阿里云网络构架设计
背景
一个企业上云首先应考量整个网络的规划,涉及至云上和云下的网络规划,云上VPC的规划,云上不同地域VPC的互通,云上可用区的选用等等,所以一定要提前规划好整体的网络构架
阿里云网络
,现在阿里云云上的虚拟化网络解决方案已经完全转向 了云企业网,所以所有使用阿里云的企业用户多多少少都会使用阿里云的CEN 支撑自己的业务,本文将介绍一些我对
阿里云网络
规划的一些理解。
云企业网介绍
云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。
IDC专线接入CEN
首先遭遇的是云上跟云下打通,那么应该通过物理专线打通云上跟云下,由于目前阿里云已经不在接受接入高速通道,所以需要接入到云企业网。那么企业需要借助物理专线接入至VBR后,加入的云企业网服务内。
VPC规划
那么云上的VPC规划有很多方案,这里非常推荐根据不同的环境,划分的不同的VPC,承载对应的业务,我这里建议大多客户可以选用分为生产,测试,开发三个大的环境。有下面考虑原因:
VPC内子网划分
VPC 内子网划分(交换机)有相当的多的方案跟选择,可以根据公司网络划分方法,或者业务种类划分子网,我这里简单的分享三种种界定方案,每种方案都有其它优势劣势。
方案一、每个应用一个子网
有些子网规划方法是一个应用一个子网:
优势:
劣势:
注意: 每个应用多个网段是为了使用多只用区的特点,提高应用的可用性。
方案二、通用分成层级子网
应用可以按照应用用途特征分为不同的层级,常见分别为WEB,APP,DB。 每一层的应用服务器都有其新颖的用途属性和网络属性,所以将这种网络特征相似的服务器划分到同一个网段里。所有的应用共用这个几个大的层级的网段。
优势:
方案三、分应用分层级
每个应用都界定多个层级的小网段,每个应用的网段都是互相独立的不共享。也就是方案一跟方案二的结合。
优势
劣势
多云网络拓扑例子
现在这些大型企业总会选择多多云,那么多个云之间可以借助以下的方法推动整个网络的打通,下面的举例是一个3A云上业务通过本地IDC打通,实现三朵云和两个IDC的网络互通。 通过两条物理专线接入阿里云IDC的不同的接入点推动高可用接入,分别绑定至两个VBR上,将VBR接入云企业网,而云上的云企业网有接入了Prod,STG,DEV三个VPC,实现了云上三个环境的VPC和云下的互通,并且推动了云上业务逻辑的界定。VPC内可以选用不同的子网划分方法不是具体的业务。
限制接入CEN的VPC默认互通
阿里云的这些产品设计模式众多为了顺应全球云使用者,会把设计的非常容易操作,VPC本身的作用是做网络隔离用的,而VPC加入的至CEN之后,就会VPC就会默认互通的,VPC的意义也就不存在了,所以我们之前加入了CEN之后,那么就需要借助CEN的deny的路由策略实现VPC的隔离。可以参考官方文档实现VPC的之间的隔离。
打通多个VPC的这些子网
刚刚我们借助CEN打通了VPC又完全限制了VPC,但是真正的业务场景会有这样状况,一般企业唯有有一套监控和安全服务,那么将这种安全跟监控服务推进到某一个VPC内,他也有需求去监听管理其他VPC的服务器的,那么我们VPC是完全隔离,那么我们就有意愿去最小化的容许这些网段可以访问其它的VPC。
那么我们可以规划一个管理子网
阿里云网络
,专门存放安全和监控服务的资源,同时借助CEN的Allow的路由策略实现最小的化的网络访问其它的两个VPC,而不允许其它两个VPC访问生产的VPC其他子网。
参考文档:
本文从“云米网络(ymisp)”转载,原作者保留一切权利,若侵权请联系删除。
《阿里云网络构架设计》来自互联网同行内容,若有侵权,请联系我们删除!