方案概述

随着云计算的普及，越来越多的传统企业客户也在选择把云下的业务系统搬到云上，实现更大的弹性、更强的灵活性、更高的性价比。企业级云上网络的重点是帮助企业用户更高效地搭建上云网络环境，本方案基于云企业网CEN及转发路由器TR帮客户实现云上网络架构设计及云上内部网络互通，实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。

方案优势

弹性可扩展的分区设计

结合企业云上网络分区最佳实践及LandingZone企业级统一账号架构方案，统一描述云上网络分区与账号体系，帮助企业实现合理的分区设计、简单的运维管理及灵活的弹性扩展。

全球网络大规模互联

使用云企业网CEN可帮助客户构建全球化网络，打造一张灵活、可靠、大规模的企业级云上网络。转发路由器TR联合带宽包能快速连接多个地域的VPC和云下网络，实现全球资源互通。

高性能网络互联

转发路由器TR提供低延迟、高速率的网络传输能力。同地域资源互通最大速率可达到网络设备端口转发速率；全球资源互通，网络整体时延较公网互通时延有很大提升。主备节点自动切换，保障业务不中断。全网任意两个节点之间存在多组高质量传输链路，底层链路中断网络自动收敛，业务无感知。

灵活组网

转发路由器TR支持自定义路由策略，满足企业级组网需求。例如：实现不同安全域隔离、统一隔离区DMZ（Demilitarized Zone）出口、搭建安全服务链（Service Chaining）等复杂的组网架构。控制台提供基于地理位置和基于网络资源的可视化管理界面，您可以通过可视化管理界面快速查看同地域和跨地域组网拓扑，帮助您迅速掌握全网运行状态，提高网络运维效率。

客户场景

企业云上网络分区及互联

场景描述

企业对于云上网络的规划设计、部署使用、运维管理都有自己的要求，并且还可能面临各种各样的特殊业务场景，仅仅具备云产品的初级使用能力已不能满足实际使用需求。业务系统之间需要隔离，但又有部分的数据调用需求，企业需要高效地搭建上云网络环境，并实现合理的分区设计、简单的运维管理及灵活的弹性扩展。

适用客户

需要云上网络分区规划及实现云上网络互联的企业客户。

不同业务单元网络路由互通

场景描述

集团型公司，某子公司的业务系统因业务发展需求，需要和其他子公司或集团业务系统路由互通，但又不能影响其与公司内部其他业务系统的正常通信和安全策略。

适用客户

子公司与其他公司跨账号网络互通需求的企业客户。

方案架构

云上网络分区

按照使用习惯和业务访问关系，可以分为业务生产区、开发测试区、互联网出口区、东西向安全区、内联运维区、外联网区等。每个分区可以由独立的VPC承载并根据实际情况调整，VPC内按照部署的业务模块选择创建不同的虚拟交换机，不同业务系统之间的互通即不同VPC之间的路由打通。可以使用云企业网CEN及转发路由器快速打通，同时可以按需进行路由表隔离、路由过滤、路由策略设置等，来满足企业用户的个性化需求。

• 业务生产区、开发测试区：这两个区域分别用于承载客户生产环境和测试环境的资源。

• 互联网出口区：这个区域类似于线下IDC中的DMZ区，用于承载互联网出口资源，如EIP，NAT网关，SLB，云防火墙等资源。

• 东西向安全区：用来承载东西向防火墙或其他云上IDS/IPS防护设备。

• 内联运维区：用来承载跳板机、堡垒机等企业内部人员连接云上环境入口的资源。

• 外联网区：用来承载连接第三方IDC等外部环境的跳板机、堡垒机的入口资源。

账号架构及数据互通

在云上网络分区的基础上进行账号架构设计，结合企业级统一账号架构方案，将云企业网CEN、转发路由器TR、互联网VPC、内联运维VPC等归属于共享服务账号，由基础设施团队对该账号进行管理。业务侧的生产、开发测试VPC分别归属于生产、开发测试账号，使用TR跨账号将VPC加载到CEN中实现云上网络互联。

跨公司跨账号的路由互通场景下，可以创建数据互通VPC，采用多VPC的方式，使用TR将数据互通VPC加载到子公司CEN中，同时数据互通VPC跨账号授权给集团公司共享服务账号，使用TR将数据互通VPC加载到集团CEN中，同时实现与集团及子公司的网络路由互通。