日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云網絡卓越架構設計指南 數據中心網絡 同地域單VPC網絡設計

同地域單VPC網絡設計

更新時間:
我的收藏

概述

背景介紹

VPC作為云計算最基礎的組件,是用戶上云第一步。缺乏前瞻性視角的網絡設計可能為未來業務拓展埋下隱患,進行網絡重構不僅將面臨高昂的成本,更可能導致業務流程受到嚴重影響。如果您需要約束某些部署業務訪問公網的行為,且業務間存在嚴格的網絡隔離訴求,您可以參考本文提供的實踐方案,綜合考慮地址分配、子網劃分、路由設計、安全防護等多個關鍵點,進行同地域單VPC網絡設計。

基本概念

專有網絡VPC:VPC是您專有的云上私有網絡。您可以完全掌控自己的專有網絡,包括選擇IP地址范圍、配置路由和網關等。您可以在創建的專有網絡中使用阿里云產品,如云服務器ECS、負載均衡SLB和云數據庫RDS等。每個VPC至少由三部分組成:私網網段、交換機和路由表。

  • 私網網段:在創建專有網絡和交換機時,您需要以CIDR地址塊的形式指定專有網絡使用的私網網段。

  • 路由表:創建VPC后,系統會自動為您創建一張系統路由表并為其添加系統路由來管理VPC的流量。

  • 交換機:您可以通過創建交換機為專有網絡劃分一個或多個子網。同一專有網絡內的不同交換機之間內網互通。您可以將應用部署在不同可用區的交換機內,提高應用的可用性。

IPv4網關:作為連通VPC和互聯網的公網流量網關,出入VPC的IPv4公網訪問流量經過IPv4網關轉發與管控,實現公網訪問的集中管理與控制。借助IPv4網關,您可以通過路由配置來集中管控VPC內實例的公網訪問行為,僅配置路由指向IPv4網關的交換機具備直接訪問公網的能力。

NAT網關:作為網絡地址轉換網關,分為公網NAT網關和VPC NAT網關。當您需要主動訪問公網的服務器較多時,可以通過公網NAT網關的SNAT功能,實現VPC內的多個ECS實例共享EIP上網,節省公網IP資源。通過轉換和隱藏云服務地址,能避免私網地址直接暴露,提升網絡安全性。VPC NAT網關可以實現私網IP地址的轉換,解決IP地址沖突問題。

負載均衡:單臺后端服務器直接使用公網IP對外提供服務時,如果服務器出現問題容易導致業務單點故障,影響系統可用性。您可以使用負載均衡統一公網流量入口,并在多可用區掛載多臺后端服務器,消除系統中的單點故障,提升應用系統的可用性。

設計原則

安全性:公網應用和禁止公網訪問的應用部署在不同的交換機,交換機之間使用網絡ACL進行安全防護,服務器組之間使用安全組進行安全防護?;ヂ摼W邊界、VPC邊界、NAT邊界采用云防火墻進行安全防護,提升應用系統安全性。

可擴展性:確保VPC網絡能滿足業務長期發展的需求,IP地址與現有內網地址不能沖突且留有冗余,保障業務增長時,網絡架構無需較大改動。

可靠性建議您盡量使用至少兩個交換機進行同地域單VPC網絡設計,并且將兩個交換機部署在不同可用區以實現業務同城多活。VPC結合使用的其他網絡產品,例如NAT網關、負載均衡、云企業網等,均提供跨可用區部署業務能力。

可觀測:您可以使用網絡智能服務NIS輔助實現網絡質量可視化、網絡流量可視化、網絡實例巡檢和異常診斷、網絡拓撲可視化,降低網絡運維難度,也可結合流日志和流量鏡像進行流量觀測和問題排查。

設計關鍵點

依據上述設計原則,您可以參照以下設計關鍵點從多層次和多維度設計同地域單VPC網絡。

明確網絡需求

您需要綜合考慮業務時延要求、云服務支持情況等因素,確定應用部署的地域和可用區。

  • 公網質量決定應用訪問質量,您可以通過NIS進行互聯網訪問性能觀測,查看每日的撥測數據。

  • 如果業務對時延有較高要求,您可以通過NIS進行云網絡互訪性能觀測,查看同地域跨可用區和跨地域延遲。

您還需要明確VPC的使用目的和需求。例如作為生產環境和測試環境,VPC對訪問隔離的要求是不同的,這將決定安全組、網絡ACL和云防火墻的配置以及相關的網絡連接方案。

合理分配網段

為VPC合理分配IP地址段,既避免資源浪費,又預留足夠空間以適應未來業務擴展。合理規劃公有交換機和私有交換機,明確各應用的部署位置,保障公網應用和私網應用在VPC內部具備獨立的安全域。

合理規劃路由

在規劃公有交換機和私有交換機實現公網私網應用安全域隔離的基礎上,公有交換機和私有交換機需要綁定不同的路由表,在路由層面實現隔離,并開啟網關路由表,控制不同交換機訪問公網的能力。

安全防護設計

使用安全組和網絡ACL來限制進出VPC的流量,為每個實例或服務配置適當的安全組規則,只允許必要的端口和協議。安全組和網絡ACL只能提供基礎的安全防護,如需要更高的安全防護,則需要考慮使用云防火墻。

公網出入口配置

實際業務場景中,推薦您使用負載均衡產品統一公網流量入口;當需要主動訪問公網的服務器較多時,使用NAT網關統一公網流量出口。VPC需要劃分單獨的交換機部署NAT網關和負載均衡,實現公網出入口的交換機與業務交換機的路由拆分,提升組網的靈活性和安全性。

高可用性設計

設計VPC時,需要考慮其高可用性和可擴展性。建議您盡量使用至少兩個交換機進行同地域單VPC網絡設計;結合使用的其他網絡產品,例如NAT網關、負載均衡、云企業網等,均提供跨可用區部署業務能力。

運維監控設計

較好的可觀測性能夠幫助運維人員和開發人員快速定位問題、優化性能并預測潛在故障。建議使用NIS、流日志和流量鏡像實現可視化運維。

設計最佳實踐

image

設計概述

設計同地域單VPC網絡前,需要基于業務需求完成整體網絡架構設計,比如云下數據中心內部網絡、混合云網絡、云上廣域網絡架構等。

本方案結合VPC、交換機、IPv4網關等構建云上數據中心同地域單VPC網絡:

  • 安全性VPC內劃分公有交換機和私有交換機,公網應用部署在公有交換機,面向內網的應用或者數據庫部署在私有交換機。圖中業務交換機A/B中的服務器,即使自帶公網IP也無法訪問互聯網。您可以結合安全組、網絡ACL和云防火墻等安全手段,提升應用安全性。

  • 可擴展性云服務器、網絡、存儲等產品均會消耗IP地址,建議您選擇較大的網絡掩碼為其預留足夠的地址空間。若因網段規劃不合理導致地址空間不足,您可以使用附加網段進行擴容,但附加網段不支持修改。VPC支持部署多個公有交換機和私有交換機,用于實現多個應用部署。

  • 可靠性使用至少兩個交換機進行同地域單VPC網絡設計,并且將兩個交換機部署在不同可用區以實現業務同城多活。

  • 可觀測使用網絡智能服務NIS輔助實現網絡質量可視化、網絡流量可視化、網絡實例巡檢和異常診斷、網絡拓撲可視化

設計步驟

  1. 確定地域和可用區

    根據業務服務的用戶位置選擇云資源部署的地域,根據云資源儲備情況、可用區時延情況選擇可用區。您可以參考互聯網訪問性能觀測云網絡互訪性能觀測選擇適合的地域或可用區。

  2. IP地址分配

    您可以使用10.0.0.0/8172.16.0.0/12192.168.0.0/16三個RFC標準私網網段及其子網作為VPC的私網地址范圍,也可以使用自定義地址段作為VPC的私網地址范圍。自定義地址段不支持使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子網作為VPC的網段。

    如果有多個VPC,或者有VPC和本地數據中心構建混合云的需求,建議使用上面三個標準網段的子網網段作為VPC的網段,掩碼建議不超過20位,且不同VPC的交換機網段和本地數據中心的網段不能沖突。交換機網段規劃需要考慮該交換機下容納ECS實例和其他云產品資源的數量,建議您選擇一個足夠大的CIDR塊,以確??捎肐P地址數量滿足當前業務需求和未來擴展需求。但網段分配不可過大,避免VPC內存在大量的IP地址浪費,其他VPC又因IP地址不足無法擴展。

  3. 交換機設計

    交換機劃分

    交換機設計

    公有交換機:具備公網訪問能力

    SLB交換機

    只部署公網SLB,可以部署ALB、NLB,不部署ECS。

    NAT交換機

    只部署NAT網關,不部署ECS。

    業務交換機A

    部署公網應用服務器,ECS即使有公網IP也無法直接進出公網,通過SLB/NAT交換機進出公網。

    私有交換機:不具備公網訪問能力

    SLB交換機

    只部署內網SLB,可以部署內網ALB、NLB,不部署ECS。

    業務交換機B

    部署內網應用服務器或者數據庫應用,完全不具備公網直接出入能力。

    TR交換機

    VPC通過TR交換機和云企業網上的其他VPC、VBR通信。

  4. 路由表設計

    交換機劃分

    可用區部署

    關聯路由表

    路由表設計

    公有交換機

    SLB交換機

    可用區E、F

    系統路由表

    配置默認路由指向IPv4網關,SLB掛載業務交換機A的ECS,統一公網流量入口。

    NAT交換機

    可用區E、F

    業務交換機A

    可用區E、F

    自定義路由表1

    配置默認路由指向NAT網關(未配置指向IPv4網關的默認路由),部署的ECS可以通過NAT出入公網,也可以被SLB掛載實現應用對外發布。因業務交換機A未配置指向IPv4網關的默認路由,ECS即使綁定公網 IP也無法直接出入公網,這樣防止應用服務器存在不可控的公網入口,提升應用系統安全性。

    私有交換機

    SLB交換機

    可用區E、F

    自定義路由表2

    部署私網SLB,掛載業務交換機B的ECS,實現應用內網提供服務,無指向NAT網關和IPv4網關的默認路由。

    業務交換機B

    可用區E、F

    部署ECS或者部署安全性要求很高的數據庫服務,作為私網環境,既無指向NAT網關和IPv4網關的路由,同時不會被公網SLB掛載,無公網訪問能力。

    TR交換機

    可用區E、F

    VPC通過使用TR交換機和其他VPC/VBR通信,需要配置自定義路由指向轉發路由器。

  5. 安全防護設計

    您可以結合安全組、網絡ACL和云防火墻等安全手段,提升應用安全性。

    • 服務器粒度:安全組綁定云服務器組,實現ECS粒度的訪問控制。安全組是有狀態的,應用于傳入規則的任何更改都將自動應用于傳出規則。

    • 交換機粒度:網絡ACL綁定交換機,實現交換機粒度的訪問控制。網絡ACL是無狀態的,允許入站流量的響應,返回的數據流必須被出站規則明確允許。

    • 更高級別:

      • 互聯網邊界防火墻:基于DPI流量分析、IPS入侵防御規則、威脅情報、虛擬補丁、訪問控制策略等,對出向和入向流量進行過濾,判斷流量是否滿足放行條件,有效攔截非法的訪問流量,保障公網交換機資源與互聯網之間的流量安全。

      • NAT邊界防火墻:會檢測所有經過VPC內私網資源(包括同一VPC內的資源和跨VPC的資源)流向該NAT網關的出方向流量。

      • VPC邊界防火墻:幫助用戶檢測和管控專有網絡VPC之間、VPC和本地數據中心之間的流量。

  6. 運維監控設計

    建議您使用網絡智能服務NIS,按需結合流日志和流量鏡像,實現可視化運維。

    • 網絡智能服務NIS:輔助網絡運維工具,實現網絡質量、拓撲、流量可視化,支持巡檢及實例異常診斷。

    • 流日志:采集指定彈性網卡、VPC或交換機的五元組網絡流量,幫助您檢查訪問控制規則、監控網絡流量和排查網絡故障。

    • 流量鏡像:鏡像經過彈性網卡ENI且符合篩選條件的報文,用于內容檢查、威脅監控和問題排查等場景。

  7. 補救措施

    • IP地址不足:若因網段規劃不合理導致地址空間不足,您可以使用附加網段進行擴容,但附加網段不支持修改。

    • IP地址沖突:若VPC網段分配充足,可創建無沖突的交換機以支持應用遷移。您也可以使用VPC NAT實現私網IP地址的轉換,解決IP地址沖突問題,但會增加路由配置復雜度,建議僅在必要時采用。