网络架构优化--云企业网典型场景分析for客户
?
?
1. 背景描述
客戶從傳統(tǒng)的高速通道遷移到云企業(yè)網(wǎng),加入云企業(yè)網(wǎng)的VPC,VBR默認(rèn)全通,但是實(shí)際業(yè)務(wù)場(chǎng)景需要更嚴(yán)格的策略做選擇性放通。此外,由于測(cè)試賬號(hào)沒有實(shí)際專線和VBR,本文均以VPC舉例講解路由策略的配置,VBR類似。
2. 概念理解
?
圖1
?
3. 環(huán)境準(zhǔn)備
3.1 創(chuàng)建VPC,vswitch,ECS
VPC1:vpc-j**nv?網(wǎng)段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用區(qū)B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用區(qū)B
VPC1-ECS2:10.0.2.*
VPC2:vpc-j**ob?網(wǎng)段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用區(qū)B
VPC2-ECS1:172.16.*
VPC3:vpc-g**rl?網(wǎng)段:192.168.0.0/16 地域:法蘭克福
vswitch: 192.168.1.0/24 法蘭克福 可用區(qū)A
VPC3-ECS1:192.168.1.*
以上3個(gè)VPC的4個(gè)vswitch各創(chuàng)建一臺(tái)ECS,安全組上放開10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16
3.2 創(chuàng)建CEN
參考官網(wǎng):https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha
I 登錄云企業(yè)網(wǎng)控制臺(tái)。
II 在云企業(yè)網(wǎng)實(shí)例頁(yè)面,單擊創(chuàng)建云企業(yè)網(wǎng)實(shí)例。
III 在創(chuàng)建云企業(yè)網(wǎng)實(shí)例頁(yè)面,完成以下操作:
說明:確保要加載的網(wǎng)絡(luò)實(shí)例沒有加入到其他的云企業(yè)網(wǎng)實(shí)例中。
IV 單擊確定。
?
圖2
?
4. 場(chǎng)景實(shí)戰(zhàn)
4.1 場(chǎng)景一:VPC通過CEN實(shí)現(xiàn)全通
4.1.1 場(chǎng)景描述:VPC1,VPC2,VPC3全部互通
?
圖3
?
4.1.2 實(shí)現(xiàn)步驟
4.1.2.1 ping檢驗(yàn)當(dāng)前連通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1
- VPC1-ECS1/2----Nok----VPC3-ECS1
- VPC2-ECS1----Nok----VPC3-ECS1
(ok表示可以ping通,Nok表示無(wú)法ping通,下同)
4.1.2.2 將3個(gè)VPC加入云企業(yè)網(wǎng)
參考官網(wǎng):
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF
4.1.2.3 企業(yè)網(wǎng)以及VPC的路由分析
理解路由是很關(guān)鍵的步驟,也是檢查配置問題最終、最有效的手段,所以我們花點(diǎn)時(shí)間。
1)香港地域網(wǎng)關(guān)
?
圖4
?
100.64.0.0/10是云服務(wù)的保留地址段,由系統(tǒng)自動(dòng)添加,以下不再重復(fù)解釋。
2)法蘭克福地域網(wǎng)關(guān)
?
圖5
?
從香港和法蘭克服地域網(wǎng)關(guān)的路由信息來(lái)看:
①VPC1,VPC2的路由成功上報(bào)給香港地域網(wǎng)關(guān),并且同步至法蘭克福的地域網(wǎng)關(guān)。
②VPC3的路由成功上報(bào)給法蘭克福的地域網(wǎng)關(guān),并且同步至香港的地域網(wǎng)關(guān)。
接下來(lái)我們看下各個(gè)VPC的情況,看下地域網(wǎng)關(guān)是否將對(duì)應(yīng)的路由信息下發(fā)。
3)VPC1
?
圖6
?
4)VPC2
?
圖7
?
5)VPC3
?
圖8
?
從VPC內(nèi)的路由信息來(lái)看:
VPC內(nèi)部的交換機(jī)網(wǎng)段,系統(tǒng)自動(dòng)添加了本地路由,且已經(jīng)上報(bào)至對(duì)應(yīng)地域網(wǎng)關(guān)。
地域網(wǎng)關(guān)中的VPC上報(bào)的路由信息,已經(jīng)下發(fā)至其他VPC中。
4.1.2.4 ping再次檢驗(yàn)當(dāng)前連通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----ok----VPC2-ECS1 (云企業(yè)網(wǎng)連通)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
4.2 場(chǎng)景二:限制VPC間互通
4.2.1 場(chǎng)景描述
VPC1與VPC3互通(場(chǎng)景一已實(shí)現(xiàn)),VPC1與VPC2不通,VPC2與VPC3不通。
?
圖9
?
4.2.2 策略分析-VPC1與VPC2不通(同地域)
如VPC1與VPC2不通,那么我們要從1,2,3,4入手,其中1,4是VPC上報(bào)路由給地域網(wǎng)關(guān),為了不影響VPC1,VPC2的路由上報(bào)并且下發(fā)給VPC3,所以我們需要保證暢通,那么可以從2和3入手。
1)其中2中可以設(shè)置策略讓VPC1拒絕由香港地域網(wǎng)關(guān)同步過來(lái)的VPC2的路由,源是VPC2,目的是VPC1,出地域網(wǎng)關(guān)方向。
2)對(duì)于3可以設(shè)置策略:讓VPC2拒絕由香港地域網(wǎng)關(guān)同步過來(lái)的VPC1的路由,源是VPC1,目的是VPC2,出地域網(wǎng)關(guān)方向。
?
圖10
?
4.2.3 策略配置-VPC1與VPC2不通(同地域)
4.2.3.1 拒絕VPC1訪問VPC2的路由
對(duì)應(yīng)圖10中線路2
1)點(diǎn)擊添加路由策略
?
圖11
?
2)填寫策略信息
- 策略優(yōu)先級(jí):數(shù)字越小,優(yōu)先級(jí)越高
- 地域:香港地域
- 應(yīng)用方向:出地域網(wǎng)關(guān)
- 匹配條件:源和目的VPC
- 策略行為:拒絕
?
圖12
?
3)檢查效果,查看VPC1的路由表,可以看到已經(jīng)拒絕VPC1訪問VPC2的路由。
?
圖13
?
4.2.3.2 拒絕VPC2訪問VPC1的路由
對(duì)應(yīng)圖10中線路3
1)配置步驟同上,配置截圖如下:
?
圖14
?
2)檢查效果:查看VPC2的路由表,可以看到已經(jīng)拒絕VPC2訪問VPC1的路由。
?
圖15
?
4.2.4 策略驗(yàn)證-VPC1與VPC2不通(同地域)
ping檢驗(yàn)當(dāng)前連通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
4.2.5 策略分析-VPC2與VPC3不通(跨地域)
如VPC2與VPC3不通,那么我們要從3,4,5,6,7,8入手,其中4,8是VPC上報(bào)路由給地域網(wǎng)關(guān),為了不影響VPC2,VPC3的路由上報(bào)并且下發(fā)給VPC1,所以我們需要保證暢通,然后5,6是保證兩個(gè)地域之間的路由互通的,為了不影響地域下其他VPC的互通,需要保證通暢,那么可以從3和7入手。
1)其中3中可以設(shè)置策略讓VPC2拒絕由香港地域網(wǎng)關(guān)同步過來(lái)的VPC3的路由,源是VPC3,目的是VPC2,出地域網(wǎng)關(guān)方向。
2)對(duì)于7可以設(shè)置策略:讓VPC2拒絕由法蘭克福地域網(wǎng)關(guān)同步過來(lái)的VPC2的路由,源是VPC2,目的是VPC3,出地域網(wǎng)關(guān)方向。
?
圖16
?
4.2.6 策略配置-VPC2與VPC3不能互通(跨地域)
4.2.6.1 拒絕VPC2訪問VPC3的路由
對(duì)應(yīng)圖16中線路3
1)配置截圖如下:
主要注意點(diǎn),由于配置跨地域了,需要指明源實(shí)例對(duì)應(yīng)的地域:法蘭克福。
?
圖17
?
2)檢查效果,查看VPC2的路由表,可以看到已經(jīng)拒絕VPC2訪問VPC3的路由。
?
圖18
?
4.2.6.2 拒絕VPC2訪問VPC3的路由
對(duì)應(yīng)圖16中線路7
1)配置截圖如下:
主要注意點(diǎn),這次地域選擇法蘭克福,由于配置跨地域了,需要指明源實(shí)例對(duì)應(yīng)的地域:香港。
?
圖19
?
2)檢查效果,查看VPC3的路由表,可以看到已經(jīng)拒絕VPC3訪問VPC2的路由。
?
圖20
?
4.2.7 策略驗(yàn)證-VPC2與VPC3不通(跨地域)
ping檢驗(yàn)當(dāng)前連通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
- VPC2-ECS1----Nok----VPC3-ECS1 (訪問控制策略生效)
至此,場(chǎng)景二的需求已經(jīng)完全實(shí)現(xiàn)!
4.3 場(chǎng)景三:限制網(wǎng)段間互通
4.3.1 場(chǎng)景描述
VPC1與VPC2不通(場(chǎng)景二已實(shí)現(xiàn)),VPC2與VPC3連通(需要去除場(chǎng)景二中4.2.6章節(jié)的控制策略),VPC1的vswitch1與VPC3不通,vswitch2與VPC連通。
?
圖21
?
4.3.2 策略分析-VPC2與VPC3互通
刪除4.2.6中配置的路由策略即可。
4.3.3 策略配置-VPC2與VPC3互通
1)刪除策略(這里為實(shí)驗(yàn)環(huán)境,實(shí)際生產(chǎn)環(huán)境刪除策略需謹(jǐn)慎評(píng)估)。
?
圖22
?
2)檢查效果
- VPC2中VPC3的路由條目恢復(fù)可用。
?
圖23
?
- VPC3中VPC2的路由條目恢復(fù)可用。
?
圖24
?
4.3.4 策略驗(yàn)證-VPC2與VPC3互通
ping檢驗(yàn)當(dāng)前連通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
- VPC2-ECS1----ok----VPC3-ECS1 (訪問控制策略刪除)
4.3.5 策略分析-VPC1與VPC3限制網(wǎng)段互通
VPC1與VPC3的聯(lián)通,要從1,2,5,6,7,8入手,其中1,8是VPC上報(bào)路由給地域網(wǎng)關(guān),為了不影響VPC1,VPC3的路由上報(bào)并且下發(fā)給其他VPC,所以我們需要保證暢通,然后5,6是保證兩個(gè)地域之間的路由互通的,為了不影響地域下其他VPC的互通,需要保證通暢。最后由于VPC1中只是部分網(wǎng)段與VPC3不通,所以VPC3的路由還是需要通過2給到VPC1,所以我們從7入手。
1)7可以設(shè)置策略:讓VPC3拒絕由法蘭克福地域網(wǎng)關(guān)同步過來(lái)的VPC1的路由條目10.0.1.0/24,源是VPC1,目的是VPC3,出地域網(wǎng)關(guān)方向,并且指定網(wǎng)段。
?
圖25
?
4.3.6 策略配置-VPC1與VPC3限制網(wǎng)段互通
1)配置截圖,重點(diǎn)是增加路由前綴的匹配條件。
?
圖26
?
2)檢查效果
VPC3中已經(jīng)拒絕了VPC1中10.0.1.0/24網(wǎng)段的路由。
?
圖27
?
4.3.7 策略驗(yàn)證-VPC1與VPC3限制網(wǎng)段互通
ping檢驗(yàn)當(dāng)前連通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
- VPC1-ECS1----Nok----VPC3-ECS1 (訪問控制策略)
- VPC1-ECS2----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企業(yè)網(wǎng)連通)
至此,場(chǎng)景三的全部需求實(shí)現(xiàn)。
4.4 反向思維:默認(rèn)不通,選擇性打通
4.4.1 場(chǎng)景描述
云企業(yè)網(wǎng)(CEN)默認(rèn)策略是加入的實(shí)例全部互通,對(duì)于VPC,VBR實(shí)例較多,且時(shí)不時(shí)有新增實(shí)例,訪問控制較為復(fù)雜的用戶,可以選擇先設(shè)置默認(rèn)Deny的低優(yōu)先級(jí)策略然后根據(jù)需求再做開通的高優(yōu)先級(jí)策略。建議用戶用此方式管理CEN路由策略。
讓我們用反向的思維,重新看待下場(chǎng)景二:
?
圖28
?
4.4.2 策略分析--反向思維
如何做到讓加入的VPC,VBR實(shí)例都默認(rèn)不通呢?在前面的整個(gè)配置過程中,我們都是通過拒絕CEN的地域網(wǎng)關(guān)下發(fā)到VPC,VBR的路由來(lái)實(shí)現(xiàn)不互通的需求,那么我們考慮設(shè)置整個(gè)地域的實(shí)例默認(rèn)拒絕CEN地域網(wǎng)關(guān)下發(fā)的路由即可,效果如下圖。
1)香港地域網(wǎng)關(guān):出地域網(wǎng)關(guān)方向,所有VPC,VBR,CCN(云鏈接網(wǎng))拒絕網(wǎng)關(guān)的下發(fā)路由。
2)法蘭克福地域網(wǎng)關(guān):出地域網(wǎng)關(guān)方向,所有VPC,VBR,CCN(云鏈接網(wǎng))拒絕網(wǎng)關(guān)的下發(fā)路由。
?
圖29
?
經(jīng)過上面兩步后,兩個(gè)地域除了網(wǎng)關(guān)之間的所有入地域網(wǎng)關(guān)均被阻斷,包括后續(xù)新增加的VPC,VBR實(shí)例。所以,當(dāng)前場(chǎng)景二就演變成需要打通VPC2與VPC3。即新增策略(策略優(yōu)先級(jí)一定要高于默認(rèn)Deny的策略)允許3和7。
?
圖30
?
1)其中3中可以設(shè)置策略讓VPC1允許由香港地域網(wǎng)關(guān)同步過來(lái)的VPC3的路由,源是VPC3,目的是VPC2,出地域網(wǎng)關(guān)方向。
2)對(duì)于7可以設(shè)置策略:讓VPC3允許由法蘭克福網(wǎng)關(guān)同步過來(lái)的VPC2的路由,源是VPC2,目的是VPC3,出地域網(wǎng)關(guān)方向。
4.4.3 策略配置--反向思維
4.4.3.1 配置香港與法蘭克福地域網(wǎng)關(guān)默認(rèn)不通
對(duì)應(yīng)圖29
對(duì)于我們的實(shí)驗(yàn)環(huán)境,為了演示方便,清理場(chǎng)景二、三種配置的路由策略(實(shí)際生產(chǎn)環(huán)境刪除策略需謹(jǐn)慎評(píng)估)。然后所有VPC,VBR,CCN拒絕CEN地域網(wǎng)關(guān)下發(fā)的路由,策略優(yōu)先級(jí)設(shè)置低一些,后續(xù)設(shè)置的放通策略優(yōu)先級(jí)是一定要高于默認(rèn)拒絕的策略,配置截圖如下:
a.香港地域
?
圖31
?
b.法蘭克福地域
?
圖32
?
此時(shí)VPC1,VPC2,VPC3中拒絕了所有本地域的CEN網(wǎng)關(guān)發(fā)來(lái)的路由,VPC1舉例截圖如下:
?
圖33
?
4.4.3.2 配置VPC1與VPC3可以互通
對(duì)應(yīng)圖30
a. 允許VPC1接受VPC3的路由,策略優(yōu)先級(jí)要高于默認(rèn)的策略。
?
圖34
?
路由驗(yàn)證:VPC1中已經(jīng)接受VPC3的路由信息。
?
圖35
?
b. 允許VPC3接受VPC1的路由,策略優(yōu)先級(jí)要高于默認(rèn)的策略。
?
圖36
?
路由驗(yàn)證:VPC3中已經(jīng)接受VPC1的路由信息。
?
圖37
?
4.4.4 策略驗(yàn)證-反向思維
?
圖38
?
ping檢驗(yàn)當(dāng)前連通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一個(gè)VPC,二層互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (默認(rèn)不通的訪問控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (允許VPC1與VPC3通信的訪問策略生效)
- VPC2-ECS1----Nok----VPC3-ECS1 (默認(rèn)不通的訪問控制策略生效)
至此,場(chǎng)景二的需求已經(jīng)通過反向思維完全實(shí)現(xiàn)!后續(xù):
如果在香港,法蘭克福地域有新加入VPC,VBR實(shí)例,需要與已經(jīng)在CEN中的實(shí)例通信時(shí),只需要按照4.4.3.2的方式配置一對(duì)放通策略即可。
如果有其他地域的VPC,VBR實(shí)例加入CEN,可以先如4.4.3.1配置默認(rèn)deny的策略,然后再根據(jù)情況按4.4.3.2配置放通策略。
原文鏈接
本文為阿里云原創(chuàng)內(nèi)容,未經(jīng)允許不得轉(zhuǎn)載。
總結(jié)
以上是生活随笔為你收集整理的网络架构优化--云企业网典型场景分析for客户的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 借力阿里云存储产品 延锋彼欧加速数字化重
- 下一篇: 一款App基于mPaaS小程序如何进行改