网络服务选型指南
经过多年的自主研发,阿里云网络构建了应用交付网络、数据中心网络、全球化网络三大主要场景以及一系列的网络产品与服务,以满足用户不同的使用场景需求。本指南帮助您了解和选择阿里云网络服务。通读全文时间较长,我们已在排版上为您做了一些优化和折叠,您可以根据实际需求选择性阅读您想要了解的内容。
简介
网络是信息时代IT基础设施,用于实现信息和资源的共享与传输。
云网络是云的基础设施,与传统网络相比,云网络既有相似之处,也有很多不同。通过使用云网络的相关服务,您能够方便快捷地搭建云上数据中心组网、让您的应用或服务稳定高速地被全球用户所访问、安全可靠地将您的IDC与公共云进行互联以实现混合云部署,而这一切都不需要您亲自参与到具体的网络设备、线路的建设,在阿里云控制台点点鼠标就可以简单快速地完成部署。
通过了解阿里云云网络提供了哪些服务、每个服务分别用于解决什么问题,非常有助于您高效便捷地在云上部署满足不同业务场景需求的应用或系统。本文将引导您了解阿里云的网络服务及在选型过程中需要考虑的关键因素,帮助您更好地选择和使用适合您的网络服务,助力您业务成功。
了解
了解基本概念
在使用阿里云网络产品前,建议您先了解如下基本概念,这些是云产品的基础知识。
说明 阿里云拥有安全合规、遍布全球的云计算基础设施,全球拥有28个公共云地域、85个公共云可用区。您可单击地域与可用区分布,查看阿里云全球基础设施布局。 | 地域和可用区关系 |
了解您的业务场景类型
根据业务场景选择合适的云网络场景化解决方案,通过方案架构的规划设计,能显著简化网络架构复杂度。同时,合理、健壮的网络架构设计,长期看也能减少使用和维护改造成本,让云网络基础架构能助力业务更平滑地扩展。
典型的业务场景如下:
单地域部署,且VPC数量小于3个及以下。企业规模200人以下,业务特征:业务系统相对单一、希望业务高可用部署且具备一定的弹性匹配业务的扩展。
多地域部署、多地域容灾,VPC数量往往大于5个及以上。企业规模300人及以上,业务特征:业务遍及全球多个地域、对网络时延敏感、希望通过将业务系统部署运行在多个地域提升用户接入体验质量、需要满足多个地域间系统的互相冗余高可靠要求。
混合云/多云部署,VPC数量往往大于5个及以上。企业业务除了部署在阿里云,还会部署在企业数据中心或其他云等。企业规模500人及以上,业务特征:企业业态多元化、接入场景复杂(包含数据中心、分支机构、办公网、移动终端、外部供应商伙伴等)、希望利用混合云架构进一步提升多云容灾的高可靠性。
针对上述典型场景,阿里云提供了成熟的云网络产品解决方案供您参考,以便您更合理地设计您在云上的网络基础架构。
了解阿里云网络产品方案体系
经过多年的自主研发,阿里云构建了应用交付网络、数据中心网络、全球化网络三大主要场景以及一系列的网络产品与服务,以满足用户不同的使用场景需求。
应用交付网络
应用交付网络为应用部署提供优质的公网入口和负载均衡的能力。高质量、低成本的公网入口,可以让您的客户更好地访问您的云上应用,负载均衡的能力可以提升应用部署的规模和高可用能力。
云上公网访问:实现灵活、高质量、低成本的公网访问。
弹性公网IP(Elastic IP Address,简称EIP)是独立的公网IP资源,可与云服务器ECS、NAT网关、ENI网卡、私网负载均衡SLB等绑定,并可以动态解绑/绑定满足灵活管理的要求。任播弹性公网IP (Anycast Elastic IP Address,简称Anycast EIP)依托阿里巴巴优质的公网带宽和传输网络,实现全球范围的网络入口就近接入,提升公网访问质量。
全球加速GA(Global Accelerator)是一款覆盖全球的网络加速服务,依托阿里云优质BGP带宽和全球传输网络,实现全球网络就近接入,可以减少延迟、抖动、丢包等网络问题对服务质量的影响,为全球用户提供高可用和高性能的网络加速服务。
云上负载均衡:实现业务应用高可用部署。
负载均衡SLB(Server Load Balancer)是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性。
负载均衡SLB产品家族包括应用型负载均衡ALB(Application Load Balancer)、网络型负载均衡NLB(Network Load Balancer)、传统型负载均衡CLB(Classic Load Balancer)。
数据中心网络
数据中心网络为用户提供云上安全隔离、弹性扩展、稳定可靠的网络环境,是用户在云上的数据中心。
专有网络VPC(Virtual Private Cloud)帮助您基于阿里云构建一个逻辑隔离的云上数据中心,用户可以完全掌控自己的VPC,包括选择IP地址范围、配置路由和网关等,用户可以在VPC中使用阿里云云产品如云服务器ECS、云数据库RDS和负载均衡SLB等。
NAT网关(NAT Gateway)提供地址转换网关服务,提供NAT代理(SNAT和DNAT)能力。公网NAT网关与弹性公网IP配合使用,可以组合成为高性能、配置灵活的企业级公网访问出入口网关;VPC NAT网关与高速通道、转发路由器TR配合使用,可以组合成为私网互访的私网访问出入口网关。
IPv4网关/IPv6网关是专有网络VPC的互联网流量网关。您可以通过配置路由规则,实现公网访问集中控制。
私网连接(PrivateLink)能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
全球化网络
企业业务的全球化需要构建跨地区、跨国界的网络基础设施,以支持数据和应用程序的无缝、高效流动。在构建覆盖全球的企业网络时,通常会遇到云上网络和云下IDC、分支机构互联的混合云场景以及不同地域之间的多地域互联场景,这两种场景的组合最终帮助客户实现企业“全球一张网”。
对于混合云场景阿里云推出如下产品:
高速通道(Express Connect)可在本地数据中心IDC(Internet Data Center)和云上专有网络VPC(Virtual Private Cloud)间建立高速、稳定、安全的私网通信。高速通道的物理专线数据传输过程可信可控,能有效提高网络通信的质量及安全性。适用于金融机构、银行、医院、工厂、办公场所等中大型数据中心专线上云场景。
VPN网关(VPN Gateway)是一款基于互联网提供加密网络连接服务的产品,通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网终端与阿里云专有网络(VPC)之间安全可靠的私网连接。您也可以使用VPN网关在VPC之间建立加密的内网连接。VPN网关支持IPsec VPN、SSL VPN及国密算法等能力,满足分支互联、移动办公等接入场景。
智能接入网关SAG(Smart Access Gateway)是阿里云提供的一站式快速上云软件定义广域网SD-WAN(Software Defined Wide Area Network)接入服务。企业可通过智能接入网关实现互联网就近加密接入,获得更智能、更可靠、更安全的上云体验,适用于中小数据中心、分支互联、移动办公等接入场景。
对于多地域互联场景阿里云推出如下产品:
云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR帮助您在跨地域专有网络之间、专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。
转发路由器TR(Transit Router)是地域范围内的企业级核心转发路由器,可为用户转发同地域或跨地域的网络实例间的流量,并支持定义灵活的互通、隔离、引流策略。
同时,为了帮助用户高效率与低成本地上云、用云、用好云,还提供了如下网络服务产品:
网络智能服务NIS(Network Intelligence Service)是为您在云上建站提供规划、部署与运维能力的智能化自助服务平台,可以帮助您更方便地规划与使用网络。网络智能服务NIS既可以为您规划网络时提供参考数据,也可以协助您发现并解决网络的异常问题,支持对网络进行健康分析、性能监控、诊断修复、流量分析和测量仿真。网络智能服务NIS通过集成机器学习、知识图谱等AIOps方法减少网络使用复杂性,提供自助运维能力,方便网络架构师和运维工程师更快捷地设计和使用网络。
云数据传输CDT(Cloud Data Transfer)为阿里云多款互联网公网流量和跨地域私网流量产品统一计费,通过免费额度和阶梯计费持续释放红利。每月提供20GB公网流量免费额度,同时支持公网流量累计阶梯计费,用量越大单价越低,覆盖云服务器 ECS、弹性公网IP、Anycast EIP公网、共享带宽、IPv6网关、传统型负载均衡CLB公网、全球加速GA公网等产品。支持跨地域私网流量按使用流量计费,计费方式灵活门槛更低。
考虑
业务规模需求
业务规模和网络规模之间有着密切的相关性,您可以明确网络的规模,根据需求和规模进行组网。网络产品使用的核心是网络规划,这将决定您后续的网络维护复杂度,良好的网络规划将让您的后续网络维护更简单。
网络规划必须考虑到现有业务的规模和未来的扩展需求,以确保网络架构能够支持企业操作的有效性和效率。您可以考虑如下因素:
地域和可用区规划:在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。同一可用区内实例之间的网络延时更小,其用户访问速度更快。如何选择地域和可用区?建议从如下几个维度考虑。
考虑因素
选择说明
业务场景对时延的要求
业务最终服务的用户和资源部署地域的距离越近,网络时延越低,访问速度越快。
说明您可通过如下网络智能服务工具,可视化查看网络访问性能:
高可用和容灾
如果您的应用需要较高的容灾能力,建议您将实例部署在不同地域或者同一地域的不同可用区内。
成本
不同地域的云服务价格可能会有所不同,建议您根据预算选择合适的地域。
您可以通过价格计算器估算云产品价格,下载选配清单,助您高效采购。
服务支持的地域和可用区
并非阿里云所有服务在每个地域/可用区都可用,建议您在选择地域/可用区时,确保云服务可用。
网段规划:专有网络是地域级的资源,交换机是可用区级的资源,一个交换机可以看作一个划分出的子网。在创建专有网络和交换机时,您需要指定专有网络和交换机的网段。网段的大小不仅决定了可部署多少云资源也关系到不同网络之间能否互通。关于专有网络和交换机的网段规划,有如下规划建议:
推荐在专有网络中使用RFC 1918定义的私有IPv4地址空间,专有网络的IPv4地址空间推荐使用/16掩码,若专有网络容量需要扩容,建议通过附加网段进行扩容。
考虑到未来扩展,建议您选择一个足够大的CIDR块,以便为未来可能需要的任何交换机、实例或新服务留出足够的空间。
建议您根据业务规划和安全、容灾等诉求,规划多个专有网络,划分多个交换机,在网段规划时,建议您避免地址重叠。
系统功能和性能
您需要考虑业务功能与性能、网络质量等问题,确保网络能够满足业务需求,并具备高可靠性和容错性,以防止单点故障。
例如,您需要在阿里云部署您的互联网应用服务:
如何避免因后端服务器单点故障导致服务中断?您可以使用负载均衡SLB产品家族进行流量分发至多台服务器,负载均衡通过健康检查机制可以及时避免将业务流量转发到异常服务器上,从而保证服务高可用。
如何让多台服务器使用同一个公网IP访问互联网?您可以使用公网NAT网关进行内外网地址映射,通过弹性公网IP实现动态解绑满足灵活管理的要求,实现统一公网出口。
如何提升QPS或者并发连接数瓶颈?如果您此前未使用负载均衡或者使用了传统型负载均衡CLB,您可升级使用应用型负载均衡ALB或网络型负载均衡NLB,ALB单实例100万QPS/NLB单实例1亿并发连接并且支持按量付费,让您低成本拥有大规模流量分发处理能力。
如何提升全球化应用网络访问质量?对于全球化应用,不同国家或地区的用户访问时有可能出现网络访问质量不高,此时您可以使用全球加速GA进行网络加速,提升用户网络访问质量与体验。
如何解决业务与本地数据中心、办公网、门店IoT设备、移动终端、其他云厂商平台部署的服务进行网络互通的问题?您可以使用VPN网关、智能接入网关SAG或者高速通道实现混合云场景网络互联,这些产品支持不同的业务场景、业务形态、部署模式,可以满足您的多样化的场景需求。
可扩展性和弹性
您需要考虑网络产品的可扩展性和弹性,以满足业务的增长和变化需求。例如,支持灵活的网络拓扑、子网划分和路由转发,以及快速扩容和缩容的能力。
对于网络组网类产品,例如专有网络VPC、NAT网关、转发路由器TR等产品,支持标准的网络划分与路由转发逻辑,您可根据实际情况自行进行灵活的网络规划及路由控制。
对于网络流量类产品,例如负载均衡SLB产品家族,应用型负载均衡ALB与网络型负载均衡NLB支持根据业务流量负载自动弹性避免业务瓶颈,您无需预估业务峰值。
开放性与自服务
用户在使用云产品时,使用方式和工具可能是多种多样的,这就需要云产品与主流厂商的业务开放性趋于一致。
阿里云网络服务具有较高的开放性,提供了多种方式和工具,以便用户根据自己的需求自由配置和管理网络资源。
您可以通过以下方式部署和维护网络服务(不同产品支持情况不同,需要以具体产品实际情况为准):
阿里云控制台:具有交互式操作的Web服务页面,您可登录控制台完成网络产品服务创建、配置、删除等各项操作。
阿里云SDK:提供Java、Go、Python等多种主流编程语言的SDK,供开发者调用或集成。
OpenAPI开发者门户:提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。
阿里云App:移动端类型的管理工具,方便您及时运维监控您的网络服务。
Terraform:能够通过配置文件在阿里云以及其他支持Terraform的云厂商平台调用计算资源。
同时针对网络环境复杂度高、问题多、定位维护困难的业务痛点,阿里云网络提供了多种自服务方式帮助您高效地使用云产品:
完备高质量的产品文档:产品文档除了产品使用配置教程外,我们还总结了较多客户实际上云用云过程中的最佳实践。如果遇到业务问题,您可以优先参考网络产品文档中的典型场景,自助解决您的问题。
智能化自助服务平台工具NIS:网络智能服务NIS既可以为您规划网络时提供参考数据,也可以协助您发现并解决网络的异常问题,支持对网络进行健康分析、性能监控、诊断修复、流量分析和测量仿真。网络智能服务NIS通过集成机器学习、知识图谱等AIOps方法减少网络使用复杂性,提供自助运维能力,方便网络架构师和运维工程师更快捷地设计和使用网络。
总体成本效益
您需要评估网络服务的成本效益,主要包括带宽流量成本、资源使用成本等。建议您考虑长期投资回报和总拥有成本。
对于带宽流量成本,您可以考虑使用云数据传输CDT,云上多产品统一计费,实行跨产品阶梯定价,流量使用越多成本越低。
对于云资源使用成本,您可考虑按量计费的方式,按实际使用量后付费。如果您的业务具有周期性或波动较大,例如游戏、视频等行业,资源使用有临时性和突发性,这样可以有效降低您的使用成本。
稳定性与可维护性
您在规划或设计网络架构时,建议您遵循业界及各产品推荐的方法,确保后续业务稳定与可持续维护。
例如:
网络扩展性:您在规划网络组网时,建议您适当考虑IP地址冗余,避免后期因IP地址不足导致需要重新规划网络。
多可用区部署:您在配置后端服务流量负载均衡时,建议您配置至少2个可用区的后端服务器,避免将后端服务器均部署在单个可用区,这样可以避免单个可用区故障对于业务稳定性的影响。当业务多可用区部署时,业务的可靠性会大幅提升,以网络型负载均衡NLB为例,单可用区服务可用性为99.95%,多可用区服务可用性可提升至99.995%。
多地域部署:如果您处于一些对于稳定性要求特别高的行业或者拥有一些对于稳定性要求特别高的非常核心的业务,您可以考虑进行多地域部署,您可参考典型的两地三中心方式将业务部署在多个地域与多个可用区并进行容灾备份。
安全性
网络安全是一个重要的考虑因素,需要确保数据的保密性、完整性和可用性。您需要选择具备强大安全功能的网络服务和协议,以及采取适当的安全措施。
您可以从以下几个角度考虑安全性:
采用安全的协议:例如应用层协议,建议您使用HTTPS协议进行加密安全通信,避免使用HTTP协议,同时也建议您选择较高版本的TLS协议支持。
进行访问控制:建议您根据实际情况开启安全组、访问控制等功能,避免可能存在的安全攻击。
网络隔离:阿里云从基础设施网络隔离、专有网络隔离、多租户隔离等多方面提供网络隔离措施。您在自主规划业务网络时,对于核心业务与非核心业务,也可以考虑进行适当的业务网络隔离。
权限管控:阿里云账号具备所有云资源的操作权限,实际在使用过程中建议您给操作者配置RAM权限,降低权限问题导致的安全风险。
业务流量尽量走内网通信:对于业务需要跨VPC网络通信的场景,建议业务流量尽量走内网通信,避免通过互联网通信,避免有可能导致的来自互联网的攻击。
云安全产品能力加持:对于公网流量请求,您可考虑采用Web应用防火墙、DDoS防护等专业的云安全产品进行流量清洗与异常流量拦截。负载均衡SLB、弹性公网IP等多个产品已实现了与安全产品的集成,可极大降低您的使用配置难度。
安全审计:您需要考虑所使用的云产品是否提供审计和日志监控功能,记录和追踪用户访问和活动,以便发现和响应潜在的安全问题。
选择
您在选择使用具体的云产品时,建议您根据业务场景选择对应的产品服务,部分场景需求需要多产品组合使用。
公网访问场景
选择公网IP地址类型
从互联网访问云上部署的应用,或者应用主动访问公网时,需要为应用服务器配置公网IP地址。
公网IP地址类型分为固定公网IP与弹性公网IP,二者区别如下:
对比项 | 弹性公网IP | 固定公网IP |
是否支持专有网络 | 支持 | 支持 |
是否支持单独持有 | 支持 | 不支持 |
是否支持弹性插拔 | 支持 | 不支持 |
固定公网IP只能在ECS/CLB等实例创建时分配,并且创建后无法更换,只能随着实例删除,无法满足灵活解绑与管理的需求。弹性公网IP是独立的公网IP资源,可以动态解绑/绑定满足灵活管理的要求,推荐您使用弹性公网IP。
弹性公网IP与固定公网IP均为IPv4地址类型。IPv6无需特定的公网IP资源,VPC内的IPv6服务需要通过开通IPv6公网带宽才能访问公网。
不同弹性公网IP对比
弹性公网IP有不同形态,主要有以下三种:
弹性公网IP(BGP多线):覆盖全球多地域的优质BGP线路,同时接入多条运营商线路,并自动选择最优线路访问,保证用户访问快速稳定。
弹性公网IP(BGP多线-精品):BGP多线-精品线路是一种优化海外回中国内地流量的公网线路,可以提高国际业务访问质量。相比普通BGP多线线路,精品线路在为中国内地终端客户(不包括中国内地数据中心)提供服务时,通过运营商精品公网直连中国内地,时延更低。
任播弹性公网IP(Anycast EIP):每一个Anycast EIP实例会被分配一个可访问公网的IP地址,此IP地址可在整个接入区域内发布,不受地域限制。在将此IP地址与后端资源进行绑定后,接入区域内的用户流量将通过该IP地址从就近接入点进入阿里云网络。进入阿里云网络后,Anycast EIP可以智能选择路由并自动完成网络调度,将用户的网络访问请求送达至后端资源节点,提升用户的公网访问体验。
对比项 | 弹性公网IP(BGP多线) | 弹性公网IP(BGP多线-精品) | 任播弹性公网IP(Anycast EIP) |
核心优势场景 | 优质BGP公网线路,用于低成本公网访问 | 优化海外回中国内地流量,通过运营商精品公网线路直连中国内地 | 全球多地域使用相同IP,用户流量就近接入阿里云网络 |
场景 |
|
|
|
质量 | 低 | 高 | 高 |
成本 | 低 | 中 | 高 |
统一公网流量入口
单台后端服务器直接使用公网IP对外提供服务时,如果服务器出现问题容易导致业务单点故障,影响系统可用性。
实际业务场景中,推荐您使用负载均衡产品,并在多可用区挂载多台后端服务器,通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,消除系统中的单点故障,提升应用系统的可用性。
负载均衡SLB产品家族包括应用型负载均衡ALB(Application Load Balancer)、网络型负载均衡NLB(Network Load Balancer)、传统型负载均衡CLB(Classic Load Balancer),您可根据您的实际需求选择合适的负载均衡产品。
推荐您优先使用新一代负载均衡产品,即应用型负载均衡ALB和网络型负载均衡NLB。
ALB与NLB可以面向公网提供服务,也可以仅面向VPC内部提供服务。ALB与NLB通过弹性公网IP提供公网访问能力。
SLB产品家族详细介绍及对比分析请参见负载均衡SLB产品家族介绍。
对比项 | 应用型负载均衡ALB | 网络型负载均衡NLB |
产品定位 |
|
|
产品性能 | 单实例最大支持100万QPS | 单实例最大支持1亿并发 |
后端业务类型 |
|
|
运维能力 | 均支持弹性和快速扩容,处理能力随着业务峰值自动伸缩,无需人工干预 | |
典型应用场景 |
|
|
对于前后端分离的业务场景,您可以结合公网负载均衡实例与私网负载均衡实例,分别实现前端业务和后端业务的高可用。
统一公网流量出口
单台服务器可以通过公网IP地址主动访问公网。
但当需要主动访问公网的服务器较多时,需要占用较多的公网IP资源,此时您可以通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。
对比项 | 直接使用弹性公网IP | 公网NAT网关 |
是否支持多服务器共享EIP | 不支持 | 支持 |
使用单个EIP的粒度 | ECS/弹性网卡粒度 |
|
服务器较多时总体资源成本 | 高 | 低 |
公网访问控制
当部署在云上的业务对互联网提供服务时,进行合适的访问控制,能够帮助阻止不必要或潜在的危险访问。
以VPC内1台ECS服务器为例,有如下常用的访问控制方式或产品:
ECS安全组:安全组是一种虚拟防火墙,能够控制ECS实例的出入站流量。用于对ECS/弹性网卡等实例级别资源的流量访问控制。
网络ACL:网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云资源的流量访问控制。
IPv4网关:IPv4网关是专有网络VPC的互联网IPv4流量网关。VPC默认不开启该功能即具备公网访问能力,ECS绑定公网IP后即可访问公网,但当IPv4网关创建并激活后,该VPC访问公网的行为将会受IPv4网关控制。您可以使用IPv4网关结合子网路由的能力实现公网IPv4访问集中控制。
重要VPC内的IPv4网关激活后会改变VPC默认能够访问公网的行为,即使删除IPv4网关后,也不能恢复VPC默认可以访问公网的能力。因此IPv4网关需要谨慎考虑后再进行配置。
IPv6网关:IPv6网关是专有网络VPC的互联网IPv6流量网关。VPC内实例默认申请的IPv6地址只具备IPv6私网通信能力,您可以通过在IPv6网关中为IPv6地址开通IPv6公网带宽,使其具备公网通信能力。并且可以支持设置仅主动出规则,使IPv6地址仅可主动访问公网。
公网全球加速
对于一部分全球化行业应用场景,例如游戏、企业应用、互联网应用等,因公网网络质量不高可能导致的网络延迟高、抖动、丢包、卡顿、速率低等问题,严重影响终端用户使用体验。
您可以通过使用全球加速产品,使终端用户访问请求就近接入阿里云,通过阿里云的内网到达应用服务器,极大地缩短了公网传输路径,减少延时、抖动、丢包等网络问题,提升终端用户使用体验。需要注意的是,如果涉及中国内地与其他地区之间的加速,需要参照产品文档完成跨境业务资质申请。
跨VPC互联场景
选择VPC互联方式
跨VPC网络连接,常用的有如下方式:
VPC对等连接概述:VPC对等连接提供连通两个VPC的网络连接,您可以使用私有IP地址直接通信,两个VPC就像在同一个网络中一样。您可以与当前账号的同地域或者跨地域其他VPC之间创建对等连接,也可以与其他账号的同地域或者跨地域VPC之间建立对等连接。
转发路由器:转发路由器用于连接网络实例,转发同地域或跨地域网络实例间的流量。转发路由器只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。1个地域内只能有1个转发路由器,跨地域需要不同转发路由器互联。
私网连接:私网连接能够将终端节点所在VPC与终端节点服务所在VPC通过终端节点连接,建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
VPN网关:VPN网关通过建立加密隧道的方式在两个VPC之间建立安全连接,实现两个VPC内的资源互访。
对比项 | VPC对等连接 | 转发路由器 | 私网连接 | VPN网关 |
连接方式 | VPC两两之间建立连接 | VPC以网络连接方式加入转发路由器 | VPC之间基于终端节点与终端节点服务的定向连接 | VPC两两之间建立连接 |
是否支持路由传播 | 不支持 | 支持 | 不支持 | 不支持 |
访问方式 | 双向访问 | 双向访问 | 单向访问 | 双向访问 |
是否支持跨账号 | 支持 | 支持 | 支持 | 支持 |
是否支持跨地域 | 支持 | 支持 | 不支持 | 支持 |
优势场景 | 少量VPC互联 | 大量VPC互联 | VPC定向连接 | 少量VPC互联 |
配置复杂度 | 高。需要两两建立对等连接关系并相互配置对端路由 | 低。VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接 | 低。私网连接无需考虑地址冲突和路由配置,网络配置简单 | 高。需要创建VPN网关、用户网关和IPSec连接,并为VPN网关配置路由 |
网络延迟 | 低 | 中。由于流量经过转发路由器,会增加额外一跳的延迟 | 低 | 高。需要经过公网转发 |
成本 | 同地域不收费。跨地域统一由云数据传输CDT收取出方向流量传输费 | 同地域收取连接费、流量处理费,跨地域收取带宽包实例费、连接费和流量处理费 | 根据私网连接服务的实际使用量进行计费,费用包含实例费和流量处理费 | 收取IPsec-VPN实例费、带宽费 |
VPC之间网段是否可以重叠 | 不可以 | 不可以 | 可以 | 不可以 |
需要注意的是,如果涉及中国内地地域与非中国内地地域之间的VPC连接,需要参照对应产品文档完成跨境业务资质申请。
VPC互联IP地址冲突
云上需要互通的两个业务VPC,可能存在IP地址冲突的情况,重新配置网段可能导致改造成本较高或者出现未知问题。
您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
混合云场景
如下三款产品都支持将本地数据中心等网络连接至云上专有网络,快速构建混合云。
高速通道:高速通道通过物理专线将本地数据中心、其他云厂商平台等网络连接到阿里云。在物理专线两端距离很远的情况下,高速通道仍可以提供低时延、低丢包率和高带宽的内网级通信质量。
智能接入网关:智能接入网关包含三种产品形态。
硬件CPE(Customer Premises Equipment)设备形态:适用于站点接入上云。在本地数据中心、企业分支和门店部署智能接入网关硬件设备后可自动和云上形成私网连接。
镜像vCPE形态:适用于站点接入上云。智能接入网关vCPE是智能接入网关的软件镜像版,支持部署在本地数据中心的服务器、阿里云边缘节点服务ENS实例、阿里云、其他云厂商等平台的服务器上。部署后,智能接入网关vCPE作为一个虚拟CPE设备帮您将网络接入阿里云,为您接入上云提供更多的灵活性。
App形态:适用于终端接入上云。电脑、手机等终端安装智能接入网关App后可一键接入上云。
VPN网关:VPN网关通过建立加密隧道的方式,实现企业本地数据中心、企业办公网络、互联网客户端、其他云厂商等平台与阿里云专有网络之间建立安全可靠的网络连接。
对比项 | 高速通道 | 智能接入网关 | VPN网关 |
质量 | 高(专线) | 中(公网+专线) | 低(公网) |
建设周期 | 较长 | 一般 | 较短 |
成本 | 高 | 中 | 低 |
组网能力 | 点到点连接 | Full Mesh全网互联 | 点到点互联 |
业务应用场景 | 企业上云 | 企业上云&分支互联 | 企业上云 |
使用
部分产品支持免费试用。如果您的账号未领取过免费权益,可进行免费额度领取。
分类 | 产品名称 | 免费试用教程 | 学习路径 |
数据中心网络 | 专有网络 | 无 | |
NAT网关 | 无 | ||
私网连接 | |||
应用交付网络 | 弹性公网 IP | 无 | |
Anycast EIP | 无 | ||
全球加速 | |||
应用型负载均衡ALB | |||
网络型负载均衡NLB | |||
全球化网络 | 云企业网/转发路由器 | ||
高速通道 | 无 | ||
VPN网关 | 无 | ||
智能接入网关 | 无 | ||
其他 | 网络智能服务 | 无 | |
云数据传输 | 无 |
探索
新手上云
新手指南:新手上云指南聚焦最简的上云路径,提供“了解阿里云”、“注册阿里云账号”、“云产品免费试用教程”、“使用阿里云方式”和“账号管理”等知识或操作步骤,是您了解和使用阿里云的入门级指引,帮助您快速开启云上构建之旅。
云采用框架:云采用框架(Cloud Adoption Framework,简称CAF)为企业上云提供策略和技术的指导原则和最佳实践,帮助企业上好云、用好云、管好云,并成功实现业务目标。本云采用框架是基于服务大量企业客户的经验总结,将企业云采用分为四个阶段,并详细探讨企业应在每个阶段采取的业务和技术策略;同时,还提供了一系列最佳实践、文档和辅助工具,帮助云架构师、云管理团队等干系人能够实现组织协同达成目标。
卓越架构:对云用户而言,在上云、用云、管云过程中持续维持良好的云上架构是一项巨大的挑战。对云上应用来说,稳定、安全、性能、成本是架构设计中最通用领域的抽象,也是组织层面最需要关注的几个维度。因此,阿里云基于多年服务各行各业客户的经验总结,将云上的架构设计最佳实践总结为一系列的方法论和设计原则,形成阿里云卓越架构(Alibaba Cloud Well-Architected Framework),以帮助云用户构建良好直至卓越的云上架构。
技术解决方案
企业云上网络架构规划:对于一些刚开始进行云上迁移的企业而言,需要在短时间内完成业务系统的迁移。在迁移过程中,首要步骤通常是进行整体网络设计,以满足业务需求并规划云上网络架构。企业云上网络架构规划方案能够为企业提供面向业务的网络架构,确保业务的可靠性,并保持架构的可扩展性和可持续性,以满足未来企业业务增长所需的资源扩容和架构升级。
互联网应用全球加速:互联网应用加速解决方案面向各行各业的互联网应用,提供一站式加速网络访问、提高网络稳定性的服务。 阿里云网络基础设施部署遍及全球,采用集中式 IT 管理,控制企业间的网络连接,实现网络服务全球范围就近接入和跨地域部署,提升服务可用性和性能,为客户提供了不同场景下的网络应用安全加速服务。
云上公网架构设计和安全管理:随着企业业务云化进程逐渐进入深水区,简单地使用云上资源出入公网已经无法满足业务的诉求,安全、成本、权限、监控等诉求的迭代,需要企业有系统性地视角来考虑如何做好公网出入口(DMZ)的规划设计。云上公网的设计可以帮助企业更加统一、安全的管理自己的云上互联网出入口,同时可以实现统一监控运维和公网的成本优化。
两地三中心异地多活网络:基于阿里云洛神网络全球基础设施及云原生SDN技术,帮助企业客户在云上快速构建两地三中心跨域多活网络,保障企业核心业务在全球多地域的高品质互联。两地三中心多活网络解决方案提供了弹性、安全、高质量的网络能力,结合数据传输服务DTS轻松实现异地多活数据同步等,助力企业构建安全、可扩展、高可用的数据架构。
企业上云框架 Landing Zone:基于大量企业的上云实践验证,帮助企业规划云上资源结构、访问控制、网络架构、安全合规体系,搭建可管理、可扩展的云环境。企业客户可以在此基础上缩短上云周期,将原有的业务平顺上云并快速开展新业务。