阿裡雲網絡架構設計

背景

一個企業上雲首先要考慮整個網絡的規劃，涉及到雲上和雲下的網絡規劃，雲上VPC的規劃，雲上不同地域VPC的互通，雲上可用區的選擇等等，是以一定要提前規劃好整體的網絡架構，現在阿裡雲雲上的虛拟化網絡解決方案已經完全轉向 了雲企業網，是以所有使用阿裡雲的企業客戶多多少少都會使用阿裡雲的CEN 支撐自己的業務，本文将介紹一些我對阿裡雲網絡規劃的一些了解。

雲企業網介紹

雲企業網（Cloud Enterprise Network）是承載在阿裡雲提供的高性能、低延遲的私有全球網絡上的一張高可用網絡。

IDC專線接入CEN

首先面臨的是雲上和雲下打通，那麼需要通過實體專線打通雲上和雲下，由于現在阿裡雲已經不在接受接入高速通道，是以必須接入到雲企業網。那麼企業必須通過實體專線接入到VBR後，加入的雲企業網服務内。

VPC規劃

那麼雲上的VPC規劃有很多方案，這裡比較推薦根據不同的環境，劃分的不同的VPC，承載對應的業務，我這裡建議大多客戶可以選擇分為生産，測試，開發三個大的環境。有以下考慮因素：

• 一般企業的這三種環境對安全和監控的要求不同，需要隔離這三種模式
• 阿裡雲雲安全中心隻有兩隻購買方式全部或者按照VPC購買
• 雲企業網隻能接入15個VPC，按照業務去劃分很快就會到達限制
• 無法接入更多的VPC執行個體 過多的VPC增加管理成本
• 阿裡雲VPC建議最佳實踐是按照此方案劃分

VPC内子網劃分

VPC 内子網劃分（交換機）有比較的多的方案和選擇，可以依據公司網絡劃分方式，或者業務特點劃分子網，我這裡簡單的分享三種種劃分方案，每種方案都有其他優勢劣勢。

方案一、每個應用一個子網

有些子網規劃方式是一個應用一個子網：

優勢：

• 每個應用的網段是清晰的，互相是不重疊的
• 有利于做防火牆規則規劃
• 并且網絡規劃和使用都比較簡單。

劣勢：

• 應用的所有層級都在一個網段内，沒有層級隔離。
• 應用比較多，網段數量比價多
• 阿裡雲VPC内子網數量有限制，并且阿裡雲回報不超過100個子網

注意： 每個應用多個網段是為了使用多可用區的特性，提高應用的可用性。

方案二、通用分成層級子網

應用可以根據應用功能特性分為不同的層級，常見分别為WEB，APP，DB。 每一層的應用伺服器都有其獨特的功能屬性和網絡屬性，是以将這些網絡特性相同的伺服器劃分到同一個網段裡。所有的應用共用這個幾個大的層級的網段。

優勢：

• 應用網絡層級清晰，按照應用層級防止對應的服務元件

• 劃分的子網數量較少，易于管理

  劣勢

• 所有應用的對應層級的伺服器的網址是在一個網段，不利于按照放端放行防火牆規則，隻能按照IP位址放行，對于一些特殊場景的使用如彈性伸縮的機器添加防火牆規則添加防火牆規則比較麻煩。
• 這個是阿裡雲獨有的劣勢，Azure和AWS都是有ACL的，阿裡雲的剛剛開始申請公測ACL，之前并這個功能是以之前我的方案中沒有使用ACL，而且阿裡雲公測的産品一般很容易出問題，是以沒有ACL沒有各個子網之間沒有ACL控制實際是有邏輯的隔離并不具有子網之間的隔離和控制。

方案三、分應用分層級

每個應用都劃分多個層級的小網段，每個應用的網段都是互相獨立的不共享。也就是方案一和方案二的結合。

優勢

• 每個應有有獨立的網段
• 每個應有的各個層級是分隔的，有更細緻的網絡管理
• 有利于防火牆規則的設定

劣勢

• 一個應用為了高可用可能最少需要6個網段（每個AZ三個），那麼30個應用系統最少需要180個網段，網段數量太多了，管理複雜。
• 阿裡雲有子網數量限制，暫時沒法使用此方案，Azure和AWS沒有子網數量的限制。

多雲網絡拓撲例子

現在很多大型企業都會選擇多多雲，那麼多個雲之間可以通過以下的方式實作整個網絡的打通，下面的例子是一個3A雲上業務通過本地IDC打通，實作三朵雲和兩個IDC的網絡互通。 通過兩條實體專線接入阿裡雲IDC的不同的接入點實作高可用接入，分别綁定到兩個VBR上，将VBR接入雲企業網，而雲上的雲企業網有接入了Prod，STG，DEV三個VPC，實作了雲上三個環境的VPC和雲下的互通，并且實作了雲上業務邏輯的劃分。VPC内可以選擇不同的子網劃分方式不是具體的業務。

限制接入CEN的VPC預設互通

阿裡雲的很多産品設計理念很多為了迎合國内雲使用者，會把設計的比較易于操作，VPC本身的作用是做網絡隔離用的，而VPC加入的到CEN之後，就會VPC就會預設互通的，VPC的意義也就不存在了，是以我們之前加入了CEN之後，那麼就必須通過CEN的deny的路由政策實作VPC的隔離。可以參考官方文檔實作VPC的之間的隔離。

打通多個VPC的某些子網

剛剛我們通過CEN打通了VPC又完全限制了VPC，但是真正的業務場景會有這種情況，一般企業隻有有一套監控和安全服務，那麼将這些安全和監控服務部署到某一個VPC内，他還有需求去監聽管理其他VPC的伺服器的，那麼我們VPC是完全隔離，那麼我們就有需求去最小化的允許某些網段可以通路其他的VPC。

那麼我們可以規劃一個管理子網，專門放置安全和監控服務的資源，同時通過CEN的Allow的路由政策實作最小的化的網絡通路其他的兩個VPC，而不允許其他兩個VPC通路生産的VPC其他子網。

參考文檔：

https://help.aliyun.com/document_detail/128377.html

https://help.aliyun.com/document_detail/128376.html

https://help.aliyun.com/document_detail/34217.html