同地域单VPC网络设计

更新时间:

概述

背景介绍

VPC作为云计算最基础的组件,是用户上云第一步。缺乏前瞻性视角的网络设计可能为未来业务拓展埋下隐患,进行网络重构不仅将面临高昂的成本,更可能导致业务流程受到严重影响。如果您需要约束某些部署业务访问公网的行为,且业务间存在严格的网络隔离诉求,您可以参考本文提供的实践方案,综合考虑地址分配、子网划分、路由设计、安全防护等多个关键点,进行同地域单VPC网络设计

基本概念

专有网络VPC:VPC是您专有的云上私有网络。您可以完全掌控自己的专有网络,包括选择IP地址范围、配置路由和网关等。您可以在创建的专有网络中使用阿里云产品,如云服务器ECS、负载均衡SLB和云数据库RDS等。每个VPC至少由三部分组成:私网网段、交换机和路由表。

  • 私网网段:在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。

  • 路由表:创建VPC后,系统会自动为您创建一张系统路由表并为其添加系统路由来管理VPC的流量。

  • 交换机:您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。

IPv4网关:作为连通VPC和互联网的公网流量网关,出入VPC的IPv4公网访问流量经过IPv4网关转发与管控,实现公网访问的集中管理与控制。借助IPv4网关,您可以通过路由配置来集中管控VPC内实例的公网访问行为,仅配置路由指向IPv4网关的交换机具备直接访问公网的能力。

NAT网关:作为网络地址转换网关,分为公网NAT网关和VPC NAT网关。当您需要主动访问公网的服务器较多时,可以通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。通过转换和隐藏云服务地址,能避免私网地址直接暴露,提升网络安全性。VPC NAT网关可以实现私网IP地址的转换,解决IP地址冲突问题。

负载均衡:单台后端服务器直接使用公网IP对外提供服务时,如果服务器出现问题容易导致业务单点故障,影响系统可用性。您可以使用负载均衡统一公网流量入口,并在多可用区挂载多台后端服务器,消除系统中的单点故障,提升应用系统的可用性。

设计原则

安全性:公网应用和禁止公网访问的应用部署在不同的交换机,交换机之间使用网络ACL进行安全防护,服务器组之间使用安全组进行安全防护。互联网边界、VPC边界、NAT边界采用云防火墙进行安全防护,提升应用系统安全性

可扩展性:确保VPC网络能满足业务长期发展的需求,IP地址与现有内网地址不能冲突且留有冗余,保障业务增长时,网络架构无需较大改动。

可靠性建议您尽量使用至少两个交换机进行同地域单VPC网络设计,并且将两个交换机部署在不同可用区以实现业务同城多活。VPC结合使用的其他网络产品,例如NAT网关、负载均衡、云企业网等,均提供跨可用区部署业务能力。

可观测:您可以使用网络智能服务NIS辅助实现网络质量可视化、网络流量可视化、网络实例巡检和异常诊断、网络拓扑可视化,降低网络运维难度,也可结合流日志和流量镜像进行流量观测和问题排查。

设计关键点

依据上述设计原则,您可以参照以下设计关键点从多层次和多维度设计同地域单VPC网络。

明确网络需求

您需要综合考虑业务时延要求、云服务支持情况等因素,确定应用部署的地域和可用区。

  • 公网质量决定应用访问质量,您可以通过NIS进行互联网访问性能观测,查看每日的拨测数据。

  • 如果业务对时延有较高要求,您可以通过NIS进行云网络互访性能观测,查看同地域跨可用区和跨地域延迟。

您还需要明确VPC的使用目的和需求。例如作为生产环境和测试环境,VPC对访问隔离的要求是不同的,这将决定安全组、网络ACL和云防火墙的配置以及相关的网络连接方案。

合理分配网段

为VPC合理分配IP地址段,既避免资源浪费,又预留足够空间以适应未来业务扩展。合理规划公有交换机和私有交换机,明确各应用的部署位置,保障公网应用和私网应用在VPC内部具备独立的安全域。

合理规划路由

在规划公有交换机和私有交换机实现公网私网应用安全域隔离的基础上,公有交换机和私有交换机需要绑定不同的路由表,在路由层面实现隔离,并开启网关路由表,控制不同交换机访问公网的能力。

安全防护设计

使用安全组和网络ACL来限制进出VPC的流量,为每个实例或服务配置适当的安全组规则,只允许必要的端口和协议。安全组和网络ACL只能提供基础的安全防护,如需要更高的安全防护,则需要考虑使用云防火墙。

公网出入口配置

实际业务场景中,推荐您使用负载均衡产品统一公网流量入口;当需要主动访问公网的服务器较多时,使用NAT网关统一公网流量出口。VPC需要划分单独的交换机部署NAT网关和负载均衡,实现公网出入口的交换机与业务交换机的路由拆分,提升组网的灵活性和安全性。

高可用性设计

设计VPC时,需要考虑其高可用性和可扩展性。建议您尽量使用至少两个交换机进行同地域单VPC网络设计;结合使用的其他网络产品,例如NAT网关、负载均衡、云企业网等,均提供跨可用区部署业务能力。

运维监控设计

较好的可观测性能够帮助运维人员和开发人员快速定位问题、优化性能并预测潜在故障。建议使用NIS、流日志和流量镜像实现可视化运维。

设计最佳实践

image

设计概述

设计同地域单VPC网络前,需要基于业务需求完成整体网络架构设计,比如云下数据中心内部网络、混合云网络、云上广域网络架构等。

本方案结合VPC、交换机、IPv4网关等构建云上数据中心同地域单VPC网络:

  • 安全性VPC内划分公有交换机和私有交换机,公网应用部署在公有交换机,面向内网的应用或者数据库部署在私有交换机。图中业务交换机A/B中的服务器,即使自带公网IP也无法访问互联网。您可以结合安全组、网络ACL和云防火墙等安全手段,提升应用安全性。

  • 可扩展性云服务器、网络、存储等产品均会消耗IP地址,建议您选择较大的网络掩码为其预留足够的地址空间。若因网段规划不合理导致地址空间不足,您可以使用附加网段进行扩容,但附加网段不支持修改。VPC支持部署多个公有交换机和私有交换机,用于实现多个应用部署。

  • 可靠性使用至少两个交换机进行同地域单VPC网络设计,并且将两个交换机部署在不同可用区以实现业务同城多活。

  • 可观测使用网络智能服务NIS辅助实现网络质量可视化、网络流量可视化、网络实例巡检和异常诊断、网络拓扑可视化

设计步骤

  1. 确定地域和可用区

    根据业务服务的用户位置选择云资源部署的地域,根据云资源储备情况、可用区时延情况选择可用区。您可以参考互联网访问性能观测云网络互访性能观测选择适合的地域或可用区。

  2. IP地址分配

    您可以使用10.0.0.0/8172.16.0.0/12192.168.0.0/16三个RFC标准私网网段及其子网作为VPC的私网地址范围,也可以使用自定义地址段作为VPC的私网地址范围。自定义地址段不支持使用100.64.0.0/10224.0.0.0/4127.0.0.0/8169.254.0.0/16及其子网作为VPC的网段。

    如果有多个VPC,或者有VPC和本地数据中心构建混合云的需求,建议使用上面三个标准网段的子网网段作为VPC的网段,掩码建议不超过20位,且不同VPC的交换机网段和本地数据中心的网段不能冲突。交换机网段规划需要考虑该交换机下容纳ECS实例和其他云产品资源的数量,建议您选择一个足够大的CIDR块,以确保可用IP地址数量满足当前业务需求和未来扩展需求。但网段分配不可过大,避免VPC内存在大量的IP地址浪费,其他VPC又因IP地址不足无法扩展。

  3. 交换机设计

    交换机划分

    交换机设计

    公有交换机:具备公网访问能力

    SLB交换机

    只部署公网SLB,可以部署ALB、NLB,不部署ECS。

    NAT交换机

    只部署NAT网关,不部署ECS。

    业务交换机A

    部署公网应用服务器,ECS即使有公网IP也无法直接进出公网,通过SLB/NAT交换机进出公网。

    私有交换机:不具备公网访问能力

    SLB交换机

    只部署内网SLB,可以部署内网ALB、NLB,不部署ECS。

    业务交换机B

    部署内网应用服务器或者数据库应用,完全不具备公网直接出入能力。

    TR交换机

    VPC通过TR交换机和云企业网上的其他VPC、VBR通信。

  4. 路由表设计

    交换机划分

    可用区部署

    关联路由表

    路由表设计

    公有交换机

    SLB交换机

    可用区E、F

    系统路由表

    配置默认路由指向IPv4网关,SLB挂载业务交换机A的ECS,统一公网流量入口。

    NAT交换机

    可用区E、F

    业务交换机A

    可用区E、F

    自定义路由表1

    配置默认路由指向NAT网关(未配置指向IPv4网关的默认路由),部署的ECS可以通过NAT出入公网,也可以被SLB挂载实现应用对外发布。因业务交换机A未配置指向IPv4网关的默认路由,ECS即使绑定公网 IP也无法直接出入公网,这样防止应用服务器存在不可控的公网入口,提升应用系统安全性。

    私有交换机

    SLB交换机

    可用区E、F

    自定义路由表2

    部署私网SLB,挂载业务交换机B的ECS,实现应用内网提供服务,无指向NAT网关和IPv4网关的默认路由。

    业务交换机B

    可用区E、F

    部署ECS或者部署安全性要求很高的数据库服务,作为私网环境,既无指向NAT网关和IPv4网关的路由,同时不会被公网SLB挂载,无公网访问能力。

    TR交换机

    可用区E、F

    VPC通过使用TR交换机和其他VPC/VBR通信,需要配置自定义路由指向转发路由器。

  5. 安全防护设计

    您可以结合安全组、网络ACL和云防火墙等安全手段,提升应用安全性。

    • 服务器粒度:安全组绑定云服务器组,实现ECS粒度的访问控制。安全组是有状态的,应用于传入规则的任何更改都将自动应用于传出规则。

    • 交换机粒度:网络ACL绑定交换机,实现交换机粒度的访问控制。网络ACL是无状态的,允许入站流量的响应,返回的数据流必须被出站规则明确允许。

    • 更高级别:

      • 互联网边界防火墙:基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对出向和入向流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障公网交换机资源与互联网之间的流量安全。

      • NAT边界防火墙:会检测所有经过VPC内私网资源(包括同一VPC内的资源和跨VPC的资源)流向该NAT网关的出方向流量。

      • VPC边界防火墙:帮助用户检测和管控专有网络VPC之间、VPC和本地数据中心之间的流量。

  6. 运维监控设计

    建议您使用网络智能服务NIS,按需结合流日志和流量镜像,实现可视化运维。

    • 网络智能服务NIS:辅助网络运维工具,实现网络质量、拓扑、流量可视化,支持巡检及实例异常诊断。

    • 流日志:采集指定弹性网卡、VPC或交换机的五元组网络流量,帮助您检查访问控制规则、监控网络流量和排查网络故障。

    • 流量镜像:镜像经过弹性网卡ENI且符合筛选条件的报文,用于内容检查、威胁监控和问题排查等场景。

  7. 补救措施

    • IP地址不足:若因网段规划不合理导致地址空间不足,您可以使用附加网段进行扩容,但附加网段不支持修改。

    • IP地址冲突:若VPC网段分配充足,可创建无冲突的交换机以支持应用迁移。您也可以使用VPC NAT实现私网IP地址的转换,解决IP地址冲突问题,但会增加路由配置复杂度,建议仅在必要时采用。