阿里云基础网络的创建、业务隔离及多网之间的互联互通

⚡⚡⚡ 新年新文⚡⚡⚡

文章目录

1，专有网络的基本构成

专有网络的基本构成如下：

每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成

VPC的地域级别的网络，一个地域中可以包含多个VPC，但VPC不能横跨多个地域

交换机是可用区级别的子网，一个VPC中，可以包含一个或多个交换机，每个可用区想要投入使用，都必须至少创建一个交换机，当然，可以在一个可用区创建多个交换机

多个可用区之间需要路由器做数据转发才能互联互通，可以修改路由器中的路由表影响数据转发方式

2，网络和交换机的部署方式

2.1，单VPC

单VPC：如果业务系统非常简单，只是需要一个简单的网络提供IP即可，不需要网络隔离，也不需要多地域部署业务，那可以只使用一个VPC就可以了，例如只打算在杭州地域部署100台ECS云服务器，这100台全部都是同一个Web网站，此时就只需要一个VPC即可，如下图所示，只是需要在杭州地域部署一些ECS，不需要做任何隔离，就只需要在杭州部署一个VPC即可。

2.2，单地域多VPC

单地域多VPC：希望某一部分业务和其他的业务要有网络隔离，此时就需要在云上规划多个VPC，如下图所示，由于隔离的需要，规划了两个VPC，分别运行两个需要隔离开的业务

2.3，多地域多VPC

多地域多VPC：如果打算把业务系统分布在不同的地域，VPC最大覆盖的边界就是地域，所以如果需要把业务部署到多个地域，此时就需要规划多个VPC，如下图所示，在北京和杭州两个地域都部署了业务，所以需要在两个地域都至少部署一个VPC

3，交换机规划时考虑因素

交换机规划时，有以下几个考虑因素：

单个交换机：在构建测试、开发等非关键业务网络时，可以选择在VPC内使用单交换机，并在该交换机内创建ECS服务器，此时所有的业务都工作在单一的可用区中的单一交换机上，在可用区故障时，所有业务会失去访问能力。
多个交换机：当打算在云上构建复杂且关键的业务时，就需要选择使用多个交换机，每个交换机可以绑定不同的可用区，然后在多个交换机内部署多台ECS云服务器，且这些ECS云服务器都可以实现跨可用区的业务部署模式，规避单机房故障的风险，或者需要通过子网的网段来做业务分类，提升可管理性时，就需要多个交换机，例如A业务使用192.168.1.0/24子网，使用交换机A，B业务使用192.168.2.0/24子网，使用交换机B，或者需要某一部分服务器不能直接访问互联网，如有互联网需求时，需要通过NAT网关等网络服务代理上网，就需要多个交换机来实现，将不能直接访问公网的服务器单独放在一个交换机中。

4，规划云上网络的安全性

如何保障VPC内业务服务器的安全性，通常有两种做法：

4.1，安全组

安全组：是一种实例级别的虚拟防火墙，能够控制ECS云服务器等云资源的出入站流量。安全组的入方向规则控制ECS云服务器的入站流量，出方向规则控制ECS云服务器的出站流量。

阿里云上的安全组是一种有状态的防火墙，在安全组中，可以在入和出两个方向设置允许和拒绝规则来实现流量管控，由于安全组是有状态防火墙，只需要在入站方向设置允许或拒绝规则即可，例如只需要允许安全组入方向的TCP 协议的80端口，不需要主动允许出方向的TCP协议的 80端口，外部依旧能够访问到网站，因为安全组会自动发现，出站的流量和入站的流量相关，会自动放通，这就是有状态防火墙的特点。

4.1，网络ACL

网络ACL：网络访问控制列表（ACL）是 VPC 中子网级别的虚拟防火墙，网络 ACL 与交换机必须进行关联才能对子网内的实例产生影响，实现对一个或多个子网流量的访问控制。

网络ACL在入和出两个方向都可以设置允许和拒绝规则，其规则与安全组相似，入方向规则控制相关服务的入站流量，出方向规则控制相关服务的出站流量，可以对网络 ACL 的规则进行自主设置自定规则。网络 ACL 的规则是无状态的，设置入站规则允许某些请求后，需要同时设置相应的出站规则，否则可能会导致某些请求无法响应，必须同时设置入站和出站规则才能正常通信的情况，称为无状态流量管控。例如只在入方向设置了允许TCP协议的80端口通过，但是没有在出方向设置允许TCP协议的80端口通过，此时外部将无法访问到80端口。

如下图所示，安全组是ECS 云服务器实例级别的，需要绑定到具体的云服务器才能生效，网络ACL是子网级别的，需要绑定具体的交换机才能生效

通过安全组和网络ACL实现对外只开放HTTP 协议的 80端口号，具体流程如下：

新建并配置名为HTTP80-TEST的安全组，在入方向开放HTTP 协议的 80端口号，并拒绝其他访问；
新建具有公网能力的服务器，使用1步骤中创建的HTTP80-TEST的安全组，并部署一个网页用于访问权限的测试；
新建网络ACL，并绑定到子网，在网络ACL的入和出方向同时开放HTTP 协议的 80端口；
前面三个步骤过程中，会多次测试外网访问ECS 80端口，从而验证安全组和ACL是否生效。

经过如上测试，得出以下结论：

安全组是实例级别有状态的虚拟防火墙，只需要在入方向允许具体的端口即可，在云服务器ECS实例级别进行访问控制，推荐使用安全组

网络ACL是子网级别无状态的虚拟防火墙，需要同时在入和出两个方向允许流量才可以访问，通常适用于整个子网中，所有云资源的集中管控，范围比安全组更大，适用于大规模整个子网的整体规则管控。

安全组和网络ACL对比：

分类	安全组	网络ACL
级别	ECS等云资源实例级别管控	特定子网级别的流量管控
功能	支持允许规则和拒绝规则	支持允许规则和拒绝规则
是否有状态	有，返回数据流会被自动允许，不受任何规则影响	无，返回数据流必须被规则明确允许
何时生效	只有云资源绑定了安全组才会受到影响，可以为不同的实例绑定不同的安全组，实现更精细化配置	只要子网绑定了网络ACL，整个子网中的所有云资源都会受到影响

5，不同交换机内的服务器之间是如何通信

5.1，路由器、路由和路由表

路由器、路由和路由表几个重要概念：

路由器：是（vRouter）是专有网络的枢纽，作为专有网络中重要的功能组件，它可以连接专有网络内的各个交换机，同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个路由器。每个路由器至少关联一张路由表。
路由：是路由器根据 IP 地址对数据进行转发的操作。当路由器收到一个数据包时，它根据数据包的目的 IP 地址查询路由表，如果有匹配的路由条目，就根据查询结果将数据包转发出去，如果没有任何匹配的路由条目，则将数据包丢弃。
路由表：是存储在路由器或联网计算机中的电子表。路由表存储着指向特定网络地址的路径（路由条目）。每一个路由条目包含目的网段地址 / 子网掩码、路由协议、出接口、下一跳 IP 地址、路由优先级和度量值等信息。路由表记录 IP 包在下一跳应该发给谁。
- 默认路由表：小云在创建专有网络VPC后，系统会默认创建一个路由表控制VPC的路由，所有VPC内的vSwitch默认使用该路由表。
  自定义路由表：小云也可以创建自定义路由表，将其和vSwitch绑定，控制 - vSwitch的路由，更灵活的进行网络管理，称为"子网路由"。
- 网关路由表：自定义路由表和IPv4网关绑定，又称"网关路由表"，用于ingress routing安全引流场景。

可以通过访问专有网络VPC控制台，并点击左侧菜单中的路由表按钮查看已创建的路由表，路由表类型为系统的就是创建VPC后系统自动创建的默认路由表，小云也可以点击创建路由表按钮，创建自定义路由表：

同一个VPC内互联互通的秘密就在于路由表中的路由条目，默认的VPC路由表条目，VPC中所有交换机的网段默认都会自动添加至系统路由条目中，点击路由表实例ID可以看到路由表的详细信息，点击路由条目列表页签中的系统路由条目，可以看见系统自动创建的路由条目：

系统路由，如上图所示：
- 以100.64.0.0/10为目标网段的路由条目，用于地域（Region）内的云产品通信
- 以vSwitch网段（如192.168.1.0/24、192.168.2.0/24）为目标网段的路由条目，用于vSwitch内的云产品通信
自定义路由：可以添加自定义路由来替换系统路由或将目标流量路由到指定的目的地。支持丰富的下一跳种类：
- ECS实例/ENI
- 网关类：VPN网关、NAT网关、IPv6网关、IPv4网关
- 对等连接：VPC PEER实例ID
- TR：VPC attachment
- 高速通道：router interface
- HaVIP
动态路由：通过云企业网基础版或VPN网关动态学习的路由。

可以通过综合使用默认路由表和自定义路由表实现专有网络VPC内不同交换机转发不同的路由规则。

5.2，不同的VPC之间的通信问题

如果处于不同的VPC的业务是否也能够打通网络进行相互通信？

不同的VPC之间，无论是否是同地域，默认都无法通信，因为 VPC 天然提供了隔离性

需要联通不同VPC中的业务，可以通过 VPC对等连接在不同的VPC之间搭建桥梁，实现网络的互联互通。

如上图所示，在杭州地域和北京地域分别有一个VPC，每个VPC内都有服务器，此时默认的情况下，由于地域级别和VPC级别都有隔离性，所以是无法互联互通的，需要通过VPC对等连接打通网络

VPC对等连接支持以下几种类型的VPC网络打通：

同账号同地域
同账号跨地域
跨账号同地域
跨账号跨地域

需要创建一个VPC对等连接联通杭州地域的VPC-HZ-1与北京地域的VPC-BJ-1，网络说明如下：

网络联通总结如下：

同地域同VPC：默认可以互通，默认路由表的系统路由提供了相同专有网络内交换机子网的互联互通。
不同VPC：默认内网无法通信，需要对等连接打通网络，并配置路由条目，实现子网联通。

6，企业网络架构最佳实践

6.1，背景介绍

某公司的业务主要集中在杭州地区，公司决定将总部地点设在杭州。同时，公司为了更好地吸引北京各高校的科技人才，特在北京设立了远程研发中心。因此分别在北京和杭州的本地机房部署了开发环境和生产环境，具体环境描述如下：

开发环境：开发环境在北京本地机房，比较简单，仅包含几个开发服务器供开发人员使用，方便开发团队协作进行代码开发上传，版本发布的流程如下：
- 当正式版本的代码需要发布到生产环境时，会先从开发服务器上传到杭州的文件服务器
- 运维人员再将文件服务器的代码包分发至所有生产环境中的Web服务器上，并分批完成代码的部署、发布和测试工作，确保版本发布过程中的稳定安全
生产环境：生产环境部署在杭州本地机房，因为生产环境承载的是核心线上业务，进行了前后端分离、高可用、访问权限管理等管控，具体如下：
- 为了便于扩展和更新，做了前后端分离架构，即将Web服务器和数据库服务器分开部署，运维人员会根据开发人员提交的版本，对前端Web服务器进行变更
- 为了提升整体业务的可用性，前端Web服务器和后端数据库服务器需要多机房部署，规避了单一机房故障造成业务中断
- 为了提升整体业务的安全性，在开发环境、文件服务器和Web服务器上，都做了严格的访问规则配置，其中：
  - 文件服务器允许北京开发环境中的开发服务器通过22端口上传文件
  - Web服务器允许所有人通过Web服务访问80端口，也允许文件服务器通过22端口上传和配置文件
  - 数据库的服务器只允许生产环境的Web服务器来连接，其他的所有连接都会拒绝
    开发环境与生产环境通过VPN方式打通，网络带宽较小。

6.2，云上网络架构设计

以上为目前在本地机房的业务逻辑，要如何基于本地业务架构设计云上网络架构？

如何在阿里云上规划地域、交换机、VPC、安全组、网络ACL？

如何规划云上路由走向，才能连通不同的企业网络环境？

根据现有业务情况，在阿里云上设计了如下图所示的网络架构：

其中网络架构为：

北京开发环境有一个VPC：VPC-DEV(172.16.0.0/16)，该VPC下有一个开发环境交换机：VSW-DEV(172.16.1.0/24)，交换机中部署了两台研发服务器ECS-DEV01、ECS-DEV02，互为主备，避免单点故障导致代码等重要文件丢失。
杭州生产环境有一个VPC：VPC-PRD(192.168.0.0/16)，该VPC下有五个交换机，分别为：
- 两个WEB服务交换机VSW-WEB1(192.168.1.0/24)和VSW-WEB2(192.168.2.0/24)，用于跨可用区部署Web业务，避免可用区故障导致整个业务不可用，大大提升Web服务的可用性；
- 两个数据库DB服务交换机VSW-DB1(192.168.100.0/24)和VSW-DB2(192.168.101.0/24)，用于跨可用区部署数据库服务，避免可用区故障导致整个业务不可用，大大提升数据库服务的可用性；
- 一个文件服务器交换机VSW-FS(192.168.200.0/24)，用于从北京开发环境获取最新版本的软件包，并将软件包分发至生产环境中的Web服务器，该文件服务器因为与Web服务器在一个VPC中，因此可以通过内网传输文件，速度快且无需带宽费用的支出，Web服务器越多，其优势越明显。
杭州和北京两个VPC需要通过VPC对等连接完成网络打通，并手动添加路由完成从开发环境交换机VSW-DEV到文件服务器交换机VSW-FS的联通。
各个区域安全组访问权限控制：

数据库所在交换机的网络ACL规则配置如下：

7，总结

运用阿里云专有网络VPC、交换机、路由表、安全组、网络ACL，可以帮助用户基于业务场景构建具备安全隔离特性的企业网络，同时通过阿里云VPC 对等连接，可以帮助用户快速打通不同专有网络VPC，实现企业不同地域或不同隔离区业务的互联互通。

云上网络具有灵活、可靠、高速的特点，可以轻松实现业务的安全隔离，云上网络在同地域可以实现免费的不同可用区高速内网互通，而且在需要时，可以使用对等连接打通不同的VPC实现业务互通。
专有网络VPC和交换机：可根据业务规划单VCP、单地域多VPC、跨地域多VPC的网络架构，在同一个VPC中，可以创建多个交换机，业务可通过多可用区部署，实现业务的多可用区容灾的同时，享受同VPC不同可用区之间免费高速的数据传输。
安全组和网络ACL都用于流量的进出管控，安全组是云服务器实例级别的防火墙，而且是有状态的防火墙，网络ACL是子网级别的防火墙，网络ACL是无状态的，需要同时在进和出两个方向同时允许才可以通信。
对等连接可以用于跨地域、跨账号专有网络VPC之间的互联互通，满足复杂的企业业务网络互通需求。

感谢阅读，下期更精彩 👋👋👋