阿里云杭州北京跨机房网络架构案例:VPC、地域、安全组及ACL规划设置
阿里云杭州北京跨机房云上网络架构案例,如何在阿里云上规划地域、交换机、VPC、安全组、网络ACL等配置,如何将本地机房平滑迁移上云?云上路由怎么走才能连通不同的企业网络环境?阿里云服务器网aliyunfuwuqi.com分享阿里云官方关于企业云上网络规划部署案例:
跨地域部署企业云上网络架构案例
用户所在公司的业务主要集中在杭州地区,公司决定将总部地点设在杭州。同时,公司为了更好地吸引北京各高校的科技人才,特在北京设立了远程研发中心。因此分别在北京和杭州的本地机房部署了开发环境和生产环境,具体环境描述如下:
一:开发环境说明
开发环境:开发环境在北京本地机房,比较简单,仅包含几个开发服务器供开发人员使用, 方便开发团队协作进行代码开发上传,版本发布的流程如下:
1、当正式版本的代码需要发布到生产环境时,会先从开发服务器上传到杭州的文件服务器
2、运维人员再将文件服务器的代码包分发至所有生产环境中的Web服务器上,并分批完成代码的部署、发布和测试工作,确保版本发布过程中的稳定安全
二:生产环境说明
生产环境:生产环境部署在杭州本地机房,因为生产环境承载的是核心线上业务,进行了前后端分离、高可用、访问权限管理等管控,具体如下:
1、为了便于扩展和更新,做了前后端分离架构,即将Web服务器和数据库服务器分开部署,运维人员会根据开发人员提交的版本,对前端Web服务器进行变更
2、为了提升整体业务的可用性,前端Web服务器和后端数据库服务器需要多机房部署,规避了单一机房故障造成业务中断
3、为了提升整体业务的安全性,在开发环境、文件服务器和Web服务器上,都做了严格的访问规则配置,其中:
- 文件服务器允许北京开发环境中的开发服务器通过22端口上传文件
- Web服务器允许所有人通过Web服务访问80端口,也允许文件服务器通过22端口上传和配置文件
- 数据库的服务器只允许生产环境的Web服务器来连接,其他的所有连接都会拒绝
三:开发环境与生产环境通过VPN方式打通
开发环境与生产环境通过VPN方式打通,网络带宽较小。以上是用户目前在本地机房的业务逻辑,如何基于本地业务架构设计云上网络架构?如何在阿里云上规划地域、交换机、VPC、安全组、网络ACL,应该如何规划云上路由走向,才能连通不同的企业网络环境?
四:云上网络架构
根据用户本地机房的业务逻辑,在阿里云上设计了如下图所示的网络架构:
云上网络架构文字整理:
1、北京开发环境有一个VPC:VPC-DEV(172.16.0.0/16),该VPC下有一个开发环境交换机:VSW-DEV(172.16.1.0/24),交换机中部署了两台研发服务器ECS-DEV01、ECS-DEV02,互为主备,避免单点故障导致代码等重要文件丢失。
2、杭州生产环境有一个VPC:VPC-PRD(192.168.0.0/16),该VPC下有五个交换机,分别为:
- 两个WEB服务交换机VSW-WEB1(192.168.1.0/24)和VSW-WEB2(192.168.2.0/24),用于跨可用区部署Web业务,避免可用区故障导致整个业务不可用,大大提升Web服务的可用性;
- 两个数据库DB服务交换机VSW-DB1(192.168.100.0/24)和VSW-DB2(192.168.101.0/24),用于跨可用区部署数据库服务,避免可用区故障导致整个业务不可用,大大提升数据库服务的可用性;
- 一个文件服务器交换机VSW-FS(192.168.200.0/24),用于从北京开发环境获取最新版本的软件包,并将软件包分发至生产环境中的Web服务器,该文件服务器因为与Web服务器在一个VPC中,因此可以通过内网传输文件,速度快且无需带宽费用的支出,Web服务器越多,其优势越明显。
3、杭州和北京两个VPC需要通过VPC对等连接完成网络打通,并手动添加路由完成从开发环境交换机VSW-DEV到文件服务器交换机VSW-FS的联通。
4、各个区域安全组访问权限控制:
| 访问控制资源 | 源/目标IP | 方向 | 访问权限 | 协议和端口 | 作用说明 |
|---|---|---|---|---|---|
| 北京开发安全组SG-DEV | VSW-FS(192.168.200.0/24) | 入方向 | 允许 | TCP 22端口 | 文件服务器可以从北京开发环境拉取文件 |
| 文件服务器安全组SG-FS | VSW-DEV(172.16.1.0/24) | 入方向 | 允许 | TCP 22端口 | 北京开发环境可以向文件服务器推送文件 |
| VSW-WEB1(192.168.1.0/24)、VSW-WEB2(192.168.2.0/24) | 入方向 | 允许 | TCP 22端口 | WEB生产环境服务器可以从文件服务器拉取文件 | |
| WEB服务安全组SG-WEB | 0.0.0.0/0 | 入方向 | 允许 | TCP 80端口 | 对外开放WEB服务(HTTP 80) |
| VSW-FS(192.168.200.0/24) | 入方向 | 允许 | TCP 22端口 | 文件服务器可以向WEB生产环境服务器推送文件 | |
| 数据库服务安全组SG-DB01 | VSW-WEB2(192.168.2.0/24) | 入方向 | 允许 | TCP 3306端口 | WEB生产环境服务器可以从数据库服务器获取数据 |
| 数据库服务安全组SG-DB02 |
数据库所在交换机的网络ACL规则配置如下:
| 出/入方向规则 | 优先级 | 策略 | 协议类型 | 源地址/目的地址 | 目的端口 |
|---|---|---|---|---|---|
| 入方向 | 1 | 允许 | TCP | VSW-WEB2(192.168.2.0/24) | 3306/3306 |
| 入方向 | 2 | 拒绝 | ALL | 0.0.0.0/0 | -1/-1 |
| 出方向 | 1 | 允许 | TCP | VSW-WEB2(192.168.2.0/24) | 1/65535 |
| 出方向 | 2 | 拒绝 | ALL | 0.0.0.0/0 | -1/-1 |
更多关于阿里云专有网络VPC云上网络规划说明,请移步到阿里云官方VPC页面 aliyunfuwuqi.com/go/vpc
2024年阿里云服务器租用优惠价格,12月最新:
1、ECS云服务器2核2G、3M固定带宽、40G系统盘,优惠价格:99元1年; 2、ECS u1云服务器2核4G、5M固定带宽、80G系统盘,租用费用:199元1年; 3、ECS云服务器4核16G、10M带宽,优惠价格:70元1个月; 4、ECS云服务器8核32G、10M带宽,优惠价格:160元1个月; 5、轻量应用服务器2核2G3M带宽68元1个月、2核4G4M配置298元一年; 6、官方活动入口 https://t.aliyun.com/U/bLynLC
原创文章,转载请注明出处:https://aliyunfuwuqi.com/vpc/7354/