在我们的某些业务场景中，我们需要对整个 K8S 的集群网络配置进行一定的定制化，比如我们在多个区域进行 K8S 集群的部署，并且已经规划好每个区域所使用的 IP 地址网段，比如 Node 节点网段，Service 服务网段，Pod 容器网段，那么在创建和管理 K8S 集群的时候，我们就需要对这些网段进行定制化的配置。 另外，如果我们随着云上的负载越来越多，可能会遇到前期规划的 VPC 网络地址池太小的问题，我们也可以使用自定义 Pod 网段的方法来扩展 Pod 能使用的网络地址池。

接触过 AWS 的朋友都知道，我们可以使用 AWS Direct Connect 服务来创建专线连接到 AWS 的区域，并且我们可以通过 Direct Connect Gateway 打通一个本地机房到多个 AWS 的区域。但是如果我们要做比较复杂的云上路由交换功能的话，还需要用到 Transit Gateway 这个服务。

在上一篇文章《利用 SD-WAN 和专线混合组网，加速境内外企业 IDC 和多云数据中心》中，挨踢小茶介绍了如何使用纯 SD-WAN 和 SD-WAN 加专线混合组网来加速境内外企业 IDC 和多云数据中心的方案。我们如果在运营跨境电商、游戏、社交、区块链，希望打通不同地区的本地机房，IDC，AWS 区域的话，是非常适合用这个方案的。在今天这个文章中，主要会讲解针对之前的架构，如何实施高可用。 架构解读 在一些情况下，比如 Direct Connect 线路维护、厂家 BGP 设备故障（这里也是默认一台设备，有单点…

国内目前有很多企业涉及境外业务，比如跨境电商、游戏、社交、区块链等，会用到 AWS 的海外区域，同时这些企业在国内有自己的机房、 IDC 或者使用了国内的其他云厂家的机房，如果希望彼此进行互联互通或者数据传输。除了使用专线的方式之外，还能选择 SD-WAN 方案，或者专线加 SD-WAN 的混合组网方法。 图例1. SD-WAN 方案打通不同云厂商和机房，办公室的示例 SD-WAN 组网的几个常见例子： 如果公司在国内，但是用到了 AWS 海外区域的资源，开发人员需要进行日常代码上传，云端资源的管理（使用 AWS …

亚马逊AWS给用户提供了不同种类的云存储方案，不同的存储系统有不一样的特性和优劣，因此在选择的时候需要从多个方面进行考虑。这篇文章挨踢小茶主要会比较AWS提供的三种主要的存储：AWS Elastic Block Store (EBS)，Simple Storage Service (Amazon S3) 和 Elastic File System (EFS)。

之前在AWS Certified Solutions Architect - Associate考试提纲里面有提到，现在的考试有两种版本。就在最近，你已经可以在PSI考试中心预定新旧版本的考试了！另外新旧版本的区别，也可以参考下面的文章。

今天，挨踢小茶参加了我的第四门考试（继3门AWS的Associate考试）AWS Certified Advanced Networking - Specialty并且很幸运地通过了！

如果在你的企业网络架构中存在多个AWS VPC网络，企业物理数据中心以及多个分支站点，那么要将这些不同的节点有效地连接起来，在网络设计架构上不得不说是一个很大的挑战。在挨踢小茶之前的文章《亚马逊云AWS搭建多站点的VPN CloudHub架构》中介绍了如何利用AWS原生的VGW (Virtual Private Gateway)以及CloudHub特性来进行这方面的网络架构，但这种架构存在一定的局限性，作为补充，本文会介绍一下如何利用另一种技术：Cisco DMVPN来进行架构设计。

在挨踢小茶之前的文章中有详细介绍如何利用AWS VPC的VGW与远程站点建立点对点的IPsec VPN连接（具体可以查看文章亚马逊云AWS搭建基于BGP动态路由的硬件VPN（Site to Site VPN）教程），本文主要讲解一下在多个远程站点的情况下，如果建立AWS VPN CloudHub架构。

在挨踢小茶之前的文章亚马逊云AWS搭建基于静态路由的硬件VPN（Site to Site VPN）教程中讲解了如何使用pfsense来与VPC VGW (Virtual Private Gateway)建立基于静态路由的IPSec VPN，这次我将会讲解如何使用Cisco CSRv1000与VGW建立基于动态路由协议BGP的IPSec VPN。

在2017 AWS re:Invent的NET403会议中，Steve Seymour深入讲解了AWS Direct Connect (DX) 以及VPN的新特性和技术细节。在这里，挨踢小茶做了一下整理，主要针对AWS Direct Connect的内容做了一下梳理。有兴趣的朋友可以观看原视频AWS re:Invent 2017: Deep Dive: AWS Direct Connect and VPNs (NET403) （需要自带梯子）。

今年2017 AWS re:Invent的NET301会议讲解了一些在今年关于AWS Direct Connect (DX)以及VPN的新特性，以及将客户网络接入到AWS数据中心的方式和一些技术细节。挨踢小茶觉得，这个章节还是干货满满的，有兴趣的可以查看原视频AWS re:Invent 2017: Extending Data Centers to the Cloud: Connectivity Options and Consideration (NET301) （需要自带梯子）。下面我来总结一下这个会议的一些要…

亚马逊AWS (Amazon Web Service)提供了连接AWS VPC (Virtual Private Cloud)和客户本地网络的多种方法，能让客户在可靠、弹性、性价比高的情况下访问位于AWS数据中心的资源。之前挨踢小茶也在文章使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS介绍了AWS提供的不同连接方法，那么如何才能好好地利用这些连接方式，创建高可用的（High Availability）的互联网络呢？

如之前使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS所说，要连接AWS VPC网络和客户端网络的方式有3种。之前一篇文章亚马逊云AWS搭建软件VPN（Client VPN）教程介绍了如何使用软件VPN的方法，下面介绍下如何使用硬件VPN。这种方式的VPN实际上是通过客户网络的硬件与亚马逊AWS VPC的VGW（Virtual Private Cloud）建立一条IPSec VPN隧道，因此也可以叫做Site to Site VPN。

如之前使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS所说，要连接AWS VPC网络和客户端网络的方式有3种，其中一种最简单，对硬件/线路要求最少的方式便是使用软件VPN来进行连接。针对于AWS DirectConnect需要的购买专线和CGW设备（Customer Gateway）或者硬件VPN所需要的CGW硬件设备，软件VPN的搭建过程只需要在AWS VPC内创建一个有VPN Server功能的主机，以及用户侧需要安装一个VPN Client的软件即可。