阿里云网络构架设计

背景

一个企业上云首先应考量整个网络的规划，涉及至云上和云下的网络规划，云上VPC的规划，云上不同地域VPC的互通，云上可用区的选用等等，所以一定要提前规划好整体的网络构架

阿里云网络

，现在阿里云云上的虚拟化网络解决方案已经完全转向 了云企业网，所以所有使用阿里云的企业用户多多少少都会使用阿里云的CEN 支撑自己的业务，本文将介绍一些我对

阿里云网络

规划的一些理解。

云企业网介绍

云企业网（Cloud Enterprise Network）是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。

IDC专线接入CEN

首先遭遇的是云上跟云下打通，那么应该通过物理专线打通云上跟云下，由于目前阿里云已经不在接受接入高速通道，所以需要接入到云企业网。那么企业需要借助物理专线接入至VBR后，加入的云企业网服务内。

VPC规划

那么云上的VPC规划有很多方案，这里非常推荐根据不同的环境，划分的不同的VPC，承载对应的业务，我这里建议大多客户可以选用分为生产，测试，开发三个大的环境。有下面考虑原因：

VPC内子网划分

VPC 内子网划分（交换机）有相当的多的方案跟选择，可以根据公司网络划分方法，或者业务种类划分子网，我这里简单的分享三种种界定方案，每种方案都有其它优势劣势。

方案一、每个应用一个子网

有些子网规划方法是一个应用一个子网：

优势：

劣势：

注意： 每个应用多个网段是为了使用多只用区的特点，提高应用的可用性。

方案二、通用分成层级子网

应用可以按照应用用途特征分为不同的层级，常见分别为WEB，APP，DB。 每一层的应用服务器都有其新颖的用途属性和网络属性，所以将这种网络特征相似的服务器划分到同一个网段里。所有的应用共用这个几个大的层级的网段。

优势：

方案三、分应用分层级

每个应用都界定多个层级的小网段，每个应用的网段都是互相独立的不共享。也就是方案一跟方案二的结合。

优势

劣势

多云网络拓扑例子

现在这些大型企业总会选择多多云，那么多个云之间可以借助以下的方法推动整个网络的打通，下面的举例是一个3A云上业务通过本地IDC打通，实现三朵云和两个IDC的网络互通。 通过两条物理专线接入阿里云IDC的不同的接入点推动高可用接入，分别绑定至两个VBR上，将VBR接入云企业网，而云上的云企业网有接入了Prod，STG，DEV三个VPC，实现了云上三个环境的VPC和云下的互通，并且推动了云上业务逻辑的界定。VPC内可以选用不同的子网划分方法不是具体的业务。

限制接入CEN的VPC默认互通

阿里云的这些产品设计模式众多为了顺应全球云使用者，会把设计的非常容易操作，VPC本身的作用是做网络隔离用的，而VPC加入的至CEN之后，就会VPC就会默认互通的，VPC的意义也就不存在了，所以我们之前加入了CEN之后，那么就需要借助CEN的deny的路由策略实现VPC的隔离。可以参考官方文档实现VPC的之间的隔离。

打通多个VPC的这些子网

刚刚我们借助CEN打通了VPC又完全限制了VPC，但是真正的业务场景会有这样状况，一般企业唯有有一套监控和安全服务，那么将这种安全跟监控服务推进到某一个VPC内，他也有需求去监听管理其他VPC的服务器的，那么我们VPC是完全隔离，那么我们就有意愿去最小化的容许这些网段可以访问其它的VPC。

那么我们可以规划一个管理子网

阿里云网络

，专门存放安全和监控服务的资源，同时借助CEN的Allow的路由策略实现最小的化的网络访问其它的两个VPC，而不允许其它两个VPC访问生产的VPC其他子网。

参考文档：

本文从“云米网络(ymisp)”转载，原作者保留一切权利，若侵权请联系删除。

《阿里云网络构架设计》来自互联网同行内容，若有侵权，请联系我们删除！