Ikhtisar
Informasi latar belakang
Dengan perkembangan pesat komputasi awan, semakin banyak perusahaan membangun arsitektur jaringan kompleks untuk berbagai skenario bisnis. Perusahaan beralih ke operasi dan manajemen yang lebih terperinci serta fokus pada keamanan jaringan, skalabilitas, dan pemulihan bencana. Merancang jaringan antar-wilayah yang terdiri dari beberapa virtual private cloud (VPC) sangat penting untuk efisiensi, keamanan, dan ketersediaan jaringan. Topik ini menggambarkan cara menggunakan Koneksi peering VPC dan Router transit untuk membangun arsitektur jaringan dengan efisiensi tinggi, keamanan tinggi, dan ketersediaan tinggi yang mencakup beberapa VPC di wilayah yang sama di Alibaba Cloud. Ini adalah solusi desain yang baik yang berfokus pada kebutuhan dan skenario bisnis pelanggan yang berbeda.
Istilah
VPC: VPC adalah jaringan pribadi kustom yang dibuat pelanggan di Alibaba Cloud. VPC saling terisolasi satu sama lain. Anda dapat menentukan blok CIDR, subnet, dan tabel rute untuk VPC Anda.
Koneksi peering VPC: Koneksi peering VPC adalah koneksi jaringan yang menghubungkan dua VPC. Koneksi peering VPC mendukung IPv4 dan IPv6. Anda dapat membuat koneksi peering untuk menghubungkan VPC yang berada di wilayah yang sama atau berbeda dan milik Akun Alibaba Cloud yang sama atau berbeda.
Cloud Enterprise Network (CEN): CEN mendukung kebijakan komunikasi, isolasi, dan pengalihan kustom di wilayah untuk membantu Anda membangun jaringan global berskala besar dan kelas perusahaan yang fleksibel dan andal.
Router transit: Router transit adalah salah satu jenis komponen CEN. Mereka adalah router yang menghubungkan VPC yang berbeda, gateway VPN, Virtual Border Router (VBR), dan layanan cloud. Router transit mendukung fitur perutean yang sangat fleksibel. Misalnya, Anda dapat menggunakan beberapa tabel rute dan kebijakan perutean lanjutan untuk mengelola pengalihan lalu lintas dalam lingkungan jaringan yang kompleks. Router transit adalah komponen utama jika Anda ingin merancang arsitektur jaringan yang kompleks yang mencakup beberapa VPC lintas akun. Anda dapat menggunakan router transit untuk mengelola dan mengontrol lalu lintas jaringan antara jaringan yang berbeda dan menyederhanakan arsitektur jaringan serta operasinya.
Highlight solusi
Arsitektur Berkelanjutan: Saat pelanggan memperluas bisnis di cloud, penambahan koneksi VPC, entri rute, dan kebijakan keamanan dapat dilakukan tanpa perlu mengubah arsitektur yang sudah ada.
Akses Aman dan Terbatas: Untuk menerapkan manajemen izin dan kontrol akses yang lebih terperinci, komunikasi antara blok CIDR VPC dibatasi sesuai kebutuhan guna melindungi data sensitif dan sistem dari akses tidak sah.
Kinerja Layanan Tinggi: Desain jaringan disesuaikan dengan kebutuhan bisnis. Sebagai contoh, topologi jaringan dioptimalkan untuk aplikasi tertentu atau pola lalu lintas untuk meningkatkan kinerja jaringan.
Desain utama
Koneksi peering VPC dan router transit memiliki keunggulan yang berbeda. Saat Anda menyebarkan beberapa VPC di wilayah yang sama, pertimbangkan persyaratan bisnis Anda.
Koneksi peering VPC cocok untuk lingkungan dengan arsitektur jaringan sederhana, volume lalu lintas rendah, dan persyaratan skalabilitas terbatas. Koneksi ini mendukung akses langsung serta latensi rendah, sehingga mengurangi kompleksitas operasi dan biaya.
Router transit lebih sesuai untuk skenario yang memerlukan komunikasi jaringan berskala besar, keandalan tinggi, skalabilitas tinggi, dan manajemen rute fleksibel. Meskipun memerlukan biaya lebih tinggi, router transit menawarkan fitur canggih dan fleksibilitas operasi yang lebih baik. Jika arsitektur jaringan Anda mencakup banyak VPC, pertimbangkan aspek keamanan, keandalan, kinerja, optimasi biaya, dan penerapan. Router transit sangat cocok jika Anda mengutamakan prinsip Kerangka Kerja Well-Architected.
Keamanan
Komunikasi VPC-to-VPC: Selain grup keamanan dan daftar kontrol akses jaringan (ACL), Anda dapat mengonfigurasi kebijakan perutean pada router transit untuk mengelola pengalihan lalu lintas. Implementasikan kebijakan keamanan dan pemantauan terpadu dengan mengintegrasikan router transit dan Cloud Firewall untuk mengisolasi data serta meningkatkan keamanan antar unit bisnis.
Tabel rute ganda untuk router transit: Router transit mendukung tabel rute ganda, memungkinkan isolasi lalu lintas jaringan di lingkungan publik, produksi, pengujian, dan pengembangan. Setiap VPC dapat dikaitkan dengan tabel rute dan kebijakan perutean tertentu untuk mengontrol akses antar lingkungan. Router transit juga memungkinkan Anda mendefinisikan vSwitch mana yang dapat mengakses Internet, hanya tersedia dalam jaringan pribadi, atau saling mengakses.
Rantai layanan: Rantai layanan adalah serangkaian layanan jaringan yang dilakukan secara berurutan, seperti firewall, sistem deteksi intrusi, dan load balancer. Ini meningkatkan keamanan dan kepatuhan dengan menentukan titik pemeriksaan keamanan untuk lalu lintas jaringan. Misalnya, Anda dapat mengarahkan ulang semua lalu lintas masuk atau keluar ke Cloud Firewall untuk menyaring dan hanya mengizinkan lalu lintas tepercaya.
Isolasi oleh router transit: Gunakan router transit yang berbeda untuk mengisolasi lingkungan jaringan seperti produksi, pengembangan, dan manajemen jaringan. Anda juga dapat mengisolasi jaringan antara anak perusahaan. Setiap router transit mendukung tabel rute dan kebijakan keamanan untuk mengimplementasikan isolasi jaringan dan kontrol akses yang lebih terperinci. Desain ini biasa digunakan oleh perusahaan dengan struktur organisasi kompleks yang memerlukan isolasi jaringan antar departemen atau jalur bisnis guna memenuhi tata kelola internal dan kepatuhan.
Kinerja
Koneksi peering VPC mendukung akses langsung dan stabil. Dengan mengonfigurasi rute statis, Anda dapat mengurangi jarak jaringan dan meningkatkan keandalan. Koneksi peering VPC memberikan ketersediaan lebih tinggi dan manajemen lebih mudah dalam topologi jaringan sederhana.
Router transit mendukung perutean dinamis dan failover, meningkatkan redundansi jaringan dan koneksi failover. Sementara koneksi peering VPC bersifat point-to-point, router transit mendukung komunikasi jaringan yang lebih kompleks untuk meningkatkan keandalan. Router transit juga mendukung manajemen sumber daya di tingkat zona, memungkinkan Anda memilih router transit di zona sumber daya Anda untuk mengurangi latensi pengalihan dan membangun arsitektur ketersediaan tinggi yang divisualisasikan.
Elastisitas
Koneksi peering VPC mendukung latensi rendah dan cocok untuk aplikasi sensitif-latensi. Koneksi ini memberikan transmisi data paling langsung antar VPC di wilayah yang sama.
Router transit mendukung transmisi data kecepatan tinggi antar VPC dan secara dinamis memilih rute optimal berdasarkan status jaringan. Router transit cocok untuk arsitektur jaringan berskala besar dan kompleks atau skenario yang memerlukan kapasitas throughput tinggi. Bandwidth maksimum antara instance jaringan dan router transit di China (Hangzhou), China (Shanghai), China (Beijing), China (Shenzhen), China (Hong Kong), dan Singapura adalah 50 Mbit/s. Bandwidth maksimum di wilayah lainnya adalah 10 Gbit/s.
Keterlihatan
Koneksi peering VPC memungkinkan Anda menggunakan log aliran dan Layanan Log Sederhana untuk menganalisis lalu lintas antar VPC.
Gunakan Network Intelligence Service (NIS) untuk menemukan router transit, mengelola topologi, memantau kinerja antar VPC di wilayah yang sama, dan menganalisis lalu lintas VPC. NIS terintegrasi dengan metode AIOps seperti pembelajaran mesin dan graf pengetahuan untuk menyederhanakan manajemen jaringan dan mengimplementasikan O&M otomatis. NIS memungkinkan arsitek jaringan dan insinyur O&M merancang serta menggunakan jaringan dengan efisiensi lebih tinggi.
Praktik terbaik
Setelah menyebarkan beberapa VPC di wilayah yang sama, menjaga koneksi efisien antar-VPC sangat penting. Baik menggunakan koneksi peering VPC maupun router transit dapat menjadi pilihan. Koneksi peering VPC merupakan koneksi point-to-point, sedangkan router transit lebih cocok untuk lingkungan jaringan kompleks seperti komunikasi multi-VPC, komunikasi lintas akun, dan perutean lanjutan. Dengan mengonfigurasi router transit secara tepat, Anda dapat menyesuaikan dan mengoptimalkan jalur lalu lintas secara fleksibel guna memastikan skalabilitas dan keamanan jaringan.
Skenario komunikasi jaringan sederhana
Dalam skenario komunikasi jaringan sederhana berikut, dua unit bisnis ditempatkan pada VPC terpisah. Koneksi peering VPC digunakan untuk membangun komunikasi jaringan yang aman sambil tetap mempertahankan isolasi antar unit bisnis. Arsitektur ini stabil dan efisien karena tidak memerlukan ekspansi skala jaringan dalam jangka panjang. VPC A dan VPC B dapat berbagi sumber daya serta saling mengakses. Saat VPC A dan VPC B dikaitkan dengan blok CIDR IPv6, Anda dapat menambahkan rute IPv4 dan IPv6 ke tabel rute VPC. Pengguna dapat mengakses VPC melalui rute IPv4 atau IPv6 sesuai kebutuhan mereka.
Skema komunikasi jaringan kompleks
Zona Demiliterisasi (DMZ): DMZ adalah buffer keamanan untuk jaringan. DMZ biasanya mencakup komponen layanan yang menghadap eksternal dan internal, seperti DDoS, Web Application Firewall (WAF), NAT Gateway, Server Load Balancer (SLB), dan server frontend. DMZ bertindak sebagai lapisan perantara antara jaringan internal seperti lingkungan produksi dan jaringan eksternal seperti Internet, meningkatkan keamanan jaringan.
Layanan Bersama: Layanan ini digunakan bersama oleh beberapa lingkungan. Contohnya termasuk layanan otentikasi identitas, layanan manajemen log, dan layanan resolusi DNS internal yang dapat diakses oleh berbagai lingkungan. Layanan bersama menghilangkan kebutuhan untuk menerapkan layanan secara berulang.
Lingkungan Produksi: Lingkungan produksi menampung aplikasi dan layanan bisnis yang beroperasi dengan tingkat kontrol dan pemantauan keamanan tertinggi. Anda harus memantau dan mengelola lingkungan produksi secara ketat untuk memastikan ketersediaan tinggi dan kinerja optimal. Anda dapat menggunakan VPC yang berbeda untuk membedakan antara bisnis dan proyek yang berbeda.
Lingkungan Pengembangan: Lingkungan pengembangan terisolasi dari lingkungan produksi dan digunakan oleh pengembang untuk penulisan kode serta pengujian awal. Hal ini mencegah aktivitas pengembangan memengaruhi layanan di lingkungan produksi. Anda dapat menggunakan VPC yang berbeda untuk membedakan antara bisnis dan proyek yang berbeda.
Lingkungan Pengujian: Sebagai area pengujian mendalam, lingkungan pengujian mensimulasikan lingkungan produksi untuk pengujian integrasi, pengujian kinerja, dan pengujian penerimaan pengguna guna memastikan bahwa masalah terdeteksi sebelum penerapan aktual.
VPC Keamanan: VPC keamanan menampung alat dan layanan terkait keamanan, seperti firewall timur-barat, sistem deteksi intrusi (IDS), dan pemindai keamanan cloud, untuk memantau dan melindungi seluruh arsitektur multi-VPC.
Area Integrasi O&M dan VPN: Area ini memungkinkan akses jarak jauh oleh insinyur O&M dan lingkungan cloud. Biasanya mencakup layanan VPN dan alat akses jarak jauh, seperti Elastic Desktop Service (EDS), yang memungkinkan Anda mengontrol akses ke layanan cloud.
Skenario 1: Jaringan single-pane
Gunakan router transit untuk menghubungkan beberapa VPC dan membangun komunikasi antar-VPC berdasarkan persyaratan bisnis. Buat VPC DMZ untuk mengelola semua lalu lintas Internet masuk dan keluar. Tambahkan entri rute ke tabel rute router transit dan buat kebijakan perutean untuk mengontrol akses antara lingkungan produksi, pengembangan, dan pengujian.
Skema 2: Jaringan multi-pane
Sebuah korporasi memetakan struktur organisasinya untuk membentuk tata letak jaringan tiga lapis: korporasi-anak perusahaan-unit bisnis. Tata letak ini memerlukan struktur multi-plane. Struktur multi-plane biasanya menggunakan strategi berikut: beberapa router transit atau tabel rute router transit yang dapat memisahkan plane. Plane dapat dipisahkan secara horizontal atau vertikal. Pemisahan horizontal ideal untuk O&M terpusat, dengan jaringan dibagi menjadi plane produksi, pengembangan, pengujian, dan layanan bersama. Pemisahan vertikal ideal untuk anak perusahaan yang memiliki tim O&M independen, dengan jaringan dipisahkan berdasarkan anak perusahaan.
Jaringan Multi-Plane Berdasarkan Beberapa Router Transit
Jaringan multi-plane yang mencakup beberapa VPC dibuat menggunakan router transit. Lingkungan diisolasi satu sama lain. Hanya VPC layanan bersama yang terhubung ke VPC lain di semua plane. Seperti ditunjukkan pada gambar berikut, Transit Router-1 digunakan untuk membangun jaringan di Plane 1, sedangkan Transit Router-2 digunakan untuk membangun jaringan di Plane 2. Hanya VPC layanan bersama yang dapat mengakses VPC yang terhubung ke Transit Router-1 atau Transit Router-2.
Jaringan Multi-Plane Berdasarkan Beberapa Tabel Rute Router Transit
Jaringan dibagi menjadi beberapa plane berdasarkan tabel rute router transit. VPC setiap anak perusahaan dikaitkan dengan tabel rute router transit terpisah. Komunikasi jaringan antar-VPC dikontrol berdasarkan rute dalam tabel rute router transit dan kebijakan perutean. Sementara itu, Anda dapat menggunakan tabel rute Internet untuk mengontrol pengalihan lalu lintas VPC DMZ, yang berfungsi sebagai egress dan ingress lalu lintas Internet Utara-Selatan untuk VPC setiap anak perusahaan.
Skema
Jaringan sederhana untuk bisnis: Dirancang untuk struktur jaringan cloud sederhana yang memerlukan komunikasi langsung antara Bisnis A dan Bisnis B, seperti panggilan layanan dasar yang tidak memerlukan tingkat keamanan atau elastisitas tinggi.
Jaringan standar di cloud: Cocok untuk korporasi berskala menengah dan besar dengan unit bisnis beragam yang memerlukan mode komunikasi berbeda, seperti komunikasi penuh, komunikasi terbatas, dan isolasi. Mode ini memerlukan keandalan, keamanan, dan elastisitas jaringan tinggi guna mendukung pertumbuhan bisnis yang cepat serta manajemen jaringan terpusat.
Referensi Terraform
Jaringan sederhana menggunakan koneksi peering VPC
Item | Referensi |
Situs web modul Terraform | |
URL GitHub | |
Contoh |
Proses coding:
Buat VPC di cloud.
Buat koneksi peering VPC dan konfigurasikan rute untuk membangun komunikasi jaringan antar-VPC.
Sumber daya yang diperlukan:
Tiga VPC
Tiga koneksi peering VPC
Jaringan kompleks menggunakan beberapa tabel rute router transit
Item | Referensi |
Situs web modul Terraform | Jaringan kompleks menggunakan beberapa tabel rute router transit |
URL GitHub | Jaringan kompleks menggunakan beberapa tabel rute router transit |
Contoh |
Proses coding:
Bagi lingkungan produksi, pengujian, dan DMZ, lalu sebarkan beberapa VPC dan vSwitch di setiap lingkungan.
Buat instance Cloud Enterprise Network (CEN) dan router transit. Hubungkan VPC ke instance CEN melalui router transit.
Buat router transit untuk setiap lingkungan, lalu tambahkan rute ke setiap tabel rute guna mengisolasi atau membangun komunikasi jaringan.
Kaitkan tabel rute router transit dengan lampiran pada router transit.
Sumber Daya yang Diperlukan:
5 VPC
15 vSwitch
1 Instans CEN
1 router transit
5 lampiran router transit
3 tabel rute router transit
Visualisasi arsitektur pada CADT
Jaringan sederhana menggunakan koneksi peering VPC
Skenario | Item | Referensi |
Jaringan sederhana | ID Template | CUMEUBXUD20D4IQ3 |
Alamat pustaka template | ||
Kode contoh | WA - Menyebarkan beberapa VPC di wilayah - Skenario komunikasi jaringan sederhana |
Visualisasi arsitektur penerapan
Prosedur
Penerapan visualisasi
Buat sumber daya cloud yang diperlukan, termasuk tiga VPC, tiga vSwitch, dan tiga koneksi peering VPC.
Buat aplikasi berdasarkan template. Wilayah default adalah China (Beijing). Buat sumber daya cloud baru, bukan menggunakan sumber daya cloud yang ada.
Simpan dan verifikasi aplikasi, lalu hitung biaya. Dalam contoh ini, semua sumber daya cloud ditagih berdasarkan bayar sesuai penggunaan.
Konfirmasi konfigurasi, pilih protokol, dan mulai penerapan semua sumber daya. Rute dikonfigurasi secara otomatis.
Panggilan API
Panggil operasi API yang sesuai untuk menyebarkan dan menggunakan sumber daya cloud.
Lihat dokumentasi untuk menginisialisasi konfigurasi menggunakan Antarmuka Baris Perintah (CLI).
Lihat contoh File YAML untuk menyebarkan dan mengeluarkan arsitektur.
Jika Anda ingin mengubah wilayah, ubah nilai field area_id. Misalnya, ubah cn-beijing menjadi cn-shanghai.
Jaringan kompleks menggunakan beberapa tabel rute router transit
Skenario | Item | Referensi |
Jaringan kompleks | ID Template | S5JCNNWUFQMSZFQ9 |
Alamat pustaka template | ||
Kode contoh | WA - Menyebarkan beberapa VPC di wilayah - Skenario komunikasi jaringan kompleks |
Visualisasi arsitektur penerapan
Prosedur
Penerapan visualisasi
Buat sumber daya cloud yang diperlukan, termasuk empat VPC, dua belas vSwitch, dan satu instance CEN.
Buat aplikasi berdasarkan template. Wilayah default adalah China (Beijing). Buat sumber daya cloud baru, bukan menggunakan sumber daya cloud yang ada.
Simpan dan verifikasi aplikasi, lalu hitung biaya. Dalam contoh ini, semua sumber daya cloud ditagih berdasarkan bayar sesuai penggunaan.
Konfirmasi konfigurasi, pilih protokol, dan mulai penerapan semua sumber daya. Rute dikonfigurasi secara otomatis.
Panggilan API
Panggil operasi API yang sesuai untuk menyebarkan dan menggunakan sumber daya cloud.
Lihat dokumentasi untuk menginisialisasi konfigurasi menggunakan Antarmuka Baris Perintah (CLI).
Lihat contoh File YAML untuk menyebarkan dan mengeluarkan arsitektur.
Jika Anda ingin mengubah wilayah, ubah nilai field area_id. Misalnya, ubah cn-beijing menjadi cn-shanghai.