《Deep Dive:VPC网络架构设计.pdf》由会员分享,可在线阅读,更多相关《Deep Dive:VPC网络架构设计.pdf(11页珍藏版)》请在三个皮匠报告上搜索。
1、潘志新阿里云 云网络高级解决方案专家自主规划IP子网和路由网络可视化实现快速排障连接内外网及服务伙伴不同VPC之间网络完全隔离,防火墙引流VPC-ARegion-A10.0.0.0/2410.0.1.0/24Available zone-1Available zone-2ECS2408:4005:200:2b01:/6410.0.2.0/24private subnet172.16.0.0/24private subnetSLBECSENIECSpublic subnetHAVIPVPC-BVPC PeeringTransit-RouterRegion-BTransit-RouterVPCVB
2、RVPCOn-Premises IPv4/IPv6 GWinternetNATGWInterface EndpointprivatelinkEndpoint ServiceVPCSLBVPC flow logSLS logstoreTraffic MirroringSourceTarget10.0.2.0/24subnetOn-Premises extended VPC-AOSSVPC AVPC B对等连接InternetIPv4网关Public vSwitchPublic vSwitchPrivate vSwitchPrivate vSwitchNAT网关ECSVPN网关VPC C终端节点服
3、务私网连接OSS网关终端节点ECS公网云服务私网VBR专线接口终端节点On-premisesTRVBR专线On-premisesIPv6网关2013-2017VPC&VPC PEER连接互通2017-2021CEN让组网更简单2021-Transit Router让网络更简单,让功能更强大VPC10.0.0.0/16Public vSwitch110.0.1.0/24Private vSwitch210.0.2.0/24vSwitch110.0.1.0/2410.0.2.0/24100.64.0.0/100.0.0.0/0IPv4gw-123vSwitch210.0.1.0/2410.0.2.
4、0/24100.64.0.0/10VPC10.0.0.0/16vSwitch10.0.2.0/24EIPIPv4网关/IPv6网关EIP ECS绑定EIP即可访问公网,不受路由限制 VPC缺省访问公网的方式,操作简单体验佳 公网集中控制,公网网关作为公网流量集中控制点 ingress routing,公网入VPC方向流量引流防火墙SLBSLBEndpoint 终端节点类型:1)接口终端节点2)反向终端节点3)网关终端节点 支持通过安全组和NACL控制Endpoint ENI的访问策略ENI 通过SLB(CLB/NLB/ALB)提供标准的内网服务能力 SLB挂多可用区RS实现的多可用区高可用 能
5、够获取客户端源IP、VPC等信息Endpoint ServiceVPC AvSwitch 1NAT网关ECSSLSvSwitchFlowlog流量分析&监控合规&审计网络问题排查采集报文特征信息(五元组)1,5,10分钟多钟采集间隔适用流量监控,日志留存,流量统计ENI/SLB镜像流量业务流量筛选条件筛选条件ECSECSENIENI镜像源公网入侵检测:自研或三方软件检测公网出入报文。网络排障:针对传输报文的深度分析,例如丢包、重传、乱序等用户运维采集报文全量数据(包含传输内容)采集实时流量适用深度报文检测和流量审计功能规划:子网路由/IPv6/防火墙架构规划:VPC内组网/VPC间组网安全规划:安全组/NACL/公共VPC互联网服务区接入层子网接入层子网SLBVSwitchEIPNAT共享流量包共享带宽VRouter云防火墙+DDos+WAF运维管理区运维管理子网安全管理子网SLBVSwitchVSwitch业务A区应用层子网中间件子网数据库子网SLBVRouterVSwitchVSwitch业务B区应用层子网中间件子网数据库子网SLBVRouterVSwitchVSwitch云企业网转发路由器VBR总部/IDCVBR专线VRouterIP规划:VPC地址/16;vsw地址/24THANKS