业务需要全球部署来看看企业级全球网络架构与解决方案.docx

业务需要全球部署？来看看企业级全球网络架构与解决方案随着企业的发展，企业本身的业务将逐渐从一个地域拓展到更广泛的地区，甚至是全球。在全球互联网发展的大背景下，跨国企业如何进行全球化的网络部署和架构，本文就和大家一起来探讨全球业务背景下的网络部署。企业级全球网络企业级网络区别于普通的个人互联网络，区别主要体现在自主可控，稳定可靠，高速互联，安全隔离四方面需求上。首先，自主可控。企业必须牢牢掌握网段规划、IP地址的划分、公网的接入等相关的网络管理能力，对于企业内的所有网络，网元都必须实现自主可控。其次，稳定可靠。网络作为企业的基础设施，网络的稳定可靠关系到上层业务和服务的延续性和稳定，因此，企业级网络必须是稳定可靠的。第三，安全隔离。企业级网络必须做到安全、隔离，尤其在云端的网络和租户的隔离更加重要。第四，高速互联，在全球化的背景下企业的业务面向的是全球的用户，不同地域部署的业务系统之间实现高速互联是非常重要的要求。此外，在云计算的大势所趋之下，企业的业务通常面向全球用户，此时需要建立全球的骨干网，实现业务多地部署、跨国部署，云上资源与云下用户自建的IDC等基础设施互联也是需要考虑的问题。同时，对于网络的按需购买、即时交付、弹性伸缩的需求也应运而生。?典型场景与方案场景一：企业建立云端自主可控网络在云上经典网络中，用户是没有网络管理功能的，更做不到自主可控；尽管自建物理网络可以实现用户想要的功能，但成本很高。通过在云上采用虚拟网络的方式，既解决了云上经典网络功能匮乏的问题，同时功能更多、更好、更快，成本也极大降低了。自主可控网络中较为重要的一点是可以进行网络规划，自主进行IP地址规划、自定义路由、公网访问；另外一个重要的功能是进行安全隔离，实现云上资源租户、生产与测试环境之间的隔离，以及访问控制。要实现自主可控的网络，阿里云给出的解决方案是专有网络VPC。目前，阿里云的网络产品中，主要分为两种网络类型：经典网络（Classic），专有网络（VPC）。经典网络，统一部署在阿里云的公共基础网络内，网络的规划和管理由阿里云负责，更适合对网络易用性要求比较高的客户。专有网络VPC，是指用户在阿里云的基础网络内建立一个可以自定义的专有隔离网络，用户可以自定义这个专有网络的网络拓扑和 IP 地址，与经典网络相比，专有网络比较适合有网络管理能力和需求的客户。对于企业级用户来讲，VPC可以理解为一个网络容器，其中包含路由器、交换机，弹性计算服务ECS、数据库RDS、负载均衡SLB等云产品可以放在VPC这个容器内。VPC的两大特性非常适应上述场景要求：首先，VPC是安全隔离的网络，它是使用隧道技术二层隔离的网络，比三层隔离更为安全；其次，VPC是可控的网络，用户可以通过VPC实现IP地址的规划、控制云资源访问的安全组以及控制公网出入。VPC的原理是通过使用SDN的思想进行网络功能虚拟化，简单来说包括网络虚拟化和网元虚拟化，网络虚拟化是将物理网络进行封装，给每个用户一张独立的虚拟网络；网元虚拟化是将网络设备进行虚拟化，提供给用户在虚拟网络中使用。阿里云在2016年4月20日深圳云栖大会上宣布云产品全面进入VPC时代，新用户后续只能购买VPC类型的云资源，此外阿里云云产品95%的云产品都接入到VPC。从业内来看，目前主要的云服务商如AWS都提供了VPC，并且大部分不再提供经典的网络。为了打消用户使用VPC时可能会存在其他方面的顾虑，阿里云提供了Default VPC，即默认VPC功能，使得初级用户也能使用VPC内的云资源，同时系统会自动为用户建立VPC和VSwitch；同时阿里云产品95%都接入了VPC，因此使用者可以大胆地使用VPC，无需担心VPC与其他产品不匹配的问题。场景二：企业访问云产品企业级网络中的第二个重要需求是高速互联。企业级客户使用VPC构建了自主可控，安全隔离的网络环境，但客户的业务还需要与其他互联网云化应用进行互联互通。阿里云为解决用户的高速互联提供了VPC中访问云产品有两种访问方式：用户私有IP访问，用户是以自己VPC内的一个私网IP访问云产品，例如用户A的VPC地址段是192.168.1.0/24，用户可使用192.168.1.1作为其RDS的IP，用户可使用192.168.1.2作为其ECS服务器的IP，这种方式一般适用于实例型云产品，如RDS、SLB等；公共IP访问，一个Region内所有用户的VPC都是使用同一个IP访问云产品，例如北京的所有VPC都使用100.100.18.8这个IP访问OSS服务，这种方式适用于非实例型云产品。场景三：企业公网流量管理VPC是一个隔离的私有网络，默认情况下外网是无法与内网进行通信的。阿里云提供了三款产品用于VPC控制公网出入：弹性公网IP、负载均衡、NAT网关。上图架构中最左侧是弹性公网