AWS 上的云边缘全球访问指南

Well-Architected 支柱

• 卓越运营

  AWS CDK for Terraform 使用基础设施即代码（IaC），可实现完整而快速的部署，从开始到结束预计只需 45 分钟。Global Accelerator 为部署在 AWS 上的 SD-WAN 路由器提供高度可用、分布式拒绝服务弹性的任播地址。此外，Systems Manager 用于远程管理计算机，无需 Secure Shell（SSH）访问或堡垒主机。其文档提供了一种机制，用于以编程方式将配置部署到 SD-WAN 控制面板，并对已部署的基础设施进行修改。最后，AWS Lambda 函数会自动为边缘路由器创建可部署的 ISO 映像（磁盘映像文件），从而简化部署过程。

  阅读《卓越运营》白皮书 
• 安全性

  本指南使用多个分区（商业分区和政府分区）来维护数据主权。为了维护安全性，控制面板默认存在于 AWS GovCloud（美国）中。此设置还使您能够直接连接到 IL4 或 IL5 环境中的现有 AWS 部署。此外，Systems Manager Parameter Store 使您能够安全地将敏感数据存储在已部署的 HAQM EC2 实例之外。而且，Systems Manager 会话管理器无需通过 SSH 直接访问已部署的实例。启用后，AWS Shield 还可以保护这些实例免受容量攻击。Global Accelerator 和 HAQM Virtual Private Cloud（HAQM VPC）流日志都提供了部署过程中可见网络流量数据的历史记录。最后， AWS GuardDuty 提供对 VPC 环境和外部威胁的可见性。如果需要，AWS 安全组可以锁定外部到内部以及内部到内部的流量。

  阅读《安全性》白皮书 
• 可靠性

  本指南使用多个区域、AWS Local Zones 和 AZ 在 AWS 基础设施之上维护高度可用的 SD-WAN 网络。SD-WAN 路由器提供故障检测和重新路由，而 AWS 提供基础设施弹性。因此，该架构可以同时承受多次中断，而不会丧失其通信能力。此外，Global Accelerator 使远程站点能够以最高效的方式从 600 多个 AWS 全球入网点访问 AWS 资源。最后，AWS Backup 使用 Lambda 自动备份配置和相关的公钥基础设施数据，以防您需要手动恢复 SD-WAN 控制器。

  阅读《可靠性》白皮书 
• 性能效率

  本指南可帮助您实现网络和弹性目标，同时最大限度地减少技术和管理负担。例如，Global Accelerator 提供从边缘到 AWS 的极低延迟连接。当许多位置需要访问云边缘环境时，AWS 前缀列表使您可以轻松调整安全规则。此外，AWS CDK for Terraform 支持基于标准的支持多云的 IaC 架构。 Systems Manager 处理 SD-WAN 控制器的初始配置，然后由 SD-WAN 控制器配置所有 SD-WAN 路由器。您还可以在 AWS CDK for Terraform 中配置 HAQM EC2 实例大小，以根据您的运营需求定义路由器数量、位置和大小。最后，本指南提供了由 Lambda 提供支持的 ISO 构建器流程。通过将常规步骤数从 20 多步减少到仅 5 步，该流程可帮助远程团队以最少的培训，高效、快速地部署新路由器。

  阅读《性能效率》白皮书 
• 成本优化

  本指南中的带宽成本按使用量付费，您可以通过在部署时合理调整环境来优化成本。例如，您可以根据当前需求配置 HAQM EC2 实例的大小和数量，然后根据需要纵向扩展或缩减。此外，您还可以使用 HAQM CloudWatch 警报来自动进行动态容量调整。在高可用性部署中，CloudWatch 会监控主路由器，并在网络负载需要增加容量时启用辅助路由器。然后，一旦高负载减弱，它就会关闭辅助路由器，从而帮助您降低成本。

  阅读《成本优化》白皮书 
• 可持续性

  本指南允许您根据需求调整 HAQM EC2 实例的大小，从而优化计算。HAQM EC2 还会根据需求自动扩展。这使您能够减少计算能耗。此外，CloudWatch 允许您自动进行动态容量调整，从而进一步减少碳足迹。CloudWatch 会一直禁用辅助路由器，直到需要辅助路由器支持主路由器以处理大量网络负载时为止。然后，一旦高负载减弱，它就会关闭辅助路由器，从而帮助您避免能源浪费。

  阅读《可持续性》白皮书