网络架构优化--云企业网典型场景分析for客户

简介: 网络架构优化--云企业网典型场景分析for客户

 

image.png

 

1. 背景描述

客户从传统的高速通道迁移到云企业网,加入云企业网的VPC,VBR默认全通,但是实际业务场景需要更严格的策略做选择性放通。此外,由于测试账号没有实际专线和VBR,本文均以VPC举例讲解路由策略的配置,VBR类似。

2. 概念理解

 

image.png
image.png
图1

 

3. 环境准备

3.1 创建VPC,vswitch,ECS

VPC1:vpc-j**nv 网段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用区B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用区B
VPC1-ECS2:10.0.2.*

VPC2:vpc-j**ob 网段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用区B
VPC2-ECS1:172.16.*

VPC3:vpc-g**rl 网段:192.168.0.0/16 地域:法兰克福
vswitch: 192.168.1.0/24 法兰克福 可用区A
VPC3-ECS1:192.168.1.*

以上3个VPC的4个vswitch各创建一台ECS,安全组上放开10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16

3.2 创建CEN

参考官网:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登录云企业网控制台。
II 在云企业网实例页面,单击创建云企业网实例
III 在创建云企业网实例页面,完成以下操作:

  1. 输入实例名称。名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。
  2. 可选: 输入实例描述信息。名称长度为2~256个中英文字符,不能以http://https://开头。
  3. 加载同账号下的网络实例。您可以在创建CEN实例时,将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后,CEN实例内的网络实例可私网互通。
    说明:确保要加载的网络实例没有加入到其他的云企业网实例中。

IV 单击确定

 

图2.png
图2

 

4. 场景实战

4.1 场景一:VPC通过CEN实现全通

4.1.1 场景描述:VPC1,VPC2,VPC3全部互通

 

image.png
图3

 

4.1.2 实现步骤

4.1.2.1 ping检验当前连通性

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1
  • VPC1-ECS1/2----Nok----VPC3-ECS1
  • VPC2-ECS1----Nok----VPC3-ECS1

    (ok表示可以ping通,Nok表示无法ping通,下同)

4.1.2.2 将3个VPC加入云企业网

参考官网:
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企业网以及VPC的路由分析

理解路由是很关键的步骤,也是检查配置问题最终、最有效的手段,所以我们花点时间。
1)香港地域网关

 

图4-1.png
图4

 

100.64.0.0/10是云服务的保留地址段,由系统自动添加,以下不再重复解释。
2)法兰克福地域网关

 

图5-1.png
图5

 

从香港和法兰克服地域网关的路由信息来看:
①VPC1,VPC2的路由成功上报给香港地域网关,并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关,并且同步至香港的地域网关。
接下来我们看下各个VPC的情况,看下地域网关是否将对应的路由信息下发。
3)VPC1

 

图6-1.png
图6

 

4)VPC2

 

图7-1.png
图7

 

5)VPC3

 

图8-1.png
图8

 

从VPC内的路由信息来看:
VPC内部的交换机网段,系统自动添加了本地路由,且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息,已经下发至其他VPC中。

4.1.2.4 ping再次检验当前连通性

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2 场景二:限制VPC间互通

4.2.1 场景描述

VPC1与VPC3互通(场景一已实现),VPC1与VPC2不通,VPC2与VPC3不通。

 

image.png
图9

 

4.2.2 策略分析-VPC1与VPC2不通(同地域)

如VPC1与VPC2不通,那么我们要从1,2,3,4入手,其中1,4是VPC上报路由给地域网关,为了不影响VPC1,VPC2的路由上报并且下发给VPC3,所以我们需要保证畅通,那么可以从2和3入手。
1)其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC1,出地域网关方向。
2)对于3可以设置策略:让VPC2拒绝由香港地域网关同步过来的VPC1的路由,源是VPC1,目的是VPC2,出地域网关方向。

 

image.png
图10

 

4.2.3 策略配置-VPC1与VPC2不通(同地域)

4.2.3.1 拒绝VPC1访问VPC2的路由

对应图10中线路2
1)点击添加路由策略

 

图11-1.png
图11

 

2)填写策略信息

  • 策略优先级:数字越小,优先级越高
  • 地域:香港地域
  • 应用方向:出地域网关
  • 匹配条件:源和目的VPC
  • 策略行为:拒绝

 

图12.jpg
图12

 

3)检查效果,查看VPC1的路由表,可以看到已经拒绝VPC1访问VPC2的路由。

 

图13-1.png
图13

 

4.2.3.2 拒绝VPC2访问VPC1的路由

对应图10中线路3
1)配置步骤同上,配置截图如下:

 

图14.jpg
图14

 

2)检查效果:查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC1的路由。

 

图15-1.png
图15

 

4.2.4 策略验证-VPC1与VPC2不通(同地域)

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2.5 策略分析-VPC2与VPC3不通(跨地域)

如VPC2与VPC3不通,那么我们要从3,4,5,6,7,8入手,其中4,8是VPC上报路由给地域网关,为了不影响VPC2,VPC3的路由上报并且下发给VPC1,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅,那么可以从3和7入手。
1)其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。

 

image.png
图16

 

4.2.6 策略配置-VPC2与VPC3不能互通(跨地域)

4.2.6.1 拒绝VPC2访问VPC3的路由

对应图16中线路3
1)配置截图如下:
主要注意点,由于配置跨地域了,需要指明源实例对应的地域:法兰克福。

 

图17.jpg
图17

 

2)检查效果,查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC3的路由。

 

图18-1.png
图18

 

4.2.6.2 拒绝VPC2访问VPC3的路由

对应图16中线路7
1)配置截图如下:
主要注意点,这次地域选择法兰克福,由于配置跨地域了,需要指明源实例对应的地域:香港。

 

图19.jpg
图19

 

2)检查效果,查看VPC3的路由表,可以看到已经拒绝VPC3访问VPC2的路由。

 

图20-1.png
图20

 

4.2.7 策略验证-VPC2与VPC3不通(跨地域)

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)

至此,场景二的需求已经完全实现!

4.3 场景三:限制网段间互通

4.3.1 场景描述

VPC1与VPC2不通(场景二已实现),VPC2与VPC3连通(需要去除场景二中4.2.6章节的控制策略),VPC1的vswitch1与VPC3不通,vswitch2与VPC连通。

 

image.png
图21

 

4.3.2 策略分析-VPC2与VPC3互通

删除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2与VPC3互通

1)删除策略(这里为实验环境,实际生产环境删除策略需谨慎评估)。

 

图22.png
图22

 

2)检查效果

  • VPC2中VPC3的路由条目恢复可用。

 

图23-1.png
图23

 

  • VPC3中VPC2的路由条目恢复可用。

 

图24-1.png
图24

 

4.3.4 策略验证-VPC2与VPC3互通

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)

4.3.5 策略分析-VPC1与VPC3限制网段互通

VPC1与VPC3的联通,要从1,2,5,6,7,8入手,其中1,8是VPC上报路由给地域网关,为了不影响VPC1,VPC3的路由上报并且下发给其他VPC,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通,所以VPC3的路由还是需要通过2给到VPC1,所以我们从7入手。
1)7可以设置策略:让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24,源是VPC1,目的是VPC3,出地域网关方向,并且指定网段。

 

image.png
图25

 

4.3.6 策略配置-VPC1与VPC3限制网段互通

1)配置截图,重点是增加路由前缀的匹配条件。

 

图26.jpg
图26

 

2)检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。

 

图27-1.png
图27

 

4.3.7 策略验证-VPC1与VPC3限制网段互通

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
  • VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

至此,场景三的全部需求实现。

4.4 反向思维:默认不通,选择性打通

4.4.1 场景描述

云企业网(CEN)默认策略是加入的实例全部互通,对于VPC,VBR实例较多,且时不时有新增实例,访问控制较为复杂的用户,可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维,重新看待下场景二:

 

image.png
图28

 

4.4.2 策略分析--反向思维

如何做到让加入的VPC,VBR实例都默认不通呢?在前面的整个配置过程中,我们都是通过拒绝CEN的地域网关下发到VPC,VBR的路由来实现不互通的需求,那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可,效果如下图。
1)香港地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
2)法兰克福地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。

 

image.png
图29

 

经过上面两步后,两个地域除了网关之间的所有入地域网关均被阻断,包括后续新增加的VPC,VBR实例。所以,当前场景二就演变成需要打通VPC2与VPC3。即新增策略(策略优先级一定要高于默认Deny的策略)允许3和7。

 

image.png
图30

 

1)其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC3允许由法兰克福网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。

4.4.3 策略配置--反向思维

4.4.3.1 配置香港与法兰克福地域网关默认不通

对应图29
对于我们的实验环境,为了演示方便,清理场景二、三种配置的路由策略(实际生产环境删除策略需谨慎评估)。然后所有VPC,VBR,CCN拒绝CEN地域网关下发的路由,策略优先级设置低一些,后续设置的放通策略优先级是一定要高于默认拒绝的策略,配置截图如下:
a.香港地域

 

图31.png
图31

 

b.法兰克福地域

 

图32.png
图32

 

此时VPC1,VPC2,VPC3中拒绝了所有本地域的CEN网关发来的路由,VPC1举例截图如下:

 

图33-1.png
图33

 

4.4.3.2 配置VPC1与VPC3可以互通

对应图30
a. 允许VPC1接受VPC3的路由,策略优先级要高于默认的策略。

 

图34.jpg
图34

 

路由验证:VPC1中已经接受VPC3的路由信息。

 

图35-1.png
图35

 

b. 允许VPC3接受VPC1的路由,策略优先级要高于默认的策略。

 

图36.jpg
图36

 

路由验证:VPC3中已经接受VPC1的路由信息。

 

图37-1.png
图37

 

4.4.4 策略验证-反向思维

 

图38.png
图38

 

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
  • VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)

至此,场景二的需求已经通过反向思维完全实现!后续:
如果在香港,法兰克福地域有新加入VPC,VBR实例,需要与已经在CEN中的实例通信时,只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC,VBR实例加入CEN,可以先如4.4.3.1配置默认deny的策略,然后再根据情况按4.4.3.2配置放通策略。

原文链接

本文为阿里云原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/514036.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

五个问题,三大策略,手把手教你定制App性能监控方案

作者:友盟U-APM团队 Why? 为什么要做应用性能监控? 首先,我们要知道应用性能监控具体指什么?以及目的: 监控是一套完整的“监视报警”的系统。对于像我们这样的App开发者来说,应用性能监控是衡量App的第…

c++ 打印条码_金蝶盘点机PDA仓库条码管理之——外购入库扫码开单操作

优势点:收到供应商送货后,仓管员手持盘点机PDA现场将需要入库的商品按顺序扫描一遍,即可自动生成电脑软件金蝶里的【外购入库单】,避免仓管员往返电脑费时费事,和人工手工电脑录单效率低容易出错的问题,从而…

我在架构设计和代码开发中的一些常用原则

简介: 在日常的开发和设计过程中,大家对技术设计上的一些问题往往会面临很多的选择,不同的人会有不同的选择。本文介绍的就是我在工作中遇到的一些问题而总结和使用到的一些常用原则。 不管我一生中取得了多大的成功,其主要原因都…

坚持自主创新,凌波微步完成数千万A轮融资,加速半导体产业

随着5G、互联网、大数据、人工智能以及汽车电子等新技术、新产品的广泛应用,半导体产业已成为国民经济的基础性支撑产业。它是支撑经济社会发展,保障国家安全的战略性、基础性和先导性产业,其发展程度是衡量一个国家科技发展水平的核心指标之…

当程序员具备了抽象思维

简介: 若想捉大鱼,就得潜入深渊。深渊里的鱼更有力,也更纯净。硕大而抽象,且非常美丽。 作者:张建飞 若想捉大鱼,就得潜入深渊。深渊里的鱼更有力,也更纯净。硕大而抽象,且非常美丽…

平板电脑连接投影仪_交互式触控幼教白板如何与平板进行连接-微幼科技

现代智慧教学中离不开智能产品的辅助,电脑、平板就是其中之一。然而这两种电子产品的显示屏尺寸太小,并不能用于多人教学中。而55寸甚至上百寸幼教白板的出现,则可以解决多人互动教学的问题。那么,交互式触控幼教白板如何与平板进…

搭载了HarmonyOS 2的华为nova9,有哪些眼前一亮的功能?

9月23日,华为正式发布了nova9系列手机。作为年轻人的鸿蒙影像旗舰,nova9系列搭载了面向万物互联时代的HarmonyOS 2,沿袭nova品牌的年轻潮美基因,聚焦年轻人群的影像社交需求,在外观、影像、快充等多方面带来了创新突破…

谈AK管理之进阶篇 - 如何有效控制云上[最后一把密钥]的风险?

简介: 上一期“谈AK管理之基础篇”,我们讲了如何规范的进行访问密钥生命周期管理。通过分出不同权限的阿里云RAM子账号,将不同的权限分给不同的用户,这样一旦子账号泄露也不会造成全局的信息泄露。但是,由于子账号在一…

备案域名绑定服务器后 提示需要备案_小程序开发需要多少钱?

现在越来越多的企业想通过微信小程序来宣传产品,为什么小程序那么火爆呢?奥晶科技为您解答,其优点不言而喻:1. 小程序建设的成本比APP建设成本低;2. 小程序能紧跟市场发展潮流,随时更新功能;3. …

Nacos配置安全最佳实践

简介: 本文讨论了自建Nacos和阿里云MSE的配置安全原理。并提出配置安全最佳实践。 作者:鲁严波 前言 配置管理作为软件开发中重要的一环,肩负着连接代码和环境的职责,能很好的分离开发人员和维护人员的关注点。 Nacos的配置管理…

云原生之上,亚马逊云科技发布多项容器与Serverless服务,持续发力现代化应用

亚马逊云科技持续发力现代化应用领域,在中国区域新推多项容器与Serverless服务及功能 在中国区域推出Amazon ECS Anywhere、Amazon Lambda容器镜像功能以及Amazon EMR on EKS等 2021年至今已发布近50个现代化应用领域全新服务与功能 编辑 | 宋 慧 出品 | CSDN云计…

2B 领域下低代码的探索之路

简介: 低代码将成为B端服务领域的基础设施,必将颠覆传统开发方式,未来可期。 作者:天晟 前言 大家好,我是钉钉宜搭前端一个小团队的负责人天晟,在阿里做了五年的低代码。今天的分享我们不讲技术细节&…

启动延时缩短 50%-80%,函数计算发布镜像加速功能

简介: 容器镜像因其颠覆式创新成为云原生时代应用部署格式的事实标准。头部云厂商 FaaS (Function-as-a-Service) 服务如阿里云函数计算、AWS Lambda 也相继在 2020 年支持使用容器镜像部署函数,全面拥抱容器生态。 作者 | Shuai Chang 阿里云云原生 Se…

易点云在京发布璇玑调度系统 中小企业办公IT升级步伐加快

中小企业是中国经济的基本细胞。数据显示,中小企业数量占我国企业总数的90%以上,对全国GDP的贡献达65%、税收贡献超过50%、解决了75%以上的城镇就业。 这些规模庞大的中小微企业的IT基础设施水平远远低于大型企业,“得过且过”是中国中小企业…

MaxCompute作业日常监控与运维实践

简介: MaxCompute作业日常监控与运维实践 监控项目作业超时运行 案例一 专用于业务团队取数的project_A ,基本都是手动跑SQL查询,每个作业执行基本不会很长时间,由于目前使用的是包年包月计算资源,为了防止单个作业…

resttemplate post提交json_SEO工具脚本,Python百度普通收录API提交工具

百度收录问题一直是不少渣渣头痛的问题,而官方其实提供了普通收录和快速收录这样的接口,直接调用官方api接口,大力出奇迹,你需要相信,你尽管seo,有排名算我输,不收录,怎么会呢&#…

OpenKruise 如何实现 K8s 社区首个规模化镜像预热能力

简介: OpenKruise 是阿里云开源的云原生应用自动化管理套件,也是当前托管在 Cloud Native Computing Foundation (CNCF) 下的 Sandbox 项目。它来自阿里巴巴多年来容器化、云原生的技术沉淀,是阿里内部生产环境大规模应用的基于 Kubernetes 之…

云原生时代,底层性能如何调优?

作者 | 宋慧出品 | CSDN云计算(ID:CSDNcloud)现在,当企业提及数字化转型,上云用云的话题时,言必谈及云原生。在云原生吞噬一切的口号下,云原生被频繁、高热度的讨论之后,其真正的价值…

4米乘以12米CAD图_孙吴镀锌钢管大棚骨架图片4-12米可定尺

孙吴镀锌钢管大棚骨架图片4-12米可定尺泽沃温室大棚管厂家是集生产销售为一体,生产经销大棚管、大棚钢管、热镀锌大棚管、大棚镀锌管、热镀锌带管。温室大棚产品广泛用于温室工程建设、大棚蔬菜基地建设、水果、水稻育秧、药材、种植、畜牧养殖等温室大棚骨架等行业…

Raft成员变更的工程实践

简介: 成员变更是一致性系统实现绕不开的难题,对于提升运维能力以及服务可用性都有很大的帮助。 本文从Raft成员变更理论出发,介绍了Raft成员变更和单步成员变更的问题,其中包括Raft著名的Bug。 对于Raft成员变更的工程实现上需要…