日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云網絡卓越架構設計指南 數據中心網絡 同地域多VPC網絡設計 統一公網出入口設計

統一公網出入口設計

更新時間:
我的收藏

概述

背景介紹

為了構建高效安全的云上網絡架構,云上統一公網出入口(DMZ VPC)通過新建一個專門的VPC,作為隔離外部互聯網(非信任區域)和企業云上內網(信任區域)之間的接入接出區域,實現了公網接入接出資源的集中管理。該設計便于構建高并發大流量的應用接入網關,管理企業外聯訪問控制,合理利用公網帶寬資源。另一方面,通過與安全產品結合,顯著提升企業內網的防護水平,確保云資源免受外部威脅。本文旨詳細介紹了DMZ-VPC的設計原則與關鍵點,提供了完整設計方案與實踐,旨在幫助您優化云基礎設施,保障其安全性和高可用性。

基本概念

  • 專有網絡VPC:VPC是用戶基于阿里云創建的自定義私有網絡, 不同的專有網絡之間邏輯隔離,用戶可以在自己創建的專有網絡內創建和管理云產品實例,比如ECS、SLB、RDS等。

  • 轉發路由器TR:轉發路由器TR提供連接網絡實例、添加自定義路由表、添加路由條目、添加路由策略等豐富的網絡互通和路由管理功能。

  • 應用型負載均衡ALB:專門面向HTTP、HTTPS和QUIC等應用層負載場景的負載均衡服務,具備超強彈性及大規模應用層流量處理能力。

  • 網絡型負載均衡NLB:面向萬物互聯時代推出的新一代四層負載均衡,支持超高性能和自動彈性能力,幫您輕松應對高并發業務。

  • 網關型負載均衡GWLB:三層負載均衡,通過IP監聽可將所有端口的流量分發給后端服務器組中的網絡虛擬設備NVA(Network Virtual Appliance),可幫您輕松實現各類網絡虛擬設備的高可用部署。

  • NAT網關:阿里云全托管的網絡地址轉換網關,通過轉換和隱藏云服務地址,防止地址直接暴露,顯著提升網絡安全性。

  • 彈性公網 IP EIP:可以獨立購買和持有的公網IP地址資源。EIP是一種NAT IP,實際位于阿里云的公網網關上,通過NAT方式映射到被綁定的云資源上。當EIP和云資源綁定后,云資源可以通過EIP與公網通信。

  • 共享帶寬:提供地域級帶寬共享和復用功能。創建共享帶寬實例后,您可以將同地域下的EIP添加到共享帶寬實例中,復用共享帶寬中的帶寬,節省公網帶寬使用成本。

  • 網絡智能服務NIS:NIS是一系列云上網絡AIOps工具集,提供了云上網絡從網絡規劃到網絡運維全生命周期。包括流量分析、網絡巡檢、網絡性能監控、網絡診斷、路徑分析、網絡拓撲等功能。幫助用戶優化網絡架構,提升網絡運維效率,降低網絡運營成本。

設計原則

為實現企業公網的統一出入口設計,結合使用負載均衡、NAT網關、云企業網、轉發路由器、共享帶寬、EIP、安全產品等,提升了網絡靈活性和可擴展性的同時,保障企業云上數據和應用的安全性和可靠性。統一公網出入口設計需要遵循以下核心原則:

穩定性:統一公網出入口承擔企業內網和外部互聯網之間的橋梁,其穩定持續服務能力,直接關系到企業對外的服務是否可用,因此需要全面考慮統一公網出入口的穩定性設計。

高效性能企業可能遭遇潮汐式流量變化,統一公網出入口必須具備動態調整資源的能力,既需要確保在流量峰值時能夠有充足的資源提供可靠服務,也需要在流量低峰時能夠縮減資源,提高資源利用率。

安全合規:統一公網出入口需幫助企業隔離外部風險并滿足特定行業的合規要求(如金融行業),因此設計時需要充分考慮攻擊防御和安全入侵檢測等方面的同步建設。

最小權限原則系統組件僅能訪問執行其功能所需的最低限度資源,以此增強整個系統的安全性。

設計關鍵點

穩定性

為了提高整體架構的穩定性,創建NLB、ALB、TR、NAT時,至少選擇兩個可用區部署,后端應用服務器分布在不同可用區的不同交換機內,以達到自頂向下的跨可用區的容災高可靠能力。

安全

  • 基礎安全措施:

    • ALB和NLB通過設置安全組,實現對外服務的安全訪問控制。

    • NAT網關部署過程中,建議僅開啟SNAT服務,按需管控后端服務器訪問公網的能力,降低潛在安全風險。

  • 進階安全能力:

    • DDoS防護:采用高防EIP,綁定至DMZ VPC內的私網NLB、ALB,實現TB級防攻擊能力。注意開通高防EIP前,需要提前開通阿里云DDoS原生防護(按量付費版)。

    • Web安全防護:通過為ALB實例開通ALB WAF增強版,將ALB Web業務流量引流到WAF進行安全防護。相比WAF 2.0透明化接入,ALB WAF增強版采用WAF 3.0服務化接入,WAF不參與流量轉發,業務監聽與轉發由ALB負責,實現轉發與防護的完全分離,避免了WAF轉發額外帶來的各種兼容性和穩定性問題。

    • 互聯網邊界防火墻:開通互聯網邊界防火墻服務,并設置新增資產自動保護為開啟狀態。如果賬號下有新增的公網資產,云防火墻將自動開啟新增資產的互聯網邊界保護。

    • 三方防火墻:結合GWLB產品來實現三方防火墻(例如Palo Alto、Fortinet等品牌)的安全訪問控制。

性能

  • EIP配合共享帶寬使用,可以按需提供高達百G級別的出入口能力,承載企業的洪峰流量。

  • NAT單實例提供萬兆級吞吐量,百萬級連接數,滿足超大業務上云需求。

  • 為提高突發流量場景下整體架構的彈性伸縮健壯性,在開通ALB時建議選擇動態IP模式進行自動彈性伸縮。

  • NLB支持超高性能和自動彈性能力,單實例可以達到1億并發連接。

可觀測

通過網絡智能服務NIS,實現對公網的流量分析、異常洞察、性能分析等可觀測服務。

  • 網絡洞察儀:使用洞察儀獲取實時公網質量評估數據,及時感知公網質量劣化,接收公網質量異常事件和影響面分析。

  • 公網流量分析:提供流量統計和流量地圖功能,可觀測公網流量大小,基于地域粒度和實例粒度進行流量統計,分別以一元組(云端IP)、二元組(云端IP、對端IP)、五元組(云端IP、云端端口、協議、對端IP、對端端口)展示入云方向和出云方向流量的排行。

  • 互聯網訪問性能觀測:查看云下各地域訪問阿里云地域的平均時延。您可以參考性能觀測數據,在搭建服務時選擇更適合的地域或可用區。

設計最佳實踐

image

場景整體設計

云上統一公網出入口(DMZ VPC)通過新建一個專門的VPC,作為隔離外部互聯網(非信任區域)和企業云上內網(信任區域)之間的接入接出區域,集中管理公網接入接出資源,便于構建高并發大流量的應用接入網關,管理企業外聯訪問控制,合理利用公網帶寬資源。另一方面,通過與安全產品結合,確保企業內網得到最大程度的保護

轉發路由器及路由表設計

  • 有公網出入口的業務VPC和DMZ VPC都掛載到TR環境下,并在業務VPC中配置0.0.0.0/0的路由指向TR,實現公網默認路由的引流。

  • TR使用系統路由表(默認),路由表中配置目標網段為0.0.0.0/0、下一跳為DMZ VPC的自定義路由,將出公網流量引入到DMZ VPC進而出公網;公網入流量經過SLB和NAT網關,將目的IP轉換成私網地址后,查此路由表的明細路由轉發到目的VPC。

DMZ VPC設計

  • 使用IPv4/IPv6網關,統一管控公網出入口,集中控制公網訪問流量。

  • 公網帶寬:

    • 共享帶寬包支持按帶寬預付費、按帶寬后付費、按帶寬95計費、按流量計費,共享帶寬內EIP共享總帶寬并受限速。

    • CDT公網支持按流量計費,并且在特定區域內按照用戶標識維度累計計量,享受階梯價格。

  • NAT部署:

    • 劃分獨立的交換機以部署NAT實例,在有出公網需求的業務交換機所在的可用區內,部署獨立NAT實例,以便于在可用區故障時不影響其他可用區的NAT出網流量。

    • 建議關閉DNAT,僅開啟SNAT,按需配置SNAT策略,控制哪些私網可以訪問外網,同時,可以按需關閉NAT關聯EIP的禁Ping能力,防止不必要的風險

  • SLB部署:劃分獨立的交換機部署LB實例(4層推薦使用NLB,7層推薦使用ALB),每個LB實例進行多可用區部署提升可靠性。

  • 路由表:參考同地域單VPC網絡設計

說明

統一公網出入口(DMZ VPC)架構比較適合整體出入公網流量規模可控的企業客戶,若是入向流量較大的互聯網客戶,也可以選擇統一公網出口(DMZ VPC)疊加分布式公網入口的組合方案,唯一的區別是把入口統一的負載均衡分布式下沉到各個業務VPC。

安全防護設計(可選)

  • 公網入云防護:推薦使用互聯網邊界防火墻。

  • 公網出云防護:ECS自帶公網IP、EIP推薦使用互聯網邊界防火墻;NAT出公網推薦使用NAT邊界防火墻,可以使用VPC邊界防火墻。

應用場景介紹

統一公網出入口已成為大中型企業網絡架構的標配,尤其在金融、零售、制造、政企及外資MNC等行業中,其重要性得到廣泛認可。DMZ為企業提高整體架構的健壯性、安全性、可維護性,可應用于以下場景:

云上行為集中管控:企業在云環境中為了防范風險,對各個業務訪問公網的場景往往需要集中的行為管控。 建議設立統一的公網DMZ出口,方便企業對所有進出互聯網的流量進行集中管理和監控,確保符合公司的安全策略和合規要求。例如,可以實現對Web訪問、文件數據發送接收、遠程辦公接入等各類業務流量的有效控制。

企業云上業務安全防護:安全是企業在云上開展業務的前提條件,綜合考慮安全性、成本效益、簡化運維、減少攻擊面等多維度因素,統一出入口設計極其重要。部署云防火墻、DDoS、WAF等安全服務,便于形成多層次的安全防線,有效防止來自外部網絡的攻擊,同時也能及時發現和阻止內部異常流量。

物流企業日志審計與合規報告場景:物流企業的互聯網業務承載著非常多的用戶敏感數據,應監管要求,需要對所有流量進行監控,以確保遵守數據保護和隱私法規,同時需要記錄和審計所有出口流量,以便在發生安全事件時進行調查結合流日志和流量鏡像進行統一公網出入口設計,便于企業快速收集和分析所有公網流量的日志信息,滿足企業的合規審計需求,確保數據傳輸行為合法合規,為安全事件追溯提供依據。

Terraform參考

統一公網出入口設計

項目

說明

Terraform Module官網地址

統一公網出入口設計

Github 地址

統一公網出入口設計

示例地址

示例地址

代碼流程:

  1. 劃分生產、測試、DMZ區環境在每個環境內創建多個VPC及對應交換機。

  2. 創建CEN和TR通過TR-attachment把VPC加入CEN中。

  3. 在TR默認路由表中配置路由,以引導公網流量。

  4. DMZ VPC中創建網絡型負載均衡NLB,NLB后端服務器掛載生產環境服務器。

  5. DMZ VPC中創建NAT網關,并為其綁定彈性公網IP,僅開啟SNAT,配置路由實現測試環境中的實例通過NAT網關的EIP訪問公網。

需要創建的實例如下:

  • 3個VPC

  • 12個交換機

  • 1個CEN

  • 1個TR

  • 1個NLB

  • 1個公網NAT網關

  • 1個彈性公網IP