Category: Networking

GWLB in single VPC Quickstart CloudFormation Template

一、架构说明

1、GWLB简介

关于AWS GWLB，之前构建过一个结合Transit Gateway的多VPC的GWLB方案，也就是所谓的集中式。集中式是指应用系统所在的VPC是没有GWLB Endpoint的，流量是通过Transit Gateway汇集到一个统一的VPC做流量检查。

本次构建的quickstart则是一个分布式检测架构。所谓分布式，是指整个架构不包含Transit Gateway，而应用系统VPC本身是包含GWLB Endpoint。未来增加第二个、第三个VPC时候，每个VPC都带有自己的GWLB Endpoint。所以这个架构，在只有一个VPC时候，看起来是Single VPC。如果有多个VPC，就是分布式流量检查架构。

本模版是针对是特定场景下的需求，如果是全新设计，建议按照GWLB最佳实践的架构进行组网。

本方案构建一个单VPC的网络检测方案。本文代码参考Github这里。

Continue reading “AWS Gateway Load Balancer (GWLB) in single VPC Quickstart”

一、背景

1、NAT的长链接的局限

AWS云上的NAT/NLB/GWLB在针对长连接的场景上，存在350秒闲置超时的物理机制，且这是一个硬限制，无法通过开case提升limit的办法修改。这一限制的官方文档描述参考如下：NAT ，NLB ，GWLB 。

为了解决这一限制问题，需要同时在OS层、应用成打开keepalive设置，并且需要在服务器端和客户端分别配置。

Continue reading “使用Keepalive机制在NAT后保持长链接”

在某些业务场景下，可能需要限制特定国家访问，由此可借助Route 53的按地域解析功能，也可以使用WAF的GEO规则屏蔽特定国家，或者使用CloudFront的按地区屏蔽功能。如果需要查询和确认分配给中国的IP V4地址，可使用如下方法。

Continue reading “查询中国的IP地址范围”

一、背景

1、Route 53不支持根域名配置CNAME

在使用Route53提供DNS服务时候，在为根域名提供解析的场景下，有一些局限，例如根域名是不能设置cname的。为了进一步理解，我们举例如下：

Continue reading “使用 Route 53 + ALB 对域名根记录实现域名转发”

一、背景

1、使用单一域名按国家解析的挑战

有的客户希望在国内和海外采用单一域名运行，例如将域名部署在AWS全球的Route53服务上，并设置按照不同国家解析到不同Region的记录。此时，由于域名解析完全位于海外的DNS，国内的解析效果可能较差，存在解析不出来、同步延迟大等问题。如果由此将域名解析完全部署在中国区的Route53服务上，对国内用户体验良好，但是对海外用户又有解析失败概率提高的可能。

由此可采取授权子域名解析的办法。请看如下详细解释。

Continue reading “通过子域名授权的方式实现海外和国内分别使用Route53服务解析的方案”

本文描述了如何对Workspaces的外部网络访问行为进行限制，例如用户希望关闭单个桌面的互联网访问，而不影响其他桌面访问互联网的场景。

一、背景

Workspaces的网络管控能力分两种场景：

Continue reading “通过修改NAT Gateway所在子网的NACL实现限制Workspaces的外网访问”

AWS Client VPN是用于海外员工访问海外AWS云上资源的主要方式。之前做过配置手册和效果演示视频两个素材，请点击这以上链接跳转。

AWS Client VPN按照连接的用户数和时长收费。AWS Client VPN默认24小时断开，并且此参数不支持在AWS控制台上调整。Anyway，此参数可以使用配置文件调整。方法如下。

Continue reading “海外区使用AWS Client VPN设置超时时间主动断开服务”

一、背景和架构

AWS Client VPN是一种基于客户端的托管VPN服务，让您能够安全地访问云上资源或借助云作为网络通道访问其他资源。AWS Client VPN具有专用的VPN客户端，也支持使用OpenVPN作为客户端。

注意：AWS Client VPN只能用于企业海外员工到附近的海外AWS区域的访问接入，不可用于跨境访问。跨境需求需要申请符合相关法律规定的具有资质的跨境专线。

Continue reading “在海外区域使用AWS Client VPN访问没有Internet Gateway的VPC内网资源”