<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] AWS Transit Gateway 和 AWS Cloud WAN 的性能与指标增强
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
AWS Transit Gateway 和 AWS Cloud WAN 的性能和指标增强功能于 2024 年末发布,旨在提升网络基础设施的可靠性和效率。核心内容包括 **Path MTU Discovery (PMTUD)** 支持、Appliance Mode 路由优化、**Per-AZ CloudWatch Metrics** 和 AWS Cloud WAN 服务插入操作增强。这些功能针对多区域网络架构,提供更好的可见性和优化,适用于企业级用户管理复杂网络环境。目标用户群主要为拥有多 **Availability Zone (AZ)** 部署的组织,如金融、医疗和电商行业,帮助他们在 **AWS** 环境中实现更高效的流量管理和安全控制。
## 关键客户价值
- **PMTUD 支持** 允许用户避免因 **MTU** 不匹配导致的数据包丢失,提升了网络传输可靠性。通过自动调整数据包大小,用户无需手动配置 **EC2** 实例的 **MTU**,简化了从 **VPC Peering** 迁移到 Transit Gateway 的过程,与传统手动配置相比,减少了操作开销。
- 在高流量场景中,这显著降低了潜在的网络中断风险,但需确保安全组和 **NACLs** 允许相关 **ICMP** 规则,否则可能限制其价值。
- **Appliance Mode 路由增强** 改善了 **AZ** 感知路由,确保流量在同一 **AZ** 内处理,减少延迟并提升网络性能。对于依赖安全设备的检查 **VPC** 架构,用户受益于对称路由,避免了流量路径不一致导致的安全问题。该功能自动应用,与之前基于四元组的算法相比,提供更精确的流量控制。
- 这在多 **AZ** 环境中突出差异化优势,但可能在复杂拓扑下增加路由决策的计算开销。
- **Per-AZ CloudWatch Metrics** 提供更细粒度的监控指标,如字节进出和丢包率,帮助用户分析流量分布并优化容量规划。与之前的附件级指标相比,这提升了操作洞察力,支持跨账户可见性,无需额外配置。
- 适用于动态流量场景,但需注意标准 **CloudWatch** 计费可能在高监控量时增加成本。
- **AWS Cloud WAN 服务插入操作增强** 简化了 **Network Functions Groups (NFG)** 的扩展,允许在不关联附件的情况下创建策略,便于跨区域扩展。该功能消除了多次策略执行的需求, streamlining 了网络功能部署过程。
- 与传统方法相比,这提高了灵活性,但如果未关联附件,流量可能被丢弃,需用户及时配置以避免中断。
## 关键技术洞察
- **PMTUD 支持** 的技术独特性在于其对 **IPv4** 和 **IPv6** 的兼容,通过 **ICMP** 消息动态协商 **MTU** 大小(如从 9001 字节调整到 8500 字节),防止数据包无声丢弃。工作原理基于 **RFC 1191** 标准,检测路径中的 **MTU** 差异并反馈给源主机,这提升了网络的整体可用性,但不支持 **Site-to-Site VPN** 或 **Direct Connect** 等附件,可能限制在混合云场景中的应用。
- 创新点在于默认启用,减少了用户干预,但如果安全策略阻塞 **ICMP**,可能面临兼容性挑战。
- **Appliance Mode 路由增强** 引入了对源和目标 **AZ** 的考虑,使用流哈希算法结合 **AZ** 亲和性,确保流量在同一区域内路由。这优化了检查 **VPC** 架构的安全性,减少了不必要的跨 **AZ** 传输,从而降低延迟。该技术自动应用于新流量流,支持对称路由,但不影响现有流量,提供平滑过渡。
- 对性能的影响包括更低的网络开销和更可预测的流量行为,然而在高复杂度网络中,路由计算可能增加轻微的处理延迟。
- **Per-AZ CloudWatch Metrics** 通过在 **CloudWatch** 中发布 **AZ** 级指标(如字节进出),实现了更精细的监控,基于 **AWS CLI** 或控制台访问。技术创新在于自动发布到相关账户,支持容量规划,但依赖标准 **CloudWatch** 基础设施,可能在监控量大时影响查询性能。
- 该功能的挑战在于确保指标准确性,而解决方式是通过 **AZ 标识** 如 “use-1-az1” 进行精确过滤。
- **AWS Cloud WAN 服务插入操作增强** 改进了 **NFG** 的策略执行机制,允许在未关联附件时创建 “send-to” 或 “send-via” 动作,实现了跨区域流量重定向。该技术基于 **Core Network Policy**,自动处理同区域和跨区域流量,但需手动关联附件以避免流量丢失。
- 创新点在于简化了扩展流程,提升了操作效率,但潜在限制包括在未配置时可能导致的流量黑洞问题。
## 其他信息
文档结尾强调这些增强体现了 AWS 对网络管理的持续承诺,并建议参考官方文档或联系 AWS 支持。作者包括 Tushar Jagdale 和 Andrew Troup,他们的专业背景强化了内容的可靠性,但这不直接影响功能分析。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# AWS Transit Gateway 和 AWS Cloud WAN 的性能和指标增强
**原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/performance-and-metrics-enhancements-for-aws-transit-gateway-and-aws-cloud-wan/](https://aws.amazon.com/blogs/networking-and-content-delivery/performance-and-metrics-enhancements-for-aws-transit-gateway-and-aws-cloud-wan/)
**发布时间:** 2025-05-12
**厂商:** AWS
**类型:** BLOG
---
在 2024 年末,我们为 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 服务推出了多项增强功能:
1. [路径 MTU 发现 (PMTUD)](https://en.wikipedia.org/wiki/Path_MTU_Discovery) 支持,用于 AWS Transit Gateway 和 AWS Cloud WAN
2. 设备模式路由增强,以提升 [可用区 (AZ)](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) 意识
3. 每个 [AZ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones) 的 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指标
4. AWS Cloud WAN:服务插入操作增强
在本帖中,我们解释这些功能增强的工作原理、它们为您的整体 AWS 网络基础设施带来的好处,以及使用这些功能的重要注意事项。
## 1. AWS Transit Gateway 和 AWS Cloud WAN 的 PMTUD 支持
在 2024 年 11 月,AWS 宣布为 AWS Transit Gateway 和 AWS Cloud WAN 提供 [PMTUD 支持](https://aws.amazon.com/about-aws/whats-new/2024/11/aws-transit-gateway-cloud-wan-visibility-metrics-path-mtu/)。通过此增强,AWS Transit Gateway 和 AWS Cloud WAN 现支持 IPv4 和 IPv6 协议的 PMTUD。
### PMTUD 如何与 AWS Transit Gateway 和 AWS Cloud WAN 核心网络边缘 (CNE) 一起工作?
[PMTUD](https://datatracker.ietf.org/doc/html/rfc1191) 用于确定两个设备之间的路径 MTU。路径 MTU 是源主机和接收主机之间路径上支持的最大数据包大小。当网络中两个主机之间的 MTU 大小存在差异时,PMTUD 使路径中的网络设备 (如 AWS Transit Gateway/CNE) 向源主机响应一个互联网控制消息协议 (ICMP) 消息。该 ICMP 消息指示源主机使用网络路径上最低的 MTU 大小,并重新发送请求。没有这种协商时,请求过大导致接收主机无法接受的数据包可能会被丢弃,如下图所示。

图 1: PMTUD 数据包流
之前,超过 AWS Transit Gateway/CNE MTU (8500 字节) 的巨型帧 (9001 MTU) 数据包会在 VPC 连接上被静默丢弃。现在,通过此更新,当检测到这些数据包时,会向发送主机发送 ICMPv4 的“分段需要”消息 (类型 3,代码 4) 或 ICMPv6 的“数据包太大” (PTB) 消息 (类型 2),以指示传输主机调整数据包 MTU 大小,从而消除网络中 MTU 不匹配导致的数据包丢失。
#### 使用场景
- 默认的 Amazon Linux [Amazon Machine Image (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) 使用 9001 MTU (巨型帧)。此功能允许用户在通过 AWS Transit Gateway/AWS Cloud WAN 发送流量时,继续在 [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/ec2/) 实例上使用巨型帧 MTU (9001),而无需手动将 Linux/Windows 实例配置为低于 AWS Transit Gateway/CNE 支持值的 8500。
- 巨型帧在同一 AWS 区域内的 VPC 对等连接中受支持。之前,当用户从 VPC 对等迁移到 AWS Transit Gateway 时,流量会被静默丢弃,用户需要在迁移前手动将数百或数千个 EC2 实例上的 MTU 配置为低于 8500。现在,不再需要此手动配置。
#### 注意事项
- AWS Transit Gateway/AWS Cloud WAN 的 PMTUD 功能默认启用。用户无需进行任何配置更改。
- 确保安全组和网络访问控制列表 (NACLs) 允许 [必要的 ICMP 规则](https://docs.aws.amazon.com/vpc/latest/userguide/path_mtu_discovery.html)。
- 撰写本文时,AWS Transit Gateway 和 AWS Cloud WAN 不支持 PMTUD 于 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/)、[AWS Direct Connect](https://aws.amazon.com/directconnect/) 或 AWS Transit Gateway/AWS Cloud WAN 的区域间和区域内对等连接。
- 如果您要使用巨型帧,并有通过 AWS Transit Gateway 连接的检查 VPC,其中包含第三方虚拟设备,请确保在这些网络虚拟设备 (NVAs) 上检查并启用巨型帧。
- 有关更多信息,请参阅 [AWS Transit Gateway 的 MTU 注意事项](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html#mtu-quotas) 和 [EC2 实例的 MTU 设置](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html)。
## 2. AWS 增强 AWS Transit Gateway 和 AWS Cloud WAN 的设备模式路由,以提升 AZ 意识
我们推出的第二个增强功能改进了启用设备模式的 AWS Transit Gateway 和 AWS Cloud WAN CNE 连接的数据包路由行为。此更新提升了路由过程中的 AZ 意识,并已在 2024 年 11 月 30 日之前提供 AWS Transit Gateway 和 AWS Cloud WAN 的所有 AWS 区域中部署。
我们创建设备模式是为了支持 [检查 VPC 架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/vpc-to-vpc-traffic-inspection.html),其中网络流量通过防火墙、内联分析或其他“线中设备”进行检查。这些安全设备维护网络连接的状态信息,以 [正确检查和控制流量](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)。例如,当防火墙看到初始出站连接时,它会创建状态信息,以便正确评估返回流量。如果返回流量通过另一个 AZ 中的不同防火墙设备,则会缺少该状态信息,从而导致返回流量被阻塞。设备模式确保连接的两个方向都通过同一 AZ 中的相同安全设备,这称为对称路由。
之前,当在 VPC 连接上启用 [设备模式](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#tgw-appliancemode) 时,AWS Transit Gateway 和 AWS Cloud WAN CNE 会使用基于 IP 数据包 [四元组](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/vpc-to-vpc-traffic-inspection.html) 的流哈希算法选择 AZ。此算法不考虑流量源或目的 AZ,这可能导致流量采用不必要的较长路径,通过不同的 AZ。
通过此增强,AWS Transit Gateway 和 AWS Cloud WAN CNE 在选择流量路径时,现在会考虑流量的源和目的 AZ。当流量的源和目的都在同一 AZ 时,流量会在通过检查 VPC 时保持在该 AZ 内。这可实现更高效的路由,并可能降低延迟。
#### 以下场景展示了此增强的影响
考虑一个通过 AWS Transit Gateway 在同一 AZ (use1-az1) 中的资源之间流动的流量,如下图所示。该流量通过一个在两个 AZ (use1-az1 和 use1-az2) 中有连接点的检查 VPC。在增强之前,流量可能被发送到任一 AZ 中的检查设备,即使源和目的都在 use1-az1。通过此增强,AWS Transit Gateway 会维护 AZ 关联,通过检查 VPC 中的 use1-az1 路由流量,从而降低延迟并提升网络性能的可预测性。

图 2: 设备模式 AZ 关联
此设备模式增强不会影响通过 AWS Transit Gateway 和 AWS Cloud WAN CNE 的现有流量。只有新流量会按照新行为路由,这确保了当前工作负载的平稳过渡。AZ 关联是自动的,您无需启用它。使用此增强不会产生额外费用。此更新显著改进了 AWS 在涉及 AWS Transit Gateway 和 AWS Cloud WAN 的复杂架构中管理跨 AZ 网络流量的方式。
## 3. 每个 AZ 的 CloudWatch 指标提升 AWS Transit Gateway 和 AWS Cloud WAN 的可见性
我们最近为 AWS Transit Gateway 和 AWS Cloud WAN 发布了重要增强:[每个 AZ 的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html#transit-gateway-attachment-metrics)。此新功能提供更细粒度的 AZ 级流量模式和性能可见性。您现在可以监控全球网络的性能和流量指标,如字节进出、数据包进出、丢弃数据包等。这些指标于 2024 年 11 月 11 日推出,并在所有提供 AWS Transit Gateway 和 AWS Cloud WAN 的 AWS 区域中可用。之前,这些指标仅在连接级别可用。
每个 AZ 的指标提供了对区域内 AZ 流量分布的更深入操作洞察。这些指标帮助您分析流量模式,并针对优化和容量规划做出明智决策。[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html#bandwidth-quotas) 和 AWS [Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-quotas.html#cloudwan-bandwidth) 的配额是按每个 AZ 设置的。因此,此发布帮助您了解流量流与这些配额的关联。每个 AZ 的指标会发布到资源所有者的账户和连接所有者的账户 (针对跨账户场景)。
#### 在 CloudWatch 中查看 AWS Transit Gateway 的每个 AZ 指标
1. 导航到 [CloudWatch 控制台](https://console.aws.amazon.com/cloudwatch/),选择 **Metrics**,然后选择 **All metrics**。
2. 选择 **AWS/TransitGateway** 命名空间,然后选择 **Per-TransitGatewayAttachment AvailabilityZone** **Metrics**。
3. 选中您要包含在图中的每个每个 AZ 指标旁边的复选框。每个指标的标签以 [AZ 标识符](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) 为前缀,例如“use-1-az1”或“use1-az2”。
图 3 显示了 AWS Transit Gateway 的每个 AZ 指标与聚合指标一起绘制的图形。

图 3: AWS Transit Gateway 在 CloudWatch 中显示聚合和每个 AZ 指标
要使用这些新指标,您可以使用 [AWS Management Console](https://aws.amazon.com/console/)、[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 或 [AWS Software Development Kits (SDKs)](https://aws.amazon.com/developer/tools/) 访问 CloudWatch,并基于每个 AZ 数据创建自定义仪表板或警报。无需进一步配置,这些指标会自动针对支持的连接类型可用。
针对每个 AZ 指标不会产生额外费用。但是,[标准 CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/) 适用于超过 [AWS Free Tier](https://aws.amazon.com/free) 限额的 API 操作。有关更多信息,请参阅 [Amazon VPC Transit Gateways 中的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html) 和 [AWS Cloud WAN 中的 CloudWatch 指标](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-metrics.html)。
## 4. AWS Cloud WAN:服务插入操作增强
本节假设您熟悉这些 [AWS Cloud WAN 组件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-concepts-key):全局网络、核心网络、核心网络策略、连接、核心网络边缘、网络段,以及 AWS [Cloud WAN 服务插入](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-service-insertion.html) 功能称为网络功能组 (NFG)。
#### NFG
一个 NFG (图 4) 实际上是一个单一段,由指向托管专用网络或安全功能的 VPC 的核心网络连接集合组成。这些功能可能包括下一代防火墙 (NGFW)、入侵检测系统 (IDS)、入侵防御系统 (IPS)、[AWS Network Firewall](https://aws.amazon.com/network-firewall/) 或 [Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 服务,作为全球 AWS Cloud WAN 网络的一部分进行部署。
NFG 允许您自动将同一段或跨段流量引导到附加到 AWS Cloud WAN 的 VPC 中部署的网络功能。您可以指定一个 NFG,其中包含一组核心网络连接 (VPC、Site-to-Site VPN、Direct Connect 或 AWS Transit Gateway 路由表),这些连接中驻留着您的网络功能。然后,您可以为需要重定向流量的段或段对指定该 NFG。AWS Cloud WAN 会自动将网络流量在段之间通过相应 NFG 的指定核心网络连接重定向。此重定向适用于同一区域 (区域内) 和跨区域 (区域间) 流量。
在此次增强之前,NFG 需要先与核心网络连接关联,然后才能为通过 NFG 进行服务插入创建“send-to”或“send-via”段操作。这导致难以轻松扩展到新的 AWS Cloud WAN 区域。
通过新的 AWS Cloud WAN 服务插入增强,网络功能组无需与连接关联,即可使 AWS Cloud WAN 策略成功。如果您为没有关联连接的网络功能组指定“send-to”或“send-via”段操作,则 AWS Cloud WAN 策略执行会成功。但是,所有发往该 NFG 的流量会在您将连接关联到该 NFG 的相应区域前被丢弃,如下图所示。

图 4: AWS Cloud WAN NFG
此增强使用户更容易将 AWS Cloud WAN NFG 扩展到新的 AWS 区域,消除了多次策略执行的需要,并简化了整体服务插入配置工作流程。
使用服务插入不会产生额外费用,仅适用标准 [AWS Cloud WAN 定价](https://aws.amazon.com/cloud-wan/pricing/)。
## 结论
AWS Transit Gateway 和 AWS Cloud WAN 的最新增强代表了网络性能、可见性和操作效率的重大改进。这些增强展示了 AWS 持续致力于提升网络管理能力,同时降低操作开销的承诺。无论您是在管理复杂的多 AZ 架构、实施安全控制,还是优化网络性能,这些功能都能帮助您构建更可靠和高效的云网络。
有关详细指导和最佳实践,请参阅我们的技术文档中关于 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 AWS [Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html),或联系您的 AWS 账户团队或 AWS 支持。
## 关于作者

### Tushar Jagdale
Tushar 是 AWS 的网络领域专家解决方案架构师,他帮助客户构建和设计可扩展、高可用、安全、弹性和经济高效的网络。他拥有超过 15 年的数据中心和云网络构建及保护经验。

### Andrew Troup
Andrew 是 AWS 的企业技术专家,他拥有超过 20 年的经验,帮助美国联邦客户应对复杂的科技转型。他专攻网络、计算、弹性和可观察性。他对通信技术的热情使他能够为 AWS 客户提供基于实际经验的指导。
<!-- AI_TASK_END: AI全文翻译 -->