背景
一個企業上雲首先要考慮整個網絡的規劃,涉及到雲上和雲下的網絡規劃,雲上VPC的規劃,雲上不同地域VPC的互通,雲上可用區的選擇等等,所以一定要提前規劃好整體的網絡架構,現在阿里云云上的虛擬化網絡解決方案已經完全轉向 了雲企業網,所以所有使用阿里雲的企業客戶多多少少都會使用阿里雲的CEN 支撐自己的業務,本文將介紹一些我對阿里雲網絡規劃的一些理解。
雲企業網介紹
雲企業網(Cloud Enterprise Network)是承載在阿里雲提供的高性能、低延遲的私有全球網絡上的一張高可用網絡。
IDC專線接入CEN
首先面臨的是雲上和雲下打通,那麼需要通過物理專線打通雲上和雲下,由於現在阿里雲已經不在接受接入高速通道,所以必須接入到雲企業網。那麼企業必須通過物理專線接入到VBR後,加入的雲企業網服務內。
VPC規劃
那麼雲上的VPC規劃有很多方案,這裏比較推薦根據不同的環境,劃分的不同的VPC,承載對應的業務,我這裏建議大多客戶可以選擇分爲生產,測試,開發三個大的環境。有以下考慮因素:
- 一般企業的這三種環境對安全和監控的要求不同,需要隔離這三種模式
- 阿里云云安全中心只有兩隻購買方式全部或者按照VPC購買
- 雲企業網只能接入15個VPC,按照業務去劃分很快就會到達限制
- 無法接入更多的VPC實例 過多的VPC增加管理成本
- 阿里雲VPC建議最佳實踐是按照此方案劃分
VPC內子網劃分
VPC 內子網劃分(交換機)有比較的多的方案和選擇,可以依據公司網絡劃分方式,或者業務特點劃分子網,我這裏簡單的分享三種種劃分方案,每種方案都有其他優勢劣勢。
方案一、每個應用一個子網
有些子網規劃方式是一個應用一個子網:
優勢:
- 每個應用的網段是清晰的,互相是不重疊的
- 有利於做防火牆規則規劃
- 並且網絡規劃和使用都比較簡單。
劣勢:
- 應用的所有層級都在一個網段內,沒有層級隔離。
- 應用比較多,網段數量比價多
- 阿里雲VPC內子網數量有限制,並且阿里雲反饋不超過100個子網
注意: 每個應用多個網段是爲了使用多可用區的特性,提高應用的可用性。
方案二、通用分成層級子網
應用可以根據應用功能特性分爲不同的層級,常見分別爲WEB,APP,DB。 每一層的應用服務器都有其獨特的功能屬性和網絡屬性,所以將這些網絡特性相同的服務器劃分到同一個網段裏。所有的應用共用這個幾個大的層級的網段。
優勢:
- 應用網絡層級清晰,按照應用層級防止對應的服務組件
- 劃分的子網數量較少,易於管理
劣勢 - 所有應用的對應層級的服務器的網址是在一個網段,不利於按照放端放行防火牆規則,只能按照IP地址放行,對於一些特殊場景的使用如彈性伸縮的機器添加防火牆規則添加防火牆規則比較麻煩。
- 這個是阿里雲獨有的劣勢,Azure和AWS都是有ACL的,阿里雲的剛剛開始申請公測ACL,之前並這個功能所以之前我的方案中沒有使用ACL,而且阿里雲公測的產品一般很容易出問題,所以沒有ACL沒有各個子網之間沒有ACL控制實際是有邏輯的隔離並不具有子網之間的隔離和控制。
方案三、分應用分層級
每個應用都劃分多個層級的小網段,每個應用的網段都是互相獨立的不共享。也就是方案一和方案二的結合。
優勢
- 每個應有有獨立的網段
- 每個應有的各個層級是分隔的,有更細緻的網絡管理
- 有利於防火牆規則的設置
劣勢
- 一個應用爲了高可用可能最少需要6個網段(每個AZ三個),那麼30個應用系統最少需要180個網段,網段數量太多了,管理複雜。
- 阿里雲有子網數量限制,暫時沒法使用此方案,Azure和AWS沒有子網數量的限制。
多雲網絡拓撲例子
現在很多大型企業都會選擇多多雲,那麼多個雲之間可以通過以下的方式實現整個網絡的打通,下面的例子是一個3A雲上業務通過本地IDC打通,實現三朵雲和兩個IDC的網絡互通。 通過兩條物理專線接入阿里雲IDC的不同的接入點實現高可用接入,分別綁定到兩個VBR上,將VBR接入雲企業網,而云上的雲企業網有接入了Prod,STG,DEV三個VPC,實現了雲上三個環境的VPC和雲下的互通,並且實現了雲上業務邏輯的劃分。VPC內可以選擇不同的子網劃分方式不是具體的業務。
限制接入CEN的VPC默認互通
阿里雲的很多產品設計理念很多爲了迎合國內雲使用者,會把設計的比較易於操作,VPC本身的作用是做網絡隔離用的,而VPC加入的到CEN之後,就會VPC就會默認互通的,VPC的意義也就不存在了,所以我們之前加入了CEN之後,那麼就必須通過CEN的deny的路由策略實現VPC的隔離。可以參考官方文檔實現VPC的之間的隔離。
打通多個VPC的某些子網
剛剛我們通過CEN打通了VPC又完全限制了VPC,但是真正的業務場景會有這種情況,一般企業只有有一套監控和安全服務,那麼將這些安全和監控服務部署到某一個VPC內,他還有需求去監聽管理其他VPC的服務器的,那麼我們VPC是完全隔離,那麼我們就有需求去最小化的允許某些網段可以訪問其他的VPC。
那麼我們可以規劃一個管理子網,專門放置安全和監控服務的資源,同時通過CEN的Allow的路由策略實現最小的化的網絡訪問其他的兩個VPC,而不允許其他兩個VPC訪問生產的VPC其他子網。
參考文檔:
https://help.aliyun.com/document_detail/128377.html
https://help.aliyun.com/document_detail/128376.html
https://help.aliyun.com/document_detail/34217.html