网络架构优化–云企业网典型场景分析for客户-云惠网

云惠网小编 2021年3月20日10:03:45
评论
6312字阅读21分2秒
广告也精彩

阿里云2000元通用代金券点击领取

1. 背景描述

客户从传统的高速通道迁移到云企业网,加入云企业网的VPC,VBR默认全通,但是实际业务场景需要更严格的策略做选择性放通。此外,由于测试账号没有实际专线和VBR,本文均以VPC举例讲解路由策略的配置,VBR类似。

2. 概念理解

网络架构优化–云企业网典型场景分析for客户-云惠网
网络架构优化–云企业网典型场景分析for客户-云惠网
图1

3. 环境准备

3.1 创建VPC,vswitch,ECS

VPC1:vpc-j**nv 网段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用区B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用区B
VPC1-ECS2:10.0.2.*

VPC2:vpc-j**ob 网段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用区B
VPC2-ECS1:172.16.*

VPC3:vpc-g**rl 网段:192.168.0.0/16 地域:法兰克福
vswitch: 192.168.1.0/24 法兰克福 可用区A
VPC3-ECS1:192.168.1.*

以上3个VPC的4个vswitch各创建一台ECS,安全组上放开10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16

3.2 创建CEN

参考官网:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登录云企业网控制台。
II 在云企业网实例页面,单击创建云企业网实例
III 在创建云企业网实例页面,完成以下操作:

  1. 输入实例名称。名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。
  2. 可选: 输入实例描述信息。名称长度为2~256个中英文字符,不能以http://https://开头。
  3. 加载同账号下的网络实例。您可以在创建CEN实例时,将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后,CEN实例内的网络实例可私网互通。
    说明:确保要加载的网络实例没有加入到其他的云企业网实例中。

IV 单击确定

网络架构优化–云企业网典型场景分析for客户-云惠网
图2

4. 场景实战

4.1 场景一:VPC通过CEN实现全通

4.1.1 场景描述:VPC1,VPC2,VPC3全部互通

网络架构优化–云企业网典型场景分析for客户-云惠网
图3

4.1.2 实现步骤
4.1.2.1 ping检验当前连通性
  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1
  • VPC1-ECS1/2----Nok----VPC3-ECS1
  • VPC2-ECS1----Nok----VPC3-ECS1

    (ok表示可以ping通,Nok表示无法ping通,下同)

4.1.2.2 将3个VPC加入云企业网

参考官网:
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企业网以及VPC的路由分析

理解路由是很关键的步骤,也是检查配置问题最终、最有效的手段,所以我们花点时间。
1)香港地域网关

网络架构优化–云企业网典型场景分析for客户-云惠网
图4

100.64.0.0/10是云服务的保留地址段,由系统自动添加,以下不再重复解释。
2)法兰克福地域网关

网络架构优化–云企业网典型场景分析for客户-云惠网
图5

从香港和法兰克服地域网关的路由信息来看:
①VPC1,VPC2的路由成功上报给香港地域网关,并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关,并且同步至香港的地域网关。
接下来我们看下各个VPC的情况,看下地域网关是否将对应的路由信息下发。
3)VPC1

网络架构优化–云企业网典型场景分析for客户-云惠网
图6

4)VPC2

网络架构优化–云企业网典型场景分析for客户-云惠网
图7

5)VPC3

网络架构优化–云企业网典型场景分析for客户-云惠网
图8

从VPC内的路由信息来看:
VPC内部的交换机网段,系统自动添加了本地路由,且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息,已经下发至其他VPC中。

4.1.2.4 ping再次检验当前连通性
  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2 场景二:限制VPC间互通

4.2.1 场景描述

VPC1与VPC3互通(场景一已实现),VPC1与VPC2不通,VPC2与VPC3不通。

网络架构优化–云企业网典型场景分析for客户-云惠网
图9

4.2.2 策略分析-VPC1与VPC2不通(同地域)

如VPC1与VPC2不通,那么我们要从1,2,3,4入手,其中1,4是VPC上报路由给地域网关,为了不影响VPC1,VPC2的路由上报并且下发给VPC3,所以我们需要保证畅通,那么可以从2和3入手。
1)其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC1,出地域网关方向。
2)对于3可以设置策略:让VPC2拒绝由香港地域网关同步过来的VPC1的路由,源是VPC1,目的是VPC2,出地域网关方向。

网络架构优化–云企业网典型场景分析for客户-云惠网
图10

4.2.3 策略配置-VPC1与VPC2不通(同地域)
4.2.3.1 拒绝VPC1访问VPC2的路由

对应图10中线路2
1)点击添加路由策略

网络架构优化–云企业网典型场景分析for客户-云惠网
图11

2)填写策略信息

  • 策略优先级:数字越小,优先级越高
  • 地域:香港地域
  • 应用方向:出地域网关
  • 匹配条件:源和目的VPC
  • 策略行为:拒绝

网络架构优化–云企业网典型场景分析for客户-云惠网
图12

3)检查效果,查看VPC1的路由表,可以看到已经拒绝VPC1访问VPC2的路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图13

4.2.3.2 拒绝VPC2访问VPC1的路由

对应图10中线路3
1)配置步骤同上,配置截图如下:

网络架构优化–云企业网典型场景分析for客户-云惠网
图14

2)检查效果:查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC1的路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图15

4.2.4 策略验证-VPC1与VPC2不通(同地域)

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
4.2.5 策略分析-VPC2与VPC3不通(跨地域)

如VPC2与VPC3不通,那么我们要从3,4,5,6,7,8入手,其中4,8是VPC上报路由给地域网关,为了不影响VPC2,VPC3的路由上报并且下发给VPC1,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅,那么可以从3和7入手。
1)其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。

网络架构优化–云企业网典型场景分析for客户-云惠网
图16

4.2.6 策略配置-VPC2与VPC3不能互通(跨地域)
4.2.6.1 拒绝VPC2访问VPC3的路由

对应图16中线路3
1)配置截图如下:
主要注意点,由于配置跨地域了,需要指明源实例对应的地域:法兰克福。

网络架构优化–云企业网典型场景分析for客户-云惠网
图17

2)检查效果,查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC3的路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图18

4.2.6.2 拒绝VPC2访问VPC3的路由

对应图16中线路7
1)配置截图如下:
主要注意点,这次地域选择法兰克福,由于配置跨地域了,需要指明源实例对应的地域:香港。

网络架构优化–云企业网典型场景分析for客户-云惠网
图19

2)检查效果,查看VPC3的路由表,可以看到已经拒绝VPC3访问VPC2的路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图20

4.2.7 策略验证-VPC2与VPC3不通(跨地域)

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)

至此,场景二的需求已经完全实现!

4.3 场景三:限制网段间互通

4.3.1 场景描述

VPC1与VPC2不通(场景二已实现),VPC2与VPC3连通(需要去除场景二中4.2.6章节的控制策略),VPC1的vswitch1与VPC3不通,vswitch2与VPC连通。

网络架构优化–云企业网典型场景分析for客户-云惠网
图21

4.3.2 策略分析-VPC2与VPC3互通

删除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2与VPC3互通

1)删除策略(这里为实验环境,实际生产环境删除策略需谨慎评估)。

网络架构优化–云企业网典型场景分析for客户-云惠网
图22

2)检查效果

  • VPC2中VPC3的路由条目恢复可用。

网络架构优化–云企业网典型场景分析for客户-云惠网
图23

  • VPC3中VPC2的路由条目恢复可用。

网络架构优化–云企业网典型场景分析for客户-云惠网
图24

4.3.4 策略验证-VPC2与VPC3互通

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)
4.3.5 策略分析-VPC1与VPC3限制网段互通

VPC1与VPC3的联通,要从1,2,5,6,7,8入手,其中1,8是VPC上报路由给地域网关,为了不影响VPC1,VPC3的路由上报并且下发给其他VPC,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通,所以VPC3的路由还是需要通过2给到VPC1,所以我们从7入手。
1)7可以设置策略:让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24,源是VPC1,目的是VPC3,出地域网关方向,并且指定网段。

网络架构优化–云企业网典型场景分析for客户-云惠网
图25

4.3.6 策略配置-VPC1与VPC3限制网段互通

1)配置截图,重点是增加路由前缀的匹配条件。

网络架构优化–云企业网典型场景分析for客户-云惠网
图26

2)检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图27

4.3.7 策略验证-VPC1与VPC3限制网段互通

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
  • VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
  • VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
  • VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

至此,场景三的全部需求实现。

4.4 反向思维:默认不通,选择性打通

4.4.1 场景描述

云企业网(CEN)默认策略是加入的实例全部互通,对于VPC,VBR实例较多,且时不时有新增实例,访问控制较为复杂的用户,可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维,重新看待下场景二:

网络架构优化–云企业网典型场景分析for客户-云惠网
图28

4.4.2 策略分析--反向思维

如何做到让加入的VPC,VBR实例都默认不通呢?在前面的整个配置过程中,我们都是通过拒绝CEN的地域网关下发到VPC,VBR的路由来实现不互通的需求,那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可,效果如下图。
1)香港地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
2)法兰克福地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。

网络架构优化–云企业网典型场景分析for客户-云惠网
图29

经过上面两步后,两个地域除了网关之间的所有入地域网关均被阻断,包括后续新增加的VPC,VBR实例。所以,当前场景二就演变成需要打通VPC2与VPC3。即新增策略(策略优先级一定要高于默认Deny的策略)允许3和7。

网络架构优化–云企业网典型场景分析for客户-云惠网
图30

1)其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC3允许由法兰克福网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。

4.4.3 策略配置--反向思维
4.4.3.1 配置香港与法兰克福地域网关默认不通

对应图29
对于我们的实验环境,为了演示方便,清理场景二、三种配置的路由策略(实际生产环境删除策略需谨慎评估)。然后所有VPC,VBR,CCN拒绝CEN地域网关下发的路由,策略优先级设置低一些,后续设置的放通策略优先级是一定要高于默认拒绝的策略,配置截图如下:
a.香港地域

网络架构优化–云企业网典型场景分析for客户-云惠网
图31

b.法兰克福地域

网络架构优化–云企业网典型场景分析for客户-云惠网
图32

此时VPC1,VPC2,VPC3中拒绝了所有本地域的CEN网关发来的路由,VPC1举例截图如下:

网络架构优化–云企业网典型场景分析for客户-云惠网
图33

4.4.3.2 配置VPC1与VPC3可以互通

对应图30
a. 允许VPC1接受VPC3的路由,策略优先级要高于默认的策略。

网络架构优化–云企业网典型场景分析for客户-云惠网
图34

路由验证:VPC1中已经接受VPC3的路由信息。

网络架构优化–云企业网典型场景分析for客户-云惠网
图35

b. 允许VPC3接受VPC1的路由,策略优先级要高于默认的策略。

网络架构优化–云企业网典型场景分析for客户-云惠网
图36

路由验证:VPC3中已经接受VPC1的路由信息。

网络架构优化–云企业网典型场景分析for客户-云惠网
图37

4.4.4 策略验证-反向思维

网络架构优化–云企业网典型场景分析for客户-云惠网
图38

ping检验当前连通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
  • VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)

至此,场景二的需求已经通过反向思维完全实现!后续:
如果在香港,法兰克福地域有新加入VPC,VBR实例,需要与已经在CEN中的实例通信时,只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC,VBR实例加入CEN,可以先如4.4.3.1配置默认deny的策略,然后再根据情况按4.4.3.2配置放通策略。

参考文档

[1]创建CEN实例:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha
[2]云企业网控制台:https://cen.console.aliyun.com/cen/list
[3]加载网络实例:https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

我们是阿里云智能全球技术服务-SRE团队,我们致力成为一个以技术为基础、面向服务、保障业务系统高可用的工程师团队;提供专业、体系化的SRE服务,帮助广大客户更好地使用云、基于云构建更加稳定可靠的业务系统,提升业务稳定性。我们期望能够分享更多帮助企业客户上云、用好云,让客户云上业务运行更加稳定可靠的技术,您可用钉钉扫描下方二维码,加入阿里云SRE技术学院钉钉圈子,和更多云上人交流关于云平台的那些事。

腾讯云618
云惠网小编
Serverless 时代 DevOps 的最佳打开方式-云惠网 云计算

Serverless 时代 DevOps 的最佳打开方式-云惠网

阿里云2000元通用代金券点击领取 作者 | 许成铭(竞霄)来源 | 阿里巴巴云原生公众号 DevOps 简析 传统软件开发过程中,开发和运维是极其分裂的两个环节,运维人员不关心代码是怎样运作的,开发...
数字政府 | 政务钉钉平台 -云惠网 云计算

数字政府 | 政务钉钉平台 -云惠网

阿里云2000元通用代金券点击领取 “政务钉钉”移动政务协同平台作为数字政府“三端”之一,打造统一入口,打通业务应用,消除数据壁垒,实现跨部门互联互通和协同联动,实现组织在线、沟通在线、协同在线、业务...
腾讯云618

发表评论