Networking & Content Delivery | 亚马逊AWS官方博客

利用 AWS Client VPN 安全地访问 VPC 中和 on-premise 资源

AWS Client VPN 让用户可以从任意位置使用 open VPN 客户端创建 TLS 连接到 AWS VPC，它是完全托管的服务，用户不再需要维护和管理第三方的 VPN 接入方案。默认弹性和高可用，根据用户数自动扩展。支持客户端通过证书方式认证，也可以与 AD 集成。实现到 VPC 中资源和 On-Premise 资源的访问，也可以通过该 VPN 访问 internet。

利用VPC Flow Logs统计EC2网络流量信息

AWS 提供的 CloudWatch 服务可以针对每一个弹性网络接口（以下简称 eni）的流量进行监控，但运维人员往往还希望获得源IP地址、源端口、目标 IP 地址、目标端口、传输层协议等信息。AWS提供的“VPC流日志”（以下简称Flow Logs）功能会针对每一个eni所产生的五元组信息进行监控记录 [2]。本文将介绍如何利用 Flow Logs 以及中国区域所提供的相关服务以实现针对 eni 的流量分析（例如：流入VPC、流出 VPC、在 VPC 内跨 AZ 的各种流量），并基于 Python3.x 给出相关操作代码。

新增功能 – 用于提升可用性和性能的 AWS Global Accelerator

AWS Global Accelerator 是一种网络服务，能够帮助组织无缝地将流量路由到多个区域，并为其最终用户提高可用性和性能。AWS Global Accelerator 凭借 AWS 庞大的高可用性无拥塞全球网络，将互联网流量从用户定向到在 AWS 区域运行的应用程序。AWS Global Accelerator 会根据地理位置、应用程序运行状况和您配置的权重将用户定向到您的工作负载。此外，AWS Global Accelerator 还会为您的应用程序分配全局唯一且固定不变的静态 Anycast IP 地址，让您无需在应用程序扩展时更新客户端。您现在可以开始预置 Accelerator 并将其与运行在网络负载均衡器、Application Load Balancer 或弹性 IP 地址上的应用程序相关联。然后，AWS Global Accelerator 会从 AWS 网络分配两个静态 Anycast IP 地址，作为工作负载的入口点。AWS Global Accelerator 支持 TCP 和 UDP 两个协议，对目标终端节点进行运行状况检查，并将流量从运行状况不佳的应用程序中路由选择分离出来。您可以在一个或多个 AWS 区域内使用 Accelerator，进而为最终用户提供更高的可用性和性能。媒体、金融和游戏组织常用的低延迟应用程序将受益于 Accelerator 对 AWS 全球网络的使用以及用户与边缘网络之间的优化。

新增功能 – Amazon Route 53 混合云解析器

与许多客户一样，我们通过 Direct Connect (DX) 将本地环境与我们的 AWS 环境相连接，导致需要跨连接解析 DNS 名称。因此我们需要构建 DNS 服务器并提供转发器以实现此目标。这也是我今天非常高兴地宣布隆重推出 Amazon Route 53 混合云解析器的原因。它包含了多种功能，从而可以在本地和 AWS 环境之间通过私有连接进行双向查询。

建立 VPC 并基于参数动态创建子网的 CloudFormation 模板

本文介绍一个可以建立包含多个（可自定义）子网（包含子网路由）的 VPC 脚本。通过这个脚本创建 VPC 时，不需要指定每个子网的 CIDR，只需要输入子网支持的 IP 地址个数，子网的路由类型（内部子网，通过 NAT 访问 Internet 或者通过 Internet Gateway 访问 Internet），在VPC内对S3和DynamoDB的访问，该脚本会自动创建 VPC EndPoint 并配置合适的路由。配合文中提到的其他脚本，可以快速创建 Landing Zone（AWS 基本运行环境，包含 VPC, Subnet, 堡垒机，CloudTrail, AWS Config, Log 复制等）