[新产品/新功能] AWS Transit Gateway 和 AWS Cloud WAN 的性能与指标增强

[新产品/新功能] AWS Transit Gateway 和 AWS Cloud WAN 的性能与指标增强   # 产品功能分析 ## 新功能/新产品概述 AWS Transit Gateway 和 AWS Cloud WAN 的性能和指标增强功能于 2024 年末发布，旨在提升网络基础设施的可靠性和效率。核心内容包括 **Path MTU Discovery (PMTUD)** 支持、Appliance Mode 路由优化、**Per-AZ CloudWatch Metrics** 和 AWS Cloud WAN 服务插入操作增强。这些功能针对多区域网络架构，提供更好的可见性和优化，适用于企业级用户管理复杂网络环境。目标用户群主要为拥有多 **Availability Zone (AZ)** 部署的组织，如金融、医疗和电商行业，帮助他们在 **AWS** 环境中实现更高效的流量管理和安全控制。 ## 关键客户价值 - **PMTUD 支持** 允许用户避免因 **MTU** 不匹配导致的数据包丢失，提升了网络传输可靠性。通过自动调整数据包大小，用户无需手动配置 **EC2** 实例的 **MTU**，简化了从 **VPC Peering** 迁移到 Transit Gateway 的过程，与传统手动配置相比，减少了操作开销。 - 在高流量场景中，这显著降低了潜在的网络中断风险，但需确保安全组和 **NACLs** 允许相关 **ICMP** 规则，否则可能限制其价值。 - **Appliance Mode 路由增强** 改善了 **AZ** 感知路由，确保流量在同一 **AZ** 内处理，减少延迟并提升网络性能。对于依赖安全设备的检查 **VPC** 架构，用户受益于对称路由，避免了流量路径不一致导致的安全问题。该功能自动应用，与之前基于四元组的算法相比，提供更精确的流量控制。 - 这在多 **AZ** 环境中突出差异化优势，但可能在复杂拓扑下增加路由决策的计算开销。 - **Per-AZ CloudWatch Metrics** 提供更细粒度的监控指标，如字节进出和丢包率，帮助用户分析流量分布并优化容量规划。与之前的附件级指标相比，这提升了操作洞察力，支持跨账户可见性，无需额外配置。 - 适用于动态流量场景，但需注意标准 **CloudWatch** 计费可能在高监控量时增加成本。 - **AWS Cloud WAN 服务插入操作增强** 简化了 **Network Functions Groups (NFG)** 的扩展，允许在不关联附件的情况下创建策略，便于跨区域扩展。该功能消除了多次策略执行的需求， streamlining 了网络功能部署过程。 - 与传统方法相比，这提高了灵活性，但如果未关联附件，流量可能被丢弃，需用户及时配置以避免中断。 ## 关键技术洞察 - **PMTUD 支持** 的技术独特性在于其对 **IPv4** 和 **IPv6** 的兼容，通过 **ICMP** 消息动态协商 **MTU** 大小（如从 9001 字节调整到 8500 字节），防止数据包无声丢弃。工作原理基于 **RFC 1191** 标准，检测路径中的 **MTU** 差异并反馈给源主机，这提升了网络的整体可用性，但不支持 **Site-to-Site VPN** 或 **Direct Connect** 等附件，可能限制在混合云场景中的应用。 - 创新点在于默认启用，减少了用户干预，但如果安全策略阻塞 **ICMP**，可能面临兼容性挑战。 - **Appliance Mode 路由增强** 引入了对源和目标 **AZ** 的考虑，使用流哈希算法结合 **AZ** 亲和性，确保流量在同一区域内路由。这优化了检查 **VPC** 架构的安全性，减少了不必要的跨 **AZ** 传输，从而降低延迟。该技术自动应用于新流量流，支持对称路由，但不影响现有流量，提供平滑过渡。 - 对性能的影响包括更低的网络开销和更可预测的流量行为，然而在高复杂度网络中，路由计算可能增加轻微的处理延迟。 - **Per-AZ CloudWatch Metrics** 通过在 **CloudWatch** 中发布 **AZ** 级指标（如字节进出），实现了更精细的监控，基于 **AWS CLI** 或控制台访问。技术创新在于自动发布到相关账户，支持容量规划，但依赖标准 **CloudWatch** 基础设施，可能在监控量大时影响查询性能。 - 该功能的挑战在于确保指标准确性，而解决方式是通过 **AZ 标识** 如 “use-1-az1” 进行精确过滤。 - **AWS Cloud WAN 服务插入操作增强** 改进了 **NFG** 的策略执行机制，允许在未关联附件时创建 “send-to” 或 “send-via” 动作，实现了跨区域流量重定向。该技术基于 **Core Network Policy**，自动处理同区域和跨区域流量，但需手动关联附件以避免流量丢失。 - 创新点在于简化了扩展流程，提升了操作效率，但潜在限制包括在未配置时可能导致的流量黑洞问题。 ## 其他信息文档结尾强调这些增强体现了 AWS 对网络管理的持续承诺，并建议参考官方文档或联系 AWS 支持。作者包括 Tushar Jagdale 和 Andrew Troup，他们的专业背景强化了内容的可靠性，但这不直接影响功能分析。   # AWS Transit Gateway 和 AWS Cloud WAN 的性能和指标增强 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/performance-and-metrics-enhancements-for-aws-transit-gateway-and-aws-cloud-wan/](https://aws.amazon.com/blogs/networking-and-content-delivery/performance-and-metrics-enhancements-for-aws-transit-gateway-and-aws-cloud-wan/) **发布时间:** 2025-05-12 **厂商:** AWS **类型:** BLOG --- 在 2024 年末，我们为 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html) 服务推出了多项增强功能： 1. [路径 MTU 发现 (PMTUD)](https://en.wikipedia.org/wiki/Path_MTU_Discovery) 支持，用于 AWS Transit Gateway 和 AWS Cloud WAN 2. 设备模式路由增强，以提升 [可用区 (AZ)](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) 意识 3. 每个 [AZ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones) 的 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指标 4. AWS Cloud WAN：服务插入操作增强在本帖中，我们解释这些功能增强的工作原理、它们为您的整体 AWS 网络基础设施带来的好处，以及使用这些功能的重要注意事项。 ## 1. AWS Transit Gateway 和 AWS Cloud WAN 的 PMTUD 支持在 2024 年 11 月，AWS 宣布为 AWS Transit Gateway 和 AWS Cloud WAN 提供 [PMTUD 支持](https://aws.amazon.com/about-aws/whats-new/2024/11/aws-transit-gateway-cloud-wan-visibility-metrics-path-mtu/)。通过此增强，AWS Transit Gateway 和 AWS Cloud WAN 现支持 IPv4 和 IPv6 协议的 PMTUD。 ### PMTUD 如何与 AWS Transit Gateway 和 AWS Cloud WAN 核心网络边缘 (CNE) 一起工作？ [PMTUD](https://datatracker.ietf.org/doc/html/rfc1191) 用于确定两个设备之间的路径 MTU。路径 MTU 是源主机和接收主机之间路径上支持的最大数据包大小。当网络中两个主机之间的 MTU 大小存在差异时，PMTUD 使路径中的网络设备 (如 AWS Transit Gateway/CNE) 向源主机响应一个互联网控制消息协议 (ICMP) 消息。该 ICMP 消息指示源主机使用网络路径上最低的 MTU 大小，并重新发送请求。没有这种协商时，请求过大导致接收主机无法接受的数据包可能会被丢弃，如下图所示。 ![图 1: PMTUD 数据包流](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/01/PMTUD_GIF.gif) 图 1: PMTUD 数据包流之前，超过 AWS Transit Gateway/CNE MTU (8500 字节) 的巨型帧 (9001 MTU) 数据包会在 VPC 连接上被静默丢弃。现在，通过此更新，当检测到这些数据包时，会向发送主机发送 ICMPv4 的“分段需要”消息 (类型 3，代码 4) 或 ICMPv6 的“数据包太大” (PTB) 消息 (类型 2)，以指示传输主机调整数据包 MTU 大小，从而消除网络中 MTU 不匹配导致的数据包丢失。 #### 使用场景 - 默认的 Amazon Linux [Amazon Machine Image (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) 使用 9001 MTU (巨型帧)。此功能允许用户在通过 AWS Transit Gateway/AWS Cloud WAN 发送流量时，继续在 [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/ec2/) 实例上使用巨型帧 MTU (9001)，而无需手动将 Linux/Windows 实例配置为低于 AWS Transit Gateway/CNE 支持值的 8500。 - 巨型帧在同一 AWS 区域内的 VPC 对等连接中受支持。之前，当用户从 VPC 对等迁移到 AWS Transit Gateway 时，流量会被静默丢弃，用户需要在迁移前手动将数百或数千个 EC2 实例上的 MTU 配置为低于 8500。现在，不再需要此手动配置。 #### 注意事项 - AWS Transit Gateway/AWS Cloud WAN 的 PMTUD 功能默认启用。用户无需进行任何配置更改。 - 确保安全组和网络访问控制列表 (NACLs) 允许 [必要的 ICMP 规则](https://docs.aws.amazon.com/vpc/latest/userguide/path_mtu_discovery.html)。 - 撰写本文时，AWS Transit Gateway 和 AWS Cloud WAN 不支持 PMTUD 于 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/)、[AWS Direct Connect](https://aws.amazon.com/directconnect/) 或 AWS Transit Gateway/AWS Cloud WAN 的区域间和区域内对等连接。 - 如果您要使用巨型帧，并有通过 AWS Transit Gateway 连接的检查 VPC，其中包含第三方虚拟设备，请确保在这些网络虚拟设备 (NVAs) 上检查并启用巨型帧。 - 有关更多信息，请参阅 [AWS Transit Gateway 的 MTU 注意事项](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html#mtu-quotas) 和 [EC2 实例的 MTU 设置](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html)。 ## 2. AWS 增强 AWS Transit Gateway 和 AWS Cloud WAN 的设备模式路由，以提升 AZ 意识我们推出的第二个增强功能改进了启用设备模式的 AWS Transit Gateway 和 AWS Cloud WAN CNE 连接的数据包路由行为。此更新提升了路由过程中的 AZ 意识，并已在 2024 年 11 月 30 日之前提供 AWS Transit Gateway 和 AWS Cloud WAN 的所有 AWS 区域中部署。我们创建设备模式是为了支持 [检查 VPC 架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/vpc-to-vpc-traffic-inspection.html)，其中网络流量通过防火墙、内联分析或其他“线中设备”进行检查。这些安全设备维护网络连接的状态信息，以 [正确检查和控制流量](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)。例如，当防火墙看到初始出站连接时，它会创建状态信息，以便正确评估返回流量。如果返回流量通过另一个 AZ 中的不同防火墙设备，则会缺少该状态信息，从而导致返回流量被阻塞。设备模式确保连接的两个方向都通过同一 AZ 中的相同安全设备，这称为对称路由。之前，当在 VPC 连接上启用 [设备模式](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#tgw-appliancemode) 时，AWS Transit Gateway 和 AWS Cloud WAN CNE 会使用基于 IP 数据包 [四元组](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/vpc-to-vpc-traffic-inspection.html) 的流哈希算法选择 AZ。此算法不考虑流量源或目的 AZ，这可能导致流量采用不必要的较长路径，通过不同的 AZ。通过此增强，AWS Transit Gateway 和 AWS Cloud WAN CNE 在选择流量路径时，现在会考虑流量的源和目的 AZ。当流量的源和目的都在同一 AZ 时，流量会在通过检查 VPC 时保持在该 AZ 内。这可实现更高效的路由，并可能降低延迟。 #### 以下场景展示了此增强的影响考虑一个通过 AWS Transit Gateway 在同一 AZ (use1-az1) 中的资源之间流动的流量，如下图所示。该流量通过一个在两个 AZ (use1-az1 和 use1-az2) 中有连接点的检查 VPC。在增强之前，流量可能被发送到任一 AZ 中的检查设备，即使源和目的都在 use1-az1。通过此增强，AWS Transit Gateway 会维护 AZ 关联，通过检查 VPC 中的 use1-az1 路由流量，从而降低延迟并提升网络性能的可预测性。 ![设备模式 AZ 关联](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/05/Appliance-Mode-AZ-affinity.gif) 图 2: 设备模式 AZ 关联此设备模式增强不会影响通过 AWS Transit Gateway 和 AWS Cloud WAN CNE 的现有流量。只有新流量会按照新行为路由，这确保了当前工作负载的平稳过渡。AZ 关联是自动的，您无需启用它。使用此增强不会产生额外费用。此更新显著改进了 AWS 在涉及 AWS Transit Gateway 和 AWS Cloud WAN 的复杂架构中管理跨 AZ 网络流量的方式。 ## 3. 每个 AZ 的 CloudWatch 指标提升 AWS Transit Gateway 和 AWS Cloud WAN 的可见性我们最近为 AWS Transit Gateway 和 AWS Cloud WAN 发布了重要增强：[每个 AZ 的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html#transit-gateway-attachment-metrics)。此新功能提供更细粒度的 AZ 级流量模式和性能可见性。您现在可以监控全球网络的性能和流量指标，如字节进出、数据包进出、丢弃数据包等。这些指标于 2024 年 11 月 11 日推出，并在所有提供 AWS Transit Gateway 和 AWS Cloud WAN 的 AWS 区域中可用。之前，这些指标仅在连接级别可用。每个 AZ 的指标提供了对区域内 AZ 流量分布的更深入操作洞察。这些指标帮助您分析流量模式，并针对优化和容量规划做出明智决策。[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html#bandwidth-quotas) 和 AWS [Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-quotas.html#cloudwan-bandwidth) 的配额是按每个 AZ 设置的。因此，此发布帮助您了解流量流与这些配额的关联。每个 AZ 的指标会发布到资源所有者的账户和连接所有者的账户 (针对跨账户场景)。 #### 在 CloudWatch 中查看 AWS Transit Gateway 的每个 AZ 指标 1. 导航到 [CloudWatch 控制台](https://console.aws.amazon.com/cloudwatch/)，选择 **Metrics**，然后选择 **All metrics**。 2. 选择 **AWS/TransitGateway** 命名空间，然后选择 **Per-TransitGatewayAttachment AvailabilityZone** **Metrics**。 3. 选中您要包含在图中的每个每个 AZ 指标旁边的复选框。每个指标的标签以 [AZ 标识符](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) 为前缀，例如“use-1-az1”或“use1-az2”。图 3 显示了 AWS Transit Gateway 的每个 AZ 指标与聚合指标一起绘制的图形。 ![图 3: AWS Transit Gateway 在 CloudWatch 中显示聚合和每个 AZ 指标](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/05/Per-AZ-metrics-in-CloudWatch.png) 图 3: AWS Transit Gateway 在 CloudWatch 中显示聚合和每个 AZ 指标要使用这些新指标，您可以使用 [AWS Management Console](https://aws.amazon.com/console/)、[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 或 [AWS Software Development Kits (SDKs)](https://aws.amazon.com/developer/tools/) 访问 CloudWatch，并基于每个 AZ 数据创建自定义仪表板或警报。无需进一步配置，这些指标会自动针对支持的连接类型可用。针对每个 AZ 指标不会产生额外费用。但是，[标准 CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/) 适用于超过 [AWS Free Tier](https://aws.amazon.com/free) 限额的 API 操作。有关更多信息，请参阅 [Amazon VPC Transit Gateways 中的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html) 和 [AWS Cloud WAN 中的 CloudWatch 指标](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-metrics.html)。 ## 4. AWS Cloud WAN：服务插入操作增强本节假设您熟悉这些 [AWS Cloud WAN 组件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html#cloudwan-concepts-key)：全局网络、核心网络、核心网络策略、连接、核心网络边缘、网络段，以及 AWS [Cloud WAN 服务插入](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-service-insertion.html) 功能称为网络功能组 (NFG)。 #### NFG 一个 NFG (图 4) 实际上是一个单一段，由指向托管专用网络或安全功能的 VPC 的核心网络连接集合组成。这些功能可能包括下一代防火墙 (NGFW)、入侵检测系统 (IDS)、入侵防御系统 (IPS)、[AWS Network Firewall](https://aws.amazon.com/network-firewall/) 或 [Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 服务，作为全球 AWS Cloud WAN 网络的一部分进行部署。 NFG 允许您自动将同一段或跨段流量引导到附加到 AWS Cloud WAN 的 VPC 中部署的网络功能。您可以指定一个 NFG，其中包含一组核心网络连接 (VPC、Site-to-Site VPN、Direct Connect 或 AWS Transit Gateway 路由表)，这些连接中驻留着您的网络功能。然后，您可以为需要重定向流量的段或段对指定该 NFG。AWS Cloud WAN 会自动将网络流量在段之间通过相应 NFG 的指定核心网络连接重定向。此重定向适用于同一区域 (区域内) 和跨区域 (区域间) 流量。在此次增强之前，NFG 需要先与核心网络连接关联，然后才能为通过 NFG 进行服务插入创建“send-to”或“send-via”段操作。这导致难以轻松扩展到新的 AWS Cloud WAN 区域。通过新的 AWS Cloud WAN 服务插入增强，网络功能组无需与连接关联，即可使 AWS Cloud WAN 策略成功。如果您为没有关联连接的网络功能组指定“send-to”或“send-via”段操作，则 AWS Cloud WAN 策略执行会成功。但是，所有发往该 NFG 的流量会在您将连接关联到该 NFG 的相应区域前被丢弃，如下图所示。 ![图 4: AWS Cloud WAN NFG](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/05/AWS-Cloud-WAN-NFG.png) 图 4: AWS Cloud WAN NFG 此增强使用户更容易将 AWS Cloud WAN NFG 扩展到新的 AWS 区域，消除了多次策略执行的需要，并简化了整体服务插入配置工作流程。使用服务插入不会产生额外费用，仅适用标准 [AWS Cloud WAN 定价](https://aws.amazon.com/cloud-wan/pricing/)。 ## 结论 AWS Transit Gateway 和 AWS Cloud WAN 的最新增强代表了网络性能、可见性和操作效率的重大改进。这些增强展示了 AWS 持续致力于提升网络管理能力，同时降低操作开销的承诺。无论您是在管理复杂的多 AZ 架构、实施安全控制，还是优化网络性能，这些功能都能帮助您构建更可靠和高效的云网络。有关详细指导和最佳实践，请参阅我们的技术文档中关于 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 AWS [Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)，或联系您的 AWS 账户团队或 AWS 支持。 ## 关于作者 ![Tushar Jagdale](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/05/TJ1.png) ### Tushar Jagdale Tushar 是 AWS 的网络领域专家解决方案架构师，他帮助客户构建和设计可扩展、高可用、安全、弹性和经济高效的网络。他拥有超过 15 年的数据中心和云网络构建及保护经验。 ![Andrew Troup](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/05/aetroup.png) ### Andrew Troup Andrew 是 AWS 的企业技术专家，他拥有超过 20 年的经验，帮助美国联邦客户应对复杂的科技转型。他专攻网络、计算、弹性和可观察性。他对通信技术的热情使他能够为 AWS 客户提供基于实际经验的指导。