AWS Interconnect 多云连接深度解析:从架构原理到 AWS-GCP 私有互联实操
背景:多云连接的复杂性
越来越多的企业在多个云上跑业务——AWS 做主力、GCP 用 BigQuery 做分析、Azure 跑某些合规场景。云之间的网络互通成了基础需求。
传统方案问题明显:
| 方案 | 问题 |
|---|---|
| VPN 隧道 | 走公网、延迟不稳定、配置复杂 |
| 物理专线 | 周期月级、需要托管机房、运维重 |
| 第三方 SD-WAN | 多一个供应商、成本叠加 |
网络团队的时间花在搭管道上,而不是业务。
AWS Interconnect 架构分析
亚马逊云科技推出的 AWS Interconnect 是一个托管的多云/混合云私有连接服务。两个功能模块:
多云连接(GA)
把 Amazon VPC 直接连到其他云的 VPC。Layer 3 连接,流量全程走 AWS 全球骨干网 + 合作伙伴云私有网络,不经过公网。
架构要点:
| 特性 | 实现 |
|---|---|
| 加密 | IEEE 802.1AE MACsec,AWS 路由器到互连设施的合作伙伴路由器间的物理链路上默认启用 |
| 韧性 | 每条连接跨多个逻辑链路,分布在至少两个物理设施 |
| 监控 | CloudWatch 集成,网络综合监测仪跟踪 RTT、丢包、带宽利用率 |
| 路由 | BGP 自动双向传播 |
| 扩展 | 底层规范 Apache 2.0 开源(GitHub),其他云厂商可按规范接入 |
目前支持 Google Cloud,Microsoft Azure 2026 年晚些时候上线。
注意:每个云提供商在自身骨干网上独立管理加密。MACsec 覆盖 AWS 到互连设施的物理链路,合作伙伴云的加密需查其文档确认合规。
最后一英里(GA)
通过参与网络提供商的基础设施,从分支机构/数据中心直连 AWS。
- 自动预置 4 条冗余连接
- 默认 MACsec + 巨型帧
- BGP 路由自动配置
- 1Gbps-100Gbps,控制台调整无需重新预置
- 99.99% SLA(覆盖至 Direct Connect 端口)
- 首个合作伙伴 Lumen Technologies
两个功能都通过 Direct Connect 网关接入,向下连接 VGW、Transit Gateway 或 AWS 云 WAN。
实操:AWS ↔ Google Cloud
前提条件
- 两边各有 VPC,CIDR 不重叠
- AWS 有 Direct Connect 网关
- GCP 有项目 ID
步骤
1. AWS 端创建连接
Direct Connect 控制台 → AWS Interconnect → 创建:
- 选择 Google Cloud
- AWS 区域 eu-central-1 ↔ GCP 区域 europe-west3
- 选带宽
- 填 GCP 项目 ID + 附加 Direct Connect 网关
- 确认 → 生成激活密钥
2. GCP 端激活
# 创建传输通道
gcloud network-connectivity transports create aws-connect \
--region=europe-west3 \
--activation-key=${ACTIVATION_KEY} \
--network=default \
--advertised-routes=10.156.0.0/20
# 建 VPC 对等连接
gcloud compute networks peerings create aws-peering \
--network=default \
--peer-network=projects/<project>/global/networks/<transport-vpc> \
--import-custom-routes \
--export-custom-routes
3. AWS 端关联
Direct Connect 网关 → 关联 VGW(同区域)。VPC 路由表添加 GCP CIDR → 虚拟网关。
4. 验证
# AWS 端起 Web 服务
python3 -c "
from http.server import HTTPServer, BaseHTTPRequestHandler
class H(BaseHTTPRequestHandler):
def do_GET(self):
self.send_response(200)
self.end_headers()
self.wfile.write(b'Hello from AWS!\\n')
HTTPServer(('',8080),H).serve_forever()
"
# GCP 端访问(私有 IP)
curl http://172.31.x.x:8080
# Hello from AWS!
关键注意事项
| 坑 | 影响 | 解决 |
|---|---|---|
| CIDR 重叠 | 连接失败 | 提前规划 IP 地址空间 |
| MTU 不一致 | 丢包/分片,吞吐量降低 | 两端设置相同 MTU |
| IPv4/IPv6 不一致 | 连接失败 | 两端选同样 IP 版本 |
MTU 问题最隐蔽——小数据量正常,量大时性能上不去,很难定位。
规模化架构
| 场景 | 方案 | 说明 |
|---|---|---|
| 单区域多 VPC | Transit Gateway | 集中路由,单个 Interconnect 附件连所有 VPC。可集成 Network Firewall 检查跨云流量 |
| 全球多区域 | AWS 云 WAN | 全球路由,任意区域连任意附件,集中策略 + 分段路由 |
可用性与定价
多云连接 5 个区域对:
| AWS 区域 | Google Cloud 区域 |
|---|---|
| us-east-1 | 弗吉尼亚北部 |
| us-west-1 | 洛杉矶 |
| us-west-2 | 俄勒冈 |
| eu-west-2 | 伦敦 |
| eu-central-1 | 法兰克福 |
最后一英里目前 us-east-1。
定价按请求的带宽按小时计费,不同区域对费率不同。使用 AWS 云 WAN 的全球路由会影响总成本。
适用场景
- 多云架构需要稳定低延迟的私有连接
- 跨云数据传输的安全合规要求
- 多云灾备架构
- 替代复杂的 VPN 隧道管理
Azure 支持上线后,AWS Interconnect 将覆盖三大主流云的互联需求。
参考:
浙公网安备 33010602011771号