企业服务共享设计
概述
背景介绍
企业的跨VPC互访场景日益增多,一方面原因是随着SOA(面向服务的架构)和微服务架构的日益普及,企业正逐步将原有的整体架构单元分解为多个可独立扩展的服务模块,这些模块往往分布于不同的VPC中;另一方面是企业正在越来越多地采用阿里云Landing Zone/卓越架构来设计自己的云上架构,这些实践方案倡导通过精细的账户与VPC规划,构建出稳定、安全、高效且易于扩展的业务架构。在此背景下,本文聚焦于如何实现跨账号跨VPC的企业服务共享网络的最佳设计。
基本概念
专有网络VPC:VPC是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间逻辑隔离,用户可以自定义IP地址范围、创建子网、配置路由表。
云企业网CEN:云企业网支持在地域内定义灵活的互通、隔离、引流策略,帮助您打造一张灵活、可靠、大规模的企业级全球互联网络。
转发路由器TR:转发路由器TR是云企业网中的一个组件,它充当中心路由器的角色,可以连接不同的VPC、VPN、VBR、云服务等。TR提供了高度灵活的网络路由服务,支持多路由表和高级路由策略,方便用户在复杂网络环境中管理流量和策略。它是多VPC网络设计中实现复杂网络架构和跨账户网络架构的关键组件。通过使用TR,用户能够实现不同网络间的集中化管理和流量控制,同时也简化了网络架构和操作复杂性。
私网连接Privatelink:使用私网连接,用户可以通过私有网络单向访问部署在其它VPC中的服务,无需创建NAT网络、EIP等公网出口。交互数据不会经过互联网,有更高的安全性和更好的网络质量。
网络智能服务NIS:网络智能服务是一系列云上网络AIOps工具集,提供了云上网络从网络规划到网络运维全生命周期。包括流量分析、网络巡检、网络性能监控、网络诊断、路径分析、网络拓扑等功能,能够帮助用户优化网络架构,提升网络运维效率,降低网络运营成本。
设计原则
通过转发路由器或与私网连接结合,实现企业服务共享通道设计,能够帮助企业在跨账号跨VPC场景下,便捷、灵活、安全地访问共享服务。企业服务共享设计需遵循以下核心原则:
稳定性:服务共享作为企业各环境都需要访问的关键场景之一,在设计过程中要以稳定原则优先,进行多可用区部署与多共享通道设计。
安全合规: 企业往往在不同业务单元之间,使用多账号和多VPC来提高安全性和故障隔离,此时会有大量的跨账号私网访问共享服务的场景。因此,结合不同等级的共享服务进行安全架构、权限最小化的设计是极其重要的。
高效性能:在企业服务共享环境中,弹性能力至关重要,尤其面对日益增长的业务单元,其对共享服务的流量需求难以预测。为应对这一挑战,采用转发路由器与私网连接的组合策略,能实现资源的动态调整,有效应对流量变化,从而保持服务质量。
设计关键点
稳定性
转发路由器和私网连接依托于高性能NFV(Network Functions Virtualization)平台,原生支持可用区内及跨可用区的容灾切换,确保业务运行的可靠性和稳定性。
部署转发路由器打通多个业务VPC到共享服务VPC的访问时,在多个可用区创建TR交换机实现高可用部署。同时,建议TR交换机和业务交换机按可用区对应部署,实现就近可用区高效访问共享服务,降低时延。
当引入私网连接配合转发路由器作为代理节点访问共享云服务时,建议在多可用区创建终端节点从而实现代理节点的高可用部署,调用方通过域名解析获取终端节点的IP地址信息。
安全
通过转发路由器和私网连接访问共享服务时,访问流量均在阿里云内网转发,网络封闭、不通过公网,避免了通过公网访问服务带来的潜在安全风险。
通过转发路由器访问共享服务VPC时,灵活运用安全组、网络ACL、路由配置、多路由表及多转发路由器等组网策略,构建多层次的安全访问控制体系。
通过私网连接访问云服务,可针对VPC网络中用于访问服务的弹性网卡,附加安全组和鉴权规则,提供更强的安全保障和控制手段。
性能
跨账号互联互通:支持通过转发路由器和私网连接实现多账号策略,当每个部门或业务单元有独立账号或业务环境时,需具备跨账号、跨环境的访问能力,同时具备账号隔离和权限管控的能力。
超大规模:通过转发路由器,可以实现上千个VPC访问共享服务VPC。
超大弹性:转发路由器具备百G级弹性组网能力,私网连接采用双可用区部署时,正向代理峰值可达50Gbps,反向代理峰值为25Gbps。如需更高带宽配置,请联系阿里云技术支持人员。
可观测
通过开启转发路由器和私网连接的流日志功能,记录对应网卡传入和传出的流量信息,并结合网络智能运维服务NIS实现流量的排序,观测各个业务环境访问共享服务的流量使用情况,确保网络通信的透明性和可控性。
设计最佳实践
企业在云上的公共服务,往往分为两种:企业内的公共服务和云服务(云上公共SaaS服务)。
企业内的公共服务: 例如,AD(Active Directory)和堡垒机等,一般部署在公共服务的VPC中,通过TR打通,供各个业务团队调用。
云上公共SaaS服务:例如,容器镜像服务、对象存储OSS等,直接由云平台提供,企业需要通过私网连接的终端节点进行私网访问。
多部门同时访问公共服务VPC
网络多平面设计
为满足企业内部各部门(如开发与测试,财务、人力资源及行政等)间网络的强隔离诉求,可采用多转发路由器方案,构建独立的网络平面。每个TR专为特定部门的VPC提供连接,确保各网络平面间彻底隔离,互不干扰。
公共服务VPC设计
当有公共服务被各个隔离部门访问时,将公共服务部署在公共服务VPC,各部门的TR环境可按需挂载至公共服务VPC。公共服务VPC在挂载不同的TR时,为避免多环境间路由冲突,建议关闭路由同步,且规避使用默认路由(即
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)指向任意TR。精细化路由设计:建议使用静态路由方式,按需指向不同的TR环境。若存在路由冲突,尽量遵循最小路由优先原则,通过大小段覆盖调整。例如当共享服务VPC需要访问TR1环境中的
172.16.1.0/24网段和TR2环境中的其他172.16.0.0/16时,需要使用大小段的方式来配置路由,配置172.16.1.0/24指向TR1的attachment,配置172.16.0.0/16指向TR2的attachment。
云上公共SaaS服务
访问阿里云公共SaaS服务设计
阿里云的SaaS云服务体系中,服务部署模式分为以下三类:
VPC内部署的服务(如RDS):使用标准VPC私网地址,客户可自主规划私网地址并利用VPC内网或跨VPC网络实现通信。
非VPC内部署的服务(如OSS):虽无标准VPC私网地址,但提供阿里云公共地址段(
100.64.0.0/10)内的地址,确保客户VPC可直接访问,但不支持私网地址的自定义规划与管理。仅具公网地址的服务(如服务平台百炼):缺乏私网地址选项。
针对后两类缺乏标准私网地址的云服务,若客户希望统一地址管理并通过标准私网地址进行访问,可借助阿里云的私网连接实现地址代理与转换。
公共服务VPC设计
针对连接TR的交换机,实施精细化划分,以增强数据传输的针对性和安全性。
划分放置私网连接终端节点的交换机,建议采用多可用区、多活冗余设计,确保服务的高可用性且有效分散风险。
业务VPC到SAAS云服务的访问设计
业务VPC和公共服务VPC均接入TR。
业务VPC经过TR,通过公共服务VPC中私网连接的终端节点(多个弹性网卡ENI的私网IP或者域名)访问SaaS云服务。
业务VPC路由表中,添加指向SaaS服务的私网连接明细路由,建议使用最小粒度的路由网段,避免路由冲突。
应用场景介绍
现代企业中,使用多VPC与多账号策略能显著提升安全性、灵活性及管理效能。再与企业内的共享服务架构结合,即可通过不同虚拟网络与账号进行资源与服务隔离,优化资源管理并增加安全层级。企业服务共享设计通常应用于以下场景:
多部门统一鉴权场景(使用一套AD系统管控云上业务环境):云上环境中,企业内多个部门往往都有自己的业务账号和VPC环境,部分比较独立的部门甚至有一张独立的网络环境,但他们都需要统一的企业AD系统来进行鉴权和登录管控。通过将集中的AD服务独立部署在共享服务VPC,并将其并行加入到多个账号和部门的转发路由器。这不仅保障了各环境的独立性与安全性,还实现了AD系统与各TR环境服务的无缝对接,支持统一用户认证与权限管理,简化访问控制,减轻IT管理负担,确保员工无论处于哪个地区或部门,均能安全高效地访问资源,提升整体业务运行的灵活性与响应速度。
安全运维场景(堡垒机统一登录与管控):为增强安全性和监控,大型企业的运维团队往往需要统一的安全环境来执行日常运维和管理操作。在此场景中,往往会使用堡垒机,并将其环境独立部署在VPC,该VPC并行加入到多个环境的转发路由器,提供统一安全、中心管理的接入点,监控并控制关键系统访问。通过堡垒机,企业能有效地审核和记录所有管理员的活动,确保对敏感操作的透明与追溯性,简化跨VPC与账户的访问管理,显著提升安全防护和操作效率。
企业共享存储场景(通过私网连接访问企业共享的OSS服务):中大型企业中,存储资源是每个部门都需要用到的关键服务。为保证存储资源的安全高效,往往会放在统一环境中进行集中管理,再按需开放给各个部门共享使用。通过私网连接实现对企业共享OSS服务的访问,结合鉴权机制,构建安全高效的数据交互通道。私网连接保障数据在云内部高效传输,避免公网暴露,增强传输安全与可靠性。此配置支持跨环境安全共享与访问存储资源,维持网络隔离与数据保密,优化资源管理与数据安全策略。