全部产品
Search

搜索本产品

    Cloud Network Well-architected Design Guidelines:Desain jaringan pengiriman aplikasi untuk server di pusat data

    文档中心

    Cloud Network Well-architected Design Guidelines:Desain jaringan pengiriman aplikasi untuk server di pusat data

    更新时间:Dec 18, 2025

    Ikhtisar

    Ringkasan

    Topik ini menjelaskan cara menambahkan server di pusat data ke instans Server Load Balancer (SLB) pada public cloud Alibaba Cloud. Desain jaringan pengiriman aplikasi yang diperkenalkan dalam topik ini bertujuan untuk memigrasikan zona demiliterisasi (DMZ) dari pusat data ke Alibaba Cloud. Desain ini membantu Anda membangun hybrid cloud yang scalable secara efisien untuk memfasilitasi migrasi cloud.

    Kata Kunci

    • Application Load Balancer (ALB): ALB adalah layanan Alibaba Cloud yang beroperasi di lapisan aplikasi dan dioptimalkan untuk menyeimbangkan trafik melalui HTTP, HTTPS, dan Quick UDP Internet Connections (QUIC). ALB sangat elastis dan dapat memproses volume besar trafik Lapisan 7 sesuai permintaan. ALB mendukung routing kompleks serta terintegrasi dengan layanan cloud-native lainnya sebagai gateway Ingress cloud-native Alibaba Cloud. Anda dapat menambahkan server di pusat data ke instans ALB.

    • Network Load Balancer (NLB): NLB adalah layanan penyeimbangan beban Lapisan 4 yang dirancang untuk era Internet of Everything (IoE). NLB menawarkan performa ultra-tinggi dan dapat secara otomatis diskalakan sesuai permintaan. Sebuah instans NLB mendukung hingga 100 juta koneksi bersamaan, ideal untuk layanan yang memerlukan konkurensi tinggi. Anda dapat menambahkan server di pusat data ke instans NLB.

    • Elastic IP Address (EIP): EIP adalah alamat IP publik yang dapat dibeli dan dimiliki sebagai sumber daya independen. Dalam arsitektur ini, EIP dikaitkan dengan gateway IPv4 dan dipetakan ke server di pusat data untuk mengaktifkan akses Internet bagi pusat data.

    • Virtual Private Cloud (VPC): VPC adalah jaringan pribadi kustom yang dapat Anda buat di Alibaba Cloud. VPC secara logis terisolasi satu sama lain pada Lapisan 2. Anda dapat membuat dan mengelola instans layanan cloud di VPC Anda, seperti Elastic Compute Service (ECS), SLB, dan ApsaraDB RDS.

    • Cloud Enterprise Network (CEN): CEN adalah jaringan ketersediaan tinggi yang beroperasi di jaringan privat global Alibaba Cloud. CEN menggunakan router transit untuk membangun koneksi antar wilayah antara VPC agar VPC dapat berkomunikasi dengan pusat data dan membangun jaringan fleksibel, andal, serta berkelas perusahaan di cloud.

    • Internet Shared Bandwidth: Internet Shared Bandwidth mendukung pembagian dan multiplexing bandwidth dalam suatu wilayah. Setelah Anda membuat instans Internet Shared Bandwidth di suatu wilayah, Anda dapat menambahkan elastic IP addresses (EIPs) di wilayah tersebut ke instans Internet Shared Bandwidth. Hal ini mengurangi biaya bandwidth Internet.

    • Express Connect: Express Connect adalah layanan jaringan yang menghubungkan pusat data ke Alibaba Cloud. Express Connect membantu meningkatkan kualitas dan keamanan komunikasi jaringan karena transmisi data melalui Express Connect dapat dipercaya dan terkendali.

    • Express Connect Circuit: Sirkuit Express Connect adalah kabel atau serat optik yang menghubungkan pusat data. Sirkuit Express Connect biasanya dikerahkan dan dipelihara oleh penyedia layanan Internet (ISP).

    • Virtual Border Routers (VBRs): VBR adalah abstraksi dari sirkuit Express Connect yang diisolasi dan divirtualisasi menggunakan teknologi overlay Lapisan 3 dan vSwitch dalam arsitektur Software Defined Network (SDN). VBR dikerahkan antara perangkat di tempat pelanggan (CPE) dan VPC untuk bertukar data antara VPC dan pusat data.

    • VBR-to-VPC Connections: Koneksi VBR-to-VPC adalah koneksi point-to-point antara VPC dan VBR.

    • Express Connect Router (ECR): ECR adalah komponen layanan yang meneruskan lalu lintas jaringan di hybrid cloud global di mana jaringan terhubung melalui sirkuit Express Connect. ECR menyediakan fitur seperti jaringan berbasis perutean dinamis dan manajemen terpusat untuk pengumuman rute.

    • Network Intelligence Service (NIS): NIS menyediakan serangkaian alat Artificial Intelligence for IT Operations (AIOps) untuk mengelola seluruh siklus hidup jaringan cloud, mulai dari perencanaan hingga pemeliharaan jaringan.

    • CloudMonitor: CloudMonitor adalah layanan yang memantau sumber daya dan aplikasi Internet.

    • Classic Load Balancer (CLB): CLB mendistribusikan lalu lintas jaringan masuk di beberapa server backend berdasarkan aturan pengalihan untuk meningkatkan performa dan ketersediaan aplikasi Anda.

    Prinsip desain

    SLB, CEN, Express Connect, Internet Shared Bandwidth, EIP, dan layanan keamanan dapat digunakan bersama-sama untuk menghubungkan pusat data ke jaringan cloud di Alibaba Cloud. Desain ini tidak hanya meningkatkan fleksibilitas dan skalabilitas tetapi juga meningkatkan keamanan dan keandalan data serta aplikasi. Solusi berikut menjelaskan cara membangun jaringan pengiriman aplikasi yang stabil dan efisien untuk server di pusat data.

    Gambar berikut menunjukkan arsitektur solusi ini.

    image

    Highlight desain arsitektur:

    • Stabilitas: Stabilitas adalah faktor kunci dalam desain DMZ. Perusahaan menggunakan jaringan cloud untuk mengakses sumber daya cloud dan memberikan layanan. Jika jaringan cloud tidak stabil, gangguan layanan dapat terjadi dan menyebabkan dampak buruk. Untuk perusahaan yang menyediakan layanan online, stabilitas jaringan cloud menentukan pengalaman pengguna.

    • Keamanan dan Kepatuhan: Keamanan adalah salah satu manfaat cloud. Serangan jaringan, seperti serangan DDoS dan intrusi, dapat membahayakan data sensitif perusahaan. Beberapa industri atau wilayah memiliki undang-undang dan regulasi perlindungan data yang ketat. Perusahaan harus memenuhi persyaratan keamanan jaringan dan kepatuhan.

    • Kinerja: Skalabilitas adalah manfaat lain dari cloud publik. Jaringan dan gateway (load balancer) yang scalable dapat secara otomatis menambah atau mengurangi sumber daya berdasarkan volume trafik untuk memastikan kualitas layanan. Selain itu, jaringan yang scalable dibayar berdasarkan jumlah sumber daya yang sebenarnya dikonsumsi, sehingga mengurangi biaya operasional.

    Desain utama

    Stabilitas

    • SLB (ALB dan NLB):

      Dibandingkan dengan CLB yang mendukung penyebaran aktif/standby, ALB dan NLB mendukung penyebaran multi-zona. Jika ALB atau NLB gagal di satu zona, trafik dialihkan ke zona lain untuk mempertahankan ketersediaan layanan tinggi. ALB dan NLB mendukung pemulihan bencana di beberapa tingkat. NLB juga mendukung persistensi sesi dan penyebaran lintas zona untuk memastikan ketersediaan layanan.

    • Sirkuit Express Connect:

      Express Connect terhubung ke titik kehadiran (PoP) Alibaba Cloud dan pusat data melalui sirkuit Express Connect. Untuk memastikan stabilitas bisnis, kami merekomendasikan Anda menghubungkan ke PoP Alibaba Cloud menggunakan dua sirkuit Express Connect yang disediakan oleh rute fisik atau penyedia jalur sewa yang berbeda.

      Untuk menghubungkan sirkuit Express Connect satu sama lain, kami merekomendasikan Anda mengaktifkan BGP dan Deteksi Penerusan Dua Arah (BFD) untuk menerapkan failover dan konvergensi cepat jika salah satu sirkuit Express Connect gagal. Setelah BDF diaktifkan, gangguan jaringan dapat dideteksi oleh tiga paket BDF, masing-masing membutuhkan waktu 200 milidetik.

    • Ingress Internet (EIP):

      Kami merekomendasikan Anda memilih BGP (Multi-ISP) untuk EIP Anda. BGP (Multi-ISP) memungkinkan EIP menggunakan beberapa jalur ISP untuk memastikan stabilitas jaringan dan mentransmisikan data melalui rute optimal. Mekanisme ini memastikan kontinuitas dan stabilitas layanan bahkan dalam kasus single point of failure (SPOF).

    • Koneksi dalam-cloud (ECR):

      Kami merekomendasikan Anda menggunakan ECR untuk menghubungkan VBR dan VPC. ECR menggunakan perutean dinamis end-to-end yang sangat stabil. ECR menjadwalkan trafik ke rute penerusan optimal untuk secara efektif mengurangi latensi jaringan sirkuit Express Connect.

    Keamanan dan kepatuhan

    • SLB (ALB dan NLB):

      • NLB mendukung SSL over TCP, otentikasi satu arah, otentikasi timbal balik, dan kebijakan TLS kustom.

      • ALB mendukung HTTPS, otentikasi satu arah, otentikasi timbal balik, dan kebijakan TLS kustom.

      • Grup keamanan: Anda dapat menambahkan instans NLB dan ALB ke grup keamanan, yang berfungsi sebagai daftar hitam dan daftar putih.

      • Daftar kontrol akses (ACL) VPC: ACL memfilter trafik yang ditujukan ke alamat IP virtual (VIP) instans NLB dan ALB.

    • Mitigasi DDoS (EIP dilindungi oleh Anti-DDoS Pro/Premium):

      Secara default, Anti-DDoS Origin Basic dapat mengurangi serangan DDoS hingga 5 Gbit/s. Kapasitas mitigasi bervariasi berdasarkan wilayah. Alibaba Cloud menyediakan EIP yang dilindungi oleh Anti-DDoS Pro/Premium, yang dapat mengurangi serangan DDoS pada level Tbit/s.

    • Web Application Firewall (WAF):

      Setelah Anda memigrasikan akses Internet Anda, kami merekomendasikan Anda mengaktifkan perlindungan untuk mengidentifikasi dan memblokir trafik jahat untuk situs web atau aplikasi Anda. WAF melindungi server asal Anda dari serangan dan memastikan keamanan data dan layanan.

      Jika Anda menggunakan ALB, kami merekomendasikan Anda mengintegrasikan WAF 3.0 dengan ALB dalam mode proxy transparan. Dalam mode ini, Anda hanya perlu memasukkan informasi situs web tanpa perlu memodifikasi catatan Domain Name System (DNS).

    • Perlindungan Batas Internet (Firewall internet):

      Firewall internet mengontrol trafik masuk dan keluar semua aset yang menghadap Internet secara terpusat di batas Internet. Ini membantu mengurangi eksposur aset yang menghadap Internet di Internet dan risiko keamanan trafik bisnis.

    Kinerja

    • SLB (ALB dan NLB):

      Dalam wilayah multi-zona, QPS maksimum default dari instans ALB adalah 100.000, yang tidak berubah dengan jumlah zona. QPS maksimum dari instans ALB dalam mode IP statis adalah 100.000. QPS maksimum dari instans ALB dalam mode IP dinamis secara otomatis meningkat hingga 1 juta.

      Setiap instans NLB mendukung hingga 100 juta koneksi bersamaan dan bandwidth 100 Gbit/s. Instans NLB dapat secara otomatis diskalakan sesuai permintaan.

      NLB dan ALB memungkinkan Anda menambahkan server backend lintas wilayah. Anda dapat menerapkan ALB atau NLB di wilayah yang terdekat dengan klien untuk mempersingkat jarak Internet dan meningkatkan kualitas jaringan.

    • Ingress Internet (EIP dan Internet Shared Bandwidth):

      Anda dapat mengonfigurasi CEN untuk mengaktifkan komunikasi antar wilayah, yang dapat menghubungkan ingress Internet di wilayah berbeda ke pusat data di wilayah yang sama. Hingga 89 jalur BGP berkualitas tinggi disediakan secara global. Bandwidth instans Internet Shared Bandwidth dapat mencapai ratusan Gbit/s, yang bervariasi berdasarkan wilayah.

      Anda dapat mengajukan dan melepaskan EIP kapan saja, dan mengaitkan EIP dengan server atau perangkat jaringan di pusat data.

      Internet Shared Bandwidth mendukung penyesuaian bandwidth dinamis melalui konfigurasi manual atau konfigurasi otomatis yang dibuat oleh panggilan API. Dalam kasus lonjakan trafik tak terduga yang memerlukan bandwidth lebih tinggi, Anda dapat meningkatkan bandwidth hingga lima kali lipat dan menggunakan metode pengukuran bayar-berdasarkan-persentil-95-bandwidth.

    • ECR:

      ECR menjadwalkan trafik ke rute penerusan optimal untuk secara efektif mengurangi latensi jaringan sirkuit Express Connect.

    • Express Connect:

      Sirkuit Express Connect tidak mendukung penskalaan real-time. Kami merekomendasikan Anda memperkirakan kapasitas bandwidth yang dibutuhkan oleh bisnis Anda sebelumnya.

    Observabilitas

    • SLB (ALB dan NLB):

      • Pemantauan ALB dan NLB: mendukung pemantauan dan peringatan pada koneksi dan bandwidth.

      • Log operasi ALB dan NLB: mencatat operasi yang dilakukan pada ALB dan NLB, baik operasi konsol maupun panggilan API.

      • Pemantauan detail halus NLB: mendukung pemantauan pada lonjakan trafik kecil.

      • Log akses ALB: mencatat akses ke ALB dalam Layanan Log Sederhana. Anda dapat menganalisis log akses untuk mengetahui perilaku pengguna, distribusi regional pengguna, dan melakukan pemecahan masalah.

    • O&M Cerdas:

      NIS adalah layanan cloud yang memantau status kesehatan dan kinerja trafik Internet dan layanan penyeimbangan beban, melakukan diagnosis dan pemecahan masalah, serta menganalisis dan mengukur trafik jaringan. NIS terintegrasi dengan metode AIOps seperti pembelajaran mesin dan graf pengetahuan untuk menyederhanakan manajemen jaringan dan menerapkan O&M otomatis.

    • Analisis Trafik:

      Router transit edisi perusahaan CEN dan VPC mendukung log aliran, yang mencatat trafik bisnis sebagai entri log. Anda dapat menganalisis log aliran untuk detail trafik.

    • CloudMonitor:

      CloudMonitor mendukung O&M, peringatan, dan pemantauan pada layanan cloud.

    Praktik terbaik

    Pengiriman aplikasi Lapisan 4 menggunakan NLB

    Arsitektur Inti:

    • NLB: mendukung penyebaran multi-zona untuk memproses trafik Internet Lapisan 4. Anda dapat menambahkan server di pusat data ke instans NLB.

    • ECR + Express Connect: mendukung perutean dinamis. Express Connect dapat terhubung ke beberapa titik akses. Pusat data dapat berkomunikasi dengan Alibaba Cloud melalui BGP dan BDF.

    Pengiriman aplikasi Lapisan 7 menggunakan ALB

    Arsitektur Inti:

    • ALB: mendukung penyebaran multi-zona untuk memproses trafik Internet Lapisan 7.

    • ECR + Express Connect: mendukung perutean dinamis. Express Connect dapat terhubung ke beberapa titik akses. Pusat data dapat berkomunikasi dengan Alibaba Cloud melalui BGP dan BDF.

    image

    Pengiriman aplikasi Lapisan 7 menggunakan NLB dan gateway Lapisan 7 mandiri di cloud

    Arsitektur Inti:

    • NLB: mendukung penyebaran multi-zona untuk memproses trafik Internet Lapisan 4. Anda dapat menambahkan gateway Lapisan 7 mandiri ke instans NLB dalam VPC atau menambahkan gateway Lapisan 7 mandiri lintas wilayah menggunakan router transit.

    • Gateway Mandiri: memproses trafik Internet Lapisan 7 untuk aplikasi.

    • ECR + Express Connect: mendukung perutean dinamis. Express Connect dapat terhubung ke beberapa titik akses. Pusat data dapat berkomunikasi dengan Alibaba Cloud melalui BGP dan BDF.

    Pengiriman aplikasi Lapisan 7 menggunakan NLB dan gateway Lapisan 7 mandiri di pusat data

    Arsitektur Inti:

    • NLB: mendukung penyebaran multi-zona untuk memproses trafik Internet Lapisan 4. Anda dapat menambahkan gateway Lapisan 7 mandiri di pusat data ke instans NLB.

    • Gateway Mandiri: memproses trafik Internet Lapisan 7 untuk aplikasi.

    • ECR + Express Connect: mendukung perutean dinamis. Express Connect dapat terhubung ke beberapa titik akses. Pusat data dapat berkomunikasi dengan Alibaba Cloud melalui BGP dan BDF.

    Skenario

    • Ingress Internet yang Scalable untuk Aplikasi Internet: Jaringan Alibaba Cloud dan elemen jaringannya bersifat scalable. Mereka dapat secara dinamis diskalakan berdasarkan kebutuhan bisnis. Ini memungkinkan perusahaan secara fleksibel menambah atau mengurangi sumber daya bandwidth untuk menghadapi fluktuasi trafik. Perusahaan hanya perlu membayar untuk sumber daya aktual yang mereka gunakan. Beberapa perusahaan, terutama perusahaan TI, mengalami lonjakan trafik dalam periode singkat yang disebabkan oleh acara panas dan aktivitas promosi online. Perusahaan TI dapat menggunakan ingress Internet scalable yang diterapkan di cloud untuk menghadapi lonjakan trafik.

    • Kepatuhan Multi-Level Protection Scheme (MLPS): Alibaba Cloud menyediakan dukungan dan alat kepatuhan untuk membantu Anda memenuhi persyaratan kepatuhan MLPS setelah Anda memigrasikan ingress Internet ke Alibaba Cloud.

    • Keamanan Internet: Tim dan teknologi keamanan profesional Alibaba Cloud terus melindungi ingress Internet Anda setelah dimigrasikan ke Alibaba Cloud.

    • Optimasi Kinerja Internet: Alibaba Cloud memiliki pusat data yang tersebar secara global. Setelah ingress Internet Anda dimigrasikan ke Alibaba Cloud, bisnis Anda dapat diterapkan di lokasi geografis yang dekat dengan pengguna Anda untuk mengurangi latensi jaringan dan meningkatkan kecepatan respons.