網絡服務選型指南
經過多年的自主研發,阿里云網絡構建了應用交付網絡、數據中心網絡、全球化網絡三大主要場景以及一系列的網絡產品與服務,以滿足用戶不同的使用場景需求。本指南幫助您了解和選擇阿里云網絡服務。通讀全文時間較長,我們已在排版上為您做了一些優化和折疊,您可以根據實際需求選擇性閱讀您想要了解的內容。
簡介
網絡是信息時代IT基礎設施,用于實現信息和資源的共享與傳輸。
云網絡是云的基礎設施,與傳統網絡相比,云網絡既有相似之處,也有很多不同。通過使用云網絡的相關服務,您能夠方便快捷地搭建云上數據中心組網、讓您的應用或服務穩定高速地被全球用戶所訪問、安全可靠地將您的IDC與公共云進行互聯以實現混合云部署,而這一切都不需要您親自參與到具體的網絡設備、線路的建設,在阿里云控制臺點點鼠標就可以簡單快速地完成部署。
通過了解阿里云云網絡提供了哪些服務、每個服務分別用于解決什么問題,非常有助于您高效便捷地在云上部署滿足不同業務場景需求的應用或系統。本文將引導您了解阿里云的網絡服務及在選型過程中需要考慮的關鍵因素,幫助您更好地選擇和使用適合您的網絡服務,助力您業務成功。
了解
了解基本概念
在使用阿里云網絡產品前,建議您先了解如下基本概念,這些是云產品的基礎知識。
說明 阿里云擁有安全合規、遍布全球的云計算基礎設施,全球擁有28個公共云地域、85個公共云可用區。您可單擊地域與可用區分布,查看阿里云全球基礎設施布局。 | 地域和可用區關系  |
了解您的業務場景類型
根據業務場景選擇合適的云網絡場景化解決方案,通過方案架構的規劃設計,能顯著簡化網絡架構復雜度。同時,合理、健壯的網絡架構設計,長期看也能減少使用和維護改造成本,讓云網絡基礎架構能助力業務更平滑地擴展。
典型的業務場景如下:
單地域部署,且VPC數量小于3個及以下。企業規模200人以下,業務特征:業務系統相對單一、希望業務高可用部署且具備一定的彈性匹配業務的擴展。
多地域部署、多地域容災,VPC數量往往大于5個及以上。企業規模300人及以上,業務特征:業務遍及全球多個地域、對網絡時延敏感、希望通過將業務系統部署運行在多個地域提升用戶接入體驗質量、需要滿足多個地域間系統的互相冗余高可靠要求。
混合云/多云部署,VPC數量往往大于5個及以上。企業業務除了部署在阿里云,還會部署在企業數據中心或其他云等。企業規模500人及以上,業務特征:企業業態多元化、接入場景復雜(包含數據中心、分支機構、辦公網、移動終端、外部供應商伙伴等)、希望利用混合云架構進一步提升多云容災的高可靠性。
針對上述典型場景,阿里云提供了成熟的云網絡產品解決方案供您參考,以便您更合理地設計您在云上的網絡基礎架構。
了解阿里云網絡產品方案體系
經過多年的自主研發,阿里云構建了應用交付網絡、數據中心網絡、全球化網絡三大主要場景以及一系列的網絡產品與服務,以滿足用戶不同的使用場景需求。
應用交付網絡
應用交付網絡為應用部署提供優質的公網入口和負載均衡的能力。高質量、低成本的公網入口,可以讓您的客戶更好地訪問您的云上應用,負載均衡的能力可以提升應用部署的規模和高可用能力。
云上公網訪問:實現靈活、高質量、低成本的公網訪問。
彈性公網IP(Elastic IP Address,簡稱EIP)是獨立的公網IP資源,可與云服務器ECS、NAT網關、ENI網卡、私網負載均衡SLB等綁定,并可以動態解綁/綁定滿足靈活管理的要求。任播彈性公網IP (Anycast Elastic IP Address,簡稱Anycast EIP)依托阿里巴巴優質的公網帶寬和傳輸網絡,實現全球范圍的網絡入口就近接入,提升公網訪問質量。
全球加速GA(Global Accelerator)是一款覆蓋全球的網絡加速服務,依托阿里云優質BGP帶寬和全球傳輸網絡,實現全球網絡就近接入,可以減少延遲、抖動、丟包等網絡問題對服務質量的影響,為全球用戶提供高可用和高性能的網絡加速服務。
云上負載均衡:實現業務應用高可用部署。
負載均衡SLB(Server Load Balancer)是一種對流量進行按需分發的服務,通過將流量分發到不同的后端服務來擴展應用系統的服務吞吐能力,并且可以消除系統中的單點故障,提升應用系統的可用性。
負載均衡SLB產品家族包括應用型負載均衡ALB(Application Load Balancer)、網絡型負載均衡NLB(Network Load Balancer)、傳統型負載均衡CLB(Classic Load Balancer)。
數據中心網絡
數據中心網絡為用戶提供云上安全隔離、彈性擴展、穩定可靠的網絡環境,是用戶在云上的數據中心。
專有網絡VPC(Virtual Private Cloud)幫助您基于阿里云構建一個邏輯隔離的云上數據中心,用戶可以完全掌控自己的VPC,包括選擇IP地址范圍、配置路由和網關等,用戶可以在VPC中使用阿里云云產品如云服務器ECS、云數據庫RDS和負載均衡SLB等。
NAT網關(NAT Gateway)提供地址轉換網關服務,提供NAT代理(SNAT和DNAT)能力。公網NAT網關與彈性公網IP配合使用,可以組合成為高性能、配置靈活的企業級公網訪問出入口網關;VPC NAT網關與高速通道、轉發路由器TR配合使用,可以組合成為私網互訪的私網訪問出入口網關。
IPv4網關/IPv6網關是專有網絡VPC的互聯網流量網關。您可以通過配置路由規則,實現公網訪問集中控制。
私網連接(PrivateLink)能夠實現專有網絡VPC與阿里云上的服務建立安全穩定的私有連接,簡化網絡架構,實現私網訪問服務,避免通過公網訪問服務帶來的潛在安全風險。
全球化網絡
企業業務的全球化需要構建跨地區、跨國界的網絡基礎設施,以支持數據和應用程序的無縫、高效流動。在構建覆蓋全球的企業網絡時,通常會遇到云上網絡和云下IDC、分支機構互聯的混合云場景以及不同地域之間的多地域互聯場景,這兩種場景的組合最終幫助客戶實現企業“全球一張網”。
對于混合云場景阿里云推出如下產品:
高速通道(Express Connect)可在本地數據中心IDC(Internet Data Center)和云上專有網絡VPC(Virtual Private Cloud)間建立高速、穩定、安全的私網通信。高速通道的物理專線數據傳輸過程可信可控,能有效提高網絡通信的質量及安全性。適用于金融機構、銀行、醫院、工廠、辦公場所等中大型數據中心專線上云場景。
VPN網關(VPN Gateway)是一款基于互聯網提供加密網絡連接服務的產品,通過建立加密隧道的方式實現企業本地數據中心、企業辦公網絡、互聯網終端與阿里云專有網絡(VPC)之間安全可靠的私網連接。您也可以使用VPN網關在VPC之間建立加密的內網連接。VPN網關支持IPsec VPN、SSL VPN及國密算法等能力,滿足分支互聯、移動辦公等接入場景。
智能接入網關SAG(Smart Access Gateway)是阿里云提供的一站式快速上云軟件定義廣域網SD-WAN(Software Defined Wide Area Network)接入服務。企業可通過智能接入網關實現互聯網就近加密接入,獲得更智能、更可靠、更安全的上云體驗,適用于中小數據中心、分支互聯、移動辦公等接入場景。
對于多地域互聯場景阿里云推出如下產品:
云企業網CEN(Cloud Enterprise Network)是運行在阿里云私有全球網絡上的一張高可用網絡。云企業網通過轉發路由器TR幫助您在跨地域專有網絡之間、專有網絡與本地數據中心間搭建私網通信通道,為您打造一張靈活、可靠、大規模的企業級云上網絡。
轉發路由器TR(Transit Router)是地域范圍內的企業級核心轉發路由器,可為用戶轉發同地域或跨地域的網絡實例間的流量,并支持定義靈活的互通、隔離、引流策略。
同時,為了幫助用戶高效率與低成本地上云、用云、用好云,還提供了如下網絡服務產品:
網絡智能服務NIS(Network Intelligence Service)是為您在云上建站提供規劃、部署與運維能力的智能化自助服務平臺,可以幫助您更方便地規劃與使用網絡。網絡智能服務NIS既可以為您規劃網絡時提供參考數據,也可以協助您發現并解決網絡的異常問題,支持對網絡進行健康分析、性能監控、診斷修復、流量分析和測量仿真。網絡智能服務NIS通過集成機器學習、知識圖譜等AIOps方法減少網絡使用復雜性,提供自助運維能力,方便網絡架構師和運維工程師更快捷地設計和使用網絡。
云數據傳輸CDT(Cloud Data Transfer)為阿里云多款互聯網公網流量和跨地域私網流量產品統一計費,通過免費額度和階梯計費持續釋放紅利。每月提供20GB公網流量免費額度,同時支持公網流量累計階梯計費,用量越大單價越低,覆蓋云服務器 ECS、彈性公網IP、Anycast EIP公網、共享帶寬、IPv6網關、傳統型負載均衡CLB公網、全球加速GA公網等產品。支持跨地域私網流量按使用流量計費,計費方式靈活門檻更低。
考慮
業務規模需求
業務規模和網絡規模之間有著密切的相關性,您可以明確網絡的規模,根據需求和規模進行組網。網絡產品使用的核心是網絡規劃,這將決定您后續的網絡維護復雜度,良好的網絡規劃將讓您的后續網絡維護更簡單。
網絡規劃必須考慮到現有業務的規模和未來的擴展需求,以確保網絡架構能夠支持企業操作的有效性和效率。您可以考慮如下因素:
地域和可用區規劃:在同一地域內可用區與可用區之間內網互通,可用區之間能做到故障隔離。同一可用區內實例之間的網絡延時更小,其用戶訪問速度更快。如何選擇地域和可用區?建議從如下幾個維度考慮。
考慮因素
選擇說明
業務場景對時延的要求
業務最終服務的用戶和資源部署地域的距離越近,網絡時延越低,訪問速度越快。
說明您可通過如下網絡智能服務工具,可視化查看網絡訪問性能:
高可用和容災
如果您的應用需要較高的容災能力,建議您將實例部署在不同地域或者同一地域的不同可用區內。
成本
不同地域的云服務價格可能會有所不同,建議您根據預算選擇合適的地域。
您可以通過價格計算器估算云產品價格,下載選配清單,助您高效采購。
服務支持的地域和可用區
并非阿里云所有服務在每個地域/可用區都可用,建議您在選擇地域/可用區時,確保云服務可用。
網段規劃:專有網絡是地域級的資源,交換機是可用區級的資源,一個交換機可以看作一個劃分出的子網。在創建專有網絡和交換機時,您需要指定專有網絡和交換機的網段。網段的大小不僅決定了可部署多少云資源也關系到不同網絡之間能否互通。關于專有網絡和交換機的網段規劃,有如下規劃建議:
推薦在專有網絡中使用RFC 1918定義的私有IPv4地址空間,專有網絡的IPv4地址空間推薦使用/16掩碼,若專有網絡容量需要擴容,建議通過附加網段進行擴容。
考慮到未來擴展,建議您選擇一個足夠大的CIDR塊,以便為未來可能需要的任何交換機、實例或新服務留出足夠的空間。
建議您根據業務規劃和安全、容災等訴求,規劃多個專有網絡,劃分多個交換機,在網段規劃時,建議您避免地址重疊。
系統功能和性能
您需要考慮業務功能與性能、網絡質量等問題,確保網絡能夠滿足業務需求,并具備高可靠性和容錯性,以防止單點故障。
例如,您需要在阿里云部署您的互聯網應用服務:
如何避免因后端服務器單點故障導致服務中斷?您可以使用負載均衡SLB產品家族進行流量分發至多臺服務器,負載均衡通過健康檢查機制可以及時避免將業務流量轉發到異常服務器上,從而保證服務高可用。
如何讓多臺服務器使用同一個公網IP訪問互聯網?您可以使用公網NAT網關進行內外網地址映射,通過彈性公網IP實現動態解綁滿足靈活管理的要求,實現統一公網出口。
如何提升QPS或者并發連接數瓶頸?如果您此前未使用負載均衡或者使用了傳統型負載均衡CLB,您可升級使用應用型負載均衡ALB或網絡型負載均衡NLB,ALB單實例100萬QPS/NLB單實例1億并發連接并且支持按量付費,讓您低成本擁有大規模流量分發處理能力。
如何提升全球化應用網絡訪問質量?對于全球化應用,不同國家或地區的用戶訪問時有可能出現網絡訪問質量不高,此時您可以使用全球加速GA進行網絡加速,提升用戶網絡訪問質量與體驗。
如何解決業務與本地數據中心、辦公網、門店IoT設備、移動終端、其他云廠商平臺部署的服務進行網絡互通的問題?您可以使用VPN網關、智能接入網關SAG或者高速通道實現混合云場景網絡互聯,這些產品支持不同的業務場景、業務形態、部署模式,可以滿足您的多樣化的場景需求。
可擴展性和彈性
您需要考慮網絡產品的可擴展性和彈性,以滿足業務的增長和變化需求。例如,支持靈活的網絡拓撲、子網劃分和路由轉發,以及快速擴容和縮容的能力。
對于網絡組網類產品,例如專有網絡VPC、NAT網關、轉發路由器TR等產品,支持標準的網絡劃分與路由轉發邏輯,您可根據實際情況自行進行靈活的網絡規劃及路由控制。
對于網絡流量類產品,例如負載均衡SLB產品家族,應用型負載均衡ALB與網絡型負載均衡NLB支持根據業務流量負載自動彈性避免業務瓶頸,您無需預估業務峰值。
開放性與自服務
用戶在使用云產品時,使用方式和工具可能是多種多樣的,這就需要云產品與主流廠商的業務開放性趨于一致。
阿里云網絡服務具有較高的開放性,提供了多種方式和工具,以便用戶根據自己的需求自由配置和管理網絡資源。
您可以通過以下方式部署和維護網絡服務(不同產品支持情況不同,需要以具體產品實際情況為準):
阿里云控制臺:具有交互式操作的Web服務頁面,您可登錄控制臺完成網絡產品服務創建、配置、刪除等各項操作。
阿里云SDK:提供Java、Go、Python等多種主流編程語言的SDK,供開發者調用或集成。
OpenAPI開發者門戶:提供快速檢索接口、在線調用API和動態生成SDK示例代碼等服務。
阿里云App:移動端類型的管理工具,方便您及時運維監控您的網絡服務。
Terraform:能夠通過配置文件在阿里云以及其他支持Terraform的云廠商平臺調用計算資源。
同時針對網絡環境復雜度高、問題多、定位維護困難的業務痛點,阿里云網絡提供了多種自服務方式幫助您高效地使用云產品:
完備高質量的產品文檔:產品文檔除了產品使用配置教程外,我們還總結了較多客戶實際上云用云過程中的最佳實踐。如果遇到業務問題,您可以優先參考網絡產品文檔中的典型場景,自助解決您的問題。
智能化自助服務平臺工具NIS:網絡智能服務NIS既可以為您規劃網絡時提供參考數據,也可以協助您發現并解決網絡的異常問題,支持對網絡進行健康分析、性能監控、診斷修復、流量分析和測量仿真。網絡智能服務NIS通過集成機器學習、知識圖譜等AIOps方法減少網絡使用復雜性,提供自助運維能力,方便網絡架構師和運維工程師更快捷地設計和使用網絡。
總體成本效益
您需要評估網絡服務的成本效益,主要包括帶寬流量成本、資源使用成本等。建議您考慮長期投資回報和總擁有成本。
對于帶寬流量成本,您可以考慮使用云數據傳輸CDT,云上多產品統一計費,實行跨產品階梯定價,流量使用越多成本越低。
對于云資源使用成本,您可考慮按量計費的方式,按實際使用量后付費。如果您的業務具有周期性或波動較大,例如游戲、視頻等行業,資源使用有臨時性和突發性,這樣可以有效降低您的使用成本。
穩定性與可維護性
您在規劃或設計網絡架構時,建議您遵循業界及各產品推薦的方法,確保后續業務穩定與可持續維護。
例如:
網絡擴展性:您在規劃網絡組網時,建議您適當考慮IP地址冗余,避免后期因IP地址不足導致需要重新規劃網絡。
多可用區部署:您在配置后端服務流量負載均衡時,建議您配置至少2個可用區的后端服務器,避免將后端服務器均部署在單個可用區,這樣可以避免單個可用區故障對于業務穩定性的影響。當業務多可用區部署時,業務的可靠性會大幅提升,以網絡型負載均衡NLB為例,單可用區服務可用性為99.95%,多可用區服務可用性可提升至99.995%。
多地域部署:如果您處于一些對于穩定性要求特別高的行業或者擁有一些對于穩定性要求特別高的非常核心的業務,您可以考慮進行多地域部署,您可參考典型的兩地三中心方式將業務部署在多個地域與多個可用區并進行容災備份。
安全性
網絡安全是一個重要的考慮因素,需要確保數據的保密性、完整性和可用性。您需要選擇具備強大安全功能的網絡服務和協議,以及采取適當的安全措施。
您可以從以下幾個角度考慮安全性:
采用安全的協議:例如應用層協議,建議您使用HTTPS協議進行加密安全通信,避免使用HTTP協議,同時也建議您選擇較高版本的TLS協議支持。
進行訪問控制:建議您根據實際情況開啟安全組、訪問控制等功能,避免可能存在的安全攻擊。
網絡隔離:阿里云從基礎設施網絡隔離、專有網絡隔離、多租戶隔離等多方面提供網絡隔離措施。您在自主規劃業務網絡時,對于核心業務與非核心業務,也可以考慮進行適當的業務網絡隔離。
權限管控:阿里云賬號具備所有云資源的操作權限,實際在使用過程中建議您給操作者配置RAM權限,降低權限問題導致的安全風險。
業務流量盡量走內網通信:對于業務需要跨VPC網絡通信的場景,建議業務流量盡量走內網通信,避免通過互聯網通信,避免有可能導致的來自互聯網的攻擊。
云安全產品能力加持:對于公網流量請求,您可考慮采用Web應用防火墻、DDoS防護等專業的云安全產品進行流量清洗與異常流量攔截。負載均衡SLB、彈性公網IP等多個產品已實現了與安全產品的集成,可極大降低您的使用配置難度。
安全審計:您需要考慮所使用的云產品是否提供審計和日志監控功能,記錄和追蹤用戶訪問和活動,以便發現和響應潛在的安全問題。
選擇
您在選擇使用具體的云產品時,建議您根據業務場景選擇對應的產品服務,部分場景需求需要多產品組合使用。
公網訪問場景
選擇公網IP地址類型
從互聯網訪問云上部署的應用,或者應用主動訪問公網時,需要為應用服務器配置公網IP地址。
公網IP地址類型分為固定公網IP與彈性公網IP,二者區別如下:
對比項 | 彈性公網IP | 固定公網IP |
是否支持專有網絡 | 支持 | 支持 |
是否支持單獨持有 | 支持 | 不支持 |
是否支持彈性插拔 | 支持 | 不支持 |
固定公網IP只能在ECS/CLB等實例創建時分配,并且創建后無法更換,只能隨著實例刪除,無法滿足靈活解綁與管理的需求。彈性公網IP是獨立的公網IP資源,可以動態解綁/綁定滿足靈活管理的要求,推薦您使用彈性公網IP。
彈性公網IP與固定公網IP均為IPv4地址類型。IPv6無需特定的公網IP資源,VPC內的IPv6服務需要通過開通IPv6公網帶寬才能訪問公網。
不同彈性公網IP對比
彈性公網IP有不同形態,主要有以下三種:
彈性公網IP(BGP多線):覆蓋全球多地域的優質BGP線路,同時接入多條運營商線路,并自動選擇最優線路訪問,保證用戶訪問快速穩定。
彈性公網IP(BGP多線-精品):BGP多線-精品線路是一種優化海外回中國內地流量的公網線路,可以提高國際業務訪問質量。相比普通BGP多線線路,精品線路在為中國內地終端客戶(不包括中國內地數據中心)提供服務時,通過運營商精品公網直連中國內地,時延更低。
任播彈性公網IP(Anycast EIP):每一個Anycast EIP實例會被分配一個可訪問公網的IP地址,此IP地址可在整個接入區域內發布,不受地域限制。在將此IP地址與后端資源進行綁定后,接入區域內的用戶流量將通過該IP地址從就近接入點進入阿里云網絡。進入阿里云網絡后,Anycast EIP可以智能選擇路由并自動完成網絡調度,將用戶的網絡訪問請求送達至后端資源節點,提升用戶的公網訪問體驗。
對比項 | 彈性公網IP(BGP多線) | 彈性公網IP(BGP多線-精品) | 任播彈性公網IP(Anycast EIP) |
核心優勢場景 | 優質BGP公網線路,用于低成本公網訪問 | 優化海外回中國內地流量,通過運營商精品公網線路直連中國內地 | 全球多地域使用相同IP,用戶流量就近接入阿里云網絡 |
場景 |
|
|
|
質量 | 低 | 高 | 高 |
成本 | 低 | 中 | 高 |
統一公網流量入口
單臺后端服務器直接使用公網IP對外提供服務時,如果服務器出現問題容易導致業務單點故障,影響系統可用性。
實際業務場景中,推薦您使用負載均衡產品,并在多可用區掛載多臺后端服務器,通過將流量分發到不同的后端服務來擴展應用系統的服務吞吐能力,消除系統中的單點故障,提升應用系統的可用性。
負載均衡SLB產品家族包括應用型負載均衡ALB(Application Load Balancer)、網絡型負載均衡NLB(Network Load Balancer)、傳統型負載均衡CLB(Classic Load Balancer),您可根據您的實際需求選擇合適的負載均衡產品。
推薦您優先使用新一代負載均衡產品,即應用型負載均衡ALB和網絡型負載均衡NLB。
ALB與NLB可以面向公網提供服務,也可以僅面向VPC內部提供服務。ALB與NLB通過彈性公網IP提供公網訪問能力。
SLB產品家族詳細介紹及對比分析請參見負載均衡SLB產品家族介紹。
對比項 | 應用型負載均衡ALB | 網絡型負載均衡NLB |
產品定位 |
|
|
產品性能 | 單實例最大支持100萬QPS | 單實例最大支持1億并發 |
后端業務類型 |
|
|
運維能力 | 均支持彈性和快速擴容,處理能力隨著業務峰值自動伸縮,無需人工干預 | |
典型應用場景 |
|
|
對于前后端分離的業務場景,您可以結合公網負載均衡實例與私網負載均衡實例,分別實現前端業務和后端業務的高可用。
統一公網流量出口
單臺服務器可以通過公網IP地址主動訪問公網。
但當需要主動訪問公網的服務器較多時,需要占用較多的公網IP資源,此時您可以通過公網NAT網關的SNAT功能,實現VPC內的多個ECS實例共享EIP上網,節省公網IP資源。
對比項 | 直接使用彈性公網IP | 公網NAT網關 |
是否支持多服務器共享EIP | 不支持 | 支持 |
使用單個EIP的粒度 | ECS/彈性網卡粒度 |
|
服務器較多時總體資源成本 | 高 | 低 |
公網訪問控制
當部署在云上的業務對互聯網提供服務時,進行合適的訪問控制,能夠幫助阻止不必要或潛在的危險訪問。
以VPC內1臺ECS服務器為例,有如下常用的訪問控制方式或產品:
ECS安全組:安全組是一種虛擬防火墻,能夠控制ECS實例的出入站流量。用于對ECS/彈性網卡等實例級別資源的流量訪問控制。
網絡ACL:網絡ACL是VPC中的網絡訪問控制功能。您可以自定義設置網絡ACL規則,并將網絡ACL與交換機綁定,實現對交換機中云資源的流量訪問控制。
IPv4網關:IPv4網關是專有網絡VPC的互聯網IPv4流量網關。VPC默認不開啟該功能即具備公網訪問能力,ECS綁定公網IP后即可訪問公網,但當IPv4網關創建并激活后,該VPC訪問公網的行為將會受IPv4網關控制。您可以使用IPv4網關結合子網路由的能力實現公網IPv4訪問集中控制。
重要VPC內的IPv4網關激活后會改變VPC默認能夠訪問公網的行為,即使刪除IPv4網關后,也不能恢復VPC默認可以訪問公網的能力。因此IPv4網關需要謹慎考慮后再進行配置。
IPv6網關:IPv6網關是專有網絡VPC的互聯網IPv6流量網關。VPC內實例默認申請的IPv6地址只具備IPv6私網通信能力,您可以通過在IPv6網關中為IPv6地址開通IPv6公網帶寬,使其具備公網通信能力。并且可以支持設置僅主動出規則,使IPv6地址僅可主動訪問公網。
公網全球加速
對于一部分全球化行業應用場景,例如游戲、企業應用、互聯網應用等,因公網網絡質量不高可能導致的網絡延遲高、抖動、丟包、卡頓、速率低等問題,嚴重影響終端用戶使用體驗。
您可以通過使用全球加速產品,使終端用戶訪問請求就近接入阿里云,通過阿里云的內網到達應用服務器,極大地縮短了公網傳輸路徑,減少延時、抖動、丟包等網絡問題,提升終端用戶使用體驗。需要注意的是,如果涉及中國內地與其他地區之間的加速,需要參照產品文檔完成跨境業務資質申請。
跨VPC互聯場景
選擇VPC互聯方式
跨VPC網絡連接,常用的有如下方式:
VPC對等連接概述:VPC對等連接提供連通兩個VPC的網絡連接,您可以使用私有IP地址直接通信,兩個VPC就像在同一個網絡中一樣。您可以與當前賬號的同地域或者跨地域其他VPC之間創建對等連接,也可以與其他賬號的同地域或者跨地域VPC之間建立對等連接。
轉發路由器:轉發路由器用于連接網絡實例,轉發同地域或跨地域網絡實例間的流量。轉發路由器只需要VPC以網絡連接的方式加入轉發路由器,轉發路由器便會自動同步路由。1個地域內只能有1個轉發路由器,跨地域需要不同轉發路由器互聯。
私網連接:私網連接能夠將終端節點所在VPC與終端節點服務所在VPC通過終端節點連接,建立安全穩定的私有連接,簡化網絡架構,實現私網訪問服務,避免通過公網訪問服務帶來的潛在安全風險。
VPN網關:VPN網關通過建立加密隧道的方式在兩個VPC之間建立安全連接,實現兩個VPC內的資源互訪。
對比項 | VPC對等連接 | 轉發路由器 | 私網連接 | VPN網關 |
連接方式 | VPC兩兩之間建立連接 | VPC以網絡連接方式加入轉發路由器 | VPC之間基于終端節點與終端節點服務的定向連接 | VPC兩兩之間建立連接 |
是否支持路由傳播 | 不支持 | 支持 | 不支持 | 不支持 |
訪問方式 | 雙向訪問 | 雙向訪問 | 單向訪問 | 雙向訪問 |
是否支持跨賬號 | 支持 | 支持 | 支持 | 支持 |
是否支持跨地域 | 支持 | 支持 | 不支持 | 支持 |
優勢場景 | 少量VPC互聯 | 大量VPC互聯 | VPC定向連接 | 少量VPC互聯 |
配置復雜度 | 高。需要兩兩建立對等連接關系并相互配置對端路由 | 低。VPC只需要加入轉發路由器并配置路由指向轉發路由器的網絡連接 | 低。私網連接無需考慮地址沖突和路由配置,網絡配置簡單 | 高。需要創建VPN網關、用戶網關和IPSec連接,并為VPN網關配置路由 |
網絡延遲 | 低 | 中。由于流量經過轉發路由器,會增加額外一跳的延遲 | 低 | 高。需要經過公網轉發 |
成本 | 同地域不收費。跨地域統一由云數據傳輸CDT收取出方向流量傳輸費 | 同地域收取連接費、流量處理費,跨地域收取帶寬包實例費、連接費和流量處理費 | 根據私網連接服務的實際使用量進行計費,費用包含實例費和流量處理費 | 收取IPsec-VPN實例費、帶寬費 |
VPC之間網段是否可以重疊 | 不可以 | 不可以 | 可以 | 不可以 |
需要注意的是,如果涉及中國內地地域與非中國內地地域之間的VPC連接,需要參照對應產品文檔完成跨境業務資質申請。
VPC互聯IP地址沖突
云上需要互通的兩個業務VPC,可能存在IP地址沖突的情況,重新配置網段可能導致改造成本較高或者出現未知問題。
您可以為兩個業務VPC各配置一個VPC NAT網關并配置兩個不沖突的中轉私網地址。主動訪問的業務VPC使用SNAT功能將源地址轉換為VPC NAT網關的中轉地址,被訪問的業務VPC通過DNAT功能使用VPC NAT網關的中轉私網地址對外提供私網服務,從而實現地址沖突的兩個業務VPC互訪。
混合云場景
如下三款產品都支持將本地數據中心等網絡連接至云上專有網絡,快速構建混合云。
高速通道:高速通道通過物理專線將本地數據中心、其他云廠商平臺等網絡連接到阿里云。在物理專線兩端距離很遠的情況下,高速通道仍可以提供低時延、低丟包率和高帶寬的內網級通信質量。
智能接入網關:智能接入網關包含三種產品形態。
硬件CPE(Customer Premises Equipment)設備形態:適用于站點接入上云。在本地數據中心、企業分支和門店部署智能接入網關硬件設備后可自動和云上形成私網連接。
鏡像vCPE形態:適用于站點接入上云。智能接入網關vCPE是智能接入網關的軟件鏡像版,支持部署在本地數據中心的服務器、阿里云邊緣節點服務ENS實例、阿里云、其他云廠商等平臺的服務器上。部署后,智能接入網關vCPE作為一個虛擬CPE設備幫您將網絡接入阿里云,為您接入上云提供更多的靈活性。
App形態:適用于終端接入上云。電腦、手機等終端安裝智能接入網關App后可一鍵接入上云。
VPN網關:VPN網關通過建立加密隧道的方式,實現企業本地數據中心、企業辦公網絡、互聯網客戶端、其他云廠商等平臺與阿里云專有網絡之間建立安全可靠的網絡連接。
對比項 | 高速通道 | 智能接入網關 | VPN網關 |
質量 | 高(專線) | 中(公網+專線) | 低(公網) |
建設周期 | 較長 | 一般 | 較短 |
成本 | 高 | 中 | 低 |
組網能力 | 點到點連接 | Full Mesh全網互聯 | 點到點互聯 |
業務應用場景 | 企業上云 | 企業上云&分支互聯 | 企業上云 |
使用
部分產品支持免費試用。如果您的賬號未領取過免費權益,可進行免費額度領取。
分類 | 產品名稱 | 免費試用教程 | 學習路徑 |
數據中心網絡 | 專有網絡 | 無 | |
NAT網關 | 無 | ||
私網連接 | |||
應用交付網絡 | 彈性公網 IP | 無 | |
Anycast EIP | 無 | ||
全球加速 | |||
應用型負載均衡ALB | |||
網絡型負載均衡NLB | |||
全球化網絡 | 云企業網/轉發路由器 | ||
高速通道 | 無 | ||
VPN網關 | 無 | ||
智能接入網關 | 無 | ||
其他 | 網絡智能服務 | 無 | |
云數據傳輸 | 無 |
探索
新手上云
新手指南:新手上云指南聚焦最簡的上云路徑,提供“了解阿里云”、“注冊阿里云賬號”、“云產品免費試用教程”、“使用阿里云方式”和“賬號管理”等知識或操作步驟,是您了解和使用阿里云的入門級指引,幫助您快速開啟云上構建之旅。
云采用框架:云采用框架(Cloud Adoption Framework,簡稱CAF)為企業上云提供策略和技術的指導原則和最佳實踐,幫助企業上好云、用好云、管好云,并成功實現業務目標。本云采用框架是基于服務大量企業客戶的經驗總結,將企業云采用分為四個階段,并詳細探討企業應在每個階段采取的業務和技術策略;同時,還提供了一系列最佳實踐、文檔和輔助工具,幫助云架構師、云管理團隊等干系人能夠實現組織協同達成目標。
卓越架構:對云用戶而言,在上云、用云、管云過程中持續維持良好的云上架構是一項巨大的挑戰。對云上應用來說,穩定、安全、性能、成本是架構設計中最通用領域的抽象,也是組織層面最需要關注的幾個維度。因此,阿里云基于多年服務各行各業客戶的經驗總結,將云上的架構設計最佳實踐總結為一系列的方法論和設計原則,形成阿里云卓越架構(Alibaba Cloud Well-Architected Framework),以幫助云用戶構建良好直至卓越的云上架構。
技術解決方案
企業云上網絡架構規劃:對于一些剛開始進行云上遷移的企業而言,需要在短時間內完成業務系統的遷移。在遷移過程中,首要步驟通常是進行整體網絡設計,以滿足業務需求并規劃云上網絡架構。企業云上網絡架構規劃方案能夠為企業提供面向業務的網絡架構,確保業務的可靠性,并保持架構的可擴展性和可持續性,以滿足未來企業業務增長所需的資源擴容和架構升級。
互聯網應用全球加速:互聯網應用加速解決方案面向各行各業的互聯網應用,提供一站式加速網絡訪問、提高網絡穩定性的服務。 阿里云網絡基礎設施部署遍及全球,采用集中式 IT 管理,控制企業間的網絡連接,實現網絡服務全球范圍就近接入和跨地域部署,提升服務可用性和性能,為客戶提供了不同場景下的網絡應用安全加速服務。
云上公網架構設計和安全管理:隨著企業業務云化進程逐漸進入深水區,簡單地使用云上資源出入公網已經無法滿足業務的訴求,安全、成本、權限、監控等訴求的迭代,需要企業有系統性地視角來考慮如何做好公網出入口(DMZ)的規劃設計。云上公網的設計可以幫助企業更加統一、安全的管理自己的云上互聯網出入口,同時可以實現統一監控運維和公網的成本優化。
兩地三中心異地多活網絡:基于阿里云洛神網絡全球基礎設施及云原生SDN技術,幫助企業客戶在云上快速構建兩地三中心跨域多活網絡,保障企業核心業務在全球多地域的高品質互聯。兩地三中心多活網絡解決方案提供了彈性、安全、高質量的網絡能力,結合數據傳輸服務DTS輕松實現異地多活數據同步等,助力企業構建安全、可擴展、高可用的數據架構。
企業上云框架 Landing Zone:基于大量企業的上云實踐驗證,幫助企業規劃云上資源結構、訪問控制、網絡架構、安全合規體系,搭建可管理、可擴展的云環境。企業客戶可以在此基礎上縮短上云周期,將原有的業務平順上云并快速開展新業務。
