阿里云网络架构设计

时间:2024-04-14 16:28:36

背景

一个企业上云首先要考虑整个网络的规划,涉及到云上和云下的网络规划,云上VPC的规划,云上不同地域VPC的互通,云上可用区的选择等等,所以一定要提前规划好整体的网络架构,现在阿里云云上的虚拟化网络解决方案已经完全转向 了云企业网,所以所有使用阿里云的企业客户多多少少都会使用阿里云的CEN 支撑自己的业务,本文将介绍一些我对阿里云网络规划的一些理解。

云企业网介绍

云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。

IDC专线接入CEN

首先面临的是云上和云下打通,那么需要通过物理专线打通云上和云下,由于现在阿里云已经不在接受接入高速通道,所以必须接入到云企业网。那么企业必须通过物理专线接入到VBR后,加入的云企业网服务内。
阿里云网络架构设计

VPC规划

那么云上的VPC规划有很多方案,这里比较推荐根据不同的环境,划分的不同的VPC,承载对应的业务,我这里建议大多客户可以选择分为生产,测试,开发三个大的环境。有以下考虑因素:

  • 一般企业的这三种环境对安全和监控的要求不同,需要隔离这三种模式
  • 阿里云云安全中心只有两只购买方式全部或者按照VPC购买
  • 云企业网只能接入15个VPC,按照业务去划分很快就会到达限制
  • 无法接入更多的VPC实例 过多的VPC增加管理成本
  • 阿里云VPC建议最佳实践是按照此方案划分

阿里云网络架构设计

VPC内子网划分

VPC 内子网划分(交换机)有比较的多的方案和选择,可以依据公司网络划分方式,或者业务特点划分子网,我这里简单的分享三种种划分方案,每种方案都有其他优势劣势。

方案一、每个应用一个子网

有些子网规划方式是一个应用一个子网:
阿里云网络架构设计
优势:

  • 每个应用的网段是清晰的,互相是不重叠的
  • 有利于做防火墙规则规划
  • 并且网络规划和使用都比较简单。

劣势:

  • 应用的所有层级都在一个网段内,没有层级隔离。
  • 应用比较多,网段数量比价多
  • 阿里云VPC内子网数量有限制,并且阿里云反馈不超过100个子网

注意: 每个应用多个网段是为了使用多可用区的特性,提高应用的可用性

方案二、通用分成层级子网

应用可以根据应用功能特性分为不同的层级,常见分别为WEB,APP,DB。 每一层的应用服务器都有其独特的功能属性和网络属性,所以将这些网络特性相同的服务器划分到同一个网段里。所有的应用共用这个几个大的层级的网段。
阿里云网络架构设计
优势:

  • 应用网络层级清晰,按照应用层级防止对应的服务组件
  • 划分的子网数量较少,易于管理
    劣势
  • 所有应用的对应层级的服务器的网址是在一个网段,不利于按照放端放行防火墙规则,只能按照IP地址放行,对于一些特殊场景的使用如弹性伸缩的机器添加防火墙规则添加防火墙规则比较麻烦。
  • 这个是阿里云独有的劣势,Azure和AWS都是有ACL的,阿里云的刚刚开始申请公测ACL,之前并这个功能所以之前我的方案中没有使用ACL,而且阿里云公测的产品一般很容易出问题,所以没有ACL没有各个子网之间没有ACL控制实际是有逻辑的隔离并不具有子网之间的隔离和控制。

方案三、分应用分层级

每个应用都划分多个层级的小网段,每个应用的网段都是互相独立的不共享。也就是方案一和方案二的结合。
优势

  • 每个应有有独立的网段
  • 每个应有的各个层级是分隔的,有更细致的网络管理
  • 有利于防火墙规则的设置

劣势

  • 一个应用为了高可用可能最少需要6个网段(每个AZ三个),那么30个应用系统最少需要180个网段,网段数量太多了,管理复杂。
  • 阿里云有子网数量限制,暂时没法使用此方案,Azure和AWS没有子网数量的限制。

多云网络拓扑例子

现在很多大型企业都会选择多多云,那么多个云之间可以通过以下的方式实现整个网络的打通,下面的例子是一个3A云上业务通过本地IDC打通,实现三朵云和两个IDC的网络互通。 通过两条物理专线接入阿里云IDC的不同的接入点实现高可用接入,分别绑定到两个VBR上,将VBR接入云企业网,而云上的云企业网有接入了Prod,STG,DEV三个VPC,实现了云上三个环境的VPC和云下的互通,并且实现了云上业务逻辑的划分。VPC内可以选择不同的子网划分方式不是具体的业务。
阿里云网络架构设计

限制接入CEN的VPC默认互通

阿里云的很多产品设计理念很多为了迎合国内云使用者,会把设计的比较易于操作,VPC本身的作用是做网络隔离用的,而VPC加入的到CEN之后,就会VPC就会默认互通的,VPC的意义也就不存在了,所以我们之前加入了CEN之后,那么就必须通过CEN的deny的路由策略实现VPC的隔离。可以参考官方文档实现VPC的之间的隔离。
阿里云网络架构设计

打通多个VPC的某些子网

刚刚我们通过CEN打通了VPC又完全限制了VPC,但是真正的业务场景会有这种情况,一般企业只有有一套监控和安全服务,那么将这些安全和监控服务部署到某一个VPC内,他还有需求去监听管理其他VPC的服务器的,那么我们VPC是完全隔离,那么我们就有需求去最小化的允许某些网段可以访问其他的VPC。

那么我们可以规划一个管理子网,专门放置安全和监控服务的资源,同时通过CEN的Allow的路由策略实现最小的化的网络访问其他的两个VPC,而不允许其他两个VPC访问生产的VPC其他子网。
阿里云网络架构设计

参考文档:
https://help.aliyun.com/document_detail/128377.html
https://help.aliyun.com/document_detail/128376.html
https://help.aliyun.com/document_detail/34217.html