# PERF05-BP07 根据指标优化网络配置
<a name="perf_select_network_optimize"></a>

不适当的网络配置会影响网络的性能、效率和成本。在普通网络环境中，为了在前期快速完成部署，在网络性能方面没有充分考虑适当的网络配置。为了优化网络配置，您必须首先了解您的网络环境并获得相关数据。

为了了解您的网络资源运行情况，可以收集和分析数据以作出有关优化网络配置的明智决定。衡量更改带来的影响，并根据衡量结果来做出进一步决策。

 **期望结果：**随着工作负载的发展，使用指标和网络监控工具来优化网络配置。基于云的网络可以快速优化，因此有必要随着时间的推移改进网络架构，以保持性能效率。 

 **常见反模式：** 
+  您应认为所有性能相关的问题都与应用程序有关。 
+  您只需从距离已部署工作负载很近的位置测试您的网络性能。 
+  为所有网络服务使用默认配置。 
+  过度预置网络资源以提供充足的容量。 

 **建立此最佳实践的好处：**收集 AWS 网络的必要指标并实施网络监控工具，使您可以了解网络性能和优化网络配置。 

 **在未建立这种最佳实践的情况下暴露的风险等级：**中等 

## 实施指导
<a name="implementation-guidance"></a>

 监控进出 VPC、子网或网络接口的流量，这对于了解如何利用 AWS 网络资源以及如何优化网络配置至关重要。通过使用以下工具，您可以进一步检测有关流量使用、网络访问和日志的信息。 

 **实施步骤** 

1.  使用 [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)。您可以使用 IPAM 来规划、跟踪和监控 AWS 与本地工作负载的 IP 地址。这是优化 IP 地址使用和分配的最佳实践。 

1.  开启 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。使用 VPC 流日志来捕获有关进出 VPC 中网络接口的流量的详细信息。借助 VPC 流日志，您可以诊断过于严格或过于宽松的安全组规则，并确定进出网络接口的流量的方向。当您发布流日志时，将收取对公开日志的数据摄取和存档费用。 

1.  开启 [DNS 查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)。您可以配置 Amazon Route 53 以记录有关 Route 53 接收到的公有或私有 DNS 查询的信息。借助 DNS 日志，您可以了解请求的域或子域，或了解响应 DNS 查询的 Route 53 边缘站点，从而优化 DNS 配置。 

1.  使用 [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 来分析和调试网络可达性。Reachability Analyzer 是一个配置分析工具，使您可以在 VPC 中的源资源和目标资源之间执行连接测试。此工具帮助您确认您的网络配置与预期的连接匹配。 

1.  使用[网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html)来了解对资源的网络访问。您可以使用网络访问分析器来指定网络访问需求，然后确定不能满足指定要求的潜在网络路径。通过优化相应的网络配置，您可以了解和验证网络的状态，并证明 AWS 中的网络满足您的合规性要求。 

1.  使用 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 启用适当的网络选项指标。确保为工作负载选择适合的网络指标。例如，您可以为 VPC 网络地址使用、VPC NAT Gateway、AWS Transit Gateway、VPN 隧道、AWS Network Firewall、Elastic Load Balancing 和 AWS Direct Connect 启用指标。为了观察和了解网络状态和使用情况，以及帮助您根据观察结果优化网络配置，持续监控指标是一种好方法。 

 **实施计划的工作量级别：**中等 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [公共 DNS 查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)
+ [什么是 IPAM？](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+  [什么是 Reachability Analyzer？](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 
+ [什么是网络访问分析器？](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html)
+ [适合 VPC 的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cloudwatch.html)
+ [使用 Apache Parquet 格式的 VPC 流日志优化性能并降低网络分析成本](https://aws.amazon.com/blogs/big-data/optimize-performance-and-reduce-costs-for-network-analytics-with-vpc-flow-logs-in-apache-parquet-format/)
+  [使用 Amazon Cloudwatch 指标监控您的全球和核心网络](https://docs.aws.amazon.com/vpc/latest/tgwnm/monitoring-cloudwatch-metrics.html) 
+  [持续监控网络流量和资源](https://docs.aws.amazon.com/whitepapers/latest/security-best-practices-for-manufacturing-ot/continuously-monitor-network-traffic-and-resources.html) 

 **相关视频：** 
+ [使用 Well-Architected Framework 进行联网的最佳实践和技巧](https://www.youtube.com/watch?v=wOMNpG49BeM)
+ [监控网络流量并排查问题](https://www.youtube.com/watch?v=Ed09ReWRQXc)

 **相关示例：** 
+  [AWS 联网研讨会](https://networking.workshop.aws/) 
+  [AWS 网络监控](https://github.com/aws-samples/monitor-vpc-network-patterns)