阿里云网络构架设计

2023-10-18 1813阅读

背景

阿里云网络构架设计
(图片来源网络,侵删)

一个企业上云首先应考量整个网络的规划,涉及至云上和云下的网络规划,云上VPC的规划,云上不同地域VPC的互通,云上可用区的选用等等,所以一定要提前规划好整体的网络构架

阿里云网络

,现在阿里云云上的虚拟化网络解决方案已经完全转向 了云企业网,所以所有使用阿里云的企业用户多多少少都会使用阿里云的CEN 支撑自己的业务,本文将介绍一些我对

阿里云网络

规划的一些理解。

云企业网介绍

云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。

IDC专线接入CEN

首先遭遇的是云上跟云下打通,那么应该通过物理专线打通云上跟云下,由于目前阿里云已经不在接受接入高速通道,所以需要接入到云企业网。那么企业需要借助物理专线接入至VBR后,加入的云企业网服务内。

VPC规划

那么云上的VPC规划有很多方案,这里非常推荐根据不同的环境,划分的不同的VPC,承载对应的业务,我这里建议大多客户可以选用分为生产,测试,开发三个大的环境。有下面考虑原因:

VPC内子网划分

VPC 内子网划分(交换机)有相当的多的方案跟选择,可以根据公司网络划分方法,或者业务种类划分子网,我这里简单的分享三种种界定方案,每种方案都有其它优势劣势。

方案一、每个应用一个子网

有些子网规划方法是一个应用一个子网:

优势:

劣势:

注意: 每个应用多个网段是为了使用多只用区的特点,提高应用的可用性。

方案二、通用分成层级子网

应用可以按照应用用途特征分为不同的层级,常见分别为WEB,APP,DB。 每一层的应用服务器都有其新颖的用途属性和网络属性,所以将这种网络特征相似的服务器划分到同一个网段里。所有的应用共用这个几个大的层级的网段。

优势:

方案三、分应用分层级

每个应用都界定多个层级的小网段,每个应用的网段都是互相独立的不共享。也就是方案一跟方案二的结合。

优势

劣势

多云网络拓扑例子

现在这些大型企业总会选择多多云,那么多个云之间可以借助以下的方法推动整个网络的打通,下面的举例是一个3A云上业务通过本地IDC打通,实现三朵云和两个IDC的网络互通。 通过两条物理专线接入阿里云IDC的不同的接入点推动高可用接入,分别绑定至两个VBR上,将VBR接入云企业网,而云上的云企业网有接入了Prod,STG,DEV三个VPC,实现了云上三个环境的VPC和云下的互通,并且推动了云上业务逻辑的界定。VPC内可以选用不同的子网划分方法不是具体的业务。

限制接入CEN的VPC默认互通

阿里云的这些产品设计模式众多为了顺应全球云使用者,会把设计的非常容易操作,VPC本身的作用是做网络隔离用的,而VPC加入的至CEN之后,就会VPC就会默认互通的,VPC的意义也就不存在了,所以我们之前加入了CEN之后,那么就需要借助CEN的deny的路由策略实现VPC的隔离。可以参考官方文档实现VPC的之间的隔离。

打通多个VPC的这些子网

刚刚我们借助CEN打通了VPC又完全限制了VPC,但是真正的业务场景会有这样状况,一般企业唯有有一套监控和安全服务,那么将这种安全跟监控服务推进到某一个VPC内,他也有需求去监听管理其他VPC的服务器的,那么我们VPC是完全隔离,那么我们就有意愿去最小化的容许这些网段可以访问其它的VPC。

那么我们可以规划一个管理子网

阿里云网络

,专门存放安全和监控服务的资源,同时借助CEN的Allow的路由策略实现最小的化的网络访问其它的两个VPC,而不允许其它两个VPC访问生产的VPC其他子网。

参考文档:

本文从“云米网络(ymisp)”转载,原作者保留一切权利,若侵权请联系删除。

《阿里云网络构架设计》来自互联网同行内容,若有侵权,请联系我们删除!

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]