp Data Center 1 (192.168.1.0/16)。 ### 数据包流 2：Corp Data Center 1 和 us-west-1 (北加利福尼亚) 中的 Prod VPC 2 之间的流量 Corp Data Center 1 和 us-west-1 (北加利福尼亚) 中的 Prod VPC 2 之间的流量在正向和反向方向遵循类似流 (如图 3 中所示的步骤 **(1)** 到 **(12)**)。 ![图 3: Corp Data Center 1 和 us-west-1 (北加利福尼亚) 中的 Prod VPC 2 之间的数据包流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/30/Figure_3-3.png) *图 3: Corp Data Center 1 和 us-west-1 (北加利福尼亚) 中的 Prod VPC 2 之间的数据包流* ### 数据包流 3：Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量 *不使用* edge-override 在本节中，我们观察 Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的默认流量行为。 ![图 4: Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的数据包流 (不使用 edge-override)](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/30/Figure_4-3.png) *图 4: Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的数据包流 (不使用 edge-override)* **(1)** 来自 Corp Data Center 2 (192.168.2.0/16) 的流量，目的地为 Prod VPC 3 (10.3.0.0/16)，通过 Direct Connect Location 2 (通过传输 VIF) 路由到 Direct Connect Gateway。 **(2)** Direct Connect Gateway 将流量路由到 us-west-2 (俄勒冈州) 中的 CNE 3。 **(3)** 在 us-west-2 (俄勒冈州) 的混合分段进行路由表查找后，流量转发到 **Inspection VPC 1** 在 us-east-2 (俄亥俄州)。这是因为 us-west-2 (俄勒冈州) 没有本地 Inspection VPC，且 AWS Cloud WAN 已将 us-east-2 (俄亥俄州) 分配了比 us-west-1 (北加利福尼亚) 更高的优先级，使用 [有序列表](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-available-regions)。 **(4)** 检查后，流量进入 us-east-2 (俄亥俄州) 中的 Inspection NFG。 **(5) 和 (6)** Inspection NFG 有到 Prod VPC 3 的路由，并将流量转发到 Prod VPC 3。 **(7) 和 (8)** 在反向方向，来自 Prod VPC 3 (10.3.0.0/16) 的流量，目的地为 Corp Data Center 2 (192.168.2.0/16)，通过 AWS Cloud WAN 生产分段路由到 **Inspection VPC 1** 在 us-east-2 (俄亥俄州) 进行检查。 **(9)** 检查后，流量进入 us-east-2 (俄亥俄州) 中的 Inspection NFG。 **(10)** Inspection NFG 有到 Corp Data Center 2 的路由，并将流量转发到 Direct Connect Gateway。 **(11) 和 (12)** Direct Connect Gateway 将流量路由到连接到 Direct Connect Location 2 的 Corp Data Center 2 (192.168.2.0/16)。 Corp Data Center 1 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量 (未在图 4 中显示) 在正向和反向方向遵循类似流。从延迟角度来看，理想行为是 Corp Data Centers 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量始终由 us-west-1 (北加利福尼亚) 的 Inspection VPC 2 检查。然而，如前面的数据包演练所示，当特定区域没有本地 Inspection VPC 时，AWS Cloud WAN 的默认路由行为可能导致流量基于优先级被路由到远程区域的 Inspection VPC，从而增加延迟和成本。这一问题可以通过 AWS Cloud WAN 服务插入的 “[edge-override](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policies-json.html)” 功能解决，该功能允许您为区域指定边缘位置 (CNE)。在下一节中，我们将展示如何使用 `"edge-override"` 实现所需的路由行为。 ### 数据包流 4：Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量 *使用* edge-override 在本节中，我们观察使用 edge-override 的 Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的流量行为。 ![图 5: Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的数据包流 (使用 edge-override)](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/30/Figure_5-3.png) *图 5: Corp Data Center 2 和 us-west-2 (俄勒冈州) 中的 Prod VPC 3 之间的数据包流 (使用 edge-override)* **(1)** 来自 Corp Data Center 2 (192.168.2.0/16) 的流量，目的地为 Prod VPC 3 (10.3.0.0/16)，通过 Direct Connect Location 2 (通过传输 VIF) 路由到 Direct Connect Gateway。 **(2)** Direct Connect Gateway 将流量路由到 us-west-2 (俄勒冈州) 中的 CNE 3。 **(3)** 由于 `"edge-override"` 配置： * Corp Data Center 1 和 Corp Data Center 2 的 CIDR 范围传播到 us-west-2 (俄勒冈州) 的生产分段路由表中，以 **Inspection VPC 2** 为目的地。 * Prod VPCs 1、2 和 3 的 CIDR 范围传播到 us-west-2 (俄勒冈州) 的混合分段路由表中，以 **Inspection VPC 2** 为目的地。以下是生产分段中为 us-west-2 (俄勒冈州) 配置的 `"send-via"` 操作的示例 JSON 策略片段，其中包含 `"edge-override"`： { "action":"send-via", "segment":"Production", "mode":"single-hop", "when-sent-to":{ "segments":[ "Hybrid" ] }, "via":{ "network-function-groups":[ "InspectionNFG" ], "with-edge-overrides":[ { "edge-sets":[ [ "us-west-2" ] ], "use-edge-location":"us-west-1" } ] } } 在 us-west-2 (俄勒冈州) 的混合分段进行路由表查找后，流量转发到 **Inspection VPC 2** 在 us-west-1 (北加利福尼亚)。 **(4)** 检查后，流量进入 us-west-1 (北加利福尼亚) 中的 Inspection NFG。 **(5) 和 (6)** Inspection NFG 有到 Prod VPC 3 的路由，并将流量转发到 Prod VPC 3。 **(7) 和 (8)** 在反向方向，来自 Prod VPC 3 (10.3.0.0/16) 的流量，目的地为 Corp Data Center 2 (192.168.2.0/16)，通过 AWS Cloud WAN 生产分段路由到 **Inspection VPC 2** 在 us-west-1 (北加利福尼亚) 进行检查。 **(9)** 检查后，流量进入 us-west-1 (北加利福尼亚) 中的 Inspection NFG。 **(10)** Inspection NFG 有到 Corp Data Center 2 的路由，并将流量转发到 Direct Connect Gateway。 **(11) 和 (12)** Direct Connect Gateway 将流量路由到连接到 Direct Connect Location 2 的 Corp Data Center 2 (192.168.2.0/16)。这种方法确保 Corp Data Centers 和 us-west-2 (俄勒冈州) 中的 Prod VPCs 之间的流量始终由距离 us-west-2 (俄勒冈州) 更近的区域中的防火墙检查，而不是远程区域。 ## 注意事项 * NFG 在全球范围内可用，您可以将来自核心网络所属的任何区域的连接添加到其中。 * 所有连接类型均受支持 (VPC、VPN、Connect、Transit Gateway 和 Direct Connect Gateway)，用于工作负载分段和 NFG。 * 您可以在同一核心网络中配置多个 NFG。但是，您不能为同一分段或分段对插入多个 NFG。 * 使用服务插入不会产生额外费用，仅收取常规 [AWS Cloud WAN 费用 (AWS Cloud WAN charges)](https://aws.amazon.com/cloud-wan/pricing/)。 * 您只能将 Direct Connect Gateway 与单个 AWS Cloud WAN 分段关联。您可以有多个 Direct Connect Gateways 与同一分段关联。您也可以有不同的 Direct Connect Gateways 与多个 AWS Cloud WAN 分段关联。但是，不能将同一 Direct Connect Gateway 与多个分段关联。 * 当您使用 Direct Connect 连接将 Direct Connect Gateway 与 AWS Cloud WAN 分段关联时，您可以选择所有或子集的 AWS Cloud WAN CNEs。 * Direct Connect [BGP 社区标签 (BGP community tags)](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html) 仅与 Direct Connect Gateway 相关，不会影响 AWS Cloud WAN 核心网络路由决策。 * AWS Cloud WAN 路由评估顺序详见 [文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-create-attachment.html#cloudwan-route-evaluation)。 ## 结论本博文介绍了如何使用 AWS Cloud WAN 服务插入，让从本地公布特定路由的混合网络检查 AWS 环境与本地网络之间的流量。我们还讨论了 AWS Cloud WAN 服务插入中的 edge-override 功能如何帮助在多区域部署中实现最佳性能。服务插入功能与 AWS Direct Connect 原生集成的结合，提供了一个全面解决方案，解决了保护混合架构的复杂挑战。这种统一方法消除了在不同 AWS 区域和环境管理多个安全配置的传统复杂性，同时确保流量检查策略得到一致应用，无论流量是在 VPC 之间、本地位置还是互联网之间流动。如需更多信息，请参阅 [AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 文档。 ## 作者介绍 ![Mandar Alankar](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/10/mandara_new.png) ### Mandar Alankar Mandar 是 AWS 的资深网络解决方案架构师。他对网络技术充满热情，喜欢创新并帮助解决复杂的客户问题。他拥有科罗拉多大学博尔德分校的电信硕士学位。Mandar 居住在西雅图，喜欢旅行和户外活动。 ![Shubham Singh](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2023/09/28/shsnghb.jpg) ### Shubham Singh Shubham 是 AWS 的资深网络专家解决方案架构师。他帮助客户使用 AWS 服务设计创新、弹性且经济高效的解决方案。他对技术充满热情，喜欢在网络和安全领域构建解决方案。他拥有东北大学的电信系统管理硕士学位，专攻计算机网络。