亚马逊AWS官方博客

亚马逊云科技 Cloud-WAN 集成 Fortinet SD-WAN 和 Zenlayer 资源实现非 Region 覆盖区域网络优化

功能简介

亚马逊云科技 Cloud WAN

作为一项新的网络服务,它可以轻松构建和运营连接数据中心和分支机构以及多个 亚马逊云科技 区域中的多个 VPC 的广域网(WAN)。

Fortinet SD-WAN

作为全球企业组织交付快速响应、可扩展以及弹性灵活的安全SD-WAN解决方案,支持企业组织率先构建云优先、安全敏感型本地基础架构。独创安全驱动型组网方法,全面融合网络和安全技术,采用单一简化操作系统和集中式管理平台,为企业组织构建具有卓越的用户体验,高效的安全态势感知能力,确保高效持续运营的安全网络架构。

Zenlayer

Zenlayer是全球领先的边缘云服务提供商,以即刻提升全球用户数字体验为公司目标,依托270余个遍布全球的边缘节点、超过37Tbps全球网络带宽以及对印度、东南亚和南美等新兴市场的深刻洞察,打造连通全球的边缘计算服务平台,紧密贴合企业需求,让用户随享迅捷、稳定、超低延迟的优质网络体验。。

示例说明

在前面的示例中,我们通过亚马逊云科技 Cloud-WAN和Fortinet SD-WAN的集成,基于SD-WAN POP之间的安全连接实现企业分支的直连通信,使得Singapore办公室的管理终端可以通过SD-WAN网络安全快速连接到Virginia工厂的设备,安全的传输企业数据。详见:

https://fusecommunity.fortinet.com/blogs/alan/2022/10/27/aws-cloud-wan-integration-fortinet-sd-wan-3

关于如何从零集成Fortinet SD-WAN与亚马逊云科技 Cloud WAN可参考:

https://thinkwithwp.com/cn/blogs/china/fortinet-sd-wan-integrates-amazon-cloud-technology-cloud-wan-to-achieve-cloud-network-integration/

在本例中,为了让越南工厂设备的运行数据能够安全快速传输到部署在亚马逊云科技的业务系统中,我们通过合作伙伴Zenlayer的网络资源解决亚马逊云科技在越南没有可用区覆盖的问题,用以优化越南工厂和部署在亚马逊云科技的业务系统之间的网络体验,同时基于Fortinet SD-WAN的业务拨测和智能选路让越南工厂可以和部署在亚马逊云科技的业务系统之间始终保持拥有一条安全有效的网络连接用于企业数据的安全稳定传输。

架构图:

部署配置

地址信息:

Site

SD-WAN

IP Address

LAN

IP/Netmask

Business EC2 10.0.2.80/24
Singapore POP 10.0.254.254
Vietnam POP 10.254.21.254
Vietnam Factory

10.254.21.1

10.0.254.2

192.168.90.2/24

亚马逊云科技的配置

创建一个Virtual Private Gateway,用来绑定连接Direct Connect资源

接受并激活Direct Connect

创建Virtual Interface,填入Direct Connect信息,绑定到此前建立的Virtual Private Gateway


把Virtual Private Gateway绑定到业务VPC

配置业务VPC路由发布,启用Virtual Private Gateway接口

禁用业务系统EC2主机的网络源目检查,允许其他非本VPC内的IP地址与EC2主机通信

越南 POP的配置

把Port2接口IP地址配置为亚马逊云科技 Virtual Interface的互联地址

启用BGP,配置越南 POP和亚马逊云科技 Virtual Interface的邻居信息,以及本地网络信息

创建名为SD-WAN的IPSec Tunnel,为越南工厂提供SD-WAN接入服务

配置SD-WAN接口IP地址信息和访问权限

配置越南工厂通过SD-WAN访问亚马逊云科技业务系统的Firewall Policy

越南工厂FortiGate的配置

配置越南工厂到越南 POP的SD-WAN接入


配置越南工厂到Singapore POP的SD-WAN接入


配置SD-WAN Zones,把port1,sdwan01,sdwan02加到Virtual WAN Link

配置SD-WAN Performance SLA

配置SD-WAN Rules

验证

当SD-WAN处于正常状态时,上传业务系统的数据流量走越南 POP的SD-WAN连接


当越南 POP的SD-WAN连接业务拨测出现异常的时候,上传业务系统的数据流量走Singapore POP的SD-WAN连接。


本篇作者

岑义涛

Fortinet 亚太区产品市场总监, AWS 认证Solutions Architecture- Professional 及 Security- Specialty负责Fortinet SD-WAN,SASE,云安全等战略产品在亚太地区的落地与推广。10年以上企业级网络安全和云服务经验。在云、网、安全融合方面有丰富的规划与实践经验。

张元涛

亚马逊云科技高级架构师。负责亚马逊云科技合作伙伴相关解决方案的建设以及合作伙伴生态合作。与合作伙伴一起,根据客户需求,分析其在技术架构层面所遇到的挑战和未来的方向,设计和落地基于亚马逊云科技平台和合作伙伴产品的架构方案。曾在知名外企以及国内领导企业任解决方案架构师。在云以及网络等领域有丰富的经验,对于公有云服务以及架构有深入的理解。