基于CEN-TR实现企业级云上互联

本方案基于云企业网CEN及转发路由器TR帮客户实现云上网络架构设计及云上内部网络互通,实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。

方案概述

基于CEN-TR实现企业级云上互联

随着云计算的普及,越来越多的传统企业客户也在选择把云下的业务系统搬到云上,实现更大的弹性、更强的灵活性、更高的性价比。企业级云上网络的重点是帮助企业用户更高效地搭建上云网络环境,本方案基于云企业网CEN转发路由器TR帮客户实现云上网络架构设计及云上内部网络互通,实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。

方案优势

弹性可扩展的分区设计

结合企业云上网络分区最佳实践及LandingZone企业级统一账号架构方案,统一描述云上网络分区与账号体系,帮助企业实现合理的分区设计、简单的运维管理及灵活的弹性扩展。

全球网络大规模互联

使用云企业网CEN可帮助客户构建全球化网络,打造一张灵活、可靠、大规模的企业级云上网络。转发路由器TR联合带宽包能快速连接多个地域的VPC和云下网络,实现全球资源互通。

高性能网络互联

转发路由器TR提供低延迟、高速率的网络传输能力。同地域资源互通最大速率可达到网络设备端口转发速率;全球资源互通,网络整体时延较公网互通时延有很大提升。主备节点自动切换,保障业务不中断。全网任意两个节点之间存在多组高质量传输链路,底层链路中断网络自动收敛,业务无感知。

灵活组网

转发路由器TR支持自定义路由策略,满足企业级组网需求。例如:实现不同安全域隔离、统一隔离区DMZ(Demilitarized Zone)出口、搭建安全服务链(Service Chaining)等复杂的组网架构。控制台提供基于地理位置和基于网络资源的可视化管理界面,您可以通过可视化管理界面快速查看同地域和跨地域组网拓扑,帮助您迅速掌握全网运行状态,提高网络运维效率。

客户场景

企业云上网络分区及互联

场景描述

企业对于云上网络的规划设计、部署使用、运维管理都有自己的要求,并且还可能面临各种各样的特殊业务场景,仅仅具备云产品的初级使用能力已不能满足实际使用需求。业务系统之间需要隔离,但又有部分的数据调用需求,企业需要高效地搭建上云网络环境,并实现合理的分区设计、简单的运维管理及灵活的弹性扩展。

适用客户

需要云上网络分区规划及实现云上网络互联的企业客户。

不同业务单元网络路由互通

场景描述

集团型公司,某子公司的业务系统因业务发展需求,需要和其他子公司或集团业务系统路由互通,但又不能影响其与公司内部其他业务系统的正常通信和安全策略。

适用客户

子公司与其他公司跨账号网络互通需求的企业客户。

方案架构

云上网络分区

按照使用习惯和业务访问关系,可以分为业务生产区、开发测试区、互联网出口区、东西向安全区、内联运维区、外联网区等。每个分区可以由独立的VPC承载并根据实际情况调整,VPC内按照部署的业务模块选择创建不同的虚拟交换机,不同业务系统之间的互通即不同VPC之间的路由打通。可以使用云企业网CEN及转发路由器快速打通,同时可以按需进行路由表隔离、路由过滤、路由策略设置等,来满足企业用户的个性化需求。

  • 业务生产区、开发测试区:这两个区域分别用于承载客户生产环境和测试环境的资源。

  • 互联网出口区:这个区域类似于线下IDC中的DMZ区,用于承载互联网出口资源,如EIP,NAT网关,SLB,云防火墙等资源。

  • 东西向安全区:用来承载东西向防火墙或其他云上IDS/IPS防护设备。

  • 内联运维区:用来承载跳板机、堡垒机等企业内部人员连接云上环境入口的资源。

  • 外联网区:用来承载连接第三方IDC等外部环境的跳板机、堡垒机的入口资源。

账号架构及数据互通

在云上网络分区的基础上进行账号架构设计,结合企业级统一账号架构方案,将云企业网CEN、转发路由器TR、互联网VPC、内联运维VPC等归属于共享服务账号,由基础设施团队对该账号进行管理。业务侧的生产、开发测试VPC分别归属于生产、开发测试账号,使用TR跨账号将VPC加载到CEN中实现云上网络互联。

跨公司跨账号的路由互通场景下,可以创建数据互通VPC,采用多VPC的方式,使用TR将数据互通VPC加载到子公司CEN中,同时数据互通VPC跨账号授权给集团公司共享服务账号,使用TR将数据互通VPC加载到集团CEN中,同时实现与集团及子公司的网络路由互通。

注意

方案中的数据互通VPC仅做示例,交付实施时互通VPC所属账号请根据实际情况调整。

阿里云首页 阿里云云采用框架 CAF 相关技术圈