概述

在云上，企業需要構建一個可擴展的安全可控的網絡環境。公共云的網絡環境與線下IDC類似，也是使用IP地址段作為基本單元劃分不同的網絡空間，公共云一般以VPC為基本單元，每個VPC使用一個IP網段，若干個VPC組成企業云上整體網絡空間。由于相同IP地址會發生沖突和IPv4地址空間相對較小兩個限制，企業在進行上云早期規劃時，需要提前做好網絡規劃，保證網絡能夠承載企業存量業務的同時，能夠具備高可靠和可擴展性，以保證業務的穩定和未來的系統擴容和升級。

關鍵步驟

在網絡規劃，有三個關鍵步驟需要決策：

1. 一是確定所使用的地域，按照業務屬性劃分若干個VPC和各自使用的IP地址段。比如，使用阿里云上海地域，共分成5個VPC，分別用來承載公網出入口、官方網站生產環境、官方網站UAT環境、內部CRM系統生產環境和內部CRM系統UAT環境。各自的IP地址段分別為10.0.0.0/24、10.0.1.0/24、10.0.2.0/24、10.0.3.0/24和10.0.4.0/24。

2. 二是規劃不同VPC間的互通、隔離邏輯，決定不同資源之間的路由、安全組或NACL（Network Access Control List）規則。

3. 三是確定云上線下環境互聯的方式。如果企業有混合云需求，需要確定使用的上云連接方式，比如物理專線、SDWAN、VPN等。

下面我們將通過一個案例，為網絡規劃做一個整體性的介紹。

網絡規劃的建議

網絡拓撲結構

隨著云計算的普及，越來越多的傳統企業客戶也在選擇把云下的業務系統搬到云上，實現更大的彈性、更強的靈活性、更高的性價比。但與泛互聯網型企業的輕資產相比，傳統企業的云下IT規模較大，有比較沉重的歷史包袱，以及各種行業規范的約束，所以對于網絡的規劃設計、部署使用、運維管理都有自己的要求，并且還可能面臨各種各樣的特殊業務場景，僅僅具備云產品的初級使用能力已不能滿足實際使用需求。所以企業級云上網絡的重點是幫助企業用戶更高效地搭建上云網絡環境，而企業互聯解決方案作為整體上云網絡搭建過程的核心，需要幫助客戶解決云上網絡架構設計、云上云下網絡互通、云上企業內部網絡互通、云上企業間私網訪問等場景下的問題。

• 方案描述

  • 場景一：云上網絡分區

    

    用戶業務系統搬站上云，需要考慮業務系統之間的調用和訪問關系，需要關心路由邊界，需要關心未來的規模擴展，實現最合理的分區設計、最簡單的運維管理、最靈活的彈性擴展。

    每個分區可以由一個獨立的VPC承載，VPC內按照部署的業務模塊選擇創建不同的虛擬交換機（子網），不同業務系統之間的互通即不同VPC之間的路由打通，可以使用云企業網CEN打通，同時可以按需進行路由表隔離、路由過濾、路由策略設置等，來滿足企業用戶的個性化需求。

    按照使用習慣和業務訪問關系，常見的分區有：

    • 業務生產區、開發測試區：這兩個區域分別用于承載客戶生產環境和測試環境的資源。

    • 互聯網出口區：這個區域類似于線下IDC中的DMZ區，用于承載互聯網出口資源，如EIP，NAT網關，SLB，云防火墻等資源。

    • 東西向安全區：用來承載南北向防火墻或其他云上IDS/IPS防護設備。

    • 內聯運維區：用來承載跳板機，堡壘機等企業內部人員連接云上環境入口的資源。

    • 外聯網區：用來承載連接第三方IDC等外部環境的跳板機，堡壘機的入口資源。

  • 場景二：本地網絡和云上網絡的連通

    

    在云上構建新的業務系統時，也需要考慮和線下已有的網絡進行打通，滿足兩方面的需求：

    • 業務搬站或系統遷移過程中，需要有大帶寬、穩定、安全的網絡通道。

    • 企業用戶都會選擇先把前置系統優先上云，比較重要的業務系統仍放在云下，一方面需要一個過渡，另一方面利舊云下已投入的IT資源，所以混合云狀態會長期存在。

    • 線下分支機構會有和總部辦公室、企業IDC之間的內網互通需求，當業務逐步上云后，會涉及到線下分支既需要和線下總部互通，也需要和云上互通。那最好的方案便是打通一張覆蓋云上云下多地域的內網，同時確保每兩點之間直接互通，不出現繞行。

    按照云下網絡環境的定位、規模和與云上系統的關系，推薦不同的互通方式：

    • IDC和大型企業總部：推薦使用物理專線互通。針對集團性企業，云下IT資源大多在一個大的機房內，通過物理分區或者邏輯分區隔離不同子公司之間的網絡，但云上是不同的賬號（賬號間完全獨立），此時可以由集團統一部署大帶寬的專線，通過路由子接口和VLAN映射的方式把專線分成多個二層通道，每個二層通道關聯一個VBR（虛擬邊界路由器），不同的VBR供不同的子公司使用，這樣不僅資源共享投入產出比高，而且子公司之間的三層網絡完全隔離。關于物理專線連接的更多信息，請參見專線連接介紹。

    • 企業分支和小型總部：推薦采用智能接入網關SAG，通過SAG就近入云，打破地域限制，覆蓋各種分支形態，形成云上云下一張內網。因為阿里云提供非常多的POP接入點，所以分支最后一公里（采用VPN加密通道）的距離會很短，長傳全部走阿里云內網，端到端網絡質量僅次于專線，但是價格接近VPN。關于智能接入網關SAG更多信息，請參見什么是智能接入網關。

    • 特殊分支：針對不方便部署SAG（如海外偏遠分支等）、企業想利舊資產等情況，通過VPN網關快速和云上內網打通。雖然效果不如智能接入網關SAG，但是可以讓偏遠的分支先解決內網互通的訴求。關于VPN網關更多信息，請參見VPN網關。

  • 場景三：企業內網絡互通和隔離

    因業務發展需要，子公司的業務系統需要和其他子公司或集團業務系統路由互通，但又不能影響其與公司內部其他業務系統的正常通信和安全策略。

    • 方案1 ： 使用CEN連接多個VPC

      當企業在不同業務賬號中使用VPC，可以讓該VPC同時可以接入多個CEN（可以是同賬號的CEN，也可以跨賬號的CEN），此時該業務系統的網段路由就可以在不同CEN的路由域里面，實現按需路由互通，且相互不影響。

      這樣做的好處是：

      • 簡單方便：無需改動業務架構，無需復雜的規劃，只需要有一個加入的動作，即可實現異構路由域的快速互通，且不影響已有訪問關系。

      • 邊界清晰：VPC的資源歸屬未發生任何變化，只是在路由層面進行了網絡通道的打通。

      

    • 方案2：使用共享VPC

      采用共享VPC，提供一個共享的私有網絡環境，參與的業務團隊各自部署資源，可以同時解決基礎網絡互通、資源獨立、資產獨立等問題。

      使用效果：

      • 方便分賬：各子公司可以自己購買資源，共享VPC一方提供平臺和共享資源（如NAT、VPN、公網出口等）。

      • 快速滿足業務需求：各子公司的資源部署在統一VPC，路由天然互通。

      

      多賬號VPC的CEN互聯和共享VPC的對比：

      方案	連通性	隔離性	高級功能	成本	運維	使用限制
      共享VPC方案	同VPC內天然路由互通。	使用NACL和安全組規則進行隔離。	無	同VPC內無收費項。	較簡單	默認單個VPC內可創建24個不同賬號的VSW。
      多賬號跨VPC互聯方案	不同VPC之間天然路由隔離，使用CEN-TR進行路由配置。	除了使用NACL和安全組之外，還可以使用CEN-TR進行路由層面的隔離。	可以通過安全VPC設置統一的東西向安全設備來提升內網安全級別。	同region使用TR互聯，TR按加載的實例數和實例之間的流量收費。	較簡單	默認單個TR最多連接同region內200個TR Attachment（VPC/VBR/CCN）。

  • 場景四：私網連接

    企業間不同服務需要互相調用可能出現“私網連接“的場景。私網連接（PrivateLink）是阿里云網絡產品之一，它能夠實現專有網絡VPC與阿里云上的服務建立安全穩定的私有連接，包括阿里云第一方云服務或第三方服務，簡化網絡架構，實現私網訪問服務，避免通過公網訪問服務帶來的潛在安全風險。關于私網連接的更多信息，請參見什么是私網連接。

    • 集團內服務總線場景：一些共用的業務系統部署在集團網絡中，針對所有子公司提供基礎共享服務，以最大化性價比。同時最好能夠統計各子公司對于共享資源的使用情況，用于內部分賬或成本分攤。

    • 企業之間數據接口調用：部分公司會提供數據、API等服務，供其客戶或者伙伴調用，如何簡單、安全、高效、穩定的提供服務。

    在集團公司創建服務資源，等同于使用私網連接實現服務化互通，供子公司使用。這樣既可以安全方便的互通，又可以簡單清晰的分賬。

    

    使用效果：

    • 安全：數據通過阿里云內網互通，避免通過公網出現的不安全風險。

    • 簡單：無需創建前置數據交換VPC，避免網絡層直接打通，網絡管理簡單，運維邊界清晰；因為服務化互通，所有路由層面不用打通，可天然避免IP地址沖突。

    • 靈活：可以一對多，快速向對方提供服務，讓企業間的合作層面變得更簡單可控。

公網出口及南北向網絡安全管控

• 解決的問題

  隨著企業業務云化進程逐漸進入深水區，簡單地使用云上資源出公網已經無法滿足業務的訴求，安全、成本、權限、監控等訴求的迭代，需要企業有系統性的視角來考慮如何做好公網出口的規劃設計：

  • 安全：統一DMZ-VPC設計，對于企業/集團內的公網出入訪問有嚴格的訪問策略加以控制，同時具備可監管能力。

  • 成本：所有公網IP需具備共享一份或多份帶寬的能力，提升帶寬利用率，滿足業務訴求的情況下做到成本最優。

  • 權限：由于組織架構及職能原因，在安全部門的要求下，IT/架構團隊需要統一管控公網準入/出權限。各業務方需向IT申請才能開通公網訪問權限。

  • 監控：統一監控，內網/外網訪問情況做到可視可追溯，便于及時排查異常流量原因。

• 架構圖

  • 架構演進

    

    在企業安全、成本、權限、監控等訴求的迭代下，云上公網出口方案逐漸從原來的分布式公網出口演進為統一公網出口。前者適合企業上云初期，各部門/業務團隊可按需使用EIP/NATGW/SLB進行各自的公網出口部署，自動度和靈活性較高，同時也帶來了企業的云上安全和管理隱患問題；后者將公網出口進行統一部署、統一管理、統一監控、統一安全策略部署，更能滿足企業云上的整體監管要求。

  • 簡單場景統一公網出口架構設計

    

    • WAN區域設計

      • DMZ-VPC設計：將企業云上整體的WAN能力均放在共享服務的DMZ-VPC，該VPC內可按需部署NATGW、Proxy、FW、行為管理等公網產品。

      • 安全設計：聯動DDos、WAF、云防火墻等原生安全產品，保障公網出口安全，并結合NACL實現安全訪問策略。

      • 成本優化：啟用共享帶寬，并將所有EIP加入其中，節約成本。

      • 權限劃分：利用將公網能力統一收口至IT部門，部署DNAT+SNAT，業務VPC均通過CEN實現跨VPC訪問公網。

      • 監控管理：使用NATGW+Flowlog組合能力，監控公網出入口流量信息，并根據異動排查原因。

    • 統一公網出向設計

      統一公網出：使用增強型NATGW，并開啟跨VPC訪問NATGW能力。

    • 統一公網入向設計（可選）

      • 統一公網入：使用DNAT+SLB（私）的方式。

      • 獨立公網入：適用個別業務獨立性較強、一定規模的Web/APP服務，可在所屬的業務VPC中結合大規格SLB/ALB獨立部署公網入口。

  • 復雜場景統一公網出口架構設計

    隨著企業云上業務的發展，對于公網訪問的場景和功能的豐富度也會增加，包含基礎公網能力、第三方供應商 API接口調用、指定域名訪問出口等能力實現。

• 方案描述

  

  本方案設計3個設計點，默認公網出口、第三方供應商API接口調用的特殊公網出口，以及指定域名訪問出口，均部署在統一出口區域DMZ-VPC。

  • 默認公網出口

    在DMZ-VPC內部署增強型NATGW，并申請“統一網絡出口”權限開通跨VPC訪問功能DMZ-VPC公網能力，實現統一公網出口。

    賬號-1和賬號-2的APP-VPC均可通過DMZ-VPC的默認NATGW的SNAT策略出局訪問公網，同時并通過DNAT策略實現跨VPC的公網入口效果。

  • 第三方供應商API接口調用的特殊公網出口

    在VPC已有默認NATGW的情況下，由于第三方供應商API接口調用時需要雙方互相針對IP地址加白名單，且出口獨立性較強，不能影響其他業務或被其他業務影響，需要DMZ-VPC再部署一個特殊的NATGW，將三方目標網段路由給此NATGW，實現特殊出口。

    賬號-2 VPC中的ECS訪問常規公網時從默認NATGW出口出局，調用第三方供應商API時從特殊公網出口出局。

  • 指定域名訪問出口

    使用SLB+EIP（ECS）+PrivateZone方式實現特殊域名出口，將需要指定出口訪問的域名部署在PrivateZone中并應用于本VPC。

    當業務訪問指定域名時，會被PrivateZone自動解析為DMZ-VPC的特殊域名出口的SLB私網IP，通過代理的方式從后端服務器的公網出口出局。

東西向網絡安全設計

東西向網絡是指連通企業內部資源之間的網絡，這部分網絡流量保持在企業內部基礎設施之間，并與公網隔離。東西向網絡安全是指對這部分的網絡部署的安全機制，用于進行業務系統間的隔離、流量審計、日志、防病毒等安全機制。

云防火墻幫助企業實現內網東西向流量的安全審計。分為以下幾個功能：

1. 將全部東西向流量或其中的關鍵部分匯聚到統一的安全VPC。

2. 在安全VPC中配置云防火墻或第三方防火墻。其中，云防火墻阿里云云防火墻（Cloud Firewall）是公共云環境下的SaaS化防火墻，可統一管理南北向和東西向的流量，提供流量監控、精準訪問控制、實時入侵防御等功能。云防火墻更多信息，請參見云防火墻。您也可以通過云市場購買第三方防火墻，例如：飛塔系列產品或Palo Alto系列產品。

3. 通過防火墻對流量進行規則過濾、流量清洗和威脅監控等動作。通過云網絡的路由引流能力，將東西向流量引入云防火墻ENI或第三方防火墻所部署的ECS中，實現流量統一審計。

• 架構圖

• 方案描述

  網絡架構如上圖所示，各模塊分別是：HK業務VPC-1用于承載業務1的資源，HK業務VPC-2用于承載業務2的資源，以上兩個業務部署在中國香港地域，BJ業務VPC用于承載北京業務資源，本業務部署在北京地域。在中國香港部署一個安全VPC用于放置第三方防火墻，中國香港和北京地域各使用轉發路由器（Transit Router）來將本地域內的所有VPC連接起來，兩個轉發路由器通過云企業網進行連接。

  需要實現的功能點：HK業務VPC-1、HK業務VPC-2和BJ業務VPC之間互通的流量全部流經安全VPC進行安全審計，然后再傳輸到目標VPC。

案例

客戶背景和業務系統

客戶X公司是一家大型企業客戶，企業內部各種IT應用系統眾多，其中部分業務放在云上，如CRM、文件服務、API服務等。企業核心數據部分仍然部署在線下IDC中，需要云上業務系統能夠訪問到線下IDC中的數據。

客戶需要解決的問題

• 需要建立云上線下之間的高可靠混合云連接。

• 根據業務需求為每個應用建立隔離的虛擬網絡和對應的賬號。

• 部分業務支持Internet公網訪問及流量審計。

• 東西向網絡安全防護。

阿里云網絡解決方案介紹

X公司采用了阿里云標準的企業級云網絡解決方案架構，所有云資源都使用中國香港地域部署，與線下IDC保持一致。

• 公司按照業務應用劃分賬號：3個業務生產賬號、3個業務測試賬號。

• VPC方面，分別是接入層3個公共服務的VPC、3個生產VPC和3個測試VPC。

• 混合云連接方面，線下IDC使用2條物理專線與公共云VBR打通，兩條專線通過BGP路由協議實現主主冗余。所有VPC和VBR都使用云企業網轉發路由器連接到一起，確保轉發路由器可以自定義VPC和VBR之間的互通路由。

• 網絡安全方面，公網出入口的安全審計通過DMZ VPC中的第三方防火墻實現，云網絡架構可以實現將所有進出企業云上網絡的公網流量通過統一的云原生或第三方安全設備進行過濾。內網東西向流量的安全防護通過安全VPC中的第三方防火墻實現，阿里云網絡在國內云廠商中率先提供的路由穿透功能，可以實現將企業網絡東西向流量進行統一管控，節省了分布式部署的成本支出，同時大大降低了運維復雜度。

解決方案架構圖