Ikhtisar
Pendahuluan
Banyak perusahaan menggunakan teknologi SD-WAN untuk menghubungkan jaringan cabang. Dengan adopsi layanan cloud publik, perusahaan juga perlu menghubungkan jaringan SD-WAN mereka ke jaringan di cloud. Untuk memenuhi tujuan ini, sebagian besar perusahaan menggunakan citra SD-WAN dari penyedia SD-WAN untuk menginstal vCPE pada mesin virtual di cloud. Topik ini menjelaskan cara menggunakan perangkat SD-WAN pihak ketiga dan kemampuan jaringan cloud yang ada untuk secara efisien, aman, dan andal menghubungkan jaringan cabang ke cloud.
Istilah
SD-WAN: SD-WAN adalah jaringan area luas yang menggunakan teknologi jaringan terdefinisi perangkat lunak. Secara logis memisahkan lapisan kontrol dan bidang data, serta secara terpusat mengelola dan mengontrol kedua lapisan tersebut untuk melakukan manajemen dan optimasi cerdas untuk jaringan terdistribusi.
Virtual Private Cloud (VPC): VPC adalah jaringan pribadi di Alibaba Cloud. Anda memiliki kontrol penuh atas VPC Anda, termasuk menentukan blok CIDR, mengonfigurasi tabel rute, dan gateway. Anda juga dapat menerapkan sumber daya Alibaba Cloud seperti instance Elastic Compute Service (ECS), instance ApsaraDB RDS, dan instance Server Load Balancer (SLB) di dalam VPC Anda.
Cloud Enterprise Network (CEN): CEN adalah jaringan dengan ketersediaan tinggi yang dibangun di atas jaringan pribadi global Alibaba Cloud. CEN menggunakan router transit untuk membuat koneksi lintas wilayah antar-VPC, memungkinkan komunikasi antara VPC dan pusat data, serta membangun jaringan fleksibel, andal, dan kelas perusahaan di cloud.
Express Connect: Express Connect memungkinkan Anda membuat koneksi cepat, stabil, aman, dan pribadi antara pusat data Anda dan VPC. Sirkuit Express Connect memastikan transmisi data yang aman, mencegah fluktuasi jaringan, dan mengurangi potensi pelanggaran data.
Prinsip desain
Highlight Desain Arsitektur:
Stabilitas: Layanan jaringan digunakan untuk menangani lalu lintas bisnis internal. Oleh karena itu, stabilitas koneksi dalam arsitektur jaringan hybrid cloud atau multi-cloud sangat penting. Jika koneksi terputus, komunikasi antara bisnis di cloud dan lokasi fisik akan terganggu, bahkan dapat menyebabkan ketidaktersediaan bisnis inti. Stabilitas menjadi kunci dalam merancang arsitektur jaringan multi-cloud atau hybrid-cloud yang andal.
Keamanan: Arsitektur jaringan hybrid cloud atau multi-cloud biasanya melibatkan komunikasi antar-jaringan. Bisnis internal memerlukan tingkat keamanan berbeda. Komunikasi antar-jaringan untuk bisnis penting harus dirancang berdasarkan prinsip kontrollabilitas dan hak istimewa minimal untuk mencegah pelanggaran data dan penyalahgunaan izin.
Swadaya: Solusi ini melibatkan konfigurasi dan pengiriman jaringan SD-WAN pihak ketiga, yang meningkatkan biaya pelatihan insinyur O&M. Efisiensi penyebaran, pengiriman, dan pemeliharaan solusi ini di cloud penting untuk adopsi jangka panjang perangkat SD-WAN. Alibaba Cloud telah bekerja sama erat dengan beberapa mitra dan merek untuk memberikan dukungan layanan untuk pengiriman produk pihak ketiga di Alibaba Cloud.
Desain utama
Stabilitas
Pemulihan bencana koneksi
Koneksi yang Menghubungkan Jaringan Cabang ke Cloud. Jaringan underlay yang menghubungkan jaringan cabang ke Alibaba Cloud harus menggunakan jalur sewa dari ISP yang berbeda untuk memastikan ketersediaan tinggi. Misalnya, gunakan kombinasi berikut: Internet dan jalur sewa, jaringan 4G dan broadband, atau China Telecom dan China Unicom. Pemulihan bencana diimplementasikan berdasarkan kemampuan alih bencana koneksi SD-WAN. Anda perlu menghubungi penyedia perangkat SD-WAN Anda untuk mengonfirmasi solusi. Untuk merancang arsitektur HA yang menggunakan jalur sewa, lihat mode keandalan tinggi dari Express Connect.
Koneksi Intra-region: Alibaba Cloud menjamin ketersediaan tinggi transmisi data lintas zona dan VPC dalam wilayah yang sama. Koneksi redundan dibuat melalui serat optik lintas zona dalam wilayah untuk redundansi tinggi dan failover diselesaikan dalam milidetik.
Koneksi Inter-region: Alibaba Cloud menjamin ketersediaan tinggi koneksi lintas wilayah yang dibuat berdasarkan CEN. Setidaknya tiga jalur lintas wilayah disewa antara setiap dua node untuk failover primer/sekunder. Teknologi deteksi anomali jaringan multi-plane digunakan untuk pemilihan jalur optimal, memastikan bahwa failover diselesaikan dalam hitungan detik.
Pemulihan bencana NE
Jaringan Cloud
Elemen jaringan (NE) asli cloud: Router Express Connect (ECR) mendukung pemulihan bencana lintas zona dan memungkinkan Anda menerapkan beberapa kluster dalam satu zona untuk pemulihan bencana. Ini mencegah gangguan bisnis yang disebabkan oleh titik kegagalan tunggal. Router transit mendukung pemulihan bencana lintas zona. Router transit dapat merutekan lalu lintas ke elastic network interfaces (ENI) di zona terdekat. Ketika ENI di zona terdekat mati, router transit secara otomatis merutekan lalu lintas ke ENI sehat di zona lain. Setiap ENI dikaitkan dengan beberapa router transit untuk mencegah titik kegagalan tunggal.
NE SD-WAN pihak ketiga: Kami merekomendasikan agar Anda menerapkan citra SD-WAN pihak ketiga lintas zona di VPC terpisah. Hubungkan jaringan SD-WAN ke router transit melalui koneksi IPsec-VPN, gunakan BGP untuk menyinkronkan rute, dan gunakan perutean dinamis BGP untuk mengimplementasikan failover otomatis. Konsultasikan dengan penyedia perangkat SD-WAN Anda untuk solusi. Untuk informasi lebih lanjut, lihat Hubungkan perangkat SD-WAN pihak ketiga ke router transit untuk membangun komunikasi antara pusat data dan VPC.
Keamanan
Konfigurasikan VPC Transit
VPC transit berfungsi sebagai buffer aman untuk komunikasi antara jaringan di cloud dan di lokasi fisik. Anda dapat mengonfigurasi firewall atau sistem pendeteksian intrusi di VPC transit untuk memantau dan menyaring lalu lintas.
VPC transit memungkinkan Anda membatasi pengguna dan perangkat yang diizinkan mengakses sumber daya jaringan tertentu secara halus.
VPC transit ideal untuk memantau dan mencatat lalu lintas yang diteruskan antara jaringan di cloud dan di lokasi fisik.
Konfigurasikan Rantai Layanan Keamanan
Gunakan router transit untuk merutekan lalu lintas timur-barat dari jaringan SD-WAN ke firewall VPC atau firewall pihak ketiga untuk audit.
Ketika Anda menggunakan router transit untuk menyiapkan rantai layanan keamanan, pilih rute yang paling spesifik.
Konfigurasikan Grup Keamanan dan ACL Jaringan dengan Benar: Buat grup keamanan dan ACL jaringan untuk membatasi lalu lintas VPC arah masuk dan keluar. Misalnya, Anda dapat mengonfigurasi aturan grup keamanan untuk setiap instans atau layanan untuk mengizinkan akses hanya ke port tertentu atau melalui protokol tertentu.
Kinerja
Algoritma Enkripsi: Dalam solusi ini, lalu lintas melewati sejumlah besar NE dari ujung ke ujung dan IPsec-VPN digunakan untuk mengenkripsi lalu lintas. Algoritma enkripsi dan dekripsi VPN memengaruhi latensi jaringan dan bandwidth maksimum koneksi individu. Anda harus memperhatikannya dengan cermat jika bisnis Anda sensitif terhadap latensi. Jika bandwidth gateway VPN adalah 200 Mbit/s atau lebih tinggi, kami merekomendasikan agar Anda memilih algoritma enkripsi aes, aes192, atau aes256. Algoritma enkripsi 3des tidak direkomendasikan. aes adalah algoritma enkripsi simetris yang menyediakan enkripsi dan dekripsi berkekuatan tinggi. Ini memastikan transmisi data yang aman dan memiliki dampak kecil pada latensi jaringan, throughput, dan kinerja penerusan. 3des adalah algoritma enkripsi data tiga kali lipat. Ini mengorbankan kinerja penerusan karena memakan waktu dan kompleks.
Latensi: Dalam skenario sensitif terhadap latensi, pastikan semua sumber daya jaringan diterapkan di zona yang sama. Untuk informasi lebih lanjut, konsultasikan dengan arsitek Alibaba Cloud Anda.
Bandwidth: Dalam solusi ini, total bandwidth untuk migrasi cloud bergantung pada bandwidth egress data dari jaringan di lokasi fisik, bandwidth jalur sewa, performa jaringan SD-WAN pihak ketiga, dan bandwidth koneksi IPsec-VPN. Bandwidth koneksi IPsec-VPN dapat mencapai hingga 1.000 Mbit/s. Jika Anda memerlukan bandwidth lebih tinggi dan lebih banyak koneksi IPsec-VPN untuk routing ECMP, hubungi penyedia perangkat SD-WAN Anda untuk mengonfirmasi apakah routing BGP ECMP didukung. Untuk informasi lebih lanjut tentang membuat beberapa koneksi IPsec-VPN untuk penyeimbangan beban, lihat Buat beberapa koneksi IPsec-VPN melalui Internet untuk penyeimbangan beban.
Ketahanan
Solusi ini tidak memberikan ketahanan. Ketahanan koneksi end-to-end bergantung pada bandwidth egress data dari jaringan di lokasi fisik, bandwidth jalur sewa, dan performa jaringan SD-WAN pihak ketiga. Jika Anda ingin meningkatkan total bandwidth, evaluasi performa koneksi, CPE, dan perangkat SD-WAN.
Keterlihatan
Gunakan Network Intelligence Service (NIS) dan log aliran untuk memantau lalu lintas di cloud:
Analisis Lalu Lintas Intra-region: Analisis lalu lintas yang melewati router transit dari VPC ke VPC dalam wilayah yang sama berdasarkan log aliran VPC dan router transit. Data lalu lintas ditampilkan dalam bentuk 1-tupel (instans), 2-tupel (alamat IP cloud dan alamat IP peer), dan 5-tupel (alamat IP cloud, port cloud, protokol, alamat IP peer, dan port peer).
Analisis Lalu Lintas Hybrid Cloud: Analisis lalu lintas yang melewati router transit dan VBR dari VPC ke pusat data berdasarkan log aliran router transit. Data lalu lintas ditampilkan dalam bentuk 1-tupel (instans), 2-tupel (alamat IP cloud dan alamat IP peer), dan 5-tupel (alamat IP cloud, port cloud, protokol, alamat IP peer, dan port peer).
Swadaya
Alibaba Cloud menyediakan berbagai metode bagi Anda untuk menerapkan citra SD-WAN pihak ketiga di cloud.
Konsol: Anda dapat langsung membeli citra SD-WAN pihak ketiga dari Alibaba Cloud Marketplace di konsol CEN.
Untuk informasi lebih lanjut, lihat Hubungkan perangkat SD-WAN pihak ketiga ke router transit untuk membangun komunikasi antara pusat data dan VPC.
Compute Nest: Temukan solusi jaringan yang sesuai di pasar layanan konsol Compute Nest.
Praktik terbaik
Desain VPC transit
Instal citra SD-WAN pihak ketiga pada instance ECS di VPC transit dan gunakan pengontrol SD-WAN pihak ketiga untuk mengelola citra. Beli EIP dan hubungkan EIP ke gateway VPN di jaringan cabang melalui terowongan IPsec-VPN publik. Gunakan alamat IP pribadi dan IPsec untuk membuat terowongan IPsec-VPN pribadi.
Pemilihan Wilayah:
Untuk mengakses VPC di wilayah tertentu dari jaringan cabang atau mengaktifkan komunikasi antar jaringan cabang, buat VPC transit di wilayah terdekat.
Untuk mengakses VPC di wilayah dari jaringan cabang, buat VPC transit di wilayah tersebut.
Desain koneksi IPsec-VPN (hubungkan jaringan cabang)
Pemilihan Wilayah: Buat koneksi IPsec-VPN di wilayah VPC transit.
Dua Koneksi IPsec-VPN untuk Routing ECMP:
Alibaba Cloud: Konfigurasikan dua koneksi IPsec-VPN dan buat attachment ke router transit. Tambahkan rute ke tabel rute router transit untuk merutekan lalu lintas ke dua koneksi IPsec-VPN untuk routing ECMP. Dengan cara ini, redundansi koneksi IPsec-VPN lintas zona dijamin dan total bandwidth terowongan IPsec-VPN ditingkatkan (1 Gbit/s per terowongan x Jumlah terowongan).
Citra SD-WAN Pihak Ketiga: Instal citra SD-WAN pihak ketiga pada dua instance ECS. Buat terowongan IPsec-VPN publik dan terowongan IPsec-VPN pribadi antara setiap perangkat SD-WAN dan gateway VPN di jaringan cabang, serta antara setiap perangkat SD-WAN dan setiap koneksi IPsec-VPN. Aktifkan perutean BGP di kedua sisi. Ketika perangkat SD-WAN mati, BGP secara otomatis mengumpulkan rute dan gagal ke jalur lain.
Jaringan Cabang: Kami merekomendasikan agar Anda menyiapkan dua perangkat gateway dan membuat terowongan pada setiap perangkat gateway. Tentukan dua perangkat gateway sebagai hop berikutnya untuk routing ECMP. Dengan cara ini, pemulihan bencana multi-perangkat gateway (multi-terowongan) diimplementasikan dan total bandwidth terowongan IPsec-VPN ditingkatkan (1 Gbit/s per terowongan x Jumlah terowongan).
Untuk informasi lebih lanjut, lihat Batasan.
Desain router transit
Attachment untuk VPC Transit: Bangun jaringan underlay dengan membuat terowongan IPsec-VPN pribadi antara perangkat SD-WAN pihak ketiga dan koneksi IPsec-VPN pribadi.
Attachment untuk Koneksi IPsec-VPN Pribadi: Hubungkan perangkat SD-WAN pihak ketiga ke router transit.
Attachment untuk VPC Produksi Intra-region dan VBR: Hubungkan jaringan cabang ke VPC produksi dan VBR.
Buat koneksi lintas wilayah ke router transit di wilayah lain.
Konfigurasikan tabel rute router transit dan kebijakan perutean untuk mengontrol pembelajaran rute dan iklan antara koneksi IPsec-VPN dan VPC produksi.
Untuk informasi lebih lanjut, lihat Batasan.
SD-WAN pihak ketiga yang dapat diintegrasikan
Untuk SD-WAN pihak ketiga yang dapat diintegrasikan, kunjungi https://cen.console.alibabacloud.com/cen/market.
Skenario
Hubungkan pusat data ke cloud
Selama migrasi cloud, perusahaan perlu menghubungkan pusat data ke cloud. Solusi jaringan tradisional yang menggunakan jalur sewa memakan waktu dan mahal. Solusi VPN memiliki batasan dalam skenario penggunaan bandwidth tinggi dan operasi & pemeliharaan jaringan global. Solusi SD-WAN dapat secara efisien mengurangi biaya jaringan dan mengurangi waktu yang diperlukan untuk menyiapkan jaringan. Selain itu, memungkinkan perusahaan memanfaatkan sepenuhnya jalur sewa yang ada atau Internet untuk efisiensi biaya.
Hubungkan jaringan cabang
Ekspansi bisnis yang cepat menimbulkan tantangan besar dalam menghubungkan jaringan cabang ke jaringan sistem pusat secara aman dan efisien. Karyawan di kantor cabang biasanya tidak terbiasa dengan industri TI. Oleh karena itu, insinyur TI di pusat mungkin perlu menghubungkan ribuan atau bahkan puluhan ribu jaringan. Mereka membutuhkan solusi jaringan yang efisien. Didukung oleh solusi SD-WAN pihak ketiga yang disediakan oleh Alibaba Cloud, perusahaan dapat mengonfigurasi dan mengelola secara terpusat sejumlah besar jaringan cabang.
Percepat jaringan kantor
Semakin banyak perusahaan perlu mengirim karyawan ke kantor di luar China untuk ekspansi bisnis global. Dalam skenario ini, kualitas dan keberhasilan bisnis bergantung pada kualitas transmisi data jarak jauh. Solusi SD-WAN pihak ketiga menggunakan sumber daya transport lintas wilayah yang disediakan oleh Alibaba Cloud CEN untuk sangat meningkatkan kualitas pengiriman konten jarak jauh. CEN siap digunakan setelah aktivasi dan menggunakan metode penagihan bayar sesuai pemakaian untuk membantu Anda mengurangi biaya. Selain itu, memungkinkan Anda menyesuaikan sumber daya sesuai permintaan untuk membantu Anda dengan cepat memperluas bisnis Anda di pasar global.