Arch Day 123
Arch Day 123: 云网络架构深度 — VPC、Transit Gateway、Private Connectivity
云网络是云架构的隐形骨架——决定了延迟、安全边界、成本和可用性。一个错误的网络设计可能在系统运行两年后才暴露为无法修复的架构瓶颈。
2026-07-31
第五阶段 - 云架构深度VPCTransitGatewayCloudWANPrivateLinkVPCLattice网络架构
日期: 2026-07-31 (Day 123) 阶段: 第五阶段 - 云架构深度 标签: #VPC #TransitGateway #CloudWAN #PrivateLink #VPCLattice #网络架构
核心概念
一句话定义
云网络是云架构的隐形骨架——决定了延迟、安全边界、成本和可用性。一个错误的网络设计可能在系统运行两年后才暴露为无法修复的架构瓶颈。
误区与反模式
| 误区 | 真相 |
|---|---|
| "VPC Peering够用了" | 超过3个VPC就需要Transit Gateway,Peering不支持传递路由 |
| "公网访问加个安全组就行" | 金融系统必须走Private Link/VPC Endpoint |
| "网络设计后面再改" | 网络是最难重构的基础设施,必须前期规划CIDR |
知识点详解
1. AWS VPC Lattice — 下一代应用网络
定位:取代App Mesh(2026.09.30停止服务)的Layer 7应用网络方案。
核心能力:
- 全托管应用层代理,跨VPC和跨账户服务间通信
- 支持HTTP/HTTPS/gRPC/TCP,自动扩展
- 加权路由支持blue/green和canary部署
- 无需sidecar proxy、无需前端LB
- 原生支持ECS/Fargate/EC2/EKS/Lambda
vs App Mesh:从sidecar-based转向更简化的应用网络模型。
2. Transit Gateway vs Cloud WAN
| 维度 | Transit Gateway | Cloud WAN |
|---|---|---|
| 范围 | 单区域(可跨区域peering) | 全球级多区域+分支+数据中心 |
| 管理 | 路由表+关联 | 集中网络策略文档 |
| 分段 | 通过路由表隔离 | 原生Segment |
| SD-WAN | 手动配置 | 原生集成 |
| 适用 | 区域内VPC互联 | 跨国企业全球组网 |
3. AWS Interconnect — 多云私有互联里程碑
2025年11月预览:
- AWS VPC直连Google Cloud VPC
- Azure将在2026年加入
- 1 Gbps私有连接,预览期免费
- 三大云首次官方私有互联
4. Private Connectivity对比
| 服务 | 厂商 | 层级 | 功能 |
|---|---|---|---|
| AWS PrivateLink | AWS | L4 | VPC内私有访问AWS/SaaS服务 |
| Azure Private Link | Azure | L4 | Private Endpoint访问Azure PaaS |
| GCP Private Service Connect | GCP | L4 | 消费者发起的私有连接 |
| AWS VPC Lattice | AWS | L7 | 服务到服务通信(比PrivateLink更高层) |
5. 网络规划最佳实践
CIDR规划原则:
├── 生产环境: 10.0.0.0/16 (65,536 IPs)
├── 预发布: 10.1.0.0/16
├── 开发环境: 10.2.0.0/16
├── 共享服务: 10.100.0.0/16
└── 预留扩展: 10.10-99.0.0/16
每个VPC内部:
├── Public Subnet: /24 (ALB/NAT Gateway)
├── Private Subnet: /20 (应用层,4096 IPs)
├── Data Subnet: /22 (数据库,1024 IPs)
└── 每个AZ复制上述结构
面试题
问题:如何设计一个跨区域高可用的网络架构?
回答:
- 主区域和灾备区域各建VPC,CIDR不重叠
- Transit Gateway做区域内VPC互联
- Transit Gateway Peering或Cloud WAN做跨区域互联
- VPC Endpoint/PrivateLink确保AWS服务访问不走公网
- Route53 + Global Accelerator做跨区域流量调度
- 关键数据库用Aurora Global Database跨区域复制