概述

在云上,企业构建需要一个可扩展的安全可控的网络环境。公共云的网络环境与线下IDC类似,也是使用IP地址段作为基本单元划分不同的网络空间,公共云一般以VPC为基本单元,每个VPC使用一个IP网段,若干个VPC组成企业云上整体网络空间。由于相同IP地址不能互通和IPv4地址空间相对较小两个限制,企业在进行上云早期规划时,需要提前做好网络规划,保证网络能够承载企业存量业务的同时,能够具备高可靠和可扩展性,以保证业务的稳定和未来的系统扩容和升级。

关键步骤

在网络规划,有三个关键步骤需要决策:

  1. 一是确定所使用的地域,按照业务属性划分若干个VPC和各自使用的IP地址段。比如,使用阿里云上海地域,共分成5个VPC,分别用来承载公网出入口、官方网站生产环境、官方网站UAT环境、内部CRM系统生产环境和内部CRM系统UAT环境。各自的IP地址段分别为10.0.0.0/24、10.0.1.0/24、10.0.2.0/24、10.0.3.0/24和10.0.4.0/24。
  2. 二是规划不同VPC间的互通、隔离逻辑,决定不同资源之间的路由、安全组或NACL(Network Access Control List)规则。
  3. 三是确定云上线下环境互联的方式。如果企业有混合云需求,需要确定使用的上云连接方式,比如物理专线、SDWAN、VPN等。

下面我们将通过一个案例,为网络规划做一个整体性的介绍。

网络规划的建议

网络拓扑结构

随着云计算的普及,越来越多的传统企业客户也在选择把云下的业务系统搬到云上,实现更大的弹性、更强的灵活性、更高的性价比。但与泛互联网型企业的轻资产相比,传统企业的云下IT规模较大,有比较沉重历史包袱重,以及各种行业规范的约束,所以对于网络的规划设计、部署使用、运维管理都有自己的要求,并且还可能面临各种各样的特殊业务场景,仅仅具备云产品的初级使用能力已不能满足实际使用需求。所以企业级云上网络的重点是帮助企业用户更高效地搭建上云网络环境,而企业互联解决方案作为整体上云网络搭建过程的核心,需要帮助客户解决云上网络架构设计、云上云下网络互通、云上企业内部网络互通、云上企业间私网访问等场景下的问题。

  • 方案描述
    • 场景一:云上网络分区云上网络分区

      用户业务系统搬站上云,需要考虑业务系统之间的调用和访问关系,需要关心路由边界,需要关心未来的规模扩展,实现最合理的分区设计、最简单的运维管理、最灵活的弹性扩展。

      每个分区可以由一个独立的VPC承载,VPC内按照部署的业务模块选择创建不同的虚拟交换机(子网),不同业务系统之间的互通即不同VPC之间的路由打通,可以使用云企业网CEN打通,同时可以按需进行路由表隔离、路由过滤、路由策略设置等,来满足企业用户的个性化需求。

      按照使用习惯和业务访问关系,常见的分区有:

      • 业务生产区、开发测试区:这两个区域分别用于承载客户生产环境和测试环境的资源。
      • 互联网出口区:这个区域类似于线下IDC中的DMZ区,用于承载互联网出口资源,如EIP,NAT网关,SLB,云防火墙等资源。
      • 东西向安全区:用来承载南北向防火墙或其他云上IDS/IPS防护设备。
      • 内联运维区:用来承载跳板机,堡垒机等企业内部人员连接云上环境入口的资源。
      • 外联网区:用来承载连接第三方IDC等外部环境的跳板机,堡垒机的入口资源。
    • 场景二:本地网络和云上网络的连通场景二:本地网络和云上网络的连通

      在云上构建新的业务系统时,也需要考虑和线下已有的网络进行打通,满足两方面的需求:

      • 业务搬站或系统迁移过程中,需要有大带宽、稳定、安全的网络通道。
      • 企业用户都会选择先把前置系统优先上云,比较重要的业务系统仍放在云下,一方面需要一个过渡,另一方面利旧云下已投入的IT资源,所以混合云状态会长期存在。
      • 线下分支机构会有和总部办公室、企业IDC之间的内网互通需求,当业务逐步上云后,会涉及到线下分支既需要和线下总部互通,也需要和云上互通。那最好的方案便是打通一张覆盖云上云下多地域的内网,同时确保每两点之间直接互通,不出现绕行。

      按照云下网络环境的定位、规模和与云上系统的关系,推荐不同的互通方式:

      • IDC和大型企业总部:推荐使用物理专线互通。针对集团性企业,云下IT资源大多在一个大的机房内,通过物理分区或者逻辑分区隔离不同子公司之间的网络,但云上是不同的账号(账号间完全独立),此时可以由集团统一部署大带宽的专线,通过路由子接口和VLAN映射的方式把专线分成多个二层通道,每个二层通道关联一个VBR(虚拟边界路由器),不同的VBR供不同的子公司使用,这样不仅资源共享投入产出比高,而且子公司之间的三层网络完全隔离。关于物理专线连接的更多信息,请参见专线介绍
      • 企业分支和小型总部:推荐采用智能接入网关SAG,通过SAG就近入云,打破地域限制,覆盖各种分支形态,形成云上云下一张内网。因为阿里云提供非常多的POP接入点,所以分支最后一公里(采用VPN加密通道)的距离会很短,长传全部走阿里云内网,端到端网络质量仅次于专线,但是价格接近VPN。关于智能接入网关SAG更多信息,请参见什么是智能接入网关
      • 特殊分支:针对不方便部署SAG(如海外偏远分支等)、企业想利旧资产等情况,通过VPN网关快速和云上内网打通。虽然效果不如智能接入网关SAG,但是可以让偏远的分支先解决内网互通的诉求。关于VPN网关更多信息,请参见VPN网关
    • 场景三:企业内网络互通和隔离

      因业务发展需要,子公司的业务系统需要和其他子公司或集团业务系统路由互通,但又不能影响其与公司内部其他业务系统的正常通信和安全策略。

      • 方案1 : 使用CEN连接多个VPC

        当企业在不同业务账号中使用VPC,可以让该VPC同时可以接入多个CEN(可以是同账号的CEN,也可以跨账号的CEN),此时该业务系统的网段路由就可以在不同CEN的路由域里面,实现按需路由互通,且相互不影响。

        这样做的好处是:

        • 简单方便:无需改动业务架构,无需复杂的规划,只需要有一个加入的动作,即可实现异构路由域的快速互通,且不影响已有访问关系。
        • 边界清晰:VPC的资源归属未发生任何变化,只是在路由层面进行了网络通道的打通。
        跨VPC多账号互联
      • 方案2:使用共享VPC

        采用共享VPC,提供一个共享的私有网络环境,参与的业务团队各自部署资源,可以同时解决基础网络互通、资源独立、资产独立等问题。

        使用效果:

        • 方便分账:各子公司可以自己购买资源,共享VPC一方提供平台和共享资源(如NAT、VPN、公网出口等)。
        • 快速满足业务需求:各子公司的资源部署在统一VPC,路由天然互通。
        多账号共享VPC互联

        多账号VPC的CEN互联和共享VPC的对比:

        方案 连通性 隔离性 高级功能 成本 运维 使用限制
        共享VPC方案 同VPC内天然路由互通。 使用NACL和安全组规则进行隔离。 同VPC内无收费项。 较简单 默认单个VPC内可创建24个不同帐号的VSW。
        多帐号跨VPC互联方案 不同VPC之间天然路由隔离,使用CEN-TR进行路由配置。 除了使用NACL和安全组之外,还可以使用CEN-TR进行路由层面的隔离。 可以通过安全VPC设置统一的东西向安全设备来提升内网安全级别。 同region使用TR互联,TR按加载的实例数和实例之间的流量收费。 较简单 默认单个TR最多连接同region内200个TR Attachment(VPC/VBR/CCN)。
    • 场景四:私网连接

      企业间不同服务需要互相调用可能出现“私网连接“的场景。私网连接(PrivateLink)是阿里云网络产品之一,她能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,包括阿里云第一方云服务或第三方服务,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。关于私网连接的更多信息,请参见什么是PrivateLink

      • 集团内服务总线场景:一些共用的业务系统部署在集团网络中,针对所有子公司提供基础共享服务,以最大化性价比。同时最好能够统计各子公司对于共享资源的使用情况,用于内部分账或成本分摊。
      • 企业之间数据接口调用:部分公司会提供数据、API等服务,供其客户或者伙伴调用,如何简单、安全、高效、稳定的提供服务。

      在集团公司创建服务资源,等同于使用私网连接实现服务化互通,供子公司使用。这样既可以安全方便的互通,又可以简单清晰的分账。

      企业间私网连接

      使用效果:

      • 安全:数据通过阿里云内网互通,避免通过公网出现的不安全风险。
      • 简单:无需创建前置数据交换VPC,避免网络层直接打通,网络管理简单,运维边界清晰;因为服务化互通,所有路由层面不用打通,可天然避免IP地址冲突。
      • 灵活:可以一对多,快速向对方提供服务,让企业间的合作层面变得更简单可控。
公网出口及南北向网络安全管控
  • 解决的问题

    随着企业业务云化进程逐渐进入深水区,简单地使用云上资源出公网已经无法满足业务的诉求,安全、成本、权限、监控等诉求的迭代,需要企业有系统性的视角来考虑如何做好公网出口的规划设计:

    • 安全:统一DMZ-VPC设计,对于企业/集团内的公网出入访问有严格的访问策略加以控制,同时具备可监管能力。
    • 成本:所有公网IP需具备共享一份或多份带宽的能力,提升带宽利用率,满足业务诉求的情况下做到成本最优。
    • 权限:由于组织架构及智能原因,在安全部门的要求下,IT/架构团队需要统一管控公网准入/出权限。各业务方需向IT申请才能开通公网访问权限。
    • 监控:统一监控,内网/外网访问情况做到可视可追溯,便于及时排查异常流量原因。
  • 架构图
    • 架构演进架构演进

      在企业安全、成本、权限、监控等诉求的迭代下,云上公网出口方案逐渐从原来的分布式公网出口演进为统一公网出口。前者适合企业上云初期,各部门/业务团队可按需使用EIP/NATGW/SLB进行各自的公网出口部署,自动度和灵活性较高,同时也带来了企业的云上安全和管理隐患问题;后者将公网出口进行统一部署、统一管理、统一监控、统一安全策略部署,更能满足企业云上的整体监管要求。

    • 简单场景统一公网出口架构设计简单场景统一公网出口架构设计
      • WAN区域设计
        • DMZ-VPC设计:将企业云上整体的WAN能力均放在共享服务的DMZ-VPC,该VPC内可按需部署NATGW、Proxy、FW、行为管理等公网产品。
        • 安全设计:联动DDos、WAF、云防火墙等原生安全产品,保障公网出口安全,并结合NACL实现安全访问策略。
        • 成本优化:启用共享带宽,并将所有EIP加入其中,节约成本。
        • 权限划分:利用将公网能力统一收口至IT部门,部署DNAT+SNAT,业务VPC均通过CEN实现跨VPC访问公网。
        • 监控管理:使用NATGW+Flowlog组合能力,监控公网出入口流量信息,并根据异动排查原因。
      • 统一公网出向设计

        统一公网出:使用增强型NATGW,并开启跨VPC访问NATGW能力。

      • 统一公网入向设计(可选)
        • 统一公网入:使用DNAT+SLB(私)的方式。
        • 独立公网入:适用个别业务独立性较强、一定规模的Web/APP服务,可在所属的业务VPC中结合大规格SLB/ALB独立部署公网入口。
    • 复杂场景统一公网出口架构设计

      随着企业云上业务的发展,对于公网访问的场景和功能的丰富度也会增加,包含基础公网能力、第三方供应商 API接口调用、指定域名访问出口等能力实现。

  • 方案描述方案描述

    本方案设计3个设计点,默认公网出口、第三方供应商API接口调用的特殊公网出口,以及指定域名访问出口,均部署在统一出口区域DMZ-VPC。

    • 默认公网出口

      在DMZ-VPC内部署增强型NATGW,并申请“统一网络出口”权限开通跨VPC访问功能DMZ-VPC公网能力,实现统一公网出口。

      账号-1和账号-2的APP-VPC均可通过DMZ-VPC的默认NATGW的SNAT策略出局访问公网,同时并通过DNAT策略实现跨VPC的公网入口效果。

    • 第三方供应商API接口调用的特殊公网出口

      在VPC已有默认NATGW的情况下,由于第三方供应商API接口调用时需要双方互相针对IP地址加白名单,且出口独立性较强,不能影响其他业务或被其他业务影响,需于DMZ-VPC再部署一个特殊的NATGW,将三方目标网段路由给此NATGW,实现特殊出口。

      账号-2 VPC中的ECS访问常规公网时从默认NATGW出口出局,调用第三方供应商API时从特殊公网出口出局。

    • 指定域名访问出口

      使用SLB+EIP(ECS)+PrivateZone方式实现特殊域名出口,将需要指定出口访问的域名部署在PrivateZone中并应用于本VPC。

      当业务访问指定域名时,会被PrivateZone自动解析为DMZ-VPC的特殊域名出口的SLB私网IP,通过代理的方式从后端服务器的公网出口出局。

东西向网络安全设计

东西向网络是指连通企业内部资源之间的网络,这部分网络流量保持在企业内部基础设施之间,并与公网隔离。东西向网络安全是指对这部分的网络部署的安全机制,用于进行业务系统间的隔离、流量审计、日志、防病毒等安全机制。

云防火墙帮助企业实现内网东西向流量的安全审计。分为以下几个功能:

  1. 将全部东西向流量或其中的关键部分汇聚到统一的安全VPC。
  2. 在安全VPC中配置云防火墙或第三方防火墙。其中,云防火墙阿里云云防火墙(Cloud Firewall)是业界首款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能。云防火墙更多信息,请参见云防火墙。您也可以通过云市场购买第三方防火墙,例如:飞塔系列产品Palo Alto系列产品
  3. 通过防火墙对流量进行规则过滤、流量清洗和威胁监控等动作。通过云网络的路由引流能力,将东西向流量引入云防火墙ENI或第三方防火墙所部署的ECS中,实现流量统一审计。
  • 架构图云防火墙架构图
  • 方案描述

    网络架构如上图所示,各模块分别是:HK业务VPC-1用于承载业务1的资源,HK业务VPC-2用于承载业务2的资源,以上两个业务部署在中国香港地域,BJ业务VPC用于承载北京业务资源,本业务部署在北京地域。在中国香港部署一个安全VPC用于放置第三方防火墙,中国香港和北京地域各使用转发路由器(Transit Router)来将本地域内的所有VPC连接起来,两个转发路由器通过云企业网进行连接。

    需要实现的功能点:HK业务VPC-1、HK业务VPC-2和BJ业务VPC之间互通的流量全部流经安全VPC进行安全审计,然后再传输到目标VPC。

案例

客户背景和业务系统

客户X公司是一家大型企业客户,企业内部各种IT应用系统众多,其中部分业务放在云上,如CRM、文件服务、API服务等。企业核心数据部分仍然部署在线下IDC中,需要云上业务系统能够访问到线下IDC中的数据。

客户需要解决的问题
  • 需要建立云上线下之间的高可靠混合云连接。
  • 根据业务需求为每个应用建立隔离的虚拟网络和对应的账号。
  • 部分业务支持Internet公网访问及流量审计。
  • 东西向网络安全防护。
阿里云网络解决方案介绍

X公司采用了阿里云标准的企业级云网络解决方案架构,所有云资源都使用中国香港地域部署,与线下IDC保持一致。

  • 公司按照业务应用划分账号:3个业务生产账号、3个业务测试账号。
  • VPC方面,分别是接入层3个公共服务的VPC、3个生产VPC和3个测试VPC。
  • 混合云连接方面,线下IDC使用2条物理专线与公共云VBR打通,两条专线通过BGP路由协议实现主主冗余。所有VPC和VBR都使用云企业网转发路由器连接到一起,确保转发路由器可以自定义VPC和VBR之间的互通路由。
  • 网络安全方面,公网出入口的安全审计通过DMZ VPC中的第三方防火墙实现,云网络架构可以实现将所有进出企业云上网络的公网流量通过统一的云原生或第三方安全设备进行过滤。内网东西向流量的安全防护通过安全VPC中的第三方防火墙实现,阿里云网络在国内云厂商中率先提供的路由穿透功能,可以实现将企业网络东西向流量进行统一管控,节省了分布式部署的成本支出,同时大大降低了运维复杂度。
解决方案架构图解决方案架构图