[新产品/新功能] Amazon VPC Reachability Analyzer 和 Amazon VPC Network Access Analyzer 新增支持七个 AWS 区域

**发布时间:** 2025-09-18 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-vpc-reachability-network-access-analyzer-seven-regions/ ---  [新产品/新功能] Amazon VPC Reachability Analyzer 和 Amazon VPC Network Access Analyzer 新增支持七个 AWS 区域   # 产品功能分析 ## 新功能/新产品概述本次发布并非推出新产品，而是将两款现有的高级网络分析服务扩展至七个新的AWS区域。 - **Amazon VPC Reachability Analyzer**: 一款网络诊断工具，旨在分析和排查**虚拟私有云 (VPC)** 内两个资源之间的网络可达性问题。它通过对网络配置进行静态分析，而不是发送实际数据包，来确定连接路径是否通畅。例如，它可以快速定位导致两台**EC2实例**（即使分属**AWS Organization**内的不同账户）无法通信的具体原因，如缺失的**路由表**条目或错误的**安全组**规则。 - **目标用户**: 网络工程师、云运维工程师、DevOps团队。 - **市场定位**: AWS原生、自动化的网络连接故障排查工具，旨在替代传统的手动检查和`traceroute`等探测式方法，显著缩短故障解决时间（MTTR）。 - **Amazon VPC Network Access Analyzer**: 一款网络安全与合规审计工具，用于识别不符合预定义安全策略的、非预期的网络访问路径。用户可以定义“网络访问范围”（Network Access Scope）来明确访问控制要求，该工具会基于此进行分析。例如，它可以验证所有从Web应用到互联网的流量是否都经过了指定的**防火墙**，并高亮显示任何绕过防火墙的路径。 - **目标用户**: 安全工程师、合规审计员、云架构师。 - **市场定位**: AWS原生的网络安全态势管理工具，帮助客户实现主动式安全治理和自动化合规验证，满足如PCI-DSS、HIPAA等严格的合规要求。 ## 关键客户价值 - **简化复杂的网络故障排查** - **VPC Reachability Analyzer** 将原本需要手动检查**安全组**、**网络ACL**、**路由表**、**NAT网关**等多个组件的复杂流程自动化。它能提供清晰、分步的路径分析结果，明确指出导致连接失败的配置点，从而将数小时的排查工作缩短至数分钟。 - **实现主动式安全与合规验证** - **VPC Network Access Analyzer** 使企业能够将其网络安全策略“代码化”，并进行持续的、自动化的验证。这从根本上改变了过去依赖人工审计和被动响应的安全模式，能够在新配置部署前或部署后立即发现潜在的安全风险，如意外暴露的数据库或绕过安全设备的流量。 - **增强跨账户环境下的网络可见性** - **VPC Reachability Analyzer** 支持对**AWS Organization**内跨账户的网络路径进行分析。这对于采用多账户策略的大型企业至关重要，解决了因账户隔离而导致的网络管理和故障排查难题，提供了统一的全局网络视图。 - **降低运营成本和人为错误** - 两款工具都通过自动化取代了耗时且易错的手动网络管理任务。这不仅释放了高级工程师的生产力，也显著降低了因网络配置错误导致的服务中断或安全事件的风险。 ## 关键技术洞察 - 两款分析器均基于**自动化推理 (Automated Reasoning)** 和**形式化验证 (Formal Verification)** 技术。它们不通过发送探测包（如`ping`或`traceroute`）来测试连通性，而是通过以下方式工作： 1. 构建网络拓扑的数学模型：工具会抓取账户内所有相关的网络配置元数据（包括VPC、子网、路由表、网关、安全组、NACL等）。 2. 将网络配置转化为逻辑表达式。 3. 使用逻辑求解器和算法来分析这个模型，以数学方式证明或证伪某个网络路径的存在性，或验证其是否符合预定义的安全策略。 - **技术优势**: - **无侵入式分析**: 由于是基于配置的静态分析，整个过程对线上业务和网络性能完全没有影响。 - **结果的确定性与完整性**: 与可能受瞬时网络波动影响的动态探测不同，形式化验证能够提供基于当前配置的、确定性的、详尽的分析结果。 - **高扩展性**: 这种方法能够高效分析包含数百个VPC和数千条规则的复杂网络环境，这是手动分析无法比拟的。 ## 其他信息 - **新增区域覆盖**: - 亚太地区 (新西兰) - 亚太地区 (海得拉巴) - 亚太地区 (墨尔本) - 亚太地区 (台北) - 加拿大西部 (卡尔加里) - 以色列 (特拉维夫) - 墨西哥 (中部) - **战略意义**: 将这些高级网络分析工具扩展到更多区域，表明全球客户对自动化网络管理和安全审计的需求日益增长。此举不仅满足了这些区域客户的数据驻留和合规要求，也体现了AWS致力于在全球范围内提供功能对等的核心服务能力。   # Amazon VPC 可达性分析器和 Amazon VPC 网络访问分析器现已在七个新增的 AWS 区域可用 **发布于:** 2025年9月18日 --- 随着本次发布，Amazon VPC 可达性分析器 (Amazon VPC Reachability Analyzer) 和 Amazon VPC 网络访问分析器 (Amazon VPC Network Access Analyzer) 现已在亚太地区 (新西兰)、亚太地区 (海得拉巴)、亚太地区 (墨尔本)、亚太地区 (台北)、加拿大西部 (卡尔加里)、以色列 (特拉维夫) 和墨西哥 (中部) 区域可用。 VPC 可达性分析器通过分析您的网络配置，帮助您诊断虚拟私有云 (VPCs) 中源资源与目标资源之间的网络可达性。例如，可达性分析器可以帮助您识别 VPC 路由表中缺失的路由条目，该问题可能导致您 AWS Organization 中账户 A 的一个 EC2 实例无法连接到账户 B 的另一个 EC2 实例。 VPC 网络访问分析器可以帮助您识别对 AWS 资源的意外网络访问，从而协助您满足安全与合规性要求。例如，您可以创建一个范围来验证从您的 Web 应用程序到互联网的所有路径都经过防火墙，并检测任何绕过防火墙的路径。要了解更多信息，请访问 [VPC 可达性分析器](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 和 [VPC 网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) 的文档。有关定价信息，请参阅 [Amazon VPC 定价页面](https://aws.amazon.com/vpc/pricing/) 上的“网络分析”选项卡。