概述

背景介紹

隨著云計算的快速發展，企業紛紛在云端構建復雜的網絡架構以支持不同的業務場景，逐漸從粗放式經營向精細化管理過渡，關注組網、安全、容災與擴展等關鍵問題。其中，同地域跨VPC互聯的網絡設計尤為關鍵，對確保高效率、高安全性和高可用性至關重要。本文重點討論在阿里云環境中，如何使用VPC對等連接和轉發路由器，針對不同的客戶場景和需求，構建高效、安全且高可用的同區域多VPC網絡架構，提供一套Well-Architected解決方案。

基本概念

• 專有網絡VPC：VPC是用戶基于阿里云創建的自定義私有網絡, 不同的專有網絡之間邏輯隔離，用戶可以自定義IP地址范圍、創建子網、配置路由表。

• VPC對等連接：VPC對等連接是兩個VPC之間的網絡連接，支持IPv4或IPv6互連 。您可以通過VPC對等連接實現IPv4或IPv6流量互通，從而實現同賬號或跨賬號的兩個VPC間同地域或跨地域的私網互通。

• 云企業網CEN：云企業網支持在地域內定義靈活的互通、隔離、引流策略，幫助您打造一張靈活、可靠、大規模的企業級全球互聯網絡。

• 轉發路由器TR：轉發路由器TR是云企業網中的一個組件，它充當中心路由器的角色，可以連接不同的VPC、VPN、VBR、云服務等。TR提供了高度靈活的網絡路由服務，支持多路由表和高級路由策略，方便用戶在復雜網絡環境中管理流量和策略。它是多VPC網絡設計中實現復雜網絡架構和跨賬戶網絡架構的關鍵組件。通過使用TR，用戶能夠實現不同網絡間的集中化管理和流量控制，同時也簡化了網絡架構和操作復雜性。

設計原則

可持續架構：隨著客戶云上業務規模的發展，需要在整體架構不變的情況下，支持更多的VPC連接、路由條目配置以及可能的網絡安全策略。

安全有限互訪：通過網絡路由實現不同VPC網段的按需互通，確保敏感數據和系統不會被未授權訪問和相互干擾，做到精細化的權限控制和安全管理。

滿足業務性能：根據不同業務需求來優化網絡設計，比如為特定應用程序配置特定的網絡拓撲結構，或者根據流量模式優化網絡性能。

設計關鍵點

在設計同地域多VPC網絡時，VPC對等連接和轉發路由器各有所長，需要基于具體需求進行綜合考慮：

VPC對等連接更適合網絡結構簡單、流量低且無需擴展的環境，可以提供直接的連接和較低的延遲，成本效益顯著，便于最小化操作復雜性。

轉發路由器則適用于需要大規模網絡互連、高度可靠性、可擴展和靈活的路由管理的場景。盡管TR有一定成本，但其提供了更強大的功能和更高的操作便捷性，尤其是在連接了大量VPC的復雜網絡結構中，需要綜合考慮安全性、可靠性、性能效率、成本優化、部署優化等Well-Architected Framework的關鍵領域，TR會更適合。

安全

• VPC間互訪：除安全組和網絡ACL外，可以通過TR聯動路由策略功能進行集中式的網絡流量管理，易于實現統一的安全策略和監控。TR支持聯動云防火墻，進一步保障企業內部不同業務單元的數據隔離和安全。

• TR多路由表設計：在TR網絡中，可以創建多個路由表來實現公網環境、生產環境、測試開發環境之間的安全隔離。每個VPC環境都可以關聯到特定的路由表，聯動路由策略來控制不同環境之間的訪問權限。多路由表設計允許您靈活地定義哪些交換機能夠訪問互聯網、哪些交換機僅限于私有網絡之間的通信，以及哪些交換機可以互相訪問。

• 服務鏈設計：服務鏈是一種網絡設計原則，其中網絡流量可以按順序通過一系列的網絡服務，如防火墻、入侵檢測系統、負載均衡等。通過服務鏈設計，您可以強制實施網絡流量必須通過特定的安全檢查點，從而提高安全性和合規性。例如，將所有出口或入口流量通過TR定向經過云防火墻，確保所有流量都符合安全策略。

• 多TR平面隔離設計：使用多TR平面可以將不同的網絡環境隔離開，例如將生產環境、開發環境和管理網絡的環境分別隔離，或者以不同的子公司維度進行環境隔離。每個TR可以有自己的路由表和安全策略，從而實現更細粒度的網絡隔離和控制。這種設計通常用于更復雜的組織結構，其中不同的部門或業務線需要獨立的網絡分隔，以符合內部治理和合規要求。

性能

• VPC對等連接提供直接穩定的連接，通過靜態路由配置，有效減少網絡鏈路冗余，提升網絡可靠性。尤其在簡單網絡拓撲中，其管理直觀，便于維護高可用性。

• 轉發路由器提供動態路由和故障轉移機制，增強網絡冗余性和鏈路自愈能力。TR支持VPC對等連接不具備的路由傳遞，進一步加強了組網可靠性。同時，TR具備可用區級別的管理能力，可以基于資源所在可用區選擇TR的交換機，降低轉發時延，構建可視化的高可用架構。

彈性

• VPC對等連接提供了低延遲的網絡連接，適合延遲敏感型應用。對于同地域多VPC通信，提供最直接的數據傳輸路徑。

• 轉發路由器支持多VPC間的高效數據傳輸，并能夠根據實時的網絡狀況動態優化路由，且TR可以有效處理大規模網絡的復雜性和數據吞吐需求。每個網絡實例連接支持的最大帶寬為：華東1（杭州）、華東2（上海）、華北2（北京）、華南1（深圳）、中國香港、新加坡地域為50 Gbps，其余地域為10 Gbps。

可觀測

• VPC對等連接支持通過開通流日志以及SLS進行VPC間的流量分析。

• 網絡智能服務NIS支持對TR組網架構進行拓撲發現和管理，以及同地域VPC間流量進行性能監控和流量分析。通過集成機器學習、知識圖譜等AIOps方法減少網絡使用復雜性，提供自助運維能力，方便網絡架構師和運維工程師更快捷地設計和使用網絡。

設計最佳實踐

在實現同地域多VPC的架構設計后，確保各VPC間高效互聯至關重要。VPC對等連接和轉發路由器均可作為連接方案，前者通常用于簡單的一對一VPC網絡連接，后者則針對復雜網絡環境，如多VPC、跨賬戶連接及高級路由需求，展現出更廣泛的適用性。通過合理配置TR，您可以靈活地調整和優化網絡流量路徑，確保網絡設計的可伸縮性和安全性。

簡單網絡互聯場景

簡單網絡互聯場景中，兩個業務單元分別位于獨立的VPC中，它們通過VPC對等連接確保了內部網絡的連通性及安全性，同時維持著各自的業務隔離。鑒于當前及未來較長時期內無需擴展，這種架構穩定且高效。VPC A與VPC B間實現了資源共享和互訪，當VPC A與VPC B都關聯了IPv6 CIDR網段時，每個VPC的路由表可同時配置對端VPC的IPv4與IPv6路由條目，用戶可根據實際需要靈活選擇IPv4或IPv6進行通信。

復雜網絡互聯場景

• DMZ區域（DeMilitarized Zone）：作為網絡安全緩沖區，通常包含對外訪問和被訪問的服務組件，如DDoS、WAF、NAT網關、負載均衡、業務前端服務器等。它作為內部網絡（例如生產環境）和外部網絡（例如公共互聯網）之間的中間層，提供額外的安全保護。

• 共享服務區：部署被多個環境共享的服務，如身份認證服務、集中日志管理服務、內部DNS解析等，允許各個環境訪問共享資源，減少重復部署。

• 生產環境：托管運行中的業務應用程序和服務，具備最高級別的安全控制和監控。此環境需要密切監控和管理，以確保高可用性和性能。不同的業務與項目，可以再進行不同的VPC拆分。

• 開發環境：隔離于生產環境，專供開發人員進行代碼編寫與初步測試，避免開發活動影響生產服務。不同的業務、項目，可以再進行不同的VPC拆分。

• 測試環境：作為深入測試區域，模擬生產環境進行集成測試、性能測試和用戶驗收測試，以確保在實際部署前發現問題。

• 安全VPC：托管安全相關的工具和服務，如東西向防火墻、入侵檢測系統（IDS）、漏洞掃描工具等，專注于監控和保護整個多VPC架構的安全。

• 運維&VPN接入區：專門用于運維人員遠程訪問和云環境管理。通常包含VPN服務和其他遠程訪問工具（如無影），有助于安全地控制對云資源的訪問。

場景1：單平面組網

企業多個業務VPC之間通過TR進行大規模組網，實現VPC之間的按需互通。同時構建DMZ VPC以統一管理所有公網出入流量。生產、開發、測試等不同業務之間的訪問控制均通過TR路由表中的路由條目和路由策略進行管理。

場景2：多平面組網

集團型企業網絡架構通常映射其組織結構，形成集團-子公司-業務單元三級網絡布局，需采用多平面架構以滿足復雜需求。多平面組網架構實施有兩大策略：通過多個TR實例或者通過TR路由表進行平面切分。平面切分遵循橫向與縱向邏輯。橫向切分適用于集中式運維模式，將網絡分為生產、開發測試及共享服務等層面；而縱向分割則按子公司劃分，適合各子公司擁有獨立運維團隊的場景。

通過多個TR實例進行多平面組網

多個VPC間通過多個TR平面構建多平面組網，實現多環境隔離，僅共享服務VPC與多個TR平面內的所有VPC互聯互通。如圖所示，通過TR-1進行平面1的規模組網，TR-2進行平面2的規模組網，且共享服務VPC可分別訪問TR-1和TR-2內的VPC。

通過TR多路由表進行多平面組網

按照TR路由表劃分成多平面，各子公司VPC綁定獨立的TR路由表。TR路由表中的路由配置和路由策略決定子公司之間的互通。同時可以構建公網路由表，僅用于管理DMZ VPC的路由轉發，作為各個子公司公網南北向流量管理的統一出入口。

應用場景介紹

業務簡單互通場景：適用于云上網絡結構簡單，僅需A和B業務間直接通信，例如企業簡單的服務調用場景，對安全性和彈性要求較低。

企業云上標準組網場景：適用于中大型及集團化企業，業務單元眾多，且涵蓋多樣化的業務單元交互模式（全互通、有限互通、不互通）。要求云網絡具備高可靠性、安全性和彈性，能夠支撐業務單元的規模化增長，同時能夠較為便捷地進行集中化網絡管理。

Terraform參考