企業(yè)服務(wù)共享設(shè)計(jì)
概述
背景介紹
企業(yè)的跨VPC互訪場(chǎng)景日益增多,一方面原因是隨著SOA(面向服務(wù)的架構(gòu))和微服務(wù)架構(gòu)的日益普及,企業(yè)正逐步將原有的整體架構(gòu)單元分解為多個(gè)可獨(dú)立擴(kuò)展的服務(wù)模塊,這些模塊往往分布于不同的VPC中;另一方面是企業(yè)正在越來越多地采用阿里云Landing Zone/卓越架構(gòu)來設(shè)計(jì)自己的云上架構(gòu),這些實(shí)踐方案倡導(dǎo)通過精細(xì)的賬戶與VPC規(guī)劃,構(gòu)建出穩(wěn)定、安全、高效且易于擴(kuò)展的業(yè)務(wù)架構(gòu)。在此背景下,本文聚焦于如何實(shí)現(xiàn)跨賬號(hào)跨VPC的企業(yè)服務(wù)共享網(wǎng)絡(luò)的最佳設(shè)計(jì)。
基本概念
專有網(wǎng)絡(luò)VPC:VPC是用戶基于阿里云創(chuàng)建的自定義私有網(wǎng)絡(luò), 不同的專有網(wǎng)絡(luò)之間邏輯隔離,用戶可以自定義IP地址范圍、創(chuàng)建子網(wǎng)、配置路由表。
云企業(yè)網(wǎng)CEN:云企業(yè)網(wǎng)支持在地域內(nèi)定義靈活的互通、隔離、引流策略,幫助您打造一張靈活、可靠、大規(guī)模的企業(yè)級(jí)全球互聯(lián)網(wǎng)絡(luò)。
轉(zhuǎn)發(fā)路由器TR:轉(zhuǎn)發(fā)路由器TR是云企業(yè)網(wǎng)中的一個(gè)組件,它充當(dāng)中心路由器的角色,可以連接不同的VPC、VPN、VBR、云服務(wù)等。TR提供了高度靈活的網(wǎng)絡(luò)路由服務(wù),支持多路由表和高級(jí)路由策略,方便用戶在復(fù)雜網(wǎng)絡(luò)環(huán)境中管理流量和策略。它是多VPC網(wǎng)絡(luò)設(shè)計(jì)中實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)架構(gòu)和跨賬戶網(wǎng)絡(luò)架構(gòu)的關(guān)鍵組件。通過使用TR,用戶能夠?qū)崿F(xiàn)不同網(wǎng)絡(luò)間的集中化管理和流量控制,同時(shí)也簡(jiǎn)化了網(wǎng)絡(luò)架構(gòu)和操作復(fù)雜性。
私網(wǎng)連接Privatelink:使用私網(wǎng)連接,用戶可以通過私有網(wǎng)絡(luò)單向訪問部署在其它VPC中的服務(wù),無需創(chuàng)建NAT網(wǎng)絡(luò)、EIP等公網(wǎng)出口。交互數(shù)據(jù)不會(huì)經(jīng)過互聯(lián)網(wǎng),有更高的安全性和更好的網(wǎng)絡(luò)質(zhì)量。
網(wǎng)絡(luò)智能服務(wù)NIS:網(wǎng)絡(luò)智能服務(wù)是一系列云上網(wǎng)絡(luò)AIOps工具集,提供了云上網(wǎng)絡(luò)從網(wǎng)絡(luò)規(guī)劃到網(wǎng)絡(luò)運(yùn)維全生命周期。包括流量分析、網(wǎng)絡(luò)巡檢、網(wǎng)絡(luò)性能監(jiān)控、網(wǎng)絡(luò)診斷、路徑分析、網(wǎng)絡(luò)拓?fù)涞裙δ埽軌驇椭脩魞?yōu)化網(wǎng)絡(luò)架構(gòu),提升網(wǎng)絡(luò)運(yùn)維效率,降低網(wǎng)絡(luò)運(yùn)營(yíng)成本。
設(shè)計(jì)原則
通過轉(zhuǎn)發(fā)路由器或與私網(wǎng)連接結(jié)合,實(shí)現(xiàn)企業(yè)服務(wù)共享通道設(shè)計(jì),能夠幫助企業(yè)在跨賬號(hào)跨VPC場(chǎng)景下,便捷、靈活、安全地訪問共享服務(wù)。企業(yè)服務(wù)共享設(shè)計(jì)需遵循以下核心原則:
穩(wěn)定性:服務(wù)共享作為企業(yè)各環(huán)境都需要訪問的關(guān)鍵場(chǎng)景之一,在設(shè)計(jì)過程中要以穩(wěn)定原則優(yōu)先,進(jìn)行多可用區(qū)部署與多共享通道設(shè)計(jì)。
安全合規(guī): 企業(yè)往往在不同業(yè)務(wù)單元之間,使用多賬號(hào)和多VPC來提高安全性和故障隔離,此時(shí)會(huì)有大量的跨賬號(hào)私網(wǎng)訪問共享服務(wù)的場(chǎng)景。因此,結(jié)合不同等級(jí)的共享服務(wù)進(jìn)行安全架構(gòu)、權(quán)限最小化的設(shè)計(jì)是極其重要的。
高效性能:在企業(yè)服務(wù)共享環(huán)境中,彈性能力至關(guān)重要,尤其面對(duì)日益增長(zhǎng)的業(yè)務(wù)單元,其對(duì)共享服務(wù)的流量需求難以預(yù)測(cè)。為應(yīng)對(duì)這一挑戰(zhàn),采用轉(zhuǎn)發(fā)路由器與私網(wǎng)連接的組合策略,能實(shí)現(xiàn)資源的動(dòng)態(tài)調(diào)整,有效應(yīng)對(duì)流量變化,從而保持服務(wù)質(zhì)量。
設(shè)計(jì)關(guān)鍵點(diǎn)
穩(wěn)定性
轉(zhuǎn)發(fā)路由器和私網(wǎng)連接依托于高性能NFV(Network Functions Virtualization)平臺(tái),原生支持可用區(qū)內(nèi)及跨可用區(qū)的容災(zāi)切換,確保業(yè)務(wù)運(yùn)行的可靠性和穩(wěn)定性。
部署轉(zhuǎn)發(fā)路由器打通多個(gè)業(yè)務(wù)VPC到共享服務(wù)VPC的訪問時(shí),在多個(gè)可用區(qū)創(chuàng)建TR交換機(jī)實(shí)現(xiàn)高可用部署。同時(shí),建議TR交換機(jī)和業(yè)務(wù)交換機(jī)按可用區(qū)對(duì)應(yīng)部署,實(shí)現(xiàn)就近可用區(qū)高效訪問共享服務(wù),降低時(shí)延。
當(dāng)引入私網(wǎng)連接配合轉(zhuǎn)發(fā)路由器作為代理節(jié)點(diǎn)訪問共享云服務(wù)時(shí),建議在多可用區(qū)創(chuàng)建終端節(jié)點(diǎn)從而實(shí)現(xiàn)代理節(jié)點(diǎn)的高可用部署,調(diào)用方通過域名解析獲取終端節(jié)點(diǎn)的IP地址信息。
安全
通過轉(zhuǎn)發(fā)路由器和私網(wǎng)連接訪問共享服務(wù)時(shí),訪問流量均在阿里云內(nèi)網(wǎng)轉(zhuǎn)發(fā),網(wǎng)絡(luò)封閉、不通過公網(wǎng),避免了通過公網(wǎng)訪問服務(wù)帶來的潛在安全風(fēng)險(xiǎn)。
通過轉(zhuǎn)發(fā)路由器訪問共享服務(wù)VPC時(shí),靈活運(yùn)用安全組、網(wǎng)絡(luò)ACL、路由配置、多路由表及多轉(zhuǎn)發(fā)路由器等組網(wǎng)策略,構(gòu)建多層次的安全訪問控制體系。
通過私網(wǎng)連接訪問云服務(wù),可針對(duì)VPC網(wǎng)絡(luò)中用于訪問服務(wù)的彈性網(wǎng)卡,附加安全組和鑒權(quán)規(guī)則,提供更強(qiáng)的安全保障和控制手段。
性能
跨賬號(hào)互聯(lián)互通:支持通過轉(zhuǎn)發(fā)路由器和私網(wǎng)連接實(shí)現(xiàn)多賬號(hào)策略,當(dāng)每個(gè)部門或業(yè)務(wù)單元有獨(dú)立賬號(hào)或業(yè)務(wù)環(huán)境時(shí),需具備跨賬號(hào)、跨環(huán)境的訪問能力,同時(shí)具備賬號(hào)隔離和權(quán)限管控的能力。
超大規(guī)模:通過轉(zhuǎn)發(fā)路由器,可以實(shí)現(xiàn)上千個(gè)VPC訪問共享服務(wù)VPC。
超大彈性:轉(zhuǎn)發(fā)路由器具備百G級(jí)彈性組網(wǎng)能力,私網(wǎng)連接采用雙可用區(qū)部署時(shí),正向代理峰值可達(dá)50Gbps,反向代理峰值為25Gbps。如需更高帶寬配置,請(qǐng)聯(lián)系阿里云技術(shù)支持人員。
可觀測(cè)
通過開啟轉(zhuǎn)發(fā)路由器和私網(wǎng)連接的流日志功能,記錄對(duì)應(yīng)網(wǎng)卡傳入和傳出的流量信息,并結(jié)合網(wǎng)絡(luò)智能運(yùn)維服務(wù)NIS實(shí)現(xiàn)流量的排序,觀測(cè)各個(gè)業(yè)務(wù)環(huán)境訪問共享服務(wù)的流量使用情況,確保網(wǎng)絡(luò)通信的透明性和可控性。
設(shè)計(jì)最佳實(shí)踐
企業(yè)在云上的公共服務(wù),往往分為兩種:企業(yè)內(nèi)的公共服務(wù)和云服務(wù)(云上公共SaaS服務(wù))。
企業(yè)內(nèi)的公共服務(wù): 例如,AD(Active Directory)和堡壘機(jī)等,一般部署在公共服務(wù)的VPC中,通過TR打通,供各個(gè)業(yè)務(wù)團(tuán)隊(duì)調(diào)用。
云上公共SaaS服務(wù):例如,容器鏡像服務(wù)、對(duì)象存儲(chǔ)OSS等,直接由云平臺(tái)提供,企業(yè)需要通過私網(wǎng)連接的終端節(jié)點(diǎn)進(jìn)行私網(wǎng)訪問。
多部門同時(shí)訪問公共服務(wù)VPC
網(wǎng)絡(luò)多平面設(shè)計(jì)
為滿足企業(yè)內(nèi)部各部門(如開發(fā)與測(cè)試,財(cái)務(wù)、人力資源及行政等)間網(wǎng)絡(luò)的強(qiáng)隔離訴求,可采用多轉(zhuǎn)發(fā)路由器方案,構(gòu)建獨(dú)立的網(wǎng)絡(luò)平面。每個(gè)TR專為特定部門的VPC提供連接,確保各網(wǎng)絡(luò)平面間徹底隔離,互不干擾。
公共服務(wù)VPC設(shè)計(jì)
當(dāng)有公共服務(wù)被各個(gè)隔離部門訪問時(shí),將公共服務(wù)部署在公共服務(wù)VPC,各部門的TR環(huán)境可按需掛載至公共服務(wù)VPC。公共服務(wù)VPC在掛載不同的TR時(shí),為避免多環(huán)境間路由沖突,建議關(guān)閉路由同步,且規(guī)避使用默認(rèn)路由(即
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)指向任意TR。精細(xì)化路由設(shè)計(jì):建議使用靜態(tài)路由方式,按需指向不同的TR環(huán)境。若存在路由沖突,盡量遵循最小路由優(yōu)先原則,通過大小段覆蓋調(diào)整。例如當(dāng)共享服務(wù)VPC需要訪問TR1環(huán)境中的
172.16.1.0/24網(wǎng)段和TR2環(huán)境中的其他172.16.0.0/16時(shí),需要使用大小段的方式來配置路由,配置172.16.1.0/24指向TR1的attachment,配置172.16.0.0/16指向TR2的attachment。
云上公共SaaS服務(wù)
訪問阿里云公共SaaS服務(wù)設(shè)計(jì)
阿里云的SaaS云服務(wù)體系中,服務(wù)部署模式分為以下三類:
VPC內(nèi)部署的服務(wù)(如RDS):使用標(biāo)準(zhǔn)VPC私網(wǎng)地址,客戶可自主規(guī)劃私網(wǎng)地址并利用VPC內(nèi)網(wǎng)或跨VPC網(wǎng)絡(luò)實(shí)現(xiàn)通信。
非VPC內(nèi)部署的服務(wù)(如OSS):雖無標(biāo)準(zhǔn)VPC私網(wǎng)地址,但提供阿里云公共地址段(
100.64.0.0/10)內(nèi)的地址,確保客戶VPC可直接訪問,但不支持私網(wǎng)地址的自定義規(guī)劃與管理。僅具公網(wǎng)地址的服務(wù)(如服務(wù)平臺(tái)百煉):缺乏私網(wǎng)地址選項(xiàng)。
針對(duì)后兩類缺乏標(biāo)準(zhǔn)私網(wǎng)地址的云服務(wù),若客戶希望統(tǒng)一地址管理并通過標(biāo)準(zhǔn)私網(wǎng)地址進(jìn)行訪問,可借助阿里云的私網(wǎng)連接實(shí)現(xiàn)地址代理與轉(zhuǎn)換。
公共服務(wù)VPC設(shè)計(jì)
針對(duì)連接TR的交換機(jī),實(shí)施精細(xì)化劃分,以增強(qiáng)數(shù)據(jù)傳輸?shù)尼槍?duì)性和安全性。
劃分放置私網(wǎng)連接終端節(jié)點(diǎn)的交換機(jī),建議采用多可用區(qū)、多活冗余設(shè)計(jì),確保服務(wù)的高可用性且有效分散風(fēng)險(xiǎn)。
業(yè)務(wù)VPC到SAAS云服務(wù)的訪問設(shè)計(jì)
業(yè)務(wù)VPC和公共服務(wù)VPC均接入TR。
業(yè)務(wù)VPC經(jīng)過TR,通過公共服務(wù)VPC中私網(wǎng)連接的終端節(jié)點(diǎn)(多個(gè)彈性網(wǎng)卡ENI的私網(wǎng)IP或者域名)訪問SaaS云服務(wù)。
業(yè)務(wù)VPC路由表中,添加指向SaaS服務(wù)的私網(wǎng)連接明細(xì)路由,建議使用最小粒度的路由網(wǎng)段,避免路由沖突。
應(yīng)用場(chǎng)景介紹
現(xiàn)代企業(yè)中,使用多VPC與多賬號(hào)策略能顯著提升安全性、靈活性及管理效能。再與企業(yè)內(nèi)的共享服務(wù)架構(gòu)結(jié)合,即可通過不同虛擬網(wǎng)絡(luò)與賬號(hào)進(jìn)行資源與服務(wù)隔離,優(yōu)化資源管理并增加安全層級(jí)。企業(yè)服務(wù)共享設(shè)計(jì)通常應(yīng)用于以下場(chǎng)景:
多部門統(tǒng)一鑒權(quán)場(chǎng)景(使用一套AD系統(tǒng)管控云上業(yè)務(wù)環(huán)境):云上環(huán)境中,企業(yè)內(nèi)多個(gè)部門往往都有自己的業(yè)務(wù)賬號(hào)和VPC環(huán)境,部分比較獨(dú)立的部門甚至有一張獨(dú)立的網(wǎng)絡(luò)環(huán)境,但他們都需要統(tǒng)一的企業(yè)AD系統(tǒng)來進(jìn)行鑒權(quán)和登錄管控。通過將集中的AD服務(wù)獨(dú)立部署在共享服務(wù)VPC,并將其并行加入到多個(gè)賬號(hào)和部門的轉(zhuǎn)發(fā)路由器。這不僅保障了各環(huán)境的獨(dú)立性與安全性,還實(shí)現(xiàn)了AD系統(tǒng)與各TR環(huán)境服務(wù)的無縫對(duì)接,支持統(tǒng)一用戶認(rèn)證與權(quán)限管理,簡(jiǎn)化訪問控制,減輕IT管理負(fù)擔(dān),確保員工無論處于哪個(gè)地區(qū)或部門,均能安全高效地訪問資源,提升整體業(yè)務(wù)運(yùn)行的靈活性與響應(yīng)速度。
安全運(yùn)維場(chǎng)景(堡壘機(jī)統(tǒng)一登錄與管控):為增強(qiáng)安全性和監(jiān)控,大型企業(yè)的運(yùn)維團(tuán)隊(duì)往往需要統(tǒng)一的安全環(huán)境來執(zhí)行日常運(yùn)維和管理操作。在此場(chǎng)景中,往往會(huì)使用堡壘機(jī),并將其環(huán)境獨(dú)立部署在VPC,該VPC并行加入到多個(gè)環(huán)境的轉(zhuǎn)發(fā)路由器,提供統(tǒng)一安全、中心管理的接入點(diǎn),監(jiān)控并控制關(guān)鍵系統(tǒng)訪問。通過堡壘機(jī),企業(yè)能有效地審核和記錄所有管理員的活動(dòng),確保對(duì)敏感操作的透明與追溯性,簡(jiǎn)化跨VPC與賬戶的訪問管理,顯著提升安全防護(hù)和操作效率。
企業(yè)共享存儲(chǔ)場(chǎng)景(通過私網(wǎng)連接訪問企業(yè)共享的OSS服務(wù)):中大型企業(yè)中,存儲(chǔ)資源是每個(gè)部門都需要用到的關(guān)鍵服務(wù)。為保證存儲(chǔ)資源的安全高效,往往會(huì)放在統(tǒng)一環(huán)境中進(jìn)行集中管理,再按需開放給各個(gè)部門共享使用。通過私網(wǎng)連接實(shí)現(xiàn)對(duì)企業(yè)共享OSS服務(wù)的訪問,結(jié)合鑒權(quán)機(jī)制,構(gòu)建安全高效的數(shù)據(jù)交互通道。私網(wǎng)連接保障數(shù)據(jù)在云內(nèi)部高效傳輸,避免公網(wǎng)暴露,增強(qiáng)傳輸安全與可靠性。此配置支持跨環(huán)境安全共享與訪問存儲(chǔ)資源,維持網(wǎng)絡(luò)隔離與數(shù)據(jù)保密,優(yōu)化資源管理與數(shù)據(jù)安全策略。