基于CEN-TR实现企业级云上互联
本方案基于云企业网CEN及转发路由器TR帮客户实现云上网络架构设计及云上内部网络互通,实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。
方案概述
随着云计算的普及,越来越多的传统企业客户也在选择把云下的业务系统搬到云上,实现更大的弹性、更强的灵活性、更高的性价比。企业级云上网络的重点是帮助企业用户更高效地搭建上云网络环境,本方案基于什么是云企业网及转发路由器工作原理帮客户实现云上网络架构设计及云上内部网络互通,实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。
方案优势
弹性可扩展的分区设计
结合企业云上网络分区最佳实践及LandingZone企业级统一账号架构方案,统一描述云上网络分区与账号体系,帮助企业实现合理的分区设计、简单的运维管理及灵活的弹性扩展。
全球网络大规模互联
使用什么是云企业网可帮助客户构建全球化网络,打造一张灵活、可靠、大规模的企业级云上网络。转发路由器工作原理联合带宽包能快速连接多个地域的VPC和云下网络,实现全球资源互通。
高性能网络互联
转发路由器工作原理提供低延迟、高速率的网络传输能力。同地域资源互通最大速率可达到网络设备端口转发速率;全球资源互通,网络整体时延较公网互通时延有很大提升。主备节点自动切换,保障业务不中断。全网任意两个节点之间存在多组高质量传输链路,底层链路中断网络自动收敛,业务无感知。
灵活组网
转发路由器工作原理支持自定义路由策略,满足企业级组网需求。例如:实现不同安全域隔离、统一隔离区DMZ(Demilitarized Zone)出口、搭建安全服务链(Service Chaining)等复杂的组网架构。控制台提供基于地理位置和基于网络资源的可视化管理界面,您可以通过可视化管理界面快速查看同地域和跨地域组网拓扑,帮助您迅速掌握全网运行状态,提高网络运维效率。
客户场景
企业云上网络分区及互联
场景描述
企业对于云上网络的规划设计、部署使用、运维管理都有自己的要求,并且还可能面临各种各样的特殊业务场景,仅仅具备云产品的初级使用能力已不能满足实际使用需求。业务系统之间需要隔离,但又有部分的数据调用需求,企业需要高效地搭建上云网络环境,并实现合理的分区设计、简单的运维管理及灵活的弹性扩展。
适用客户
需要云上网络分区规划及实现云上网络互联的企业客户。
不同业务单元网络路由互通
场景描述
集团型公司,某子公司的业务系统因业务发展需求,需要和其他子公司或集团业务系统路由互通,但又不能影响其与公司内部其他业务系统的正常通信和安全策略。
适用客户
子公司与其他公司跨账号网络互通需求的企业客户。
方案架构
云上网络分区
按照使用习惯和业务访问关系,可以分为业务生产区、开发测试区、互联网出口区、东西向安全区、内联运维区、外联网区等。每个分区可以由独立的VPC承载并根据实际情况调整,VPC内按照部署的业务模块选择创建不同的虚拟交换机,不同业务系统之间的互通即不同VPC之间的路由打通。可以使用云企业网CEN及转发路由器快速打通,同时可以按需进行路由表隔离、路由过滤、路由策略设置等,来满足企业用户的个性化需求。
业务生产区、开发测试区:这两个区域分别用于承载客户生产环境和测试环境的资源。
互联网出口区:这个区域类似于线下IDC中的DMZ区,用于承载互联网出口资源,如EIP,NAT网关,SLB,云防火墙等资源。
东西向安全区:用来承载东西向防火墙或其他云上IDS/IPS防护设备。
内联运维区:用来承载跳板机、堡垒机等企业内部人员连接云上环境入口的资源。
外联网区:用来承载连接第三方IDC等外部环境的跳板机、堡垒机的入口资源。
账号架构及数据互通
在云上网络分区的基础上进行账号架构设计,结合企业级统一账号架构方案,将云企业网CEN、转发路由器TR、互联网VPC、内联运维VPC等归属于共享服务账号,由基础设施团队对该账号进行管理。业务侧的生产、开发测试VPC分别归属于生产、开发测试账号,使用TR跨账号将VPC加载到CEN中实现云上网络互联。
跨公司跨账号的路由互通场景下,可以创建数据互通VPC,采用多VPC的方式,使用TR将数据互通VPC加载到子公司CEN中,同时数据互通VPC跨账号授权给集团公司共享服务账号,使用TR将数据互通VPC加载到集团CEN中,同时实现与集团及子公司的网络路由互通。