亚马逊云科技正式推出了一项新的网络服务Amazon Cloud WAN，它可以轻松构建和运营连接您的数据中心和分支机构以及多个亚马逊云科技区域中的多个 VPC 的广域网（WAN）。

通常，大型企业的资源在不同的本地数据中心、分支机构和云中运行。为了连接这些资源，网络团队使用来自多个提供商的多种联网、安全和互联网服务来构建和管理自己的全局网络。他们很可能使用多种技术和提供商来管理基于云的网络、将其数据中心连接到亚马逊云科技云以及本地数据中心和分支机构之间的连接。所有这些网络都采用不同的连接、安全和监控方法，导致各个网络错综复杂地拼凑在一起，难以配置、保护和管理。

例如，为了防止未经授权访问跨地点运行的资源，这些地点使用不同网络技术连接，网络运营团队必须将来自不同供应商的不同防火墙解决方案组合在一起，然后手动配置和管理它们之间的策略。每一个新的位置、网络设备和安全要求都会使复杂性呈指数级增长。

借助 Amazon Cloud WAN，联网团队可通过他们选择的本地网络提供商连接到 亚马逊云科技，然后使用中央控制面板和网络策略来创建连接其位置和网络类型的统一网络。这样就无需单独配置和管理不同的网络，即使它们基于不同的技术也是如此。Amazon Cloud WAN 可生成本地网络和亚马逊云科技网络的完整视图，帮助您直观地了解整个网络的运行状况、安全和性能。

Amazon Cloud WAN 提供先进的安全和网络隔离，我对这种网络分段带来的可能性感到兴奋。无论您向网络中添加了多少个亚马逊云科技区域或本地位置，都可以使用 Amazon Cloud WAN 中的策略轻松对网络流量进行分段。

例如，您可以轻松地将来自零售支付处理的网络流量与公司网络上的其他流量隔离开来，同时仍然允许两个分段访问共享的公司资源。另一个例子是通过为每个环境创建逻辑网段来隔离开发和生产环境。

这样，在将大量位置与 VPC 连接时更容易确保一致的安全策略，尤其是当您的策略需要应用于具有独特安全性和路由要求的大型组时。Amazon Cloud WAN 代表您维护跨区域的一致配置。在传统网络中，分段类似于全局一致的虚拟路由和转发（VRF）表或通过 MPLS 网络传输的第 3 层 IP VPN。分段是可选的；较小的组织可以将 Amazon Cloud WAN 与一个网段结合使用，涵盖您的所有流量。

除了网络分段及其为网络管理任务带来的简单性之外，我还看到了使用 Amazon Cloud WAN 的四个主要优势：

集中式管理和网络监控控制面板

Network Manager 提供了一个中央控制面板，用于连接和管理分支机构、数据中心、VPN 连接和软件定义的广域网（SD-WAN），以及您的Amazon VPC和亚马逊云科技 Transit Gateway。此控制面板可帮助您在一个位置监控和查看网络的运行状况，从而简化日常运营。

集中式策略管理

您可以在以 JSON 表示的中央网络策略文档中定义访问控制和流量路由规则。更新策略时，Amazon Cloud WAN 使用两步流程来确保意外错误不会影响您的全局网络。首先，检查并验证您的更改在生产环境中能否按预期运行。批准更改后，Amazon Cloud WAN 将处理整个网络的配置详细信息。您可以使用 亚马逊云科技 管理控制台或 Amazon Cloud WAN API 更改策略文档。

多区域 VPC 连接

Amazon Cloud WAN 跨亚马逊云科技区域连接您的 VPC。使用简单的网络策略文档，您可以创建连接所有 EC2 资源的全局网络，也可以选择跨区域对这些网络进行分段。

内置自动化

Amazon Cloud WAN 可以自动将新的 VPC 和网络连接附加到您的网络，因此您无需手动批准每项更改。这减少了管理不断增长的网络所涉及的运营开销。您可以通过标记附件和定义自动将带有特定标签的附件映射到特定网段的网络策略来实现此目的。通过这种标记结构，您可以选择哪些附件可以自动加入分段，哪些分段需要手动批准，以及同一分段中的附件是否可以相互通信，所有这些都基于您选择的标签。

使用 Amazon Cloud WAN

要开始使用 Amazon Cloud WAN，首先打开亚马逊云科技管理控制台。在 VPC 部分中，左侧菜单中有一个针对 亚马逊云科技 Amazon Cloud WAN 的新条目。创建和配置全局网络分为四个步骤。

首先，创建一个全局网络和一个核心网络。

输入 Name（名称）和可选 Description（描述）后，选择 Next（下一步）。

为核心网络指定 Name（名称）和 Description（描述）后，输入 ASN range（ASN 范围）和 Edge locations（边缘站点）列表，然后为默认分段输入 Segment name（分段名称）和 Segment description（分段描述）。默认分段将在所有选定的边缘站点自动启用。

其次，定义并附上核心联网策略。核心策略定义了跨分段和亚马逊云科技区域控制网络访问的规则。第三，配置分段和分段操作。可以查看所有路由，并按网络 Segment（分段）和 Edge location（边缘站点）进行筛选。

最后，将现有的 Amazon Transit Gateway 注册到新的全局网络。

配置完成后，您的全局网络将拥有一个单一的监控控制面板，您可以访问网络清单。

或者，您可以使用 Topology graph（拓扑图）和 Topology tree（拓扑树）获得更精细的详细视图。

其他注意事项

运行 Amazon Cloud WAN 的预览阶段，经常会收到这样一个问题：“何时应该使用 Amazon Cloud WAN 而不是 Amazon Transit Gateway 构建网络？”

这是一个符合逻辑的问题，因为 Transit Gateway 和 Amazon Cloud WAN 都允许在 Amazon VPC 和本地位置之间进行集中连接。Amazon Transit Gateway 是一个区域性网络连接中心，当您在少数亚马逊云科技区域运营，或者想要管理自己的对等和路由配置或更喜欢使用自己的自动化时，它是最佳选择。

另一方面，Amazon Cloud WAN 是一种托管广域网（WAN），它统一了您的数据中心、分支机构和亚马逊云科技网络。虽然您可以通过跨区域互连多个 Amazon Transit Gateway 来创建自己的全局网络，但 Amazon Cloud WAN 提供了专为构建和运营全局网络而设计的内置自动化、分段和配置管理功能。Amazon Cloud WAN 增加了自动化 VPC 附件、集成性能监控和集中配置等功能。

实际上这并不是一个必须二选一的情况，您可以将您的 Amazon Transit Gateways 与 Amazon Cloud WAN 的核心网络边缘（CNE）对等，并从之前描述的集中管理和监控功能中受益。Amazon Cloud WAN 和 Amazon Transit Gateway 之间的对等互连使您的选择保持开放，可以从一个网关迁移到另一个，或者使用 Amazon Cloud WAN 集中连接所有现有的 Amazon Transit Gateway。

与此同时，亚马逊云科技在去年 12 月发布了 SiteLink。新的问题诞生了：什么时候应该使用 SiteLink，什么时候应该使用 Amazon Cloud WAN ？

根据您的具体使用案例，您可以选择一个、另一个或两者结合。Amazon Cloud WAN 可以创建和管理跨多个区域的 VPC 网络。另一方面，SiteLink 绕过 亚马逊云科技 区域将 Direct Connect 地点连接在一起，以提高性能。Direct Connect 是您将来可以在 Amazon Cloud WAN 本地使用的几种连接选项之一。截至目前，您可以通过 Amazon Transit Gateway 对等连接将 Direct Connect 与 Amazon Cloud WAN 互连。

可用性和定价

Amazon Cloud WAN 现已在以下亚马逊云科技区域推出：美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（北加利福尼亚）、美国西部（俄勒冈州）、非洲（开普敦）、亚太地区（孟买）、亚太地区（新加坡）、亚太地区（悉尼）、亚太地区（东京）、加拿大（中部）、欧洲地区（法兰克福）、欧洲地区（爱尔兰）、欧洲地区（伦敦）、欧洲地区（米兰）、欧洲地区（巴黎）、欧洲地区（斯德哥尔摩）和中东（巴林）。

和之前一样，没有安装费或预付费，并且根据您的实际使用情况按需计费。使用亚马逊云科技Amazon Cloud WAN 支付的费用取决于四个因素。首先，部署的核心网络边缘（CNE）的数量。其次，每个 CNE 的附件数量。附件可能是 Amazon VPC、VPN 或 SD-WAN。第三，与您的 CNE 对等的 Transit Gateway 的数量。第四，通过每个 CNE 发送的流量需要支付数据处理费。

除了这些特定于 Amazon Cloud WAN 的因素之外，在区域之间发送数据会触发 EC2 区域间数据传出费用。虽然 EC2 区域间数据传出与 Amazon Cloud WAN 分开计费，但这是 Amazon Cloud WAN 服务总成本中的一个因素。定价页面包含详细信息。

探索亚马逊云科技信息

让我们共同见证亚马逊的一小步

云计算的一大步