[新产品/新功能] AWS Site-to-Site VPN 推出 5 Gbps 隧道以支持高吞吐量工作负载

**发布时间:** 2025-11-12 **厂商:** AWS **类型:** BLOG **原始链接:** https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-5-gbps-tunnels-to-support-high-throughput-workloads/ ---  [新产品/新功能] AWS Site-to-Site VPN 推出 5 Gbps 隧道以支持高吞吐量工作负载   # 产品功能分析 ## 新功能/新产品概述 AWS Site-to-Site VPN 推出高吞吐量隧道选项，将单隧道的最大带宽从 *1.25 Gbps* 提升至 *5 Gbps*，增幅达 *4倍*。该功能是 **AWS Site-to-Site VPN** 托管服务的一部分，通过 **IP Security (IPsec)** 协议在客户本地数据中心或分支机构与AWS云资源之间建立加密连接。用户在创建VPN连接时，可以选择“Large”带宽类型来启用 *5 Gbps* 隧道，以满足高带宽应用场景的需求。此功能主要面向需要高带宽加密连接的企业客户，其核心市场定位和目标用户群包括： - **目标用户群:** 运行带宽密集型混合云应用、进行大规模数据迁移或构建灾难恢复（DR）架构的企业。 - **市场定位:** 为 **AWS Direct Connect** 提供高带宽的加密覆盖层（Overlay）或备份链路，增强混合云连接的性能与安全性。 - **集成支持:** 新功能支持与 **AWS Transit Gateway** 和 **AWS Cloud WAN** 集成，但不支持传统的 **Virtual Private Gateway (VGW)**。 ## 关键客户价值 - **简化网络架构，降低运维复杂性** - 在此功能推出前，客户需配置复杂的 **Equal-cost multi-path routing (ECMP)** 协议，将多个 *1.25 Gbps* 的隧道捆绑以获得更高带宽。 - 现在，单隧道即可提供 *5 Gbps* 带宽，大幅减少了配置和维护 **ECMP** 的需求，使得网络设计更简洁，故障排查更高效，并能为所有流量类型提供更一致的带宽性能。 - **提升混合云连接性能与可靠性** - *4倍*的带宽提升直接满足了大数据、视频流、实时数据同步等高吞吐量应用的需求，确保了混合云工作负载的性能。 - 相较于依赖 **ECMP** 的多隧道聚合，单一大带宽隧道能为流量提供更稳定和可预测的性能，避免了因哈希算法导致流量分配不均的潜在问题。 - **增强高带宽专线的安全性和灵活性** - 客户可将 *5 Gbps* VPN隧道作为 *10 Gbps* **AWS Direct Connect** 专线的加密层或高可用备份。 - 这提供了在专线之上运行端到端加密流量的能力，或在专线故障时提供一个高带宽的备用连接，确保业务连续性。 ## 关键技术洞察 - **架构演进：从横向扩展到纵向提升** - 该更新标志着AWS VPN在性能提升思路上的一次重要转变。过去主要依赖 **ECMP** 进行横向扩展（scale-out），通过增加隧道数量来聚合带宽。 - 现在引入了纵向提升（scale-up）能力，直接增强了单个隧道的基础设施处理能力，为客户提供了更直接、高效的带宽选择。 - **ECMP 协同工作机制** - 新功能并未取代 **ECMP**，而是与之协同工作以实现更高的聚合带宽。例如，通过 **ECMP** 聚合两个 *5 Gbps* 隧道可获得 *10 Gbps* 的总吞吐量，聚合四个隧道可达 *20 Gbps*。 - 文档明确指出 **ECMP** 的流量分发基于 **5元组哈希**（协议、源/目的IP、源/目的端口）。这意味着单个TCP或UDP流的吞吐量上限仍为单隧道的带宽，即 *5 Gbps*。这对于需要多流并行处理的大数据应用非常有利，但对于单个大文件传输的场景，性能瓶颈依然是 *5 Gbps*。 - **平滑迁移策略** - AWS 推荐采用“先建后拆”的迁移方式（创建新的高带宽VPN连接，验证路由，然后删除旧连接），而非原地升级。 - 这是一种典型的蓝绿部署模式，确保了升级或降级过程中的业务连续性，避免了网络中断风险。   # 推出支持高吞吐量工作负载的 AWS Site-to-Site VPN 5 Gbps 隧道 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-5-gbps-tunnels-to-support-high-throughput-workloads/](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-5-gbps-tunnels-to-support-high-throughput-workloads/) **发布时间:** 2025-11-12 **厂商:** AWS **类型:** BLOG --- [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 现在支持每个隧道高达 5 Gbps 带宽的 VPN 连接，相比之前 1.25 Gbps 的限制提升了 4 倍。这一带宽提升将使那些需要为带宽密集型混合应用、大数据迁移和灾难恢复架构建立高容量连接的客户受益。 AWS Site-to-Site VPN 是一项完全托管的服务，允许您使用 IP 安全 (IPsec) 隧道在您的数据中心或分支机构与 AWS 资源之间建立安全连接。它为各种工作负载提供关键连接——包括将本地工作负载连接到云、将设备连接到云以及提供加密通信。在此之前，Site-to-Site VPN 每个隧道最高支持 1.25 Gbps 带宽，客户必须依赖 [等价多路径路由 (ECMP)](https://en.wikipedia.org/wiki/Equal-cost_multi-path_routing) 来逻辑上绑定多个隧道以实现更高带宽。现在，客户可以将隧道带宽配置为 5 Gbps，从而减少了部署 ECMP 等复杂协议的需求，同时确保了所有流量配置文件的带宽性能保持一致。在本文中，我们将深入探讨 5 Gbps 隧道的使用场景、入门方法，以及如何从现有 VPN 连接迁移到更高带宽的隧道 VPN 连接。 5 Gbps 隧道的主要使用场景如下： - **数据中心连接：** 客户需要更高的容量来支持带宽密集型的混合应用、大数据迁移和灾难恢复架构，同时保持 AWS 与本地数据中心之间的流量加密。 - **[AWS Direct Connect](https://aws.amazon.com/directconnect/) 叠加网络或备份：** 客户将 Site-to-Site VPN 连接部署为高容量 Direct Connect 线路 (例如 10 Gbps) 的备份或叠加网络，用于连接到本地数据中心或主机托管设施。下图展示了使用 5 Gbps VPN 隧道的 AWS Transit Gateway 的 VPN 连接。此功能同时支持 Transit Gateway VPN (包括私有 IP VPN) 和 AWS Cloud WAN VPN。它不支持基于虚拟专用网关 (VGW) 的 VPN。 ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/10/MainDiagram-LBT.png) 图 1: 具有多个 VPC 连接和一个 VPN 连接的 Transit Gateway 现在，VPN 配置中新增了选择隧道带宽 (Tunnel Bandwidth) 为标准 (Standard) 或大型 (Large) 的选项。默认配置为标准，与现有模式相同，每个隧道提供最高 1.25 Gbps 的容量。您可以选择大型配置以使用每个隧道 5 Gbps 的更高带宽。请确保您的客户网关 (防火墙/VPN 设备) 和互联网连接支持更高的吞吐量。单个 AWS VPN 连接提供两个隧道以实现高可用性和冗余。标准或大型带宽隧道的选项在 VPN 连接级别应用，因此对两个隧道都生效。您不能在同一个 VPN 连接中同时使用标准和大型带宽隧道。接下来，我们将介绍以下部分： 1. 使用 AWS Transit Gateway 新建 AWS VPN 5 Gbps 隧道 2. 在标准和大型 AWS VPN 之间切换 3. 结合使用 ECMP 与大型带宽隧道以实现更高吞吐量 ## **使用 AWS Transit Gateway 新建 AWS Site-to-Site VPN 5 Gbps 隧道** 下图重点展示了 [AWS 管理控制台](https://aws.amazon.com/console/) 中 **创建 VPN 连接** 页面上的新增选项。您可以选择隧道带宽为标准 (1.25 Gbps) 或大型 (5 Gbps)。 ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/10/Large-VPN-Create.png) 图 2: 创建 VPN 连接页面，突出显示了隧道带宽选项您也可以使用 [AWS CLI](https://aws.amazon.com/cli/) 并添加 `TunnelBandwidth=Large` 选项来创建大型带宽隧道连接： `aws ec2 create-vpn-connection —type ipsec.1 —transit-gateway-id tgw-123456789 —customer-gateway-id cgw-123456789 —options TunnelBandwidth=Large,TunnelOptions=[{StartupAction=start},{StartupAction=start}]` 注意：如果您在 CLI 中未提供 `TunnelBandwidth` 选项，它将默认为标准隧道带宽 (1.25 Gbps)。完成 VPN 连接步骤后，您可以在详情页面查看隧道带宽状态，如下所示： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/10/Figure3-3.png) 图 3: VPN 连接详情页面，突出显示了隧道带宽配置 ## **使用单个大型 AWS Site-to-Site VPN 连接进行流量测试** AWS Transit Gateway 路由表将显示指向相同目的地的连接。此配置与标准 VPN 类似。 ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/10/Figure4-2.png) 图 4: 带有 VPN 连接的 Transit Gateway 路由表以下流量测试显示了单个隧道所观察到的吞吐量。虽然持续最大吞吐量为 5 Gbps，但您可能会注意到测试结果中出现一些高于 5 Gbps 的突发流量。 ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/10/Figure5-3.png) 图 5: 单个大型带宽隧道激活时的流量测试输出 ## **在标准和大型 AWS Site-to-Site VPN 之间切换** ### 从现有标准 AWS Site-to-Site VPN 升级到大型 AWS Site-to-Site VPN 您可以按照以下步骤从现有的标准 VPN 升级到大型 VPN： 1. 使用 Transit Gateway 创建一个新的大型 VPN 连接。 2. 将新的 VPN 连接关联到相应的 Transit Gateway 路由表。 3. 将新的 VPN 连接传播到相应的 Transit Gateway 路由表 (此路由表可能与步骤 2 中的路由表相同，也可能不同)。 4. 验证端到端路由可以通过大型 VPN 连接正常工作。 5. 删除现有的标准 VPN 连接。 ### **从大型 AWS VPN 降级到默认的标准 VPN** 如果您不再需要高吞吐量，可以从大型 VPN 降级到标准 VPN 以降低成本。请按照以下步骤从现有的大型 VPN 降级到标准 VPN： 1. 使用 Transit Gateway 创建一个新的标准 VPN 连接。 2. 将新的 VPN 连接关联到相应的 Transit Gateway 路由表。 3. 将新的 VPN 连接传播到相应的 Transit Gateway 路由表 (此路由表可能与步骤 2 中的路由表相同，也可能不同)。 4. 验证端到端路由可以通过标准 VPN 连接正常工作。 5. 删除现有的大型 VPN 连接。以上场景解释了使用 AWS Transit Gateway 的配置。虽然本文未涵盖 [AWS Cloud WAN](https://aws.amazon.com/cloud-wan/) VPN 的场景，但此功能同样适用于 AWS Cloud WAN。 ## **结合使用 ECMP 与 5 Gbps 隧道以实现更高吞吐量** 将等价多路径 (ECMP) 与 AWS Transit Gateway 或 Cloud WAN 结合使用，可以聚合 VPN 隧道并获得更高的吞吐量。您必须在 AWS Transit Gateway 上启用动态路由选项，才能利用 ECMP 实现可扩展性 (在 Cloud WAN 中为默认设置)。您可以在单个 VPN 连接中组合两个 5 Gbps 隧道，以实现 10 Gbps 的吞吐量。您还可以组合来自多个 VPN 连接的隧道，以获得更高的吞吐量。例如，两个 VPN 连接总共提供四个隧道，使您能够达到 20 Gbps 的吞吐量。请注意，单个大型 VPN 隧道的最大吞吐量仍为 5 Gbps。 Transit Gateway 中的 ECMP 使用五元组哈希 (协议号、源 IP 地址、目标 IP 地址、源端口号、目标端口号) 将数据包路由到其中一条路径或 VPN 隧道。客户必须配置客户网关 (CGW) 以利用 ECMP，通过执行哈希将数据包均匀地转发到多条路径上。单个 TCP 或 UDP 流会映射到单个隧道，因此其吞吐量无法超过 5 Gbps。您还可以在大型和标准 VPN 连接之间执行 ECMP。例如，通过结合使用来自大型 VPN 连接的 10 Gbps 和来自标准 VPN 连接的 2.5 Gbps，您可以使用 ECMP 获得 12.5 Gbps 的聚合吞吐量。注意：吞吐量的提升取决于客户网关的 VPN 吞吐能力及其对动态路由和等价多路径功能的支持。 ## **结论** AWS Site-to-Site VPN 服务现已提供 5 Gbps 隧道支持，相比之前 1.25 Gbps 的限制提升了四倍。这一增强功能消除或减少了为组合多个隧道而使用 ECMP 的需求，从而简化了运维并提供了更一致的带宽性能。增加的带宽使需要高容量连接的客户受益，适用于数据中心连接、混合应用、灾难恢复，以及作为 AWS Direct Connect 线路的备份或叠加网络。立即升级您的 VPN 连接，以简化网络运维，同时实现每个隧道高达 5 Gbps 的吞吐量。 ## 关于作者 ![Vinod Kataria](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/12/vk-pic-1.png) ### Vinod Kataria Vinod Kataria 是 Amazon Web Services 的首席解决方案架构师。他为客户提供解决方案，专注于 AWS 网络领域。他喜欢踢足球、看足球、徒步旅行以及其他任何户外活动。 ![Nishant Kumar](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/12/nk-1-1.png) ### Nishant Kumar Nishant Kumar 是 AWS 网络团队的高级产品经理。在网络技术之外，Nishant 热爱 F1 赛车、烹饪和探索野生动物。