一键部署
方案概览
企业在本地IDC迁移上云或优化现有网络架构时,网络规划设计常面临如下痛点:
需要灵活的内网互通、隔离、引流策略,根据业务逻辑规划网络资源布局。
内网互访流量需要经过防火墙进行安全审计,提高业务安全性。
网络架构需要具备较高的可扩展性和可持续性。
您可以参考企业云上网络架构规划方案,快速搭建出典型网络架构,从而加速网络规划与部署的过程。
方案架构
本方案技术架构要点:
VPC级隔离与互通:根据业务独立性,将不同业务均部署在单独的VPC进行隔离。所有VPC均连接至TR实现网络互通,并且通过TR多可用区实现高可用容灾。
TR路由级隔离与互通:vpc_prd1、vpc_prd2、vpc_sec通过TR路由表1构建互通网络平面。vpc_prd3作为独立业务,使用TR路由表2构建单独的网络平面,不允许与其他VPC互通。
流量安全引流:vpc_prd1和vpc_prd2内的实例互通流量,转发时均需要经过vpc_sec中的模拟防火墙审计。
可扩展性:后续业务扩展时,可以通过新增交换机、VPC、TR路由表、TR实例等方式,实现不同层面的网络隔离与互通策略。
部署准备
准备账号
通过Terraform快速部署
为什么使用 Terraform
Terraform 是一款业界领先的基础设施即代码(Infrastructure as Code, IaC)工具,专门用于云资源的自动化部署与管理。其核心优势包括:
自动化部署:通过声明式代码自动创建和配置云资源,避免手动操作带来的错误风险,显著提升部署效率。
环境一致性:确保开发、测试、生产环境配置完全一致,消除环境差异导致的安全隐患。
版本化管理:支持 Git 等版本控制系统,实现基础设施变更的审计追踪和回滚能力。
智能依赖管理:自动处理资源间的依赖关系,确保按正确顺序创建或销毁资源。
多云适配能力:支持阿里云、AWS、Azure 等主流云平台,便于构建混合云安全架构。
方案资源
本方案的 Terraform 模板将自动创建并配置以下云资源:
4个专有网络VPC:用于不同业务的隔离部署。
12 个交换机:4个业务交换机用于部署业务服务器,8个交换机用作TR高可用。
1个云企业网CEN、1个转发路由器TR:用于VPC之间网络互通。
4个云服务器ECS:3个用于部署业务应用,1个用于部署安全设备。
如上只列出了关键的云资源。路由表、路由条目、安全组规则等更多资源,以实际创建的结果为准。
费用说明
本方案预估费用:2 元 / 小时(实际费用可能因资源规格、配置或版本的不同而有所差异,请以云产品控制台显示的费用为准)。
当资源不再使用时,请及时销毁,避免产生不必要的费用。
操作步骤
访问 Terraform 部署页面,系统将自动加载本方案的模板。
配置服务器密码。在
variables.tf文件中,配置ecs_instance_password参数的default值,所有ECS将使用相同的密码。单击创建按钮开始部署。等待资源栈信息页面的状态变为创建成功,即表示资源部署完成。
方案验证
检查网络互通与隔离。
在资源栈的输出页面,可跳转查看创建的ECS实例列表。
登录vpc_prd1、vpc_prd2、vpc_sec的ECS实例,互相执行
ping <ECS IP地址>命令测试ECS之间网络连通性,网络之间可以互通。登录vpc_prd3中的ECS实例,执行
ping <ECS IP地址>测试和其他VPC内ECS的网络连通性,与其他网络不互通。
检查路由引流。
登录云企业网控制台,单击目标云企业网实例ID。
单击目标转发路由器实例ID,切换到转发路由器路由表页签。
单击左侧路由表ID,切换到路由表详情。
路由表1的路由条目下一跳均为vpc_sec,为vpc_sec模拟防火墙的路由设置,代表流量都经过vpc_sec的中转。
路由表2的路由条目中,没有配置下一跳到vpc_prd3的路径,实现了vpc_prd3通过多路由表进行隔离的效果。
清理资源
您可以使用ROS一键删除创建的云资源,避免继续产生费用。
登录资源编排ROS-资源栈控制台,切换至资源栈所在地域,找到目标资源栈。
单击右侧操作列的删除按钮,删除方式选择释放资源,并确认删除。