全球化网络方案
阿里云全球化网络解决方案通过高速、低延迟的全球云网络,实现跨地域、跨可用区的云资源高效互通。支持企业多分支互联、混合云部署及全球化业务等场景,提供稳定、安全、智能调度的网络连接服务,助力企业全球业务发展。
1 行业趋势
企业全球化:
企业全球化的主要驱动力包括扩大市场覆盖、优化资源配置以及提升竞争优势。通过全球化,企业可以突破地域限制,将产品和服务推广至全球,同时利用不同地区的成本优势(如劳动力、原材料)降低成本并提高效率。此外,全球化使企业能够接触更丰富的人才与技术资源,推动创新并增强品牌影响力。面对日益激烈的市场竞争,企业需通过全球化布局实现规模效应,以应对国际竞争对手的挑战。
云计算全球化:
云计算为企业全球化提供了坚实基础,主要体现在以下几方面:
“云优先”成为标准起点: 过去企业出海需先建本地办公室或数据中心,如今越来越多企业选择公共云作为进入新市场的第一基础设施。通过云计算IaaS和PaaS能力,企业可快速部署应用、服务当地客户,大幅降低初期投入和时间成本。
降低全球化门槛: 云计算降低了技术、运维和合规门槛,使中小企业也能以低成本实现全球业务覆盖。
提升业务敏捷性: 借助云的弹性伸缩和自动化部署能力,企业可快速试水新市场、迭代产品并应对需求波动。
云网络全球化:
从“多点孤立”到“全球一张网”: 过去,企业在各国分支机构通常独立搭建本地网络,彼此割裂。如今,借助云厂商提供的全球化网络,企业可构建一张覆盖全球办公点、数据中心、云区域和边缘节点的统一虚拟网络。
跨国应用体验趋近“本地化”: 通过智能路由、边缘节点和低延迟加速互联,业务系统可实现多地域就近部署或全球统一部署,网络不再是全球化业务的性能瓶颈。
混合云网络能力: 混合云整合了专有云与公共云资源,既满足合规要求,又支持业务突发需求。企业可以选择混合云来平衡灵活性、成本优化与技术创新需求。
2 客户场景
在线教育/互娱/游戏/泛互联网企业
典型场景:全球跨境互联网络
客户痛点&需求:高可靠性、高质量及跨境合规
制造/零售/金融机构/跨国集团等传统企业
典型场景:企业上云、全球组网、分支互联
客户痛点&需求:高可靠性、高质量、安全、弹性部署
全球化金融服务/企业SaaS 加速
典型场景:全球SaaS服务加速、数据同步
客户痛点&需求:低时延、稳定性、高质量、安全防护、弹性部署
AI/车联网
典型场景:跨地域数据同步
客户痛点&需求:超大带宽,QoS,低成本
通用企业需求
典型场景:IDC/分支上云
客户痛点&需求:稳定性
3 方案介绍
什么是全球化网络
全球化网络通常指的是跨越全球范围、将各个不同地区或国家的网络基础设施通过高速、安全和可靠的网络连接互相联通的服务或技术。在云计算领域,这种全球互联网络使得企业和用户能够在世界任何地方访问云服务提供商的数据中心资源,实现数据和应用程序的高效传输。
全球化网络不仅涵盖了点对点连接,也包括了公网和私有网络的多种互联方式,为全球化业务运营提供了必要的网络基础支撑。
降低延迟:全球化网络通过在全球范围内提供高速和优化的网络连接,显著降低了数据传输的延迟。这对于需要实时或近实时交互的应用程序来说至关重要,如在线游戏、金融交易和视频会议等。
提高可靠性和容错能力:通过全球多个数据中心间的互联,可以实现数据和应用的冗余部署。这样,即便某个地域的服务遇到中断,其他地域也能够提供备份服务,保障业务的连续性。
数据合规和主权:全球化网络允许企业根据全球各地的法规要求,将数据存储在特定的地理位置。这样既满足了数据主权的要求,又能确保用户能够从最近的节点访问数据,确保合规性的同时提升用户体验。
支持全球化业务拓展:随着企业的全球化扩展,全球化网络为企业提供了必要的网络基础设施,使得企业能够无缝地连接和管理跨国的分支机构、员工和客户,促进全球市场的业务增长和国际协作。
支持混合云架构:通过专线/VPN/SD-WAN等技术将客户IDC,分支等其他节点网络接入阿里云,从而实现云上云下统一组网。
方案介绍
为企业上云和全球化组网,构建企业简单、灵活、安全可控全球一张网,保障企业核心业务在全球范围内的稳定、安全、高品质内网互联。
混合云网络:面向企业DC、分支、移动办公及多云应用场景,提供高速通道专线、VPN或三方SDWAN等多种混合云网络接入能力,快速构建一张云上云下互联网络;
同地域互联:通过转发路由器TR强大的路由能力,极大简化同地域下云上多个VPC、IDC与VPC等互联互通;
跨地域互联:云企业网CEN打通客户各地域IDC,分支,阿里云VPC,快速构建一张稳定,可靠,高弹性的私有全球网络
方案核心优势
灵活弹性:灵活弹性的网络能力,分钟级部署
简单可靠:全球冗余线路,全球网络自动优化
全场景接入:满足企业本地DC、本地office、分支机构等丰富的网络接入场景
方案架构图
方案1 专线构建混合云/多云网络
方案介绍:在云上云下业务协同或多云协同场景下,如何通过物理专线和阿里云云网络产品实现云上云下或多云之间的业务协同,快速构建安全、稳定、弹性的混合云或多云协同网络,以满足客户的云化进程。
架构图:
方案概述:
1.适用高速通道接入专线:选取专线接入点,联系供应商,并接入阿里云,参考独享专线接入流程
2.高速通道接入完毕后,创建VBR,并将VBR加入ECR
3.ECR作为专线承载网关,接入地域转发路由器TR
4.TR连接本地域VPC,配置相应路由规则
5.如需访问其他地域资源,连接不同地域TR
方案设计点:
专线本身不具备弹性能力,需提前规划,专线的扩容周期较长,带宽应满足未来至少3个月的业务增长需求,避免因带宽不足导致性能瓶颈和业务损失 。
使用专线QoS或VBR限速能力进行资源分配。
多接入点接入 :
用户IDC通过至少两个独立的云专线接入点连接至少2个不同的阿里云接入点,实现物理链路的冗余和负载分担,多接入点接入时尽量选择不同运营商。
多专线接入 :
在多接入点接入的基础上,每个接入点可以增加更多的专线接入,专线需要选择不同运营商,接入路由和园区线路尽量不同。
多专线使用ECMP等价模式接入:
相对于主备路由多专线接入模式,ECMP等价路由模式具备故障快速收敛,横向扩展性强,资源利用率高(偶发流量场景)等优势,建议业务无源进源出等限制的场景,多专线接入优先使用ECMP等价路由模式。
VPN作为专线备份:
在企业版TR场景下,VPN支持备份专线,可使用VPN网关对专线进行冗余备份,保证专线全部中断下混合云连接依然可用。
优先使用BGP+BFD作为专线互联协议
优先使用ECR+TR作为专线上联产品,而不是VBR上联
配置监控和告警,使用容灾演练确定专线故障监测和恢复能力。
方案2 IPsec-VPN构建分支上云网络
方案介绍:VPN网关是企业通过IPsec-VPN构建分支上云网络的关键产品,通过建立加密隧道的方式实现企业IDC、企业分支等与阿里云VPC之间安全可靠的私网连接。IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便用户配置和维护VPN策略,适用于在IDC、分支、客户端等与VPC之间建立网络连接。
架构图:
方案概述:
1.创建云上VPN网关,并配置相应配置
2.配置本地VPN设备,并使用IPsec协议连接本地VPN设备和云上VPN
参考以下文档绑定VPN网关部分
方案设计点:
设备级别高可用:IPsec-VPN底层采用双机热备架构,故障时秒级切换,保证会话不中断,业务不受影响。
链路级别高可用:目前所有VPN网关默认支持双隧道模式,链路故障时支持秒级切换。IPsec连接绑定TR可以使用多个连接提供ECMP高可用链路。
用户级别高可用:用户本地网关设备可以通过多个设备提供高可用,故障时可以提供用户侧的设备高可用性切换
IPsec-VPN联合物理专线实现主备链路上云(绑定VPN网关):除了IPsec-VPN产品本身的稳定性和高可用性方面的设计,IPsec-VPN还可以搭配上云专线提供更佳稳定性的架构设计。在路由配置上,本地IDC网关设备与VPN网关之间可以配置静态路由或BGP动态路由协议互联,但本地IDC网关设备与边界路由器VBR之间必须要通过BGP动态路由协议互联。
合规性:阿里云VPN网关在中国相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。涉及到跨境场景,建议结合云企业网CEN跨境专线搭配使用。
提供大带宽能力:单个IPsec连接最大支持的带宽规格为1000 Mbps,可使用转发路由的VPN连接方案。
提供高pps能力:在高pps场景下,单个IPsec连接每秒最多支持传输的数据包数量12万pps(256字节)
方案3 CEN构建云上跨地域网络
方案介绍:当云上不同地域间的VPC、VBR、云服务等要互通访问时(云上多地域业务数据同步/协同互通、异地多活、异地容灾),使用转发路由器TR进行互联并配置跨地域互通带宽,构建企业云上多个地域间的互联互通。
架构图:
方案概述:
根据方案一,连接专线和云上网络
参考以下文档
使用TR的VPN连接能力,连接TR和本地IPsec设备,参考以下文档绑定转发路由器
(IPsec VPN绑定VPN网关和TR的区别参考产品组合章节)
配置本地TR和其他地域TR的跨地域互联,并设置跨地域带宽。参考
方案设计点:
专有网络VPC实例、专线VBR实例、VPN实例被连接至转发路由器后,需要在转发路由器下创建跨地域连接,并为跨地域连接分配带宽,从而实现云上云下不同地域间的跨地域互通网络。
IDC上云接入:企业通过云专线和IPsec-VPN打通IDC与阿里云杭州。企业IDC与阿里云专线接入点考虑到冗余性,建议优先考虑双物理专线或物理专线+VPN双线接入,并可以按需配置为双链路主备或负载冗余的方式,提升混合云互通时的整体可靠性。
云上跨地域:通过TR构建阿里云上海-杭州跨地域连接,同时开通CDT跨域带宽按流量计费,打通上海VPC、杭州VPC、杭州IDC。
多业务带宽划分:流量调度支持为不同类型的跨地域流量添加标记,并且能够依据标记值对不同类型的跨地域流量分别进行带宽限制,有效保证各类业务的跨地域带宽,提高网络整体的运行效率。
若企业有三个及以上地域互联互通的需求,也可以在此架构基础之上,扩展多个地域TR的跨地域连接。
方案4 第三方SD-WAN构建分支上云网络
方案简介:SDWAN产品配合TR实现企业云上云下多分支组网
架构图:
方案概述:
具体部署步骤参考
方案设计点:
接入方式:3rd SDWAN镜像安装在Hub VPC,与Office/IDC的硬件设备IPsec连接,通过VPN连接接入云上转发路由器TR,可采用BGP实现自动化组网
可靠性设计:双机镜像部署,所有分支采用主备双接入的方式
广域互联:采用TR多地域互联能力,打通全球范围内各个地域,构建云上、云下、跨地域等多个场景的全球一张网
管理运维:云上云下、全球多地域统一管理
计费选择:根据业务流量模型,按需选择(按带宽/按流量)
4 产品组合
混合云接入产品选择
方案分类 | 解决方案 | 方案特点 | ||||
质量 | 成本 | 扩展性 | 周期 | 带宽能力 | ||
主备链路 | 专线+专线 | 高 | 高 | 差 | 月 | 大带宽 |
专线+VPN | 中 | 中 | 好 | 月 | 通常小于1Gbps | |
三方SD-WAN | 中 | 中 | 好 | 周 | 通常小于1Gbps | |
VPN | 低 | 中 | 中 | 周 | 通常小于1Gbps | |
VPN接入产品选择
IPsec VPN目前支持两种连接模式,对比如下
维度 | VPN网关嵌入到VPC | IPsec隧道连接到TR |
场景能力 | IPsec VPN连接分支网络 SSL VPN连接终端设备 | IPsec连接分支网络 |
计费方式 | 包年包月(实例费+带宽费)预付费,适合用量稳定时 | 按量(连接费+流量费)后付费,适合无法预估用量或用量波动明显时 |
加密算法 | 国际标准商用密码算法(标准) 中国国产商用密码算法(国密) | 国际标准商用密码算法(标准) |
IPsec连接的 隧道模式及高可用 | 单隧道 双隧道主备 | 单隧道 单隧道捆绑形成ECMP |
IPsec连接的 隧道带宽 | 单隧道最大1000Mbps | 单隧道最大1000Mbps(可捆绑形成ECMP来扩容带宽) |
IPsec链接的 传输速率 | 12万pps(当数据包长为256字节时) | 12万pps(当数据包长为256字节时) |
SSL VPN目前仅支持VPN网关
专线上联产品选择
单专线+VPN+TR方案:考虑成本因素和稳定性的平衡,建议专线+VPN形成主备。VPN使用IPsec直接连接到TR上,按量计费,作为备份链路。
双专线+TR方案:采用双专线的方式,使用不同接入点,最大化可靠性,双专线按需做冗余、主备、或者基于网段粒度在双条线上做相互主备。
多专线+ECR+TR方案:在多专线方案基础上,不同地域的VBR接入该地域的ECR,由ECR进行路由的统一管理,解决专线上云就近低时延接入。
同地域互联/跨地域互联产品选择
无特殊需求均使用企业版TR作为跨地域互联产品
5 应用场景
什么时候需要使用全球化网络解决方案?
客户分支/IDC/其他云需要和阿里云互联
客户同地域VPC之间需要互联
客户跨地域VPC互联,跨地域资源交互场景。
场景1 大型企业全球化混合云网络
场景概述:大型企业,拥有多个地域分支机构和IDC,通过云实现所有分支、IDC与云上的互联互通
涉及产品:高速通道(IDC接入)、VPN或第三方SDWAN(分支接入)、TR(云上云下/跨地域)
方案介绍:
多种技术能力:物理专线、VPNGW或第三方SDWAN等多种混合云互联方式,快速构建一张云上云下互联网络;
灵活组合:双物理专线,专线+VPN,专线+第三方SDWAN方式灵活组合,快速构建一张稳定的云上云下互联网络;
跨地域互联:云企业网CEN打通客户各地域IDC,分支,阿里云VPC,快速构建一张稳定,可靠,高弹性的私有全球网络
场景2 多云互联
场景概述:多个公共云之间资源实现互联互通
涉及产品:高速通道、VPN连接
方案介绍:
多种技术能力:物理专线、VPN网关等多种混合云互联方式,快速构建多云互联通道;
灵活组合:双物理专线,专线+VPN灵活组合,快速构建一张稳定的多云互联通道;
场景3 跨域网络应用加速场景
场景概述:全球用户就近公网接入客户应用,并实现应用的网络加速访问。
涉及产品:高速通道(IDC接入)、VPN或第三方SDWAN(分支接入)、TR(云上云下/跨地域)、负载均衡、NAT网关、弹性公网IP
方案介绍:
应用加速:通过应用型负载均衡ALB(ip-target)+TR跨域,可以灵活实现跨域的应用加速,保障CN/Global业务全球化访问的稳定性和低时延。
IDC上云:基于高速通道实现云下数据中心与云上网络稳定、安全互联。
多地域互联:通过TR构建多个地域VPC及线下IDC互联,构建全球一张网。利用TR QoS、flowlog等功能进一步提升对跨域带宽的精细化管控。
跨境合规:高质量跨域线路,联通跨境合规线路,确保客户业务出海合规。
场景4 最短路径低时延场景
场景概述:以云上网络资源选择,路径优化为基础,为客户提供跨地域端到端最短时延的解决方案。
涉及产品:转发路由器TR
方案介绍:
采用云企业网低时延方案,提供端到端低时延链路方案
如需使用该方案请联系商务经理
场景5 构建混合云/多云专线互联接入
涉及产品:TR、VBR、VPN连接(VPN Attacment ) 方案介绍
|
涉及产品:TR、VBR、VPN连接(VPN Attacment ) 方案介绍
|
涉及产品:TR、VBR、VPN连接(VPN Attacment ) 方案介绍
|
场景6 全球远程运维网络场景
场景概述:支持客户通过SSL VPN远程接入云上网络,实现全球远程运维
涉及产品:TR、VPN网关等
方案介绍:
远程运维SSL VPN打通网络:企业可以通过SSL VPN接入云上网络
云上部署堡垒机:跨账号、跨云、云上云下,只要网络可达,即可使用堡垒机进行防护;
运维身份可鉴别、权限可管控、风险可阻断、操作可审计;
Flowlog流日志方案:VPC流日志功能(Flow Log),可以记录VPC网络中弹性网卡ENI(Elastic Network Interface)传入和传出的流量信息,帮助客户检查访问控制规则、监控网络流量和排查网络故障。
流量镜像方案:VPC流量镜像功能可将经过弹性网卡ENI(Elastic Network Interface)的符合指定条件的报文镜像。通过流量镜像功能,您可以复制VPC中ECS实例的网络流量,然后将这些镜像流量转发给指定的ENI或私网SLB实例,用于内容检查、威胁监控和问题排查等场景。