AWS Cloud WAN Deep Dive
Learn AWS Networking and Content Delivery - Part 027
AWS Cloud WAN deep dive untuk membangun, mengelola, dan mengoperasikan global network lintas Region, account, VPC, branch, data center, segment, policy, dan inspection domain.
Part 027 — AWS Cloud WAN Deep Dive
Di part sebelumnya kita sudah membangun mental model Transit Gateway sebagai hub regional: attachment masuk, route table mengontrol adjacency, propagation mengisi route, dan association menentukan domain routing dari traffic yang masuk.
Sekarang kita naik satu level.
AWS Cloud WAN bukan sekadar “Transit Gateway versi global”. Cara berpikir itu terlalu sempit. Cloud WAN lebih tepat dipahami sebagai policy-driven global network fabric untuk organisasi yang punya banyak Region, banyak account, branch office, data center, SD-WAN appliance, security inspection point, dan kebutuhan segmentasi yang harus dikelola konsisten.
Kalau Transit Gateway adalah router hub yang kamu susun manual per Region, Cloud WAN adalah sistem kontrol jaringan global yang mencoba menjadikan routing, segmentation, attachment admission, dan policy rollout sebagai objek yang bisa dikelola secara terpusat.
Tujuan part ini:
- memahami apa yang sebenarnya dipecahkan oleh Cloud WAN;
- membangun mental model Cloud WAN dari primitive-nya;
- membedakan Cloud WAN vs Transit Gateway secara tajam;
- mendesain segment, attachment policy, dan routing policy;
- memahami service insertion dan network function group;
- menghindari anti-pattern yang sering muncul saat Cloud WAN dipakai hanya sebagai “TGW replacement”.
1. Problem yang Diselesaikan Cloud WAN
Bayangkan organisasi ini:
prodberjalan di 8 AWS accounts;nonprodberjalan di 20 AWS accounts;- workload ada di
ap-southeast-1,ap-southeast-3,us-east-1, daneu-west-1; - ada 2 data center;
- ada 40 branch office;
- sebagian branch memakai SD-WAN appliance;
- security team mewajibkan inspection untuk internet egress dan traffic prod-to-nonprod;
- platform team harus memastikan semua VPC baru masuk segment yang benar;
- audit butuh bukti policy routing, bukan screenshot route table manual.
Dengan Transit Gateway murni, kamu biasanya membuat:
- satu TGW per Region;
- TGW peering antar Region;
- route table per domain;
- AWS RAM share untuk multi-account;
- automation untuk attachment;
- automation untuk propagation;
- route validation;
- security inspection routing;
- documentation manual tentang “ini domain prod, ini domain nonprod, ini domain shared”.
Itu bisa bekerja. Tetapi scaling burden-nya meningkat cepat.
Masalah utama bukan “apakah packet bisa lewat”. Masalah utamanya adalah governance of connectivity.
Cloud WAN mencoba mengubah pertanyaan dari:
“Route table mana yang harus saya edit di Region mana?”
menjadi:
“Policy global apa yang menyatakan attachment ini masuk segment mana, boleh bicara dengan siapa, dan traffic tertentu harus melewati fungsi jaringan mana?”
Ini perubahan besar. Kamu berpindah dari device-by-device route management ke intent-based network policy.
2. Mental Model: Cloud WAN sebagai Global Routing Operating System
Gunakan analogi ini:
- Global network = inventory dan observability container untuk jaringan global.
- Core network = managed global network fabric yang membawa traffic.
- Core network edge = regional connection point tempat attachment masuk ke fabric.
- Segment = routing domain terisolasi, mirip VRF.
- Attachment = resource/koneksi yang ditempelkan ke core network.
- Core network policy = source of truth untuk segment, routing, attachment mapping, dan service insertion.
- Attachment policy = rule yang memasukkan attachment ke segment berdasarkan kondisi seperti tag/metadata.
- Network function group = domain khusus untuk appliance/security/network functions.
- Service insertion = steering traffic melalui network/security functions.
Bukan semua object ini identik dengan router fisik. Sebagian adalah control-plane abstraction. Tetapi sebagai mental model produksi, ini cukup akurat:
Yang perlu kamu perhatikan: Cloud WAN membuat connectivity intent terlihat sebagai policy. Di organisasi besar, ini sering lebih penting daripada jumlah route itu sendiri.
3. Core Primitive Cloud WAN
3.1 Global Network
Global network adalah container observability dan management. Ini bukan “router”. Ini adalah objek yang membantu kamu melihat dan mengelola jaringan global.
Dalam desain enterprise, global network biasanya merepresentasikan satu domain organisasi besar, misalnya:
global-network-corp-mainglobal-network-regulated-prodglobal-network-lab
Jangan membuat global network per aplikasi kecil. Itu membuat Cloud WAN kehilangan nilai. Cloud WAN bernilai ketika ada banyak attachment dan policy yang perlu dikelola konsisten.
3.2 Core Network
Core network adalah managed WAN fabric. Di sinilah segment, attachment, routing, dan policy diterapkan.
Satu core network biasanya cukup untuk satu global enterprise network, tetapi tidak selalu. Kamu bisa punya core network terpisah jika ada isolasi organisasi/regulasi yang sangat kuat, misalnya:
- regulated banking environment;
- acquisition company yang belum boleh terhubung penuh;
- sovereign/geo isolation;
- lab network dengan blast radius terpisah.
Tetapi default-nya: mulai dari satu core network, segmentasikan dengan policy, bukan langsung memecah menjadi banyak core network.
3.3 Home Region
Home Region adalah Region tempat data manajemen Cloud WAN diagregasi/disimpan untuk dashboard dan policy operation. Jangan samakan Home Region dengan “semua traffic lewat sini”. Traffic data plane tidak otomatis dipaksa melewati Home Region.
Kesalahan umum:
“Kalau home Region di
us-west-2, traffic Singapore ke Jakarta lewat Oregon?”
Tidak begitu. Home Region adalah konsep management/control visibility, bukan hairpin data-plane global.
3.4 Core Network Edge
Core network edge adalah titik regional managed oleh AWS tempat attachment tersambung ke core network.
Ketika kamu menambahkan Region ke core network, kamu pada dasarnya mengatakan:
“Saya ingin network fabric ini hadir di Region tersebut.”
Semua attachment regional seperti VPC attachment akan terhubung ke edge di Region terkait.
3.5 Segment
Segment adalah routing domain. Anggap seperti VRF.
Contoh segment:
prodnonprodshared-servicessecurityonprempciinternet-egresspartner
Default yang baik:
Segment harus merepresentasikan trust boundary atau routing policy domain, bukan nama tim atau nama aplikasi.
Salah:
team-anditeam-budiapp-mobileapp-legacy
Benar:
prodnonprodregulated-prodshared-dnsinspectionpartner-isolated
Mengapa? Karena segment adalah routing domain. Kalau kamu membuat segment dari struktur organisasi yang sering berubah, network policy akan ikut berubah setiap reorganisasi.
3.6 Attachment
Attachment adalah koneksi ke core network. Jenis attachment dapat mencakup VPC, Site-to-Site VPN, Connect/Connect peer, Direct Connect gateway, dan Transit Gateway route table attachment.
Attachment adalah object admission. Pertanyaan pentingnya:
- attachment ini milik siapa?
- environment-nya apa?
- workload class-nya apa?
- CIDR-nya apa?
- harus masuk segment mana?
- boleh propagate route apa?
- apakah harus melewati inspection?
Di organisasi besar, attachment tidak boleh hanya dibuat manual oleh engineer aplikasi tanpa policy guardrail. Attachment adalah pintu masuk ke routing fabric enterprise.
3.7 Core Network Policy
Core network policy adalah pusat gravitasi Cloud WAN.
Isi policy dapat mencakup:
- core network configuration;
- edge locations;
- segments;
- segment actions;
- attachment policies;
- route policy/routing controls;
- service insertion/network function group;
- change set / policy versioning.
Mental model-nya mirip schema migration database:
- kamu punya state sekarang;
- kamu menulis policy version baru;
- sistem menghasilkan perubahan;
- kamu deploy policy;
- network control plane menerapkan state baru.
Jangan perlakukan policy sebagai file konfigurasi kecil yang diedit ad-hoc. Perlakukan sebagai network source of truth.
4. Cloud WAN vs Transit Gateway
Cloud WAN dan Transit Gateway bukan selalu saling menggantikan. Mereka berada di layer abstraksi berbeda.
| Aspek | Transit Gateway | Cloud WAN |
|---|---|---|
| Unit desain utama | Regional hub router | Global policy-driven network fabric |
| Scope natural | Per Region | Multi-Region / global |
| Routing control | TGW route table manual/automated | Core network policy, segment, attachment policy |
| Multi-account | AWS RAM + automation | Policy-driven admission + RAM tetap bisa relevan |
| Segmentation | TGW route table | Segment |
| Global operation | TGW peering + static routes | Core network edge + policy |
| SD-WAN integration | TGW Connect | Cloud WAN Connect / attachment model |
| Inspection | Inspection VPC + GWLB + route table | Service insertion / network function group + policy |
| Best for | Regional hub-spoke, controlled scale | Global enterprise WAN governance |
Rule praktis
Gunakan Transit Gateway ketika:
- jaringan masih dominan satu Region;
- attachment count moderate;
- route table logic mudah dipahami;
- kamu butuh kontrol eksplisit dan sederhana;
- team belum siap mengoperasikan policy lifecycle Cloud WAN.
Gunakan Cloud WAN ketika:
- multi-Region adalah keadaan normal;
- banyak account/VPC/branch/data center;
- segmentasi global harus konsisten;
- attachment onboarding harus policy-driven;
- network governance lebih penting daripada sekadar routing hub;
- kamu butuh global visibility dan centralized policy.
Jangan pakai Cloud WAN hanya karena “lebih baru”. Pakai Cloud WAN saat problem kamu benar-benar problem WAN governance, bukan hanya VPC interconnect.
5. Segment Design: Bagian Terpenting Cloud WAN
Segment design menentukan apakah Cloud WAN menjadi bersih atau menjadi route-table chaos dengan nama baru.
5.1 Segment bukan environment saja
Banyak desain mulai dari:
proddevtest
Itu tidak salah. Tetapi belum cukup.
Pertanyaan yang lebih baik:
- Apakah semua prod boleh saling bicara?
- Apakah prod regulated boleh bicara dengan prod normal?
- Apakah shared service harus visible ke semua segment?
- Apakah on-prem masuk segment sendiri atau shared dengan prod?
- Apakah partner network harus punya domain isolasi khusus?
- Apakah inspection domain diperlakukan sebagai segment biasa atau network function group?
5.2 Segment berdasarkan trust boundary
Contoh awal yang lebih realistis:
| Segment | Intent |
|---|---|
prod | Production workloads umum |
regulated-prod | Workload dengan compliance khusus |
nonprod | Dev/test/staging umum |
shared-services | DNS, directory, artifact, observability, platform tools |
onprem | Data center / corporate network |
partner | Network pihak ketiga terbatas |
security-inspection | Inspection VPC / firewall / network appliance |
internet-egress | Centralized egress domain, bila dipisahkan |
Yang menentukan segment bukan label bisnis, tetapi pertanyaan:
“Apakah dua attachment di domain ini boleh saling melihat route secara default?”
Kalau jawabannya tidak, pisahkan segment.
5.3 Segment sharing
Kadang segment tidak sepenuhnya terisolasi. Misalnya:
prodperlu aksesshared-services;nonprodperlu aksesshared-services;prodtidak boleh aksesnonprod;onpremboleh aksesprodsubset tertentu;partnerhanya boleh akses service tertentu.
Maka desainnya bukan sekadar “semua segment isolated”. Kamu butuh segment action/routing policy yang eksplisit.
Prinsip:
Default isolate. Share only what has a named business reason.
6. Attachment Admission: Jangan Manual Berdasarkan Ingatan
Cloud WAN menjadi kuat ketika attachment mapping dilakukan berdasarkan policy, bukan hafalan operator.
Misalnya VPC attachment memiliki tag:
Environment: prod
NetworkSegment: regulated-prod
Application: payment-ledger
Owner: payments-platform
DataClass: pci
Attachment policy kemudian bisa memasukkan attachment ke segment yang benar.
6.1 Policy-driven admission
Contoh mental model:
Di production, jangan biarkan attachment tanpa metadata masuk ke fabric. Attachment tanpa metadata adalah route leak yang menunggu waktu.
6.2 Tag contract
Minimum tag contract:
| Tag | Fungsi |
|---|---|
Environment | prod/nonprod/shared/security |
NetworkSegment | segment target |
Owner | team owning attachment |
CostCenter | cost/accountability |
DataClass | regulated/internal/public |
ChangeTicket | traceability jika organisasi butuh approval |
Policy bukan pengganti governance. Policy adalah mekanisme untuk membuat governance bisa dieksekusi otomatis.
7. Routing Semantics di Cloud WAN
Di TGW, kamu banyak berpikir:
- attachment A associated ke route table X;
- attachment B propagated ke route table X;
- static route Y menuju attachment Z.
Di Cloud WAN, kamu berpikir:
- attachment masuk segment apa;
- segment ini share route ke segment mana;
- route tertentu diizinkan/dilarang;
- traffic tertentu harus melewati network function group;
- policy version mana yang aktif.
Routing tetap routing. Longest prefix, route visibility, dan symmetry tetap penting. Cloud WAN tidak menghapus hukum jaringan.
Cloud WAN hanya menaikkan level konfigurasi.
7.1 Route visibility
Pertanyaan utama:
“Attachment mana melihat prefix mana?”
Bukan:
“Attachment mana secara fisik tersambung ke core network?”
Tersambung belum berarti reachable. Reachability muncul dari segment/routing policy.
7.2 Symmetric path
Jika traffic melewati firewall stateful, path pergi dan balik harus konsisten. Kalau forward path lewat inspection tetapi return path tidak, hasilnya bisa:
- session drop;
- intermittent timeout;
- SYN terlihat tapi SYN-ACK hilang;
- Flow Logs tampak ACCEPT tetapi aplikasi tetap gagal;
- firewall state table tidak cocok.
Ini sama seperti TGW inspection pattern. Cloud WAN service insertion membantu, tetapi kamu tetap harus mendesain symmetry.
8. Service Insertion dan Network Function Group
Cloud WAN service insertion memungkinkan traffic diarahkan melalui network/security function seperti:
- AWS Network Firewall;
- Gateway Load Balancer appliance;
- third-party firewall;
- IDS/IPS;
- centralized egress VPC;
- on-prem security stack.
Network function group adalah grouping khusus untuk attachment yang menyediakan fungsi jaringan.
8.1 Mental model service insertion
Tanpa service insertion:
Dengan service insertion:
Yang berubah bukan hanya route. Yang berubah adalah policy intent:
“Traffic class ini harus melewati fungsi jaringan ini sebelum mencapai destination.”
8.2 Use case service insertion
| Use Case | Contoh |
|---|---|
| East-west inspection | prod VPC A ke prod VPC B harus lewat firewall |
| Inter-segment inspection | nonprod ke shared-services harus diperiksa |
| Hybrid inspection | on-prem ke AWS workload lewat appliance |
| Internet egress inspection | VPC ke internet lewat egress/security VPC |
| Partner inspection | partner segment ke internal service lewat inspection |
8.3 Pitfall service insertion
Service insertion bukan magic.
Kamu tetap harus mempertimbangkan:
- appliance capacity;
- multi-AZ design;
- stateful session symmetry;
- fail-open vs fail-closed behavior;
- route convergence;
- logging correlation;
- MTU/path issues;
- cost per inspection hop;
- operational ownership firewall rules.
Anti-pattern paling umum:
“Semua traffic harus lewat firewall.”
Kalimat itu terdengar aman, tetapi sering tidak operasional.
Pertanyaan yang lebih baik:
- Traffic mana yang benar-benar butuh inspection?
- Apakah inspection inline atau out-of-band?
- Apakah firewall rule owner adalah security team atau app team?
- Apakah ada bypass untuk AWS service endpoints?
- Apakah DNS traffic juga harus dikontrol via DNS Firewall?
- Apa failure behavior kalau inspection VPC down?
9. Direct Connect, VPN, Branch, dan Cloud WAN
Cloud WAN menarik untuk hybrid karena bukan hanya VPC-to-VPC fabric.
Kamu dapat memasukkan:
- VPC attachments;
- Site-to-Site VPN attachments;
- Connect attachments untuk SD-WAN/GRE/BGP model;
- Direct Connect gateway attachment;
- transit gateway route table attachment.
Dengan begitu, Cloud WAN bisa menjadi backbone routing enterprise.
9.1 Branch-to-cloud pattern
Keuntungan:
- branch tidak perlu tahu semua VPC CIDR;
- branch cukup propagate route ke fabric;
- segment menentukan reachability;
- central policy mengontrol domain komunikasi.
9.2 Jangan menjadikan Cloud WAN route dump
Kalau semua prefix on-prem, branch, dan VPC dipropagate ke semua segment, kamu hanya membuat global route dump.
Cloud WAN harus memperkecil blast radius routing, bukan memperbesar.
Prinsip:
Propagate only what must be reachable. Summarize where safe. Isolate by default.
10. Cloud WAN Policy Lifecycle
Di organisasi mature, perubahan Cloud WAN policy harus diperlakukan seperti perubahan database schema atau firewall global.
Lifecycle minimal:
- policy authoring di repository;
- static validation;
- semantic validation terhadap inventory attachment;
- review oleh network/platform/security;
- deployment ke staging/lab core network jika tersedia;
- deploy policy version;
- observe route changes;
- run reachability tests;
- rollback plan.
10.1 Policy diff bukan sekadar JSON diff
JSON diff bisa bilang:
- segment: nonprod
+ segment: prod
Tetapi semantic diff harus menjawab:
- attachment mana pindah segment?
- route mana menjadi visible?
- segment mana kehilangan reachability?
- traffic mana sekarang melewati inspection?
- apakah ada new route to on-prem?
- apakah ada default route yang bocor?
Network policy diff harus berorientasi dampak.
10.2 Pre-deploy invariant
Contoh invariant:
prodtidak boleh menerima route darinonprodkecualishared-servicestertentu;partnertidak boleh melihat RFC1918 internal summary kecuali prefix service tertentu;regulated-prodtidak boleh share route kenonprod;- all internet egress from regulated-prod must use inspection path;
- branch office tidak boleh melihat subnet database langsung;
- on-prem route summary tidak boleh lebih luas dari approved prefix set.
Tuliskan invariant ini sebagai test, bukan wiki.
11. Cloud WAN with IaC
Cloud WAN sebaiknya tidak dikelola klik manual jika sudah production.
Struktur repository yang masuk akal:
network-cloudwan/
policies/
core-network-policy.json
segment-contracts.yaml
attachment-rules.yaml
environments/
prod/
variables.tf
staging/
variables.tf
tests/
route-invariants.test.yaml
attachment-policy.test.yaml
docs/
segment-catalog.md
onboarding.md
11.1 Segment contract
Contoh segment contract:
segments:
prod:
description: Production application workloads
defaultIsolation: true
sharedWith:
- shared-services
mustInspect:
- destination: internet
- destination: partner
nonprod:
description: Development and testing workloads
defaultIsolation: true
sharedWith:
- shared-services
deniedTo:
- prod
shared-services:
description: DNS, directory, observability, artifact services
reachableFrom:
- prod
- nonprod
- onprem
Tujuannya bukan menjadikan YAML ini langsung valid AWS policy. Tujuannya membuat business intent eksplisit sebelum diterjemahkan ke Cloud WAN core network policy.
12. Observability dan Troubleshooting
Cloud WAN troubleshooting harus dilakukan dari dua arah:
- control-plane view: attachment state, segment, policy version, route visibility;
- data-plane view: Flow Logs, firewall logs, packet path, application timeout.
12.1 Debug checklist
Ketika workload A tidak bisa reach workload B:
- Apakah A dan B attached ke core network yang sama?
- Apakah attachment keduanya available?
- Apakah keduanya masuk segment yang diharapkan?
- Apakah segment route sharing mengizinkan prefix destination?
- Apakah prefix source/destination tidak overlap?
- Apakah VPC subnet route table mengarah ke Cloud WAN attachment/core network path?
- Apakah Security Group mengizinkan traffic?
- Apakah NACL return path terbuka?
- Apakah service insertion mengubah path?
- Apakah firewall menerima dan mengembalikan session secara simetris?
- Apakah DNS resolve ke private IP yang benar?
- Apakah route berubah baru-baru ini karena policy version deployment?
12.2 Debug dari packet path
Selalu gambar path:
Kalau kamu tidak bisa menjelaskan diagram ini untuk incident tertentu, kamu belum melakukan network debugging. Kamu baru melihat dashboard.
13. Cost Model
Cloud WAN cost harus dipikirkan sejak desain, bukan setelah bill muncul.
Cost drivers umum:
- attachment hourly cost;
- data processing;
- inter-Region data transfer;
- inspection appliance cost;
- NAT/egress cost jika centralized egress;
- logging volume;
- duplicated path karena hairpin;
- unnecessary route through inspection.
Prinsip:
The cleanest topology is not always the cheapest topology. The cheapest topology is not always operable.
Trade-off nyata:
| Decision | Benefit | Cost/Risk |
|---|---|---|
| Centralized inspection | Governance kuat | Hairpin, latency, appliance cost |
| Regional inspection | Lower latency | More appliances, more policy surfaces |
| Single global segment | Simple awal | Route leak blast radius besar |
| Many micro-segments | Granular control | Policy complexity tinggi |
| Full route propagation | Easy reachability | Harder audit, bigger blast radius |
| Strict default isolation | Safer | More onboarding friction |
14. Anti-Patterns
Anti-pattern 1: Cloud WAN dipakai untuk semua hal
Tidak semua koneksi butuh Cloud WAN. Untuk service-specific private exposure, PrivateLink bisa lebih tepat. Untuk app-to-app service networking dengan auth policy, VPC Lattice bisa lebih tepat. Untuk public web acceleration, CloudFront/Global Accelerator lebih tepat.
Cloud WAN adalah backbone/enterprise network fabric, bukan pengganti semua networking primitive.
Anti-pattern 2: Segment dibuat terlalu banyak
Jika setiap aplikasi punya segment sendiri, kamu akhirnya membangun firewall policy matrix raksasa.
Segment harus stabil dan meaningful.
Anti-pattern 3: Semua traffic di-share demi kenyamanan
Ini menghapus nilai segmentation. Lebih buruk lagi, karena Cloud WAN terlihat “terpusat”, route leak bisa lebih berbahaya.
Anti-pattern 4: Mengabaikan VPC route table
Cloud WAN policy benar tidak cukup. Subnet route table di VPC tetap harus mengarah ke attachment yang benar. SG/NACL tetap berlaku. DNS tetap penting.
Anti-pattern 5: Tidak ada ownership model
Cloud WAN menyentuh network team, security team, platform team, app team, dan compliance. Tanpa ownership, semua perubahan menjadi bottleneck atau chaos.
15. Production Design Pattern
15.1 Baseline global enterprise Cloud WAN
15.2 Policy intent
prodcan reachshared-services.nonprodcan reachshared-services.nonprodcannot reachprod.partnercan reach only approved prod service prefixes through inspection.onpremcan reach shared services and approved prod prefixes.- Regulated traffic uses inspection.
- Default route to internet is not propagated globally.
16. Migration from Transit Gateway to Cloud WAN
Jangan migrasi dengan big bang.
Urutan aman:
- inventory TGW attachments dan route tables;
- kelompokkan route tables menjadi candidate segments;
- dokumentasikan route visibility matrix;
- buat Cloud WAN core network paralel;
- attach subset non-critical VPC;
- validate DNS, SG/NACL, route, Flow Logs;
- migrate shared services path;
- migrate on-prem/branch carefully;
- migrate prod per domain;
- decommission TGW route table lama setelah traffic nol.
16.1 Route table to segment mapping
| Existing TGW Route Table | Candidate Cloud WAN Segment |
|---|---|
tgw-rt-prod | prod |
tgw-rt-dev | nonprod |
tgw-rt-shared | shared-services |
tgw-rt-sec-egress | security-inspection / NFG |
tgw-rt-onprem | onprem |
Tapi jangan map 1:1 buta. Ini saat yang tepat untuk membersihkan route debt.
17. Design Review Checklist
Sebelum Cloud WAN production:
- Segment merepresentasikan trust boundary, bukan team sementara.
- Attachment admission berbasis tag/policy.
- Default segment behavior jelas.
- Route sharing antar-segment terdokumentasi.
- Service insertion path simetris.
- Inspection VPC multi-AZ.
- On-prem prefix tidak terlalu luas.
- Default route tidak bocor ke segment internal.
- Rollback policy version tersedia.
- Reachability tests otomatis.
- Flow Logs/firewall logs dapat dikorelasikan.
- Ownership network/security/app jelas.
- Cost model dihitung per attachment dan per GB.
18. Invariant yang Harus Kamu Ingat
- Cloud WAN adalah policy-driven global network fabric, bukan sekadar router baru.
- Segment adalah routing domain; desainnya harus mengikuti trust boundary.
- Attachment adalah admission point; jangan biarkan attachment masuk tanpa metadata.
- Core network policy adalah source of truth dan harus dikelola seperti kode.
- Service insertion membantu inspection, tetapi tidak menghapus kebutuhan desain symmetry dan capacity.
- Cloud WAN tidak menggantikan SG, NACL, VPC route table, DNS, atau IAM/resource policy.
- Jika kamu tidak bisa menjelaskan route visibility matrix, kamu belum menguasai desain Cloud WAN.
19. Latihan Praktis
Latihan 1 — Segment matrix
Buat matrix untuk organisasi berikut:
- prod app;
- nonprod app;
- shared DNS;
- shared observability;
- on-prem data center;
- partner network;
- regulated payment workload.
Tentukan:
- segment apa saja;
- route sharing antar segment;
- traffic mana wajib inspection;
- traffic mana ditolak total.
Latihan 2 — Attachment admission rule
Buat tag contract dan pseudocode policy untuk memasukkan attachment ke segment:
Environment=prod→prodEnvironment=nonprod→nonprodDataClass=pci→regulated-prod- missing tag → reject/manual review
Latihan 3 — Failure mode
Simulasikan firewall inspection VPC down di satu Region.
Jawab:
- traffic mana gagal?
- apakah fail closed atau fail open?
- apakah route otomatis pindah Region?
- apakah session state tetap valid?
- log mana yang membuktikan failure?
20. Referensi Resmi
- AWS Cloud WAN overview:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html - AWS Cloud WAN core network policy versions:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-create-policy-version.html - AWS Cloud WAN segments:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-segments.html - AWS Cloud WAN attachment policies:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-attachments.html - AWS Cloud WAN attachments:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-create-attachment.html - AWS Cloud WAN service insertion:
https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-policy-service-insertion.html
Penutup
Cloud WAN berguna ketika masalahmu bukan lagi “bagaimana VPC A bicara dengan VPC B”, tetapi “bagaimana ribuan attachment lintas Region/account/site mengikuti policy jaringan global yang bisa diaudit, diubah, diuji, dan dioperasikan secara konsisten”.
Kalau Transit Gateway membuat kamu berpikir seperti network engineer regional, Cloud WAN memaksa kamu berpikir seperti platform engineer untuk global enterprise network.
Di part berikutnya kita masuk ke VPC Sharing and Centralized Network Ownership: bagaimana network account bisa mengelola VPC/subnet/routing secara terpusat sementara application account tetap bisa membuat resource sendiri tanpa diberi kuasa penuh atas jaringan.
You just completed lesson 27 in build core. Use the series map if you want to review the broader track, or continue directly into the next lesson while the context is still warm.
Keep the momentum while the lesson is still fresh. Move backward for review or continue forward into the next concept.