Cloud Network Well-architected Design Guidelines：企業服務共用設計

概述

背景介紹

企業的跨VPC互訪情境日益增多，一方面原因是隨著SOA（面向服務的架構）和微服務架構的日益普及，企業正逐步將原有的整體架構單元分解為多個可獨立擴充的服務模組，這些模組往往分佈於不同的VPC中；另一方面是企業正在越來越多地採用阿里雲Landing Zone/卓越架構來設計自己的雲上架構，這些實踐方案倡導通過精細的賬戶與VPC規劃，構建出穩定、安全、高效且易於擴充的業務架構。在此背景下，本文聚焦於如何?跨帳號跨VPC的企業服務共用網路的最佳設計。

基本概念

Virtual Private Cloud：VPC是使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間邏輯隔離，使用者可以自訂IP位址範圍、建立子網、配置路由表。

雲企業網CEN：雲企業網支援在地區內定義靈活的互連、隔離、引流策略，協助您打造一張靈活、可靠、大規模的企業級全球互連網絡。

轉寄路由器TR：轉寄路由器TR是雲企業網中的一個組件，它充當中心路由器的角色，可以串連不同的VPC、VPN、VBR、雲端服務等。TR提供了高度靈活的網路路由服務，支援多路由表和進階路由策略，方便使用者在複雜網路環境中管理流量和策略。它是多VPC網路設計中實現複雜網路架構和跨賬戶網路架構的關鍵組件。通過使用TR，使用者能夠實現不同網路間的集中化管理和流量控制，同時也簡化了網路架構和操作複雜性。

私網串連Privatelink：使用私網串連，使用者可以通過私人網路單向訪問部署在其它VPC中的服務，無需建立NAT網路、EIP等公網出口。互動資料不會經過互連網，有更高的安全性和更好的網路品質。

網路智慧型服務NIS：網路智慧型服務是一系列雲上網路AIOps工具集，提供了雲上網路從網路規划到網路營運全生命週期。包括流量分析、網路巡檢、網路效能監控、網路診斷、路徑分析、網路拓撲等功能，能夠協助使用者最佳化網路架構，提升網路營運效率，降低網路營運成本。

設計原則

通過轉寄路由器或與私網串連結合，實現企業服務共用通道設計，能夠協助企業在跨帳號跨VPC情境下，便捷、靈活、安全地訪問共用服務。企業服務共用設計需遵循以下核心原則：

穩定性：服務共用作為企業各環境都需要訪問的關鍵情境之一，在設計過程中要以穩定原則優先，進行多可用性區域部署與多共用通道設計。

安全合規： 企業往往在不同業務單元之間，使用多帳號和多VPC來提高安全性和故障隔離，此時會有大量的跨帳號私網訪問共用服務的情境。因此，結合不同等級的共用服務進行安全架構、許可權最小化的設計是極其重要的。

高效效能：在企業服務共用環境中，彈效能力至關重要，尤其面對日益增長的業務單元，其對共用服務的流量需求難以預測。為應對這一挑戰，採用轉寄路由器與私網串連的組合策略，能實現資源的動態調整，有效應對流量變化，從而保持服務品質。

設計關鍵點

穩定性

• 轉寄路由器和私網串連依託於高效能NFV（Network Functions Virtualization）平台，原生支援可用性區域內及跨可用性區域的容災切換，確保業務啟動並執行可靠性和穩定性。

• 部署轉寄路由器打通多個業務VPC到共用服務VPC的訪問時，在多個可用性區域建立TR交換器實現高可用部署。同時，建議TR交換器和業務交換器按可用性區域對應部署，實現就近可用性區域高效訪問共用服務，降低時延。

• 當引入私網串連配合轉寄路由器作為代理節點訪問共用雲端服務時，建議在多可用性區域建立終端節點從而實現代理節點的高可用部署，調用方通過網域名稱解析擷取終端節點的IP地址資訊。

安全

• 通過轉寄路由器和私網串連訪問共用服務時，訪問流量均在阿里雲內網轉寄，網路封閉、不通過公網，避免了通過公網訪問服務帶來的潛在安全風險。

• 通過轉寄路由器訪問共用服務VPC時，靈活運用安全性群組、網路ACL、路由配置、多路由表及多轉寄路由器等組網策略，構建多層次的安全存取控制體系。

• 通過私網串連訪問雲端服務，可針對VPC網路中用於訪問服務的彈性網卡，附加安全性群組和鑒權規則，提供更強的安全保障和控制手段。

效能

• 跨帳號互聯互連：支援通過轉寄路由器和私網串連實現多帳號策略，當每個部門或業務單元有獨立帳號或業務環境時，需具備跨帳號、跨環境的訪問能力，同時具備帳號隔離和許可權管控的能力。

• 超大規模：通過轉寄路由器，可以實現上千個VPC訪問共用服務VPC。

• 超大彈性：轉寄路由器具備百G級彈性組網能力，私網串連採用雙可用性區域部署時，正向 Proxy峰值可達50Gbps，反向 Proxy峰值為25Gbps。如需更高頻寬配置，請聯絡阿里雲技術支援人員。

可觀測

通過開啟轉寄路由器和私網串連的流日誌功能，記錄對應網卡傳入和傳出的流量資訊，並結合網路智能營運服務NIS實現流量的排序，觀測各個業務環境訪問共用服務的流量使用方式，確保網路通訊的透明性和可控性。

設計最佳實務

企業在雲上的公用服務，往往分為兩種：企業內的公用服務和雲端服務（雲上公用SaaS服務）。

• 企業內的公用服務： 例如，AD（Active Directory）和Bastionhost等，一般部署在公用服務的VPC中，通過TR打通，供各個業務團隊調用。

• 雲上公用SaaS服務：例如，Container Registry、Object Storage Service等，直接由雲平台提供，企業需要通過私網串連的終端節點進行私網訪問。

多部門同時訪問公用服務VPC

網路多平面設計

為滿足企業內部各部門（如開發與測試，財務、人力資源及行政等）間網路的強隔離訴求，可採用多轉寄路由器方案，構建獨立的網路平面。每個TR專為特定部門的VPC提供串連，確保各網路平面間徹底隔離，互不干擾。

公用服務VPC設計

• 當有公用服務被各個隔離部門訪問時，將公用服務部署在公用服務VPC，各部門的TR環境可按需掛載至公用服務VPC。公用服務VPC在掛載不同的TR時，為避免多環境間路由衝突，建議關閉路由同步，且規避使用預設路由（即10.0.0.0/8，172.16.0.0/12，192.168.0.0/16）指向任意TR。

• 精細化路由設計：建議使用靜態路由方式，按需指向不同的TR環境。若存在路由衝突，盡量遵循最小路由優先原則，通過大小段覆蓋調整。例如當共用服務VPC需要訪問TR1環境中的172.16.1.0/24網段和TR2環境中的其他172.16.0.0/16時，需要使用大小段的方式來配置路由，配置172.16.1.0/24指向TR1的attachment，配置172.16.0.0/16指向TR2的attachment。

雲上公用SaaS服務

訪問阿里雲公用SaaS服務設計

阿里雲的SaaS雲端服務體系中，服務部署模式分為以下三類：

• VPC內部署的服務（如RDS）：使用標準VPC私網地址，客戶可自主規劃私網地址並利用VPC內網或跨VPC網路實現通訊。

• 非VPC內部署的服務（如OSS）：雖無標準VPC私網地址，但提供阿里雲公用位址區段（100.64.0.0/10）內的地址，確保客戶VPC可直接存取，但不支援私網地址的自訂規劃與管理。

• 僅具公網地址的服務（如服務平台百鍊）：缺乏私網地址選項。

針對後兩類缺乏標準私網地址的雲端服務，若客戶希望統一地址管理並通過標準私網地址進行訪問，可藉助阿里雲的私網串連實現地址代理與轉換。

公用服務VPC設計

• 針對串連TR的交換器，實施精細化劃分，以增強資料轉送的針對性和安全性。

• 劃分放置私網串連終端節點的交換器，建議採用多可用性區域、多活冗餘設計，確保服務的高可用性且有效分散風險。

業務VPC到SAAS雲端服務的訪問設計

• 業務VPC和公用服務VPC均接入TR。

• 業務VPC經過TR，通過公用服務VPC中私網串連的終端節點（多個彈性網卡ENI的私網IP或者網域名稱）訪問SaaS雲端服務。

• 業務VPC路由表中，添加指向SaaS服務的私網串連明細路由，建議使用最小粒度的路由網段，避免路由衝突。

應用情境介紹

現代企業中，使用多VPC與多帳號策略能顯著提升安全性、靈活性及管理效能。再與企業內的共用服務架構結合，即可通過不同虛擬網路與帳號進行資源與服務隔離，最佳化資源管理並增加安全層級。企業服務共用設計通常應用於以下情境：

多部門統一鑒權情境（使用一套AD系統管控雲上業務環境）：雲上環境中，企業內多個部門往往都有自己的業務帳號和VPC環境，部分比較獨立的部門甚至有一張獨立的網路環境，但他們都需要統一的企業AD系統來進行鑒權和登入管控。通過將集中的AD服務獨立部署在共用服務VPC，並將其並行加入到多個帳號和部門的轉寄路由器。這不僅保障了各環境的獨立性與安全性，還實現了AD系統與各TR環境服務的無縫對接，支援統一使用者認證與許可權管理，簡化存取控制，減輕IT管理負擔，確保員工無論處於哪個地區或部門，均能安全高效地訪問資源，提升整體業務啟動並執行靈活性與響應速度。

安全營運情境（Bastionhost統一登入與管控）：為增強安全性和監控，大型企業的營運團隊往往需要統一的安全環境來執行日常營運和管理操作。在此情境中，往往會使用Bastionhost，並將其環境獨立部署在VPC，該VPC並行加入到多個環境的轉寄路由器，提供統一安全、中心管理的存取點，監控並控制關鍵系統訪問。通過Bastionhost，企業能有效地審核和記錄所有管理員的活動，確保對敏感操作的透明與追溯性，簡化跨VPC與賬戶的訪問管理，顯著提升安全防護和操作效率。

企業共用儲存情境（通過私網串連訪問企業共用的OSS服務）：中大型企業中，儲存資源是每個部門都需要用到的關鍵服務。為保證儲存資源的安全高效，往往會放在統一環境中進行集中管理，再按需開放給各個部門共用使用。通過私網串連實現對企業共用OSS服務的訪問，結合鑒權機制，構建安全高效的資料互動通道。私網串連保障資料在雲內部高效傳輸，避免公網暴露，增強傳輸安全與可靠性。此配置支援跨環境安全共用與訪問儲存資源，維持網路隔離與資料保密，最佳化資源管理與資料安全性原則。

可視化架構CADT參考

企業服務共用設計

可視化部署架構圖

使用流程