企業服務共享設計
概述
背景介紹
企業的跨VPC互訪場景日益增多,一方面原因是隨著SOA(面向服務的架構)和微服務架構的日益普及,企業正逐步將原有的整體架構單元分解為多個可獨立擴展的服務模塊,這些模塊往往分布于不同的VPC中;另一方面是企業正在越來越多地采用阿里云Landing Zone/卓越架構來設計自己的云上架構,這些實踐方案倡導通過精細的賬戶與VPC規劃,構建出穩定、安全、高效且易于擴展的業務架構。在此背景下,本文聚焦于如何實現跨賬號跨VPC的企業服務共享網絡的最佳設計。
基本概念
專有網絡VPC:VPC是用戶基于阿里云創建的自定義私有網絡, 不同的專有網絡之間邏輯隔離,用戶可以自定義IP地址范圍、創建子網、配置路由表。
云企業網CEN:云企業網支持在地域內定義靈活的互通、隔離、引流策略,幫助您打造一張靈活、可靠、大規模的企業級全球互聯網絡。
轉發路由器TR:轉發路由器TR是云企業網中的一個組件,它充當中心路由器的角色,可以連接不同的VPC、VPN、VBR、云服務等。TR提供了高度靈活的網絡路由服務,支持多路由表和高級路由策略,方便用戶在復雜網絡環境中管理流量和策略。它是多VPC網絡設計中實現復雜網絡架構和跨賬戶網絡架構的關鍵組件。通過使用TR,用戶能夠實現不同網絡間的集中化管理和流量控制,同時也簡化了網絡架構和操作復雜性。
私網連接Privatelink:使用私網連接,用戶可以通過私有網絡單向訪問部署在其它VPC中的服務,無需創建NAT網絡、EIP等公網出口。交互數據不會經過互聯網,有更高的安全性和更好的網絡質量。
網絡智能服務NIS:網絡智能服務是一系列云上網絡AIOps工具集,提供了云上網絡從網絡規劃到網絡運維全生命周期。包括流量分析、網絡巡檢、網絡性能監控、網絡診斷、路徑分析、網絡拓撲等功能,能夠幫助用戶優化網絡架構,提升網絡運維效率,降低網絡運營成本。
設計原則
通過轉發路由器或與私網連接結合,實現企業服務共享通道設計,能夠幫助企業在跨賬號跨VPC場景下,便捷、靈活、安全地訪問共享服務。企業服務共享設計需遵循以下核心原則:
穩定性:服務共享作為企業各環境都需要訪問的關鍵場景之一,在設計過程中要以穩定原則優先,進行多可用區部署與多共享通道設計。
安全合規: 企業往往在不同業務單元之間,使用多賬號和多VPC來提高安全性和故障隔離,此時會有大量的跨賬號私網訪問共享服務的場景。因此,結合不同等級的共享服務進行安全架構、權限最小化的設計是極其重要的。
高效性能:在企業服務共享環境中,彈性能力至關重要,尤其面對日益增長的業務單元,其對共享服務的流量需求難以預測。為應對這一挑戰,采用轉發路由器與私網連接的組合策略,能實現資源的動態調整,有效應對流量變化,從而保持服務質量。
設計關鍵點
穩定性
轉發路由器和私網連接依托于高性能NFV(Network Functions Virtualization)平臺,原生支持可用區內及跨可用區的容災切換,確保業務運行的可靠性和穩定性。
部署轉發路由器打通多個業務VPC到共享服務VPC的訪問時,在多個可用區創建TR交換機實現高可用部署。同時,建議TR交換機和業務交換機按可用區對應部署,實現就近可用區高效訪問共享服務,降低時延。
當引入私網連接配合轉發路由器作為代理節點訪問共享云服務時,建議在多可用區創建終端節點從而實現代理節點的高可用部署,調用方通過域名解析獲取終端節點的IP地址信息。
安全
通過轉發路由器和私網連接訪問共享服務時,訪問流量均在阿里云內網轉發,網絡封閉、不通過公網,避免了通過公網訪問服務帶來的潛在安全風險。
通過轉發路由器訪問共享服務VPC時,靈活運用安全組、網絡ACL、路由配置、多路由表及多轉發路由器等組網策略,構建多層次的安全訪問控制體系。
通過私網連接訪問云服務,可針對VPC網絡中用于訪問服務的彈性網卡,附加安全組和鑒權規則,提供更強的安全保障和控制手段。
性能
跨賬號互聯互通:支持通過轉發路由器和私網連接實現多賬號策略,當每個部門或業務單元有獨立賬號或業務環境時,需具備跨賬號、跨環境的訪問能力,同時具備賬號隔離和權限管控的能力。
超大規模:通過轉發路由器,可以實現上千個VPC訪問共享服務VPC。
超大彈性:轉發路由器具備百G級彈性組網能力,私網連接采用雙可用區部署時,正向代理峰值可達50Gbps,反向代理峰值為25Gbps。如需更高帶寬配置,請聯系阿里云技術支持人員。
可觀測
通過開啟轉發路由器和私網連接的流日志功能,記錄對應網卡傳入和傳出的流量信息,并結合網絡智能運維服務NIS實現流量的排序,觀測各個業務環境訪問共享服務的流量使用情況,確保網絡通信的透明性和可控性。
設計最佳實踐
企業在云上的公共服務,往往分為兩種:企業內的公共服務和云服務(云上公共SaaS服務)。
企業內的公共服務: 例如,AD(Active Directory)和堡壘機等,一般部署在公共服務的VPC中,通過TR打通,供各個業務團隊調用。
云上公共SaaS服務:例如,容器鏡像服務、對象存儲OSS等,直接由云平臺提供,企業需要通過私網連接的終端節點進行私網訪問。
多部門同時訪問公共服務VPC
網絡多平面設計
為滿足企業內部各部門(如開發與測試,財務、人力資源及行政等)間網絡的強隔離訴求,可采用多轉發路由器方案,構建獨立的網絡平面。每個TR專為特定部門的VPC提供連接,確保各網絡平面間徹底隔離,互不干擾。
公共服務VPC設計
當有公共服務被各個隔離部門訪問時,將公共服務部署在公共服務VPC,各部門的TR環境可按需掛載至公共服務VPC。公共服務VPC在掛載不同的TR時,為避免多環境間路由沖突,建議關閉路由同步,且規避使用默認路由(即
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)指向任意TR。精細化路由設計:建議使用靜態路由方式,按需指向不同的TR環境。若存在路由沖突,盡量遵循最小路由優先原則,通過大小段覆蓋調整。例如當共享服務VPC需要訪問TR1環境中的
172.16.1.0/24網段和TR2環境中的其他172.16.0.0/16時,需要使用大小段的方式來配置路由,配置172.16.1.0/24指向TR1的attachment,配置172.16.0.0/16指向TR2的attachment。
云上公共SaaS服務
訪問阿里云公共SaaS服務設計
阿里云的SaaS云服務體系中,服務部署模式分為以下三類:
VPC內部署的服務(如RDS):使用標準VPC私網地址,客戶可自主規劃私網地址并利用VPC內網或跨VPC網絡實現通信。
非VPC內部署的服務(如OSS):雖無標準VPC私網地址,但提供阿里云公共地址段(
100.64.0.0/10)內的地址,確保客戶VPC可直接訪問,但不支持私網地址的自定義規劃與管理。僅具公網地址的服務(如服務平臺百煉):缺乏私網地址選項。
針對后兩類缺乏標準私網地址的云服務,若客戶希望統一地址管理并通過標準私網地址進行訪問,可借助阿里云的私網連接實現地址代理與轉換。
公共服務VPC設計
針對連接TR的交換機,實施精細化劃分,以增強數據傳輸的針對性和安全性。
劃分放置私網連接終端節點的交換機,建議采用多可用區、多活冗余設計,確保服務的高可用性且有效分散風險。
業務VPC到SAAS云服務的訪問設計
業務VPC和公共服務VPC均接入TR。
業務VPC經過TR,通過公共服務VPC中私網連接的終端節點(多個彈性網卡ENI的私網IP或者域名)訪問SaaS云服務。
業務VPC路由表中,添加指向SaaS服務的私網連接明細路由,建議使用最小粒度的路由網段,避免路由沖突。
應用場景介紹
現代企業中,使用多VPC與多賬號策略能顯著提升安全性、靈活性及管理效能。再與企業內的共享服務架構結合,即可通過不同虛擬網絡與賬號進行資源與服務隔離,優化資源管理并增加安全層級。企業服務共享設計通常應用于以下場景:
多部門統一鑒權場景(使用一套AD系統管控云上業務環境):云上環境中,企業內多個部門往往都有自己的業務賬號和VPC環境,部分比較獨立的部門甚至有一張獨立的網絡環境,但他們都需要統一的企業AD系統來進行鑒權和登錄管控。通過將集中的AD服務獨立部署在共享服務VPC,并將其并行加入到多個賬號和部門的轉發路由器。這不僅保障了各環境的獨立性與安全性,還實現了AD系統與各TR環境服務的無縫對接,支持統一用戶認證與權限管理,簡化訪問控制,減輕IT管理負擔,確保員工無論處于哪個地區或部門,均能安全高效地訪問資源,提升整體業務運行的靈活性與響應速度。
安全運維場景(堡壘機統一登錄與管控):為增強安全性和監控,大型企業的運維團隊往往需要統一的安全環境來執行日常運維和管理操作。在此場景中,往往會使用堡壘機,并將其環境獨立部署在VPC,該VPC并行加入到多個環境的轉發路由器,提供統一安全、中心管理的接入點,監控并控制關鍵系統訪問。通過堡壘機,企業能有效地審核和記錄所有管理員的活動,確保對敏感操作的透明與追溯性,簡化跨VPC與賬戶的訪問管理,顯著提升安全防護和操作效率。
企業共享存儲場景(通過私網連接訪問企業共享的OSS服務):中大型企業中,存儲資源是每個部門都需要用到的關鍵服務。為保證存儲資源的安全高效,往往會放在統一環境中進行集中管理,再按需開放給各個部門共享使用。通過私網連接實現對企業共享OSS服務的訪問,結合鑒權機制,構建安全高效的數據交互通道。私網連接保障數據在云內部高效傳輸,避免公網暴露,增強傳輸安全與可靠性。此配置支持跨環境安全共享與訪問存儲資源,維持網絡隔離與數據保密,優化資源管理與數據安全策略。