业务需要全球部署来看看企业级全球网络架构与解决方案模板

业务需要全球部署? 来看看企业级全球网络架构与解决方案

随着企业的发展, 企业本身的业务将逐渐从一个地域拓展到更广泛的地区, 甚至是全球。在全球互联网发展的大背景下, 跨国企业如何进行全球化的网络部署和架构, 本文就和大家一起来探讨全球业务背景下的网络部署。

企业级全球网络

企业级网络区别于普通的个人互联网络, 区别主要体现在自主可控, 稳定可靠, 高速互联, 安全隔离四方面需求上。

首先, 自主可控。企业必须牢牢掌握网段规划、IP地址的划分、公网的接入等相关的网络管理能力, 对于企业内的所有网络, 网元都必须实现自主可控。

其次, 稳定可靠。网络作为企业的基础设施, 网络的稳定可靠关系到上层业务和服务的延续性和稳定, 因此, 企业级网络必须是稳定可靠的。

第三, 安全隔离。企业级网络必须做到安全、隔离, 特别在云端的网络和租户的隔离更加重要。

第四, 高速互联, 在全球化的背景下企业的业务面向的是全球的用户, 不同地域部署的业务系统之间实现高速互联是非常重要的要求。

另外, 在云计算的大势所趋之下, 企业的业务一般面向全球用户, 此时需要建立全球的骨干网, 实现业务多地部署、跨国部署,

云上资源与云下用户自建的IDC等基础设施互联也是需要考虑的

问题。同时, 对于网络的按需购买、即时交付、弹性伸缩的需求

也应运而生。

典型场景与方案

场景一: 企业建立云端自主可控网络

在云上经典网络中, 用户是没有网络管理功能的, 更做不到自

主可控; 尽管自建物理网络能够实现用户想要的功能, 但成本很高。

经过在云上采用虚拟网络的方式, 既解决了云上经典网络功能

匮乏的问题, 同时功能更多、更好、更快, 成本也极大降低了。自主可控网络中较为重要的一点是能够进行网络规划, 自主进行IP

地址规划、自定义路由、公网访问; 另外一个重要的功能是进行

安全隔离, 实现云上资源租户、生产与测试环境之间的隔离, 以及访问控制。

要实现自主可控的网络, 阿里云给出的解决方案是专有网络VPC。当前, 阿里云的网络产品中, 主要分为两种网络类型: 经典网络( Classic) , 专有网络( VPC) 。

经典网络, 统一部署在阿里云的公共基础网络内, 网络的规划和管理由阿里云负责, 更适合对网络易用性要求比较高的客户。

专有网络VPC, 是指用户在阿里云的基础网络内建立一个能够自定义的专有隔离网络, 用户能够自定义这个专有网络的网络拓扑和IP 地址, 与经典网络相比, 专有网络比较适合有网络管理能力和需求的客户。

对于企业级用户来讲, VPC能够理解为一个网络容器, 其中包含路由器、交换机, 弹性计算服务ECS、数据库RDS、负载均衡SLB等云产品能够放在VPC这个容器内。VPC的两大特性非常适应上述场景要求: 首先, VPC是安全隔离的网络, 它是使用隧道技术二层隔离的网络, 比三层隔离更为安全; 其次, VPC是可控的网

络, 用户能够经过VPC实现IP地址的规划、控制云资源访问的安全组以及控制公网出入。

VPC的原理是经过使用SDN的思想进行网络功能虚拟化, 简单来说包括网络虚拟化和网元虚拟化, 网络虚拟化是将物理网络进行封装, 给每个用户一张独立的虚拟网络; 网元虚拟化是将网络设备进行虚拟化, 提供给用户在虚拟网络中使用。

阿里云在4月20日深圳云栖大会上宣布云产品全面进入VPC 时代, 新用户后续只能购买VPC类型的云资源, 另外阿里云云产品95%的云产品都接入到VPC。从业内来看, 当前主要的云服务商如AWS都提供了VPC, 而且大部分不再提供经典的网络。

为了打消用户使用VPC时可能会存在其它方面的顾虑, 阿里云提供了Default VPC, 即默认VPC功能, 使得初级用户也能使用VPC内的云资源, 同时系统会自动为用户建立VPC和VSwitch; 同时阿里云产品95%都接入了VPC, 因此使用者能够大胆地使用VPC, 无需担心VPC与其它产品不匹配的问题。

场景二: 企业访问云产品

企业级网络中的第二个重要需求是高速互联。企业级客户使用VPC构建了自主可控, 安全隔离的网络环境, 但客户的业务还需要与其它互联网云化应用进行互联互通。

阿里云为解决用户的高速互联提供了VPC中访问云产品有两种访问方式:

用户私有IP访问, 用户是以自己VPC内的一个私网IP访问云产品, 例如用户A的VPC地址段是192.168.1.0/24, 用户可使用192.168.1.1作为其RDS的IP, 用户可使用192.168.1.2作为其ECS 服务器的IP, 这种方式一般适用于实例型云产品, 如RDS、SLB等;

公共IP访问, 一个Region内所有用户的VPC都是使用同一个IP访问云产品, 例如北京的所有VPC都使用100.100.18.8这个IP 访问OSS服务, 这种方式适用于非实例型云产品。

场景三: 企业公网流量管理

VPC是一个隔离的私有网络, 默认情况下外网是无法与内网进行通信的。阿里云提供了三款产品用于VPC控制公网出入: 弹性公网IP、负载均衡、NAT网关。

上图架构中最左侧是弹性公网IP, 它是一个独立的产品, 用户能够将其绑定到VPC网络中的ECS上, 之后该ECS就具备了被公网访问和出公网的能力。它的使用方法最为简单, 但只能绑定到一个ECS上, 当VPC网络中ECS数量较少建议使用; 另外, 当ECS 不想被公网访问和出公网时, 只需解绑弹性公网IP即可。

架构中间部分是负载均衡, 它能够提供四层及七层负载均衡,

将入流量分流到后端的不同ECS上, 它只提供入的方向, 不提供出的方向, 其核心在于流量的负载均衡。

架构中最右侧的是NAT网关, 首先, 它能够提供入方向的访问能力( DNAT) , 经过NAT网关DNAT功能的IP映射方式实现, 将一个公网IP映射给一个ECS独占使用; 当然, 用户能够在NAT网关上开多个端口, 例如80端口投递到ECS1, 90端口投递到ECS2上。NAT网关还提供了SNAT功能, 能够是VPC中的ECS经过NAT 网关出到公网。另外, NAT网关上的公网IP以共享带宽包形式封装, 支持多IP共享带宽, 优化采购成本、提高带宽使用率和灵活性。