在我们的某些业务场景中，我们需要对整个 K8S 的集群网络配置进行一定的定制化，比如我们在多个区域进行 K8S 集群的部署，并且已经规划好每个区域所使用的 IP 地址网段，比如 Node 节点网段，Service 服务网段，Pod 容器网段，那么在创建和管理 K8S 集群的时候，我们就需要对这些网段进行定制化的配置。 另外，如果我们随着云上的负载越来越多，可能会遇到前期规划的 VPC 网络地址池太小的问题，我们也可以使用自定义 Pod 网段的方法来扩展 Pod 能使用的网络地址池。

在上一篇文章《利用 SD-WAN 和专线混合组网，加速境内外企业 IDC 和多云数据中心》中，挨踢小茶介绍了如何使用纯 SD-WAN 和 SD-WAN 加专线混合组网来加速境内外企业 IDC 和多云数据中心的方案。我们如果在运营跨境电商、游戏、社交、区块链，希望打通不同地区的本地机房，IDC，AWS 区域的话，是非常适合用这个方案的。在今天这个文章中，主要会讲解针对之前的架构，如何实施高可用。 架构解读 在一些情况下，比如 Direct Connect 线路维护、厂家 BGP 设备故障（这里也是默认一台设备，有单点…

国内目前有很多企业涉及境外业务，比如跨境电商、游戏、社交、区块链等，会用到 AWS 的海外区域，同时这些企业在国内有自己的机房、 IDC 或者使用了国内的其他云厂家的机房，如果希望彼此进行互联互通或者数据传输。除了使用专线的方式之外，还能选择 SD-WAN 方案，或者专线加 SD-WAN 的混合组网方法。 图例1. SD-WAN 方案打通不同云厂商和机房，办公室的示例 SD-WAN 组网的几个常见例子： 如果公司在国内，但是用到了 AWS 海外区域的资源，开发人员需要进行日常代码上传，云端资源的管理（使用 AWS …

亚马逊AWS给用户提供了不同种类的云存储方案，不同的存储系统有不一样的特性和优劣，因此在选择的时候需要从多个方面进行考虑。这篇文章挨踢小茶主要会比较AWS提供的三种主要的存储：AWS Elastic Block Store (EBS)，Simple Storage Service (Amazon S3) 和 Elastic File System (EFS)。

今天，挨踢小茶参加了我的第四门考试（继3门AWS的Associate考试）AWS Certified Advanced Networking - Specialty并且很幸运地通过了！

如果在你的企业网络架构中存在多个AWS VPC网络，企业物理数据中心以及多个分支站点，那么要将这些不同的节点有效地连接起来，在网络设计架构上不得不说是一个很大的挑战。在挨踢小茶之前的文章《亚马逊云AWS搭建多站点的VPN CloudHub架构》中介绍了如何利用AWS原生的VGW (Virtual Private Gateway)以及CloudHub特性来进行这方面的网络架构，但这种架构存在一定的局限性，作为补充，本文会介绍一下如何利用另一种技术：Cisco DMVPN来进行架构设计。

在挨踢小茶之前的文章中有详细介绍如何利用AWS VPC的VGW与远程站点建立点对点的IPsec VPN连接（具体可以查看文章亚马逊云AWS搭建基于BGP动态路由的硬件VPN（Site to Site VPN）教程），本文主要讲解一下在多个远程站点的情况下，如果建立AWS VPN CloudHub架构。

在挨踢小茶之前的文章亚马逊云AWS搭建基于静态路由的硬件VPN（Site to Site VPN）教程中讲解了如何使用pfsense来与VPC VGW (Virtual Private Gateway)建立基于静态路由的IPSec VPN，这次我将会讲解如何使用Cisco CSRv1000与VGW建立基于动态路由协议BGP的IPSec VPN。

在2017 AWS re:Invent的NET403会议中，Steve Seymour深入讲解了AWS Direct Connect (DX) 以及VPN的新特性和技术细节。在这里，挨踢小茶做了一下整理，主要针对AWS Direct Connect的内容做了一下梳理。有兴趣的朋友可以观看原视频AWS re:Invent 2017: Deep Dive: AWS Direct Connect and VPNs (NET403) （需要自带梯子）。

今年2017 AWS re:Invent的NET301会议讲解了一些在今年关于AWS Direct Connect (DX)以及VPN的新特性，以及将客户网络接入到AWS数据中心的方式和一些技术细节。挨踢小茶觉得，这个章节还是干货满满的，有兴趣的可以查看原视频AWS re:Invent 2017: Extending Data Centers to the Cloud: Connectivity Options and Consideration (NET301) （需要自带梯子）。下面我来总结一下这个会议的一些要…

亚马逊AWS (Amazon Web Service)提供了连接AWS VPC (Virtual Private Cloud)和客户本地网络的多种方法，能让客户在可靠、弹性、性价比高的情况下访问位于AWS数据中心的资源。之前挨踢小茶也在文章使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS介绍了AWS提供的不同连接方法，那么如何才能好好地利用这些连接方式，创建高可用的（High Availability）的互联网络呢？

如之前使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS所说，要连接AWS VPC网络和客户端网络的方式有3种。之前一篇文章亚马逊云AWS搭建软件VPN（Client VPN）教程介绍了如何使用软件VPN的方法，下面介绍下如何使用硬件VPN。这种方式的VPN实际上是通过客户网络的硬件与亚马逊AWS VPC的VGW（Virtual Private Cloud）建立一条IPSec VPN隧道，因此也可以叫做Site to Site VPN。

如之前使用软件VPN，硬件VPN或AWS DirectConnect连接客户网络与AWS所说，要连接AWS VPC网络和客户端网络的方式有3种，其中一种最简单，对硬件/线路要求最少的方式便是使用软件VPN来进行连接。针对于AWS DirectConnect需要的购买专线和CGW设备（Customer Gateway）或者硬件VPN所需要的CGW硬件设备，软件VPN的搭建过程只需要在AWS VPC内创建一个有VPN Server功能的主机，以及用户侧需要安装一个VPN Client的软件即可。

使用亚马逊AWS VPC（Virtual Private Cloud）和EC2（Elastic Compute Cloud），可以组建在公有云上的服务器、存储和网络，这些资源都可以做到能通过互联网进行访问。但是对于一些公司内部的资源，只希望公司内部可以访问，或者希望公司的网络访问AWS内的资源更快一些（而非通过普通的互联网），那么只能建立客户网络和AWS网络之间的WAN链接了。

最近挨踢小茶通过了我的第三门AWS的考试Certified SysOps Administrator – Associate，这也是我最后一门Associate级别的考试。下面我将考试所使用的笔记分享给大家，也方便自己日后查看。