企业云上网络架构规划
一键部署
30
https://www.aliyun.com/solution/tech-solution/ecnap
方案概览
对于企业从IDC搬迁到云上,前期进行整体的网络设计,需要构建基于业务逻辑的云上网络整体架构,为业务上云奠定基础。随着企业规模和业务的增长,需要优化已有的网络架构,保障业务的安全、稳定及未来发展的可持续性。企业用户往往面临以下的场景:
实现灵活的内网互通、隔离、引流策略,根据业务逻辑规划网络资源布局。
内网互访流量经过防火墙进行安全审计,提高业务安全性。
网络架构具备较高的可扩展性和可持续性。
方案架构
方案提供的默认设置完成部署后在阿里云上搭建的网站运行环境如下图所示。实际部署时您可以根据资源规划修改部分设置,但最终形成的运行环境与下图相似。
本方案的技术架构包括以下基础设施和云服务:
4个专有网络VPC:搭建可信的私有网络。
9个交换机:用于挂载ECS实例。
4台云服务器ECS:3台用于模拟业务互访,1台用于模拟防火墙。
1个云企业网实例:用于管理整个云上私网网络。
1个转发路由器实例:用于连接VPC。
其中,VPC-PRD1和VPC-PRD2互通需要经过VPC-SEC中的模拟防火墙审计,VPC-PRD3作为独立业务不允许与其他VPC互通。本方案中不涉及模拟防火墙审计的代码部分,仅涉及网络搭建。
部署准备
10
开始部署前,请按以下指引完成账号申请、账号充值、RAM用户创建和授权。
准备账号
如果您还没有阿里云账号,请访问阿里云账号注册页面,根据页面提示完成注册。阿里云账号是您使用云资源的付费实体,因此是部署方案的必要前提。
本方案的云资源支持按量付费,且默认设置均采用按量付费引导操作。如果确定任何一个云资源采用按量付费方式部署,账户余额都必须大于等于100元。
完成本方案的部署及体验,预计产生费用不超过2元。
假设您选择可用的最低规格资源,且资源运行时间不超过1小时。实际情况中可能部分实例无法购买需要根据实际情况调整资源规格,同时因您操作过程中实际使用的流量差异,会导致费用有所变化,请以控制台显示的实际报价以及最终账单为准。
规划网络和资源
10
网络规划
请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。
规划项 | 数量 | 说明 |
地域 | 1 | 您的云服务部署的地域。选择地域的基本原则请参见地域和可用区。 |
专有网络VPC | 4 | 在部署过程中新建一个VPC作为本方案的专有网络。 |
交换机 | 9 | 本方案需要至少9台交换机,用来挂载ECS实例。 |
云企业网 | 1 | 本方案需要1个云企业网实例,用于管理整个云上私网网络。 |
转发路由器 | 1 | 用于连接VPC。 |
规划云资源
请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。
规划项 | 数量 | 说明 |
ECS | 4 | 本方案需要3台用于模拟业务互访,1台用于模拟防火墙。 |
一键部署
5
一键配置基于阿里云资源编排服务ROS(Resource Orchestration Service)实现,旨在帮助开发者通过IaC(Infrastructure as Code)的方式体验资源的自动化配置。
完成及清理
5
方案验证
完成上述操作后,VPC_PRD1、VPC_PRD2之间互访可以通过ping测试连通性,流量会通过VPC_SEC中转,符合期望的安全互访需求。
登录VPC_SEC的ECS实例,执行以下命令启用允许转发。当前命令临时生效,重启后会丢失。关于如何登录ECS实例,请参见连接方式概述。
echo 1 > /proc/sys/net/ipv4/ip_forward登录VPC_PRD1的ECS实例,执行ping命令,测试与VPC_PRD2、VPC_PRD3之间的连通性。
收到回复报文,则表示VPC_PRD1与VPC_PRD2之间可以正常通信;VPC_PRD3中的ECS无法ping通其他ECS,达到了隔离的效果。
ping <网络实例下ECS实例的IP地址>
清理资源
在本方案中,您创建了4台云服务器ECS实例、1个云企业网实例、1个转发路由器实例、9个交换机、4个专有网络VPC。测试完方案后,您可以参考以下步骤释放对应资源,避免继续产生费用。
登录资源编排管理控制台,左侧导航栏菜单选择资源栈。
在页面的顶部选择部署的资源栈所在地域,找到部署的资源栈。单击其右侧操作列的删除并确认,可一键删除一键配置所创建的资源。