Cloud Network Well-architected Design Guidelines：同地區單VPC網路設計

概述

背景介紹

VPC作為雲端運算最基礎的組件，是使用者上雲第一步。缺乏前瞻性視角的網路設計可能為未來業務拓展埋下隱患，進行網路重構不僅將面臨高昂的成本，更可能導致商務程序受到嚴重影響。如果您需要約束某些部署業務訪問公網的行為，且業務間存在嚴格的網路隔離訴求，您可以參考本文提供的實踐方案，綜合考慮地址分配、子網劃分、路由設計、安全防護等多個關鍵點，進行同地區單VPC網路設計。

基本概念

Virtual Private Cloud：VPC是您專有的雲上私人網路。您可以完全掌控自己的專用網路，包括選擇IP位址範圍、配置路由和網關等。您可以在建立的專用網路中使用阿里雲產品，如Elastic Compute Service、Server Load Balancer和雲資料庫RDS等。每個VPC至少由三部分組成：私網網段、交換器和路由表。

• 私網網段：在建立專用網路和交換器時，您需要以CIDR地址塊的形式指定專用網路使用的私網網段。

• 路由表：建立VPC後，系統會自動為您建立一張系統路由表並為其添加系統路由來管理VPC的流量。

• 交換器：您可以通過建立交換器為專用網路劃分一個或多個子網。同一專用網路內的不同交換器之間內網互連。您可以將應用部署在不同可用性區域的交換器內，提高應用的可用性。

IPv4網關：作為連通VPC和互連網的公網流量網關，出入VPC的IPv4公網訪問流量經過IPv4網關轉寄與管控，實現公網訪問的集中管理與控制。藉助IPv4網關，您可以通過路由配置來集中管控VPC內執行個體的公網訪問行為，僅配置路由指向IPv4網關的交換器具備直接存取公網的能力。

NAT Gateway：作為網路位址轉譯網關，分為公網NAT Gateway和VPC NAT Gateway。當您需要主動訪問公網的伺服器較多時，可以通過公網NAT Gateway的SNAT功能，實現VPC內的多個ECS執行個體共用EIP上網，節省公網IP資源。通過轉換和隱藏雲端服務地址，能避免私網地址直接暴露，提升網路安全性。VPC NAT Gateway可以實現私網IP地址的轉換，解決IP地址衝突問題。

負載平衡：單台後端伺服器直接使用公網IP對外提供服務時，如果伺服器出現問題容易導致業務單點故障，影響系統可用性。您可以使用負載平衡統一公網流量入口，並在多可用性區域掛載多台後端伺服器，消除系統中的單點故障，提升應用系統的可用性。

設計原則

安全性：公網應用和禁止公網訪問的應用部署在不同的交換器，交換器之間使用網路ACL進行安全防護，伺服器組之間使用安全性群組進行安全防護。互連網邊界、VPC邊界、NAT邊界採用Cloud Firewall進行安全防護，提升應用系統安全性。

可擴充性：確保VPC網路能滿足業務長期發展的需求，IP地址與現有內網地址不能衝突且留有冗餘，保障業務增長時，網路架構無需較大改動。

可靠性：建議您盡量使用至少兩個交換器進行同地區單VPC網路設計，並且將兩個交換器部署在不同可用性區域以實現業務同城多活。VPC結合使用的其他網路產品，例如NAT Gateway、負載平衡、雲企業網等，均提供跨可用性區域部署業務能力。

可觀測：您可以使用網路智慧型服務NIS輔助實現網路品質可視化、網路流量可視化、網路執行個體巡檢和異常診斷、網路拓撲可視化，降低網路營運難度，也可結合流日誌和流量鏡像進行流量觀測和問題排查。

設計關鍵點

依據上述設計原則，您可以參照以下設計關鍵點，從多層次和多維度設計同地區單VPC網路。

明確網路需求

您需要綜合考慮業務時延要求、雲端服務支援情況等因素，確定應用部署的地區和可用性區域。

您還需要明確VPC的使用目的和需求。例如作為生產環境和測試環境，VPC對訪問隔離的要求是不同的，這將決定安全性群組、網路ACL和Cloud Firewall的配置以及相關的網路連接方案。

合理分配網段

為VPC合理分配IP位址區段，既避免資源浪費，又預留足夠空間以適應未來業務擴充。合理規劃公有交換器和私人交換器，明確各應用的部署位置，保障公網應用和私網應用在VPC內部具備獨立的安全域。

合理規劃路由

在規劃公有交換器和私人交換器實現公網私網應用安全域隔離的基礎上，公有交換器和私人交換器需要綁定不同的路由表，在路由層面實現隔離，並開啟網關路由表，控制不同交換器訪問公網的能力。

安全防護設計

使用安全性群組和網路ACL來限制進出VPC的流量，為每個執行個體或服務配置適當的安全性群組規則，只允許必要的連接埠和協議。安全性群組和網路ACL只能提供基礎的安全防護，如需要更高的安全防護，則需要考慮使用Cloud Firewall。

公網出入口配置

實際業務情境中，推薦您使用負載平衡產品統一公網流量入口；當需要主動訪問公網的伺服器較多時，使用NAT Gateway統一公網流量出口。VPC需要劃分單獨的交換器部署NAT Gateway和負載平衡，實現公網出入口的交換器與業務交換器的路由拆分，提升組網的靈活性和安全性。

高可用性設計

設計VPC時，需要考慮其高可用性和可擴充性。建議您盡量使用至少兩個交換器進行同地區單VPC網路設計；結合使用的其他網路產品，例如NAT Gateway、負載平衡、雲企業網等，均提供跨可用性區域部署業務能力。

營運監控設計

較好的可觀測效能夠協助營運人員和開發人員快速定位問題、最佳化效能並預測潛在故障。建議使用NIS、流日誌和流量鏡像實現可視化營運。

設計最佳實務

設計概述

設計同地區單VPC網路前，需要基於業務需求完成整體網路架構設計，比如雲下資料中心內部網路、混合雲網路、雲上廣域網路架構等。

本方案結合VPC、交換器、IPv4網關等構建雲上資料中心同地區單VPC網路：

• 安全性：VPC內劃分公有交換器和私人交換器，公網應用部署在公有交換器，面向內網的應用或者資料庫部署在私人交換器。圖中業務交換器A/B中的伺服器，即使內建公網IP也無法訪問互連網。您可以結合安全性群組、網路ACL和Cloud Firewall等安全手段，提升應用安全性。

• 可擴充性：雲端服務器、網路、儲存等產品均會消耗IP地址，建議您選擇較大的網路遮罩為其預留足夠的地址空間。若因網段規劃不合理導致地址空間不足，您可以使用附加網段進行擴容，但附加網段不支援修改。VPC支援部署多個公有交換器和私人交換器，用於實現多個應用部署。

• 可靠性：每種類型的交換器至少建立兩個，並部署在不同可用性區域以實現業務同城多活。

• 可觀測：使用網路智慧型服務NIS輔助實現網路品質可視化、網路流量可視化、網路執行個體巡檢和異常診斷、網路拓撲可視化。

設計步驟

1. 確定地區和可用性區域

   根據商務服務的使用者位置選擇雲資源部署的地區，根據云資源儲備情況、可用性區域時延情況選擇可用性區域。您可以參考互連網訪問效能觀測和雲網路互訪效能觀測選擇適合的地區或可用性區域。

2. IP地址分配

   您可以使用10.0.0.0/8、172.16.0.0/12或192.168.0.0/16三個RFC標準私網網段及其子網作為VPC的私網位址範圍，也可以使用自訂位址區段作為VPC的私網位址範圍。自訂位址區段不支援使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子網作為VPC的網段。

   如果有多個VPC，或者有VPC和本機資料中心構建混合雲的需求，建議使用上面三個標準網段的子網網段作為VPC的網段，掩碼建議不超過20位，且不同VPC的交換器網段和本機資料中心的網段不能衝突。交換器網段規劃需要考慮該交換器下容納ECS執行個體和其他雲產品資源的數量，建議您選擇一個足夠大的CIDR塊，以確保可用IP地址數量滿足當前業務需求和未來擴充需求。但網段分配不可過大，避免VPC記憶體在大量的IP地址浪費，其他VPC又因IP地址不足無法擴充。

3. 交換器設計

   說明

   每種類型的交換器至少建立兩個，並部署在不同可用性區域以實現業務同城多活。

   	交換器劃分	交換器設計
   公有交換器：具備公網訪問能力	SLB交換器	只部署公網SLB，可以部署ALB、NLB，不部署ECS。
   	NAT交換器	只部署NAT Gateway，不部署ECS。
   	業務交換器	部署公網應用伺服器，ECS即使有公網IP也無法直接進出公網，通過SLB/NAT交換器進出公網。
   私人交換器：不具備公網訪問能力	SLB交換器	只部署內網SLB，可以部署內網ALB、NLB，不部署ECS。
   	業務交換器	部署內網應用伺服器或者資料庫應用，完全不具備公網直接出入能力。
   	TR交換器	VPC通過TR交換器和雲企業網上的其他VPC、VBR通訊。

4. 路由表設計

   	交換器劃分	可用性區域部署	關聯路由表	路由表設計
   公有交換器	SLB交換器	可用性區域E、F	系統路由表	配置預設路由指向IPv4網關，SLB掛載業務交換器A的ECS，統一公網流量入口。
   	NAT交換器	可用性區域E、F
   	業務交換器	可用性區域E、F	自訂路由表1	配置預設路由指向NAT Gateway（未配置指向IPv4網關的預設路由），部署的ECS可以通過NAT出入公網，也可以被SLB掛載實現應用對外發布。因業務交換器A未配置指向IPv4網關的預設路由，ECS即使綁定公網 IP也無法直接出入公網，這樣防止應用伺服器存在不可控的公網入口，提升應用系統安全性。
   私人交換器	SLB交換器	可用性區域E、F	自訂路由表2	部署私網SLB，掛載業務交換器B的ECS，實現應用內網提供服務，無指向NAT Gateway和IPv4網關的預設路由。
   	業務交換器	可用性區域E、F		部署ECS或者部署安全性要求很高的資料庫服務，作為私網環境，既無指向NAT Gateway和IPv4網關的路由，同時不會被公網SLB掛載，無公網訪問能力。
   	TR交換器	可用性區域E、F		VPC通過使用TR交換器和其他VPC/VBR通訊，需要配置自訂路由指向轉寄路由器。

5. 安全防護設計

   您可以結合安全性群組、網路ACL和Cloud Firewall等安全手段，提升應用安全性。

   • 伺服器粒度：安全性群組綁定雲端服務器組，實現ECS粒度的存取控制。安全性群組是有狀態的，應用於傳入規則的任何更改都將自動應用於傳出規則。

   • 交換器粒度：網路ACL綁定交換器，實現交換器粒度的存取控制。網路ACL是無狀態的，允許入站流量的響應，返回的資料流必須被出站規則明確允許。

   • 更進階別：

     • 互連網邊界防火牆：基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等，對出向和入向流量進行過濾，判斷流量是否滿足允許存取條件，有效攔截非法的訪問流量，保障公網交換器資源與互連網之間的流量安全。

     • NAT邊界防火牆：會檢測所有經過VPC內私網資源（包括同一VPC內的資源和跨VPC的資源）流向該NAT Gateway的出方向流量。

     • VPC邊界防火牆：協助使用者檢測和管控Virtual Private Cloud之間、VPC和本機資料中心之間的流量。

6. 營運監控設計

   建議您使用網路智慧型服務NIS，按需結合流日誌和流量鏡像，實現可視化營運。

   • 網路智慧型服務NIS：輔助網路營運工具，實現網路品質、拓撲、流量可視化，支援巡檢及執行個體異常診斷。

   • 流日誌：採集指定彈性網卡、VPC或交換器的五元組網路流量，協助您檢查存取控制規則、監控網路流量和排查網路故障。

   • 流量鏡像：鏡像經過彈性網卡ENI且符合篩選條件的報文，用於內容檢查、威脅監控和問題排查等情境。

7. 補救措施

   • IP地址不足：若因網段規劃不合理導致地址空間不足，您可以使用附加網段進行擴容，但附加網段不支援修改。

   • IP地址衝突：若VPC網段分配充足，可建立無衝突的交換器以支援應用遷移。您也可以使用VPC NAT實現私網IP地址的轉換，解決IP地址衝突問題，但會增加路由配置複雜度，建議僅在必要時採用。

可視化架構CADT參考