概述
本文介紹
很多企業會通過SD-WAN實現多分支的內網打通,當企業開始使用公用雲時,企業同樣需要將雲上網路環境併入現有的SD-WAN組網中來。通常SD-WAN廠商會提供應用的鏡像,通過在雲上虛擬機器安裝vCPE實現在雲上的組網應用能力部署。本方案介紹如何利用第三方 SD-WAN和雲上現有的組網能力,實現高效、安全、可靠的分支上雲網路架構。
基本概念
SD-WAN:SD-WAN,即軟體定義程式廣域網路,是一種網路技術,它通過軟體定義程式網路(SDN)的原則,將控制層和資料層從邏輯上分離開來,並集中管理和控制這些功能,從而實現對分布式網路的智能管理和最佳化。
VPC:專用網路是您專有的雲上私人網路。您可以完全掌控自己的專用網路,例如選擇IP位址範圍、配置路由表和網關等,您可以在自己定義的專用網路中使用阿里雲資源,如Elastic Compute Service(Elastic Compute Service)、雲資料庫RDS(Relational Database Service)和Server Load Balancer等。
CEN:雲企業網CEN(Cloud Enterprise Network)是運行在阿里雲私人全球網路上的一張高可用網路。雲企業網通過轉寄路由器TR(Transit Router)協助您在跨地區專用網路之間,專用網路與本機資料中心間搭建私網通訊通道,為您打造一張靈活、可靠、大規模的企業級雲上網路。
Express Connect:阿里雲Express Connect(Express Connect)可在本機資料中心IDC(Internet Data Center)和雲上Virtual Private Cloud(Virtual Private Cloud)間建立高速、穩定、安全的私網通訊。Express Connect的物理專線資料轉送過程可信可控,避免網路品質不穩定問題,同時可避免資料在傳輸過程中被竊取。
設計原則
該架構設計原則如下:
穩定性:組網服務承載的流量都是企業內部的業務流量,混合雲或多雲鏈路的穩定性至關重要,一旦鏈路中斷,雲上雲下和雲間的業務互訪將不可達,從而影響業務間的互動,甚至可能出現核心業務不可用等問題,對業務影響較大。所以混合雲和多雲網路的穩定性是商業網路架構設計的重中之重。
安全性:混合雲和多雲架構涉及不同網路域之間的互連,且企業內部也存在不同安全等級的業務,特別是對重要業務的訪問,通常需要做到安全可控和最小許可權按需互連原則,防止企業內部資料泄露和濫用,滿足企業內部的資料安全要求。
自服務:該方案涉及到第三方 SD-WAN的配置和交付,對於企業的IT營運人員來說是額外的學習成本。方案在雲上的快速部署、交付、高效營運,對企業長期使用SD-WAN方案至關重要。阿里雲聯合多家品牌和夥伴,針對三方產品在阿里雲上的服務交付給出了豐富的服務支撐。
設計關鍵點
穩定
鏈路容災
分支上雲鏈路,分支到阿里雲的underlay線路選擇不同的線路供應商實現物理通道的高可用,例如公網+專線;4G+有線;電信+聯通等。容災切換依賴於SD-WAN產品的鏈路切換能力,請與您的SD-WAN供應商確認具體方案。專線高可用架構設計請參照Express Connect高可靠模式推薦方案:高可靠模式.
雲上同地區鏈路,同地區跨可用性區域和跨VPC傳輸鏈路由阿里雲提供高可用保障。雲上同地區多個可用性區域通過超大規模城域專用光纖冗餘串連,毫秒級故障倒換。
雲上跨地區鏈路,cen跨域鏈路由阿里雲提供高可用保障。多條跨域專線構建主備換網,使2點間不少於3條路徑保護;多平面網路異常檢測技術可以自動選擇最優路徑,實現故障的秒級切換。
網元容災
雲上網路
雲原生網元,專線網關ECR提供多可用性區域容災能力,單可用性區域具備多叢集部署容災能力,單叢集故障業務無中斷;轉寄路由器TR提供多可用性區域容災能力,流量自動選擇就近可用性區域的ENI轉寄,單可用性區域不可用時自動轉寄到其他可用性區域的ENI。可用性區域內的每個ENI對應多台轉寄節點,單節點故障秒級收斂。
第三方 SD-WAN網元,推薦在雲上設定獨立VPC多可用性區域部署第三方 SD-WAN鏡像,SD-WAN與TR建立IPsec VPN並通過BGP同步路由,利用BGP動態路由實現自動化故障切換。請向您的SD-WAN供應商諮詢具體的配置方案,雲上BGP over IPsec配置可以參考:第三方SD-WAN裝置對接轉寄路由器實現IDC與VPC互連。
安全
雲上設定中轉vpc
在雲上雲下的網路互動之間提供安全緩衝區域,可以在這裡設定防火牆、入侵偵測系統等安全措施監控和過濾流量;
可以更精細的管理哪些使用者和裝置被允許訪問特定的網路資源;
提供了一個理想的位置記錄和監控雲上雲下互連的流量。
配置安全服務鏈結
SD-WAN上雲流量可以通過TR路由到獨立的安全VPC(阿里雲VPC牆或自建三方牆),實現東西向流量的安全審計
TR實現安全服務鏈結時,須遵循路由的最小放通原則
合理設定安全性群組和網路ACL:使用安全性群組和網路ACL來限制進出VPC的流量。為每個執行個體或服務配置適當的安全性群組規則,只允許必要的連接埠和協議。
效能
密碼編譯演算法,該組網情境端到端經過的網元數量較多,且流量在雲上會經過IPsec隧道的加解密,VPN加解密演算法會直接影響端到端的延遲和單串連頻寬最大值,在極致效能的傳輸情境需要額外關注。如果VPN網關執行個體的頻寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小;3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。
延遲,極致延遲情境需要盡量保證轉寄資源在同一可用性區域,請聯絡您的阿里雲架構師進一步諮詢。
頻寬,該方案上雲頻寬上限受限於本網公網出口頻寬、專線頻寬、第三方 SD-WAN轉寄效能、IPsec-VPN單串連頻寬上限的限制。IPsec-VPN單串連最大支援1000Mbps,如需更大上雲頻寬,需要配置多IPsec的 ECMP,請諮詢您的SD-WAN供應商諮詢能否支援BGP ECMP配置。阿里雲VPN多鏈路負載請參考:建立多條公網IPsec-VPN串連實現流量的負載分擔
彈性
該方案整體不具備彈效能力,端到端鏈路的彈性受限於本網公網出口頻寬、專線頻寬、第三方 SD-WAN轉寄效能的影響,如果需要擴容傳輸頻寬,需要評估傳輸鏈路、CPE、SD-WAN應用的轉寄能力
可觀測
通過NIS和流日誌可以實現雲上流量的可觀測
同地區流量分析,基於VPC流日誌和TR流日誌,分析使用者本端VPC經過TR轉寄流向同地區對端VPC的流量分布情況,支援分別以執行個體(一元組)、IP對(二元組)和網路會話層(五元組)的粒度展開流量的可視化分析。
混合雲流量分析,基於TR流日誌,分析使用者VPC經過TR和VBR轉寄流向線下IDC的流量分布情況,支援分別以執行個體(一元組)、IP對(二元組)和網路會話層(五元組)的粒度展開流量的可視化分析。
自服務
目前阿里雲上提供了豐富的第三方 SD-WAN雲上部署能力
控制台:在CEN控制台可以直接下單建立阿里雲市場已支援的第三方 SD-WAN執行個體鏡像
具體組網配置可以參照文檔:第三方SD-WAN裝置對接轉寄路由器實現IDC與VPC互連
計算巢:使用計算巢控制台服務市場篩選網路方案
設計最佳實務
中轉VPC設計
中轉VPC內在ECS中安裝第三方 SD-WAN鏡像,鏡像被三方SD-WAN控制器管理,使用公網EIP與分支中VPN網關裝置建立公網IPsec隧道、使用私網IP和IPsec串連建立私網IPsec隧道
地區選擇:
某分支要訪問雲上某些地區的VPC、或者要和多地分支互連,則就近此分支選擇中轉VPC的地區
某分支要訪問某個地區的VPC,則可在此地區建立中轉VPC
IPsec串連設計(串連分支網路)
地區選擇:和中轉VPC在相同地區
雙IPsec形成ECMP(等價多重路徑):
阿里雲:配置2個IPsec串連並配置attachment到TR,TR路由表出介面到2個IPsec串連形成ECMP,既能做IPsec多可用性區域容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)
第三方 SD-WAN鏡像:選用2台ECS各安裝1個鏡像,每個鏡像和分支VPN網關、IPsec串連各建立一個公網IPsec隧道和私網IPsec隧道、兩邊都運行BGP路由協議,當某個鏡像故障後BGP協議收斂路由自動切掉故障轉寄路徑
分支側:建議用2台裝置各建一個隧道,分支網路選擇2個裝置作為路由下一跳形成ECMP,既能做多裝置(多隧道)容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)
容量和規格限制,請參考:使用限制
轉寄路由器TR設計
Attachement中轉VPC:給第三方 SD-WAN鏡像和IPsec私網串連間建立私網IPsec隧道做underlay網路互連
Attachement中轉IPsec私網串連:給第三方 SD-WAN鏡像接入TR做中轉通道
Attachement同地區的業務VPC/VBR等:打通分支到業務VPC或VBR的訪問
和其他地區的TR建立跨地區串連,做跨地區間的業務互連
TR的多路由表、路由策略可以控制IPsec串連和業務VPC之間的路由學習和宣告,實現隔離
容量和規格限制,請參考:使用限制
可整合支援的第三方 SD-WAN
第三方 SD-WAN可整合列表,請參考:https://cen.console.alibabacloud.com/cen/market
應用情境介紹
多資料中心互連
企業業務逐步上雲的過程中,需要實現雲上和雲下資料中心的網路打通和資料互動。傳統的專線組網耗時間長度且成本較高;VPN方案在網路全域營運和大頻寬情境存在一定局限性。SD-WAN方案可以有效降低組網成本,壓縮組網時間周期,快速實現組網互連。另外可以充分利舊已有的專線、公網等線路資源,協助企業實現高性價比組網
多分支組網
隨著企業的發展與擴張,門店業務高效安全的接入總部系統對組網方案提出了很大挑戰。門店業務人員往往不具備專業的IT知識,而總部的IT人員面對數千甚至上萬的門店網路接入,需要一套有效方案進行管理。藉助部署在阿里雲的第三方 SD-WAN方案,企業可以同時藉助阿里雲和SD-WAN廠商技術的優勢,實現海量門店網路的統一管理和配置。
辦公組網加速
隨著企業的擴張,可能需要派遣員工在全球多地區開展業務拓展。網路的長途傳輸品質問題極大的影響業務拓展的效率和成功率,需要特別關注和解決。第三方 SD-WAN方案藉助阿里雲CEN的跨地區傳輸資源,能夠極大的最佳化長途傳輸的網路品質,而且可以隨用隨付,即開即用,彈性擴縮,可以助力全球化業務的快速拓展與成功。