金融云专有网络集群分布在:华东1(杭州)、华东2(上海)、华南1(深圳)三个地域。使用专有网络时,建议参考以下推荐架构搭建金融云环境。
推荐架构
架构说明:
- 网络隔离:
- 需创建专有网络(VPC),并配置虚拟路由器与虚拟交换机,将本套环境与其他环境的网络完全隔离。
- 创建VPC后可对后端的ECS绑定EIP或直接使用SLB,用于互联网用户访问。
- 需在两个可用区各建一套虚拟交换机,将两个可用区间网络隔离。
- 跨可用区的高可用性:
- 创建SLB实例时,选择跨可用区的SLB实例,保障SLB的跨可用区的高可用性。
- 在两个可用区分别购买数量相等的ECS服务器,并分别制定ECS属于对应可用区的虚拟交换机。
- 创建RDS实例时,选择跨可用区的RDS实例。RDS在两个可用区之间自动存有两份完全相同的数据副本,具有优良的性能和可靠性。请优先使用RDS MySQL或RDS SQL Server服务,而不要自己搭建数据库服务器。RDS在创建时可以指定相应的虚拟交换机。
- 安全域:使用VPN、堡垒机,并设置安全组,建议使用多级跳板的安全组策略保证运维安全。
推荐架构(安全性要求较高)
对于安全管理要求比较高的金融客户,推荐采取以下架构搭建金融云环境。
架构说明:
- 通过交换机的路由策略以及安全组来对不同安全等级的网络进行隔离。
- 根据不同安全等级,通过不同的虚拟交换机划分不同安全域,如互联网区(DMZ区)、管理区和内网区。
- 推荐只有互联网区可以访问互联网以及接受用户互联网访问。
- VPN与跳板机安装在管理区内。
- 其他网元的部署应用与 推荐架构 一致。
常见问题
Q:专有网络与经典网络区别?
A:经典网络类型的云产品,统一部署在阿里云的公共基础网络内,网络的规划和管理由阿里云负责,更适合对网络易用性要求比较高的客户。专有网络,是指用户在阿里云的基础网络内建立一个可以自定义的专有隔离网络,用户可以自定义这个专有网络的网络拓扑和IP地址,与经典网络相比,专有网络比较适合有网络管理能力和需求的客户。
Q:是否一定要按这个架构进行应用搭建?
A:阿里金融云建议您遵循这个架构背后的思路搭建系统,这样可以用很小的代价实现双机房高可用。当一个机房出现故障时,不会引起服务中断。这里主要的思路是:通过SLB接入,ECS使用低配多台并分别放在不同的可用区,使用RDS服务而不要自己搭建数据库。
Q:堡垒机或跳板机是否是必须的?
A:不是必须的。但强烈建议使用堡垒机的方式进行服务器的管理,这样更安全。