金融云專有網絡集群分布在:華東1(杭州)、華東2(上海)、華南1(深圳)三個地域。使用專有網絡時,建議參考以下推薦架構搭建金融云環境。
推薦架構
架構說明:
- 網絡隔離:
- 需創建專有網絡(VPC),并配置虛擬路由器與虛擬交換機,將本套環境與其他環境的網絡完全隔離。
- 創建VPC后可對后端的ECS綁定EIP或直接使用SLB,用于互聯網用戶訪問。
- 需在兩個可用區各建一套虛擬交換機,將兩個可用區間網絡隔離。
- 跨可用區的高可用性:
- 創建SLB實例時,選擇跨可用區的SLB實例,保障SLB的跨可用區的高可用性。
- 在兩個可用區分別購買數量相等的ECS服務器,并分別制定ECS屬于對應可用區的虛擬交換機。
- 創建RDS實例時,選擇跨可用區的RDS實例。RDS在兩個可用區之間自動存有兩份完全相同的數據副本,具有優良的性能和可靠性。請優先使用RDS MySQL或RDS SQL Server服務,而不要自己搭建數據庫服務器。RDS在創建時可以指定相應的虛擬交換機。
- 安全域:使用VPN、堡壘機,并設置安全組,建議使用多級跳板的安全組策略保證運維安全。
推薦架構(安全性要求較高)
對于安全管理要求比較高的金融客戶,推薦采取以下架構搭建金融云環境。
架構說明:
- 通過交換機的路由策略以及安全組來對不同安全等級的網絡進行隔離。
- 根據不同安全等級,通過不同的虛擬交換機劃分不同安全域,如互聯網區(DMZ區)、管理區和內網區。
- 推薦只有互聯網區可以訪問互聯網以及接受用戶互聯網訪問。
- VPN與跳板機安裝在管理區內。
- 其他網元的部署應用與 推薦架構 一致。
常見問題
Q:專有網絡與經典網絡區別?
A:經典網絡類型的云產品,統一部署在阿里云的公共基礎網絡內,網絡的規劃和管理由阿里云負責,更適合對網絡易用性要求比較高的客戶。專有網絡,是指用戶在阿里云的基礎網絡內建立一個可以自定義的專有隔離網絡,用戶可以自定義這個專有網絡的網絡拓撲和IP地址,與經典網絡相比,專有網絡比較適合有網絡管理能力和需求的客戶。
Q:是否一定要按這個架構進行應用搭建?
A:阿里金融云建議您遵循這個架構背后的思路搭建系統,這樣可以用很小的代價實現雙機房高可用。當一個機房出現故障時,不會引起服務中斷。這里主要的思路是:通過SLB接入,ECS使用低配多臺并分別放在不同的可用區,使用RDS服務而不要自己搭建數據庫。
Q:堡壘機或跳板機是否是必須的?
A:不是必須的。但強烈建議使用堡壘機的方式進行服務器的管理,這樣更安全。