百思买使用由 Amazon Transit Gateway Connect 和 Fortinet FortiGate 提供支持的 SD-WAN 改善店内客户体验

作者: Jason Schamp, Andrew Painter, Moulee Natarajan |

零售客户通过使用 SD-WAN 将远程商店连接到亚马逊云科技,通过个性化来改善店内客户体验。对于北美最大的专业消费电子零售商百思买公司来说,将商店连接到基于云的工作负载缩短了应用程序的响应时间。它允许商店同步最新的库存,查看实时供应链信息和产品详细信息,促进订单提货和管理,并阅读客户购买历史记录以建立个性化体验。百思买使用 Amazon Transit Gateway Connect 和 Fortinet 的 FortiGate SD-WAN 虚拟设备实现了与基于云的应用程序的弹性、低延迟连接。在这篇博客文章中,我们将讨论百思买的战略和实施,即使用 Fortinet 的 FortiGate 将百思买的 1,000 多家门店连接到亚马逊云科技,扩展 Amazon Transit Gateway、Amazon Direct Connect 和 SD-WAN。我们将讨论百思买的基于云的交易计划、架构注意事项以及设计和实施方面的权衡取舍,所有这些都旨在让百思买的客户满意。

百思买使命

百思买的使命是通过技术丰富人们的生活,现已发展成为家喻户晓的名字,是高质量电子产品和卓越客户服务的代名词。该公司在美国和加拿大经营着庞大的零售商店网络,并通过其网站和移动应用程序拥有强大的在线业务。百思买广泛的产品范围包括从智能手机、笔记本电脑和电视到家用电器、游戏机和智能家居设备的所有产品。

百思买的云优先战略

近十年来,百思买有效地利用亚马逊云科技来运行各种应用程序,为云技术奠定了坚实的基础。百思买的"云优先"计划持续成功地将关键工作负载从本地系统迁移到亚马逊云科技。

2022 年初,百思买战略性地将亚马逊云科技指定为其基础设施服务的首选云提供商。这种伙伴关系标志着将云技术整合到其零售业务中的关键举措。亚马逊云科技是培养云工程人才的战略盟友。这种合作使企业能够加快创新,增强客户体验并促进影响数百万人的世界级数字互动的发展。

百思买的亚马逊云科技网络概述

百思买的亚马逊云科技足迹跨越两个亚马逊云科技区域,其动态应用程序套件的很大一部分位于主要区域。主要区域在托管和支持百思买的关键应用程序方面起着更重要的作用。选择这些区域是出于数据冗余、延迟考虑和资源可用性,从而确保托管在这些区域中的应用程序高效运行且具有高可用性。

百思买的亚马逊云科技网络架构证明了其利用亚马逊云科技网络结构全部潜力的全面战略方法。通过整合 Amazon Transit Gateway 和 Amazon Direct Connect,百思买建立了强大的网络基础设施,可以优化连接、安全和效率。

Amazon Transit Gateway 充当集中中心,促进了亚马逊云科技区域内部和跨区域的各种虚拟私有云 (VPC) 之间的无缝通信。使用集中出口和检查可以对出站流量进行全面审查,确保安全措施和合规标准得到一致应用,保护数据并减轻潜在威胁。这种集中式检查设计将东/西扩展到 VPC 到 VPC 的通信,并通过 Direct Connect 连接到路由,弥合了本地基础设施和亚马逊云科技资源之间的差距,从而形成了无缝高效的网络环境。

在 SD-WAN 之前

百思买错综复杂的网络架构使用 MPLS、托管互联网电路、卫星和蜂窝等技术来实现弹性,将零售商店、配送中心和供应链中心与百思买数据中心和互联网无缝互连。百思买的数字足迹遍及多个云提供商,其中有一定数量的关键任务应用程序在这些提供商中运行。这种复杂性在数百个地点使用多种传输机制,给应用程序带来了管理开销,在某些情况下还会出现延迟,具体取决于应用程序的托管位置。

为何选择 Fortinet + Amazon Transit Gateway Connect?

Fortinet for SD-WAN
百思买之所以选择 Fortinet 作为其首选的软件定义广域网合作伙伴,是因为 Fortinet 非常适合其网络需求。在众多可用的 SD-WAN 技术提供商中,Fortinet 之所以成为理想的选择,这要归因于几个令人信服的原因,包括:

  • 全面的 SD-WAN 解决方案套件符合百思买对多功能网络架构的需求,允许在各种用例中进行自定义和优化。
  • 在安全可靠性方面享有很高的声誉,百思买可以信赖 Fortinet 的强大安全功能。
  • Fortinet 业界领先的影响力、良好的往绩记录和提供高性能 SD-WAN 解决方案的经验。

Fortinet 的 FortiGate 支持多种成熟的部署模式。百思买选择遵循 Fortinet 的参考架构,在多个可用区域和 Amazon Transit Gateway 之间使用主动-被动高可用性配置。

Transit Gateway Connect 对等体的注意事项
Amazon Transit Gateway Connect 附件用于在 Transit Gateway 和在 VPC 中运行的第三方虚拟设备(例如 SD-WAN 设备)之间建立连接。这些 Connect 附件支持用于实现高性能的通用路由封装 (GRE) 隧道协议和用于动态路由的边界网关协议 (BGP)。创建 Connect 连接后,创建一个或多个 GRE 隧道(也称为 Transit Gateway Connect 对等体)以连接传输网关和第三方设备。最后,在 GRE 隧道上建立两个 BGP 会话以交换路由信息。

Transit Gateway Connect 对等体由两个 BGP 对等会话组成,这些会话在亚马逊云科技管理的基础设施上终止。两个 BGP 对等会话提供路由平面冗余,确保丢失一个 BGP 对等会话不会影响您的路由操作。从两个 BGP 会话接收到的路由信息会累积给定的 Connect 对等体。两个 BGP 对等会话还可以防止任何亚马逊云科技基础设施操作,例如例行维护、补丁、硬件升级和更换。如果您的 Connect 对等体在没有为冗余配置推荐的双 BGP 对等会话的情况下运行,则在亚马逊云科技基础设施运行期间,它可能会暂时中断连接。强烈建议在 Connect 对等体上配置两个 BGP 对等会话。如果有多个 Connect 对等体支持设备端的高可用性,强烈建议您在每个 Connect 对等体上配置两个 BGP 对等会话。

连接附件使用现有 VPC 或 Amazon Direct Connect 附件作为底层传输机制,也称为传输附件。传输网关将来自第三方设备的匹配的 GRE 数据包识别为来自连接附件的流量。它将任何其他数据包(包括带有错误源或目标信息的 GRE 数据包)视为来自传输附件的流量。要使用 Amazon Direct Connect 附件作为传输机制,您首先需要将 Direct Connect 与 Amazon Transit Gateway 集成。

对于大规模部署,请注意 Transit Gateway 的配额,包括:

  • 单个 Transit Gateway 所有路由表中的组合路径总数
  • 每个 Connect 连接的每个 Transit Gateway Connect 对等点的最大带宽,与单流(5 元组)流量的基准带宽有关
  • 从虚拟路由器设备向 Transit Gateway Connect 对等体通告的动态路由

百思买的 SD-WAN 实施

可供设计考虑的可扩展性事实
百思买的庞大网络包括北美的 1,000 多家门店,每家门店都配置了多个私有子网。这些子网有多种用途,包括增强安全性和减少运营开销。

在百思买的 POC 期间,数据中心的中央 FortiGate 前端经历了大量的网络流量,在高速应用程序使用、媒体发布和重大业务活动期间,流量通常高达 10Gbps。百思买的敏捷网络运营必须有效地应对由高峰客户互动、内容交付和基本业务功能推动的大量流量激增,需要有效的流量管理和优化以在关键运营时期保持网络响应能力。

架构总体
而言,百思买的架构使远程位置能够直接访问亚马逊云科技托管的工作负载。它使用 Fortinet 的 FortiGate-VM 在多个亚马逊云科技区域的主动-被动高可用性部署模型消除了穿越数据中心的路由。为了提高弹性,商店必须继续保持与数据中心的连接。

图 1 百思买在 SD-WAN 之前的商店网络连接图 1:百思买在 SD-WAN 之前的商店网络连接

百思买的主要目标是利用强大的 10Gbps 电路来容纳从商店流向中央 SD-WAN 前端的流量。但是,以下亚马逊云科技限制要求我们探索替代解决方案。

  • Amazon Transit Gateway 对每个 Connect 连接施加的最大带宽限制为 5Gbps,因为 GRE 在技术上是单一流,单一流量有 5Gbps 的限制。
  • 百思买面临商店容量挑战,每家商店都使用多个子网,不包括汇总。因此,这种配置会导致亚马逊云科技头端有成千上万的网络前缀。

保持商店网络前缀长度的统一性势在必行。分支机构级别的 SD-WAN 设备和亚马逊云科技中的 SD-WAN 前端虚拟设备也必须保持一致。确保统一的前缀长度可确保保持网络连续性,从而在需要时实现无缝故障转移。发生故障转移时,备份路径保持不变,确保不间断的连接。

尽管使用从亚马逊云科技的 SD-WAN 头端到 Transit Gateway 路由表中通告的汇总网络似乎很有吸引力,可以消除对 Connect 对等点前缀数量的调整,但这违背了百思买的设计原则,即提供弹性备份路径,以防来自商店的亚马逊云科技隧道受到干扰。

为了解决局限性,百思买实施了一个解决方案,每个区域有两对(每对在高可用性下运行)虚拟设备。它将每组 500 家商店的 SD-WAN VPN 隧道定向到一个 HA 对,覆盖 1,000 个商店,每个区域有两个 HA 对,从而有效地将 10Gbps 前端要求拆分为 2 x 5Gbps 区块。百思买还与亚马逊云科技合作,调整了 Connect 对等点的前缀配额,以适应开销。

由于应用程序套件的很大一部分位于主要区域,因此百思买仅将 SD-WAN 前端设备定位在该地区。这意味着辅助区域中的所有工作负载也在主要区域使用这些 SD-WAN 虚拟机,从而确保成本效益,同时符合网络性能、可扩展性和安全性的既定设计指南。这种简化的方法优化了资源利用率并集中了网络控制。

图 2 百思买弹性 SD-WAN 商店网络连接,显示主路径和辅助路径图 2:百思买弹性 SD-WAN 商店网络连接,显示主路径和辅助路径

一项关键设计指南规定了从分支机构 SD-WAN 到亚马逊云科技工作负载的备份路径。路由决策点位于 Amazon Transit Gateway 内,并与 Direct Connect 相关联。这两个区域的公交网关都与直接连接相关联,但主要区域的公交网关路由表优先,与 SD-WAN 虚拟机的位置一致。在主要区域的 Transit Gateway 集中路由可确保高效的流量流动、故障转移能力以及优化的网络性能和可靠性。

结果

通过此次实施,百思买通过使用这种 SD-WAN 解决方案,将从商店到亚马逊云科技的延迟减少了 20%,在使用与亚马逊云科技中的商店和工作负载进行交互的应用程序时,该解决方案提高了客户满意度和采用率。此外,百思买通过其可扩展和可靠的网络架构改善了正常运行时间,从而确保及时为客户提供服务。

下一步是什么

百思买对软件定义广域网技术的战略采用凸显了其保持网络创新前沿的承诺。通过最大限度地发挥其能力,该公司优化了其网络基础架构,增强了性能、安全性和可扩展性,以更好地为客户提供服务。这种转型不仅提高了零售商的运营效率,还巩固了其作为零售行业领导者的地位。

与亚马逊云科技解决方案架构师合作,了解如何实施 SD-WAN 以将您的商店连接到亚马逊云科技。与 Fortinet 互动,了解 FortiGate 如何在通过广域网智能路由网络流量方面发挥关键作用。

联系您的亚马逊云科技账户团队或 Fortinet 账户团队,或查看亚马逊云科技文档或 Fortinet 文档,开始实施。


杰森·尚普

Jason Schamp

Jason Schamp 是驻俄亥俄州克利夫兰的首席解决方案架构师。Jason 专注于指导企业零售/CPG 客户完成云之旅、加快迁移、实现工作负载现代化以及采用新的工作方式。Jason 拥有安全与合规方面的专长,对容器安全、云运营、自动化和自助服务充满热情。

安德鲁·潘特

Andrew Painter

安德鲁是百思买的高级首席工程师,专门研究复杂的云和平台工程计划。他在百思买拥有超过 20 年的工作经验,在亚马逊云科技领域拥有 15 年的专业知识,负责制定公司的亚马逊云科技战略并奠定其基础。

Moulee Natarajan

Moulee Natarajan

Moulee 是百思买的一名员工网络工程师,专注于数据中心和云网络核心服务。他对网络技术充满热情,喜欢设计、构建和支持可靠的网络解决方案。他的兴趣包括传统数据中心、SDN、安全、SD-WAN 以及私有和公共跨云连接。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。