全部產品
Search

搜尋本產品

    Cloud Network Well-architected Design Guidelines:同地區多VPC網路設計

    文件中心

    Cloud Network Well-architected Design Guidelines:同地區多VPC網路設計

    更新時間:Jan 25, 2025

    概述

    背景介紹

    隨著雲端運算的快速發展,企業紛紛在雲端構建複雜的網路架構以支援不同的業務情境逐漸從粗放式經營向精細化管理過渡,關注組網、安全、容災與擴充等關鍵問題。其中,同地區跨VPC互聯的網路設計尤為關鍵,對確保高效率、高安全性和高可用性至關重要。本文重點討論在阿里雲環境中,如何使用VPC對等串連和轉寄路由器,針對不同的客戶情境和需求,構建高效、安全且高可用的同地區多VPC網路架構,提供一套Well-Architected解決方案。

    基本概念

    • Virtual Private Cloud:VPC是使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間邏輯隔離,使用者可以自訂IP位址範圍、建立子網、配置路由表。

    • VPC對等串連:VPC對等串連是兩個VPC之間的網路連接,支援IPv4或IPv6互連 。您可以通過VPC對等串連實現IPv4或IPv6流量互連,從而實現同帳號或跨帳號的兩個VPC間同地區或跨地區的私網互連。

    • 雲企業網CEN:雲企業網支援在地區內定義靈活的互連、隔離、引流策略,協助您打造一張靈活、可靠、大規模的企業級全球互連網絡。

    • 轉寄路由器TR:轉寄路由器TR是雲企業網中的一個組件,它充當中心路由器的角色,可以串連不同的VPC、VPN、VBR、雲端服務等。TR提供了高度靈活的網路路由服務,支援多路由表和進階路由策略,方便使用者在複雜網路環境中管理流量和策略。它是多VPC網路設計中實現複雜網路架構和跨賬戶網路架構的關鍵組件。通過使用TR,使用者能夠實現不同網路間的集中化管理和流量控制,同時也簡化了網路架構和操作複雜性。

    設計原則

    可持續架構:隨著客戶雲上業務規模的發展,需要在整體架構不變的情況下,支援更多的VPC串連、路由條目配置以及可能的網路安全性原則。

    安全有限互訪:通過網路路由實現不同VPC網段的按需互連,確保敏感性資料和系統不會被未授權訪問和相互幹擾,做到精細化的許可權控制和安全管理。

    滿足業務效能:根據不同業務需求來最佳化網路設計,比如為特定應用程式配置特定的網路拓撲結構,或者根據流量模式最佳化網路效能。

    設計關鍵點

    在設計同地區多VPC網路時,VPC對等串連和轉寄路由器各有所長,需要基於具體需求進行綜合考慮:

    VPC對等串連更適合網路結構簡單、流量低且無需擴充的環境,可以提供直接的串連和較低的延遲,成本效益顯著,便於最小化操作複雜性。

    轉寄路由器則適用於需要大規模網路互連、高度可靠性、可擴充和靈活的路由管理的情境。儘管TR有一定成本,但其提供了更強大的功能和更高的操作便捷性,尤其是在串連了大量VPC的複雜網路結構中,需要綜合考慮安全性、可靠性、效能效率、成本最佳化、部署最佳化等Well-Architected Framework的關鍵領域,TR會更適合。

    安全

    • VPC間互訪:除安全性群組和網路ACL外,可以通過TR聯動路由策略功能進行集中式的網路流量管理,易於實現統一的安全性原則和監控。TR支援聯動Cloud Firewall,進一步保障企業內部不同業務單元的資料隔離和安全。

    • TR多路由表設計:在TR網路中,可以建立多個路由表來實現公網環境、生產環境、測試開發環境之間的安全隔離。每個VPC環境都可以關聯到特定的路由表,聯動路由策略來控制不同環境之間的存取權限。多路由表設計允許您靈活地定義哪些交換器能夠訪問互連網、哪些交換器僅限於私人網路之間的通訊,以及哪些交換器可以互相訪問。

    • 服務鏈結設計:服務鏈結是一種網路設計原則,其中網路流量可以按順序通過一系列的網路服務,如防火牆、入侵偵測系統、負載平衡等。通過服務鏈結設計,您可以強制實施網路流量必須通過特定的安全檢查點,從而提高安全性和合規性。例如,將所有出口或入口流量通過TR定向經過Cloud Firewall,確保所有流量都符合安全性原則。

    • 多TR平面隔離設計:使用多TR平面可以將不同的網路環境隔離開,例如將生產環境、開發環境和管理網路的環境分別隔離,或者以不同的子公司維度進行環境隔離。每個TR可以有自己的路由表和安全性原則,從而實現更細粒度的網路隔離和控制。這種設計通常用於更複雜的組織圖,其中不同的部門或業務線需要獨立的網路分隔,以符合內部治理和合規要求。

    效能

    • VPC對等串連提供直接穩定的串連,通過靜態路由配置,有效減少網路鏈路冗餘,提升網路可靠性。尤其在簡單網路拓撲中,其管理直觀,便於維護高可用性。

    • 轉寄路由器提供動態路由和容錯移轉機制,增強網路冗餘性和鏈路自愈能力。TR支援VPC對等串連不具備的路由傳遞,進一步加強了組網可靠性。同時,TR具備可用性區域層級的管理能力,可以基於資源所在可用性區域選擇TR的交換器,降低轉寄時延,構建可視化的高可用架構。

    彈性

    • VPC對等串連提供了低延遲的網路連接,適合延遲敏感型應用。對於同地區多VPC通訊,提供最直接的資料轉送路徑。

    • 轉寄路由器支援多VPC間的高效資料轉送,並能夠根據即時的網路狀況動態最佳化路由,且TR可以有效處理大規模網路的複雜性和資料吞吐需求。每個網路執行個體串連支援的最大頻寬為:華東1(杭州)、華東2(上海)、華北2(北京)、華南1(深圳)、中國香港、新加坡地區為50 Gbps,其餘地區為10 Gbps。

    可觀測

    • VPC對等串連支援通過開通流日誌以及SLS進行VPC間的流量分析。

    • 網路智慧型服務NIS支援對TR組網架構進行拓撲發現和管理,以及同地區VPC間流量進行效能監控和流量分析。通過整合機器學習、知識圖譜等AIOps方法減少網路使用複雜性,提供自助營運能力,方便網路架構師和營運工程師更快捷地設計和使用網路。

    設計最佳實務

    在實現同地區多VPC的架構設計後,確保各VPC間高效互聯至關重要。VPC對等串連和轉寄路由器均可作為串連方案,前者通常用於簡單的一對一VPC網路連接,後者則針對複雜網路環境,如多VPC、跨賬戶串連及進階路由需求,展現出更廣泛的適用性。通過合理配置TR,您可以靈活地調整和最佳化網路流量路徑,確保網路設計的延展性和安全性。

    簡單網路互聯情境

    簡單網路互聯情境中,兩個業務單元分別位於獨立的VPC中,它們通過VPC對等串連確保了內部網路的連通性及安全性,同時維持著各自的業務隔離。鑒於當前及未來較長時期內無需擴充,這種架構穩定且高效。VPC A與VPC B間實現了資源共用和互訪,當VPC A與VPC B都關聯了IPv6 CIDR網段時,每個VPC的路由表可同時配置對端VPC的IPv4與IPv6路由條目,使用者可根據實際需要靈活選擇IPv4或IPv6進行通訊。

    image

    複雜網路互聯情境

    image

    • DMZ地區(DeMilitarized Zone):作為網路安全緩衝區,通常包含對外訪問和被訪問的服務元件,如DDoS、WAF、NAT Gateway、負載平衡、業務前端伺服器等。它作為內部網路(例如生產環境)和外部網路(例如公用互連網)之間的中介層,提供額外的安全保護。

    • 共用服務區:部署被多個環境共用的服務,如身份認證服務、集中日誌管理服務、內部DNS解析等,允許各個環境訪問共用資源,減少重複部署。

    • 生產環境:託管運行中的商務應用程式和服務,具備最進階別的安全控制和監控。此環境需要密切監控和管理,以確保高可用性和效能。不同的業務與專案,可以再進行不同的VPC拆分。

    • 開發環境隔離於生產環境,專供開發人員進行代碼編寫與初步測試,避免開發活動影響生產服務。不同的業務、專案,可以再進行不同的VPC拆分。

    • 測試環境:作為深入測試地區,類比生產環境進行整合測試、效能測試和使用者驗收測試,以確保在實際部署前發現問題。

    • 安全VPC:託管安全相關的工具和服務,如東西向防火牆、入侵偵測系統(IDS)、漏洞掃描工具等,專註於監控和保護整個多VPC架構的安全。

    • 營運&VPN接入區:專門用於營運人員遠端存取和雲環境管理。通常包含VPN服務和其他遠端存取工具(如無影),有助於安全地控制對雲資源的訪問。

    情境1:單平面組網

    企業多個業務VPC之間通過TR進行大規模組網,實現VPC之間的按需互連。同時構建DMZ VPC以統一管理所有公網出入流量。生產、開發、測試等不同業務之間的存取控制均通過TR路由表中的路由條目和路由策略進行管理。

    情境2:多平面組網

    集團型商業網路架構通常映射其組織圖,形成集團-子公司-業務單元三級網路布局,需採用多平面架構以滿足複雜需求。多平面組網架構實施有兩大策略:通過多個TR執行個體或者通過TR路由表進行平面切分。平面切分遵循橫向與縱向邏輯。橫向切分適用於集中式營運模式,將網路分為生產、開發測試及共用服務等層面;而縱向分割則按子公司劃分,適合各子公司擁有獨立營運團隊的情境。

    通過多個TR執行個體進行多平面組網

    多個VPC間通過多個TR平面構建多平面組網,實現多環境隔離,僅共用服務VPC與多個TR平面內的所有VPC互聯互連。如圖所示,通過TR-1進行平面1的規模組網,TR-2進行平面2的規模組網,且共用服務VPC可分別訪問TR-1和TR-2內的VPC。

    image

    通過TR多路由表進行多平面組網

    按照TR路由表劃分成多平面,各子公司VPC綁定獨立的TR路由表。TR路由表中的路由配置和路由策略決定子公司之間的互連。同時可以構建公網路由表,僅用於管理DMZ VPC的路由轉寄,作為各個子公司公網南北向流量管理的統一出入口。

    image

    應用情境介紹

    業務簡單互連情境:適用於雲上網路結構簡單,僅需A和B業務間直接通訊,例如企業簡單的服務調用情境,對安全性和彈性要求較低。

    企業雲上標準組網情境:適用於中大型及集團化企業,業務單元眾多,且涵蓋多樣化的業務單元互動模式(全互連、有限互連、不互連)。要求雲網路具備高可靠性、安全性和彈性,能夠支撐業務單元的規模化增長,同時能夠較為便捷地進行集中化網路管理。

    Terraform參考

    簡單網路互聯(使用對等串連)

    專案

    說明

    Terraform Module官網地址

    簡單網路互聯(使用對等串連)

    Github 地址

    簡單網路互聯(使用對等串連)

    樣本地址

    樣本地址

    代碼流程:

    1. 建立雲上VPC。

    2. 建立VPC對等串連並配置路由條目,實現VPC的兩兩互連。

    需要建立的執行個體如下:

    • 3個VPC

    • 3個VPC對等串連

    複雜網路互聯通過TR多路由表進行多平面組網

    專案

    說明

    Terraform Module官網地址

    複雜網路互聯(通過TR多路由表進行多平面組網)

    Github 地址

    複雜網路互聯(通過TR多路由表進行多平面組網)

    樣本地址

    樣本地址

    代碼流程:

    1. 劃分生產、測試、DMZ區環境在每個環境內建立多個VPC及對應交換器。

    2. 建立CEN和TR通過TR-attachment把VPC加入CEN中。

    3. 為不同環境分別建立TR路由表在每個路由表內建立對應路由條目,實現路由的隔離和打通。

    4. 為TR路由表和TR-attachment建立關聯。

    需要建立的執行個體如下:

    • 5個VPC

    • 15個交換器

    • 1個CEN

    • 1個TR

    • 5個TR-attachment

    • 3個TR路由表