Amazon Transit Gateway 和亚马逊云科技云广域网的性能和指标增强

2024 年底，我们对 Amazon Transit Gateway 和亚马逊云科技云广域网服务推出了多项增强功能：

1. 对 Amazon Transit Gateway 和亚马逊云科技云广域网的路径 MTU 发现 (PMTUD) 支持
2. 设备模式路由增强功能可提高可用区 (AZ) 感知能力
3. 每个可用区的 Amazon CloudWatch 指标
4. 亚马逊云科技云广域网：服务插入运营增强

在这篇文章中，我们将解释这些功能增强的工作原理，它们为您的整个亚马逊云科技网络基础设施带来了哪些好处，以及使用这些功能的重要注意事项。

1. Amazon Transit Gateway 和亚马逊云科技云广域网 PMTUD 支持

2024 年 11 月，亚马逊云科技宣布支持 Amazon Transit Gateway 和亚马逊云科技云广域网 PMTUD。通过此项增强，Amazon Transit Gateway 和亚马逊云科技云广域网现在支持 IPv4 和 IPv6 协议的 PMTUD。

PMTUD 如何与 Amazon Transit Gateway 和亚马逊云科技云广域网核心网络边缘 (CNE) 配合使用？

PMTUD 用于确定两个设备之间的路径 MTU。路径 MTU 是始发主机和接收主机之间路径支持的最大数据包大小。当两台主机之间网络中的 MTU 大小存在差异时，PMTUD 允许路径中的网络设备（Amazon Transit Gateway/CNE）使用互联网控制消息协议 (ICMP) 消息响应原始主机。此 ICMP 消息指示原始主机使用网络路径上最小的 MTU 大小并重新发送请求。如果没有这种协商，当请求太大而接收主机无法接受时，可能会发生丢包的情况，如下图所示。

图 1：PMTUD 数据包流

以前，超出 Amazon Transit Gateway/CNE MTU（8500 字节）的巨型帧（9001 MTU）数据包会在 VPC 附件上静默丢弃。通过此更新，当检测到这些数据包时，ICMPv4（类型 3，代码 4）的 ICMP 需要分段消息，或者 ICMPv6（类型 2）的 "数据包太大"（PTB）消息将发送回发送方主机。此通知指示传输主机调整数据包 MTU 大小，从而消除网络中 MTU 不匹配导致的数据包丢失。

用例

• 默认的亚马逊 Linux 亚马逊系统映像 (AMI) 使用 9001（巨型帧）的 MTU。此功能允许用户在通过 Amazon Transit Gateway/亚马逊云科技云广域网发送流量的同时，继续在 Amazon EC2 实例上使用巨型帧的 MTU (9001)，无需手动配置 Linux/Windows 实例以使用低于 Amazon Transit Gateway/CNE 支持值 8500 的 MTU。
• 同一亚马逊云科技区域内的 VPC 对等连接支持巨型帧。以前，当用户从 VPC 对等迁移到 Amazon Transit Gateway 时，流量会静默丢失，因此用户需要在迁移之前手动将 VPC 上可能有数百或数千个 EC2 实例的 MTU 配置为低于 8500。不再需要此手动配置。

注意事项

• 默认情况下，Amazon Transit Gateway/亚马逊云科技云广域网 PMTUD 功能处于启用状态。用户无需进行任何配置更改。
• 确保安全组和网络访问列表 (NACL) 允许必要的 ICMP 规则。
• 在撰写本文时，Amazon Transit Gateway 和亚马逊云科技云广域网在亚马逊云科技点对点 VPN、Amazon Direct Connect 或 Amazon Transit Gateway/亚马逊云科技云广域网区域间和区域内对等连接附件上不支持 PMTUD。
• 如果您想使用巨型帧并在通过 Amazon Transit Gateway 连接的流量路径中使用带有第三方虚拟设备的检查 VPC，请确保在这些网络虚拟设备 (NVA) 上检查并启用巨型帧。
• 有关更多信息，请参阅 EC2 实例的 Amazon Transit Gateway MTU 注意事项和 MTU 设置。

2. 亚马逊云科技增强了 Amazon Transit Gateway 和亚马逊云科技云广域网设备模式路由，以提高可用区感知能力

我们推出的第二项增强功能改善了启用设备模式的 Amazon Transit Gateway 和亚马逊云科技云广域网 CNE 附件的数据包路由行为。此更新提高了路由过程中的可用区感知能力，并已部署到截至 2024 年 11 月 30 日可用 Amazon Transit Gateway 和亚马逊云科技云广域网的所有亚马逊云科技区域。

我们创建了设备模式来支持检查 VPC 架构，在这种架构中，网络流量通过防火墙、内联分析或其他 "线路碰撞" 设备等安全设备。这些安全设备维护有关网络连接的状态信息，以正确检查和控制流量。例如，当防火墙看到初始出站连接时，它会创建状态信息，以正确评估返回的流量。如果返回流量流经另一可用区中的其他防火墙设备，则该状态信息将丢失，从而导致返回流量被阻止。设备模式确保连接的两个方向都流经同一个可用区中的同一个安全设备，这个概念被称为对称路由。

以前，在 VPC 连接上启用设备模式时，Amazon Transit Gateway 和亚马逊云科技云广域网 CNE 会使用流量哈希算法为流量选择可用区。该算法基于 IP 数据包的四元组，没有考虑流量的源或目标 AZ。这可能会导致流量通过不同的可用区过境所走的路径超出必要的路径。

借助此增强功能，Amazon Transit Gateway 和亚马逊云科技云广域网 CNE 现在在选择流量路径时会同时考虑流量的源和目标可用区。当流的源和目的地都在同一个可用区中时，通过检查 VPC 时，流量将保持在该可用区内。这样可以提高路由效率，并有可能减少延迟。

以下场景显示了此增强功能的影响

假设位于同一可用区的资源之间通过 Amazon Transit Gateway 的流量（use1-az1），如下图所示。此数据流通过在两个可用区中有连接点的检查 VPC：use1-az1 和 use1-az2。在增强之前，即使源和目标都在 use1-az1 中，流量也可以发送到任一可用区的检查设备。借助此增强功能，Amazon Transit Gateway 通过检查 VPC 中的 use1-az1 路由流量，从而保持可用区关联性，从而减少延迟并提高网络性能的可预测性。

图 2：设备模式 AZ 关联性

此设备模式增强不会影响通过 Amazon Transit Gateway 和亚马逊云科技云广域网 CNE 的现有流量。仅根据新行为路由新流程，这确保了当前工作负载的平稳过渡。AZ 关联性是自动的，因此您无需启用它。使用此增强功能无需额外付费。此更新表明亚马逊云科技在涉及 Amazon Transit Gateway 和亚马逊云科技云广域网的复杂架构中管理跨可用区的网络流量的方式有了显著改进。

3. 每个可用区 CloudWatch 指标提高了 Amazon Transit Gateway 和亚马逊云科技云广域网的可见性

我们最近发布了对 Amazon Transit Gateway 和亚马逊云科技云广域网的一项重要增强功能：CloudWatch 中的每可用区指标。这项新功能提供了对可用区级别的流量模式和性能的更精细的可见性。现在，您可以通过性能和流量指标监控您的全球网络，例如输入/输出字节、数据包输入/输出、丢弃的数据包等。这些指标于 2024 年 11 月 11 日发布，适用于所有提供 Amazon Transit Gateway 和亚马逊云科技云广域网的亚马逊云科技区域。以前，这些指标可在附件级别使用。

每个可用区的指标可以更好地了解流量如何分布在区域的可用区。这些指标可帮助您分析流量模式，并就优化和容量规划做出明智的决策。Amazon Transit Gateway 和亚马逊云科技云广域网配额是按可用区确定的。因此，此版本可帮助您了解流量如何与这些配额保持一致。每个可用区的指标同时发布到资源所有者的账户和附件所有者的账户（适用于跨账户方案）。

在 CloudWatch 中查看每可用区 Amazon Transit Gateway 指标

1. 导航到 CloudWatch 控制台，选择指标，然后选择所有指标。
2. 选择 亚马逊云科技/TransitGateway 命名空间，然后选择 Per-TransitGatewayAttachment 可用性区域指标。
3. 选中要包含在图表中的每个 AZ 指标旁边的复选框。每个指标的标签都以可用区标识符为前缀，例如 "use-1-az1" 或 "use1-az2"。

图 3 显示了每个可用区的指标以及 Amazon Transit Gateway 的汇总指标。

图 3：Amazon Transit Gateway 显示了 CloudWatch 中的聚合指标和每可用区指标

要使用这些新指标，您可以使用亚马逊云科技管理控制台、亚马逊云科技命令行接口 (亚马逊云科技 CLI) 或亚马逊云科技软件开发套件 (SDK) 访问 CloudWatch 并根据每个可用区数据创建自定义仪表板或警报。无需进一步配置即可启用这些指标，它们自动适用于支持的附件类型。

没有针对每个可用区指标的更多费用。但是，标准的 CloudWatch 定价适用于超过亚马逊云科技免费套餐限制的 API 操作。有关更多信息，请参阅 Amazon VPC Transit Gateways 中的 CloudWatch 指标和亚马逊云科技云广域网中的 CloudWatch 指标。

4. 亚马逊云科技云广域网：服务插入运营增强

本节假设您熟悉以下亚马逊云科技云广域网组件：全球网络、核心网络、核心网络策略、附件、核心网络边缘、网络分段以及名为网络功能组 (NFG) 的亚马逊云科技云广域网服务插入功能。

NFG

NFG（图 4）在幕后是一个由一系列核心网络附件组成的单一分段，这些附件指向托管专用网络或安全功能的 VPC。这些功能可以包括作为全球亚马逊云科技云广域网网络一部分部署的下一代防火墙 (NGFW)、入侵检测系统 (IDS)、Amazon Network Firewall 或网关负载均衡器服务。

NFG 允许您通过部署在连接到亚马逊云科技云广域网的 VPC 中的网络功能自动引导同段或跨分段流量。您可以指定一个包含网络功能所在的一组核心网络附件（VPC、点对点 VPN、Amazon Direct Connect 或 Amazon Transit Gateway 路由表）的 NFG。然后，您可以指定需要将流量重定向到网络功能的分段或分段对。亚马逊云科技云广域网通过相应 NFG 的指定核心网络附件自动重定向分段之间的网络流量。此重定向适用于核心网络上的同区域（区域内）和跨区域（区域间）流量。

在此增强之前，需要先将 NFG 与核心网络连接关联起来，然后才能创建 "发送到" 或 "发送通过" 分段操作，以便通过 NFG 插入服务。这导致无法轻松扩展到新的亚马逊云科技云广域网区域。

借助新的亚马逊云科技云广域网服务插入增强功能，无需将网络功能组与附件关联即可使亚马逊云科技云广域网策略取得成功。如果您向没有关联附件的网络功能组指定 "发送到" 或 "发送通过" 的分段操作，则亚马逊云科技云广域网策略执行成功。但是，在相应区域将附件关联到该 NFG 之前，所有发往该 NFG 的流量都处于黑洞状态，如下图所示。

图 4：亚马逊云科技云广域网 NFG

此增强功能使用户可以更轻松地将亚马逊云科技云广域网 NFG 扩展到新的亚马逊云科技区域，无需执行多个策略，并简化了整体服务插入配置工作流程。

除了标准的亚马逊云科技云广域网定价外，使用服务插入没有其他费用。

结论

Amazon Transit Gateway 和亚马逊云科技云广域网的最新增强功能显著提高了网络性能、可见性和运营效率。这些增强表明亚马逊云科技持续致力于提高网络管理能力，同时减少运营开销。无论您是管理复杂的多可用区架构、实施安全控制还是优化网络性能，这些功能都使您能够构建更可靠、更高效的云网络。

有关详细的指导和优秀实践，请参阅我们的 Amazon Transit Gateway 和亚马逊云科技云广域网的技术文档，或联系您的亚马逊云科技账户团队或 Amazon Support。

作者简介