全部產品
Search

搜尋本產品

    Cloud Network Well-architected Design Guidelines:統一公網出入口設計

    文件中心

    Cloud Network Well-architected Design Guidelines:統一公網出入口設計

    更新時間:Feb 02, 2026

    概述

    背景介紹

    為了構建高效安全的雲上網路架構,雲上統一公網出入口(DMZ VPC)通過建立一個專門的VPC,作為隔離外部互連網(非信任地區)和企業雲上內網(信任地區)之間的接入接出地區,實現了公網接入接出資源的集中管理。該設計便於構建高並發大流量的應用接入網關,管理企業外聯存取控制,合理利用公網頻寬資源。另一方面,通過與安全產品結合,顯著提升企業內網的防護水平,確保雲資源免受外部威脅。本文旨詳細介紹了DMZ-VPC的設計原則與關鍵點,提供了完整設計方案與實踐,旨在協助您最佳化雲基礎設施,保障其安全性和高可用性。

    基本概念

    • Virtual Private Cloud:VPC是使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間邏輯隔離,使用者可以在自己建立的專用網路內建立和管理雲產品執行個體,比如ECS、SLB、RDS等。

    • 轉寄路由器TR:轉寄路由器TR提供串連網路執行個體、添加自訂路由表、添加路由條目、添加路由策略等豐富的網路互連和路由管理功能。

    • 應用型負載平衡ALB:專門面向HTTP、HTTPS和QUIC等應用程式層負載情境的負載平衡服務,具備超強彈性及大規模應用程式層流量處理能力。

    • 網路型負載平衡NLB:面向萬物互聯時代推出的新一代四層負載平衡,支援超高效能和自動彈效能力,幫您輕鬆應對高並發業務。

    • 網關型負載平衡GWLB:三層負載平衡,通過IP監聽可將所有連接埠的流量分發給後端伺服器組中的網路虛擬設備NVA(Network Virtual Appliance),可幫您輕鬆實現各類網路虛擬設備的高可用部署。

    • NAT Gateway:阿里雲全託管的網路位址轉譯網關,通過轉換和隱藏雲端服務地址,防止地址直接暴露,顯著提升網路安全性。

    • 彈性公網 IP EIP:可以獨立購買和持有的公網IP地址資源。EIP是一種NAT IP,實際位於阿里雲的公網網關上,通過NAT方式映射到被綁定的雲資源上。當EIP和雲資源綁定後,雲資源可以通過EIP與公網通訊。

    • 共用頻寬:提供地區級頻寬共用和複用功能。建立共用頻寬執行個體後,您可以將同地區下的EIP添加到共用頻寬執行個體中,複用共用頻寬中的頻寬,節省公網頻寬使用成本。

    • 網路智慧型服務NIS:NIS是一系列雲上網路AIOps工具集,提供了雲上網路從網路規划到網路營運全生命週期。包括流量分析、網路巡檢、網路效能監控、網路診斷、路徑分析、網路拓撲等功能。協助使用者最佳化網路架構,提升網路營運效率,降低網路營運成本。

    設計原則

    為實現企業公網的統一出入口設計,結合使用負載平衡、NAT Gateway、雲企業網、轉寄路由器、共用頻寬、EIP、安全產品等,提升了網路靈活性和可擴充性的同時,保障企業雲上資料和應用的安全性和可靠性。統一公網出入口設計需要遵循以下核心原則:

    穩定性:統一公網出入口承擔企業內網和外部互連網之間的橋樑,其穩定持續服務能力,直接關係到企業對外的服務是否可用,因此需要全面考慮統一公網出入口的穩定性設計。

    高效效能企業可能遭遇潮汐式流量變化,統一公網出入口必須具備動態調整資源的能力,既需要確保在流量峰值時能夠有充足的資源提供可靠服務,也需要在流量低峰時能夠縮減資源,提高資源使用率。

    安全合規:統一公網出入口需協助企業隔離外部風險並滿足特定行業的合規要求(如金融行業),因此設計時需要充分考慮攻擊防禦和安全入侵檢測等方面的同步建設。

    最小許可權原則系統組件僅能訪問執行其功能所需的最低限度資源,以此增強整個系統的安全性。

    設計關鍵點

    穩定性

    為了提高整體架構的穩定性,建立NLB、ALB、TR、NAT時,至少選擇兩個可用性區域部署,後端應用伺服器分布在不同可用性區域的不同交換器內,以達到自頂向下的跨可用性區域的容災高可靠能力。

    安全

    • 基礎安全措施:

      • ALB和NLB通過設定安全性群組,實現對外服務的安全存取控制。

      • NAT Gateway部署過程中,建議僅開啟SNAT服務,按需管控後端伺服器訪問公網的能力,降低潛在安全風險。

    • 進階安全能力:

      • DDoS防護:採用高防EIP,綁定至DMZ VPC內的私網NLB、ALB,實現TB級防攻擊能力。注意開通高防EIP前,需要提前開通阿里雲DDoS原生防護(隨用隨付版)。

      • Web安全防護:通過為ALB執行個體開通ALB WAF增強版,將ALB Web業務流量引流到WAF進行安全防護。相比WAF 2.0透明化接入,ALB WAF增強版採用WAF 3.0服務化接入,WAF不參與流量轉寄,業務監聽與轉寄由ALB負責,實現轉寄與防護的完全分離,避免了WAF轉寄額外帶來的各種相容性和穩定性問題。

      • 互連網邊界防火牆:開通互連網邊界防火牆服務,並設定新增資產自動保護為開啟狀態。如果帳號下有新增的公網資產,Cloud Firewall將自動開啟新增資產的互連網邊界保護。

      • 三方防火牆:結合GWLB產品來實現三方防火牆(例如Palo Alto、Fortinet等品牌)的安全存取控制。

    效能

    • EIP配合共用頻寬使用,可以按需提供高達百G層級的出入口能力,承載企業的洪峰流量。

    • NAT單一實例提供萬兆級輸送量,百萬級串連數,滿足超大業務上雲需求。

    • 為提高突發流量情境下整體架構的Auto Scaling健壯性,在開通ALB時建議選擇動態IP模式進行自動Auto Scaling。

    • NLB支援超高效能和自動彈效能力,單一實例可以達到1億並發串連。

    可觀測

    通過網路智慧型服務NIS,實現對公網的流量分析、異常洞察、效能分析等可觀測服務。

    • 網路洞察儀:使用洞察儀擷取即時公網品質評估資料,及時感知公網品質劣化,接收公網品質例外狀況事件和影響面分析。

    • 公網流量分析:提供流量統計和流量地圖功能,可觀測公網流量大小,基於地區粒度和執行個體粒度進行流量統計,分別以一元組(雲端IP)、二元組(雲端IP、對端IP)、五元組(雲端IP、雲端連接埠、協議、對端IP、對端連接埠)展示入雲方向和出雲方向流量的排行。

    • 互連網訪問效能觀測:查看雲下各地區訪問阿里雲地區的平均時延。您可以參考效能觀測資料,在搭建服務時選擇更適合的地區或可用性區域。

    設計最佳實務

    image

    情境整體設計

    雲上統一公網出入口(DMZ VPC)通過建立一個專門的VPC,作為隔離外部互連網(非信任地區)和企業雲上內網(信任地區)之間的接入接出地區,集中管理公網接入接出資源,便於構建高並發大流量的應用接入網關,管理企業外聯存取控制,合理利用公網頻寬資源。另一方面,通過與安全產品結合,確保企業內網得到最大程度的保護

    轉寄路由器及路由表設計

    • 有公網出入口的業務VPC和DMZ VPC都掛載到TR環境下,並在業務VPC中配置0.0.0.0/0的路由指向TR,實現公網預設路由的引流。

    • TR使用系統路由表(預設),路由表中配置目標網段為0.0.0.0/0、下一跳為DMZ VPC的自訂路由,將出公網流量引入到DMZ VPC進而出公網;公網入流量經過SLB和NAT Gateway,將目的IP轉換成私網地址後,查此路由表的明細路由轉寄到目的VPC。

    DMZ VPC設計

    • 使用IPv4/IPv6網關,統一管控公網出入口,集中控制公網訪問流量。

    • 公網頻寬:

      • 共用頻寬包支援按頻寬預付費、按頻寬後付費、按頻寬95計費、按流量計費,共用頻寬內EIP共用總頻寬並受限速。

      • CDT公網支援按流量計費,並且在特定地區內按照使用者標識維度累計計量,享受階梯價格。

    • NAT部署:

      • 劃分獨立的交換器以部署NAT執行個體,在有出公網需求的業務交換器所在的可用性區域內,部署獨立NAT執行個體,以便於在可用性區域故障時不影響其他可用性區域的NAT出網流量。

      • 建議關閉DNAT,僅開啟SNAT,按需配置SNAT策略,控制哪些私網可以訪問外網,同時,可以按需關閉NAT關聯EIP的禁Ping能力,防止不必要的風險

    • SLB部署:劃分獨立的交換器部署LB執行個體(4層推薦使用NLB,7層推薦使用ALB),每個LB執行個體進行多可用性區域部署提升可靠性。

    • 路由表:參考同地區單VPC網路設計

    說明

    統一公網出入口(DMZ VPC)架構比較適合整體出入公網流量規模可控的企業客戶,若是入向流量較大的互連網客戶,也可以選擇統一公網出口(DMZ VPC)疊加分布式公網入口的組合方案,唯一的區別是把入口統一的負載平衡分布式下沉到各個業務VPC。

    安全防護設計(可選)

    • 公網入雲防護:推薦使用互連網邊界防火牆。

    • 公網出雲防護:ECS內建公網IP、EIP推薦使用互連網邊界防火牆;NAT出公網推薦使用NAT邊界防火牆,可以使用VPC邊界防火牆。

    應用情境介紹

    統一公網出入口已成為大中型商業網路架構的標配,尤其在金融、零售、製造、政企及外資MNC等行業中,其重要性得到廣泛認可。DMZ為企業提高整體架構的健壯性、安全性、可維護性,可應用於以下情境:

    雲上行為集中管控:企業在雲環境中為了防範風險,對各個業務訪問公網的情境往往需要集中的行為管控。 建議設立統一的公網DMZ出口,方便企業對所有進出互連網的流量進行集中管理和監控,確保符合公司的安全性原則和合規要求。例如,可以實現對Web訪問、檔案資料發送接收、遠程辦公接入等各類業務流量的有效控制。

    企業雲上業務安全防護:安全是企業在雲上開展業務的前提條件,綜合考慮安全性、成本效益、簡化營運、減少攻擊面等多維度因素,統一出入口設計極其重要。部署Cloud Firewall、DDoS、WAF等安全服務,便於形成多層次的安全防線,有效防止來自外部網路的攻擊,同時也能及時發現和阻止內部異常流量。

    物流企業日誌審計與合規報告情境:物流企業的互連網業務承載著非常多的使用者敏感性資料,應監管要求,需要對所有流量進行監控,以確保遵守資料保護和隱私法規,同時需要記錄和審計所有出口流量,以便在發生安全事件時進行調查結合流日誌和流量鏡像進行統一公網出入口設計,便於企業快速收集和分析所有公網流量的日誌資訊,滿足企業的合規審計需求,確保資料轉送行為合法合規,為安全事件追溯提供依據。

    Terraform參考

    統一公網出入口設計

    專案

    說明

    Terraform Module官網地址

    統一公網出入口設計

    Github 地址

    統一公網出入口設計

    樣本地址

    樣本地址

    代碼流程:

    1. 劃分生產、測試、DMZ區環境在每個環境內建立多個VPC及對應交換器。

    2. 建立CEN和TR通過TR-attachment把VPC加入CEN中。

    3. 在TR預設路由表中配置路由,以引導公網流量。

    4. DMZ VPC中建立網路型負載平衡NLB,NLB後端伺服器掛載生產環境伺服器。

    5. DMZ VPC中建立NAT Gateway,並為其綁定Elastic IP Address,僅開啟SNAT,配置路由實現測試環境中的執行個體通過NAT Gateway的EIP訪問公網。

    需要建立的執行個體如下:

    • 3個VPC

    • 12個交換器

    • 1個CEN

    • 1個TR

    • 1個NLB

    • 1個公網NAT Gateway

    • 1個Elastic IP Address

    可視化架構CADT參考

    統一公網出入口設計

    情境

    內容專案

    說明

    統一公網出入口設計

    模板ID

    H1IH327YSFQ11L18

    模板庫地址

    CADT模板庫

    程式碼範例地址

    WA-統一公網出入口設計

    可視化部署架構圖

    image.jpeg

    使用流程

    可視化方式

    大量建立相關雲端服務,包括3個VPC、12個交換器、1個NAT Gateway。

    1. 基於模板建立應用,預設地區為杭州,雲產品均為建立。

    2. 完成應用儲存,分別進行校正、計價。本樣本相關雲產品均為隨用隨付。

    3. 核對完成,確認協議開始批量部署,自動完成路由的配置。

    整合API調用方式

    1. 通過一組openAPI介面,通過整合API快速完成使用。

    2. 參考文檔按照命令列工具初始化。

    3. 參考模型YAML檔案,直接部署和輸出。

    4. 如果更換地區,替換area_id的欄位,如杭州“cn-hangzhou”,替換為上海“cn-shanghai”。