Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
ML&AI |

利用PAI平台快速构建一个高效的离线训练和在线推理的推荐业务系统。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 大数据计算服务 MaxCompute 机器学习PAI 云速搭
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
业务上云 |

适用于中小型电商应用上云。包括常用最佳实践架构,同时提供云上资源建站和数据库迁移实践操作。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB 数据传输

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=323, bpId=198, name=基于转发路由器构建企业级组网, author=null, keyword=企业组网, description=由于业务需要,客户在云上同地域有多个 VPC,希望可以实现多 VPC 之间的灵活通信,如全部 VPC 之间可以互相访问、部分 VPC 隔离、所有流量引流至安全 VPC 做安全管控(如Palo Alto防火墙)、所有 VPC 统一互联网出口等场景, position=null, ossUrl=bp-4OTDVS0OZD45P59M.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

通过云企业网转发路由器

1. 实现灵活的互通、隔离、引流策略
2. VPC 间的内网互访流量经过三方安全设备管控(如Palo Alto)
3. 统一多 VPC 的互联网访问出口,提高业务安全性

, templateId=null, freetry=, visitTime=null, visitCount=null, video_url=, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 基于转发路由器构建同地域企业级组网 最佳实践 场景一:多 VPC互联互通 场景描述 由于业务需要,客户在云上同地域有多个 VPC, 希望可以实现多 VPC之间的灵活通信,如全部 VPC之间可以互相访问、部分 VPC隔离、所有 流量引流至安全 VPC做安全管控、所有 VPC统 一互联网出口等场景。 场景二:部分 VPC隔离 解决问题 1. 实现灵活的互通、隔离、引流策略 2. VPC 间的内网互访流量经过三方安全设备 管控 3. 统一多 VPC的互联网访问出口,提高业务 安全性 产品列表 专有网络 VPC 云企业网 CEN 云服务器 ECS 场景三:服务链(东西向安全) 场景四:统一互联网出口(南北向安全)
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 基于转发路由器构建企业级组网 最佳实践 文档版本:20210218 文档版本:20210204 2
3基于转发路由器构建企业级组网 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 基于转发路由器构建企业级组网 文档编号 198 文档版本 V1.1 版本日期 2021-02-18 文档状态 外部发布 制作人 毕役,敏清,木卅 审阅人 谈慧杰 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2021-02-04 毕役 - 发布 V1.1 2021-02-18 毕役 增加 Palo Alto防火墙配置 欢迎加入 最佳实践频道 阿里云最佳实践技术分享群 文档版本:20210204 I
4基于转发路由器构建企业级组网 名词解释 名词解释 VPC:专有网络(Virtual Private Cloud),帮助您基于阿里云构建出一个隔离的网 络环境,并可以自定义 IP地址范围、网段、路由表和网关等;此外,也可以通过 专线/VPN/GRE等连接方式实现云上 VPC与传统 IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc VSW:虚拟交换机(Virtual Switch),阿里云专有网络的基础网络设备,通过创建 交换机为专有网络划分一个或者多个子网。 CEN:云企业网 CEN(Cloud Enterprise Network)是承载在阿里云提供的高性 能、低延迟的私有全球网络上的一张高可用网络。云企业网可帮助您在不同地域 专有网络 VPC(Virtual Private Cloud)之间、VPC与本地数据中心间搭建私网通 信通道,实现同地域或跨地域网络互通;同时,云企业网支持在地域内定义灵活的 互通、隔离、引流策略,帮助您打造一张灵活、可靠、大规模的企业级全球互联网 络。产品详情:https://www.aliyun.com/product/cbn TR:云企业网在每个地域提供了一台转发路由器(Transit Router),云上 VPC、 云服务和云下本地网络均可以连接到转发路由器中实现互联互通,多个地域的 Transit Router可以相互连接,实现全网资源的互通。Transit Router上支持定义 灵活的互通、隔离、引流策略,帮助打造一张灵活、可靠、大规模的企业级全球互 联网络。 TR连接(TR Attachments):代表 TR与其他网络实例互联的实体,分为 VPC连 接、VBR连接、CCN连接、跨地域连接四种类型。 TR ENI: VPC到 TR的 Attachment会在 VPC中提供一对主备关系的 ENI,作 为 VPC发送流量到 TR的流量入口。客户在 VPC中配置路由时,下一跳为 TR Attachment,无需关心具体的 ENI。 TR路由表(TR Route Table):每个 TR可以配置一张或多张路由表,用于配置网 络实例之间的互通、隔离、引流策略。 ECS:云服务器(Elastic Compute Service,简称 ECS)是一种简单高效、处理能 力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率, 降低 IT 成本,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs 文档版本:20210204 III
5基于转发路由器构建企业级组网 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 名词解释 .............................................................................................................................................................. III 目录 ..................................................................................................................................................................... IV 最佳实践概述 ....................................................................................................................................................... 1 前置条件 ............................................................................................................................................................... 2 1. 基础网络环境构建 ........................................................................................................................................ 3 1.1. 组网架构图 .................................................................................................................................... 3 1.2. 环境构建 ........................................................................................................................................ 3 1.2.1. 创建 VPC & ECS ....................................................................................................................... 3 1.2.2. 创建云企业网 CEN & 转发路由器 ......................................................................................... 4 1.2.3. 添加 VPC到转发路由器 ......................................................................................................... 6 2. 企业级组网场景 ............................................................................................................................................ 8 2.1. 所有 VPC互联互通 ........................................................................................................................ 8 2.1.1. 配置 VPC路由表 .................................................................................................................... 8 2.1.2. 配置转发路由器路由学习 ................................................................................................... 10 2.1.3. 配置转发路由器关联转发 ................................................................................................... 13 2.1.4. 验证网络连通性 ................................................................................................................... 13 2.2. 部分 VPC隔离 .............................................................................................................................. 15 2.2.1. 配置 VPC路由表 .................................................................................................................. 16 2.2.2. 配置转发路由器系统路由表 ................................................................................................ 16 2.2.3. 配置转发路由器自定义路由表 ............................................................................................ 18 2.2.4. 验证网络连通性 ................................................................................................................... 20 2.3. Service Chain服务链(东西向安全) ......................................................................................... 21 2.3.1. 配置 VPC路由表 .................................................................................................................. 22 2.3.1.1. VPC B & VPC C ............................................................................................................... 22 2.3.1.2. 共享服务 VPC A ............................................................................................................ 22 2.3.2. 配置转发路由器路由 ........................................................................................................... 25 2.3.2.1. VPC B & VPC C ............................................................................................................... 25 2.3.2.2. 共享服务 VPC A ............................................................................................................ 28 2.3.3. 验证网络连通性 ................................................................................................................... 31 2.4. 统一互联网出口(南北向安全) ................................................................................................ 41 2.4.1. 给互联网 VPC配置 NAT网关 ............................................................................................... 42 2.4.2. 配置互联网 VPC路由表 ....................................................................................................... 44 2.4.3. 验证网络连通性 ................................................................................................................... 45 文档版本:20210204 IV
6基于转发路由器构建企业级组网 最佳实践概述 最佳实践概述 本篇最佳实践按照网络规划在香港创建三个 VPC以及多个交换机,同时在交换机内部 署服务器 ECS,通过执行 ping命令检查网络连通性。然后再创建云企业网以及转发 路由器将这三个 VPC加载进来。基于这样的网络环境,通过配置 VPC路由和转发路 由器路由,实现以下四个场景: 场景一:多 VPC之间互联互通 加入老版本 CEN的 VPC、VBR、CCN默认全部互通,路由自动学习,配置简单。 但组网规模受限,如每个地域最多支持 15个网络实例。组网也不灵活,每个 VPC 只能加入一个 CEN。更重要的是无法支持如服务链等复杂场景组网。新版云企业 网 CEN-TR加载的网络实例之间默认不通,通过路由学习和静态配置实现互联互 通。每个地域最多支持 100个网络实例,2000条路由。一个 VPC最多可以加入 5个 CEN。 场景二:部分 VPC隔离 新版本云企业网 CEN默认加载的网络实例之间不通,可以根据业务需要配置实现 多个 VPC访问某一个提供共享服务的 VPC但彼此之间又互相隔离。 场景三:服务链(东西向安全) 内网 VPC之间的互访流量经过三方防火墙管控,实现东西向流量引流至安全管控 VPC。 场景四:统一互联网出口(南北向安全) 云上部署的所有 VPC从统一的互联网出口访问 Internet,便于集中管控,提高业 务安全性。 文档版本:20210204 1
7基于转发路由器构建企业级组网 前置条件 前置条件 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证页 面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成实名 认证。 阿里云账户余额大于 100元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。 新版云企业网 CEN公测工单申请通过 东西向安全的服务链场景需要申请给中转 VPC打标 南北向安全的统一互联网出口场景需要申请给 NAT打标 文档版本:20210204 2
8基于转发路由器构建企业级组网 基础网络环境构建 1. 基础网络环境构建 在同一个地域下(如香港),创建云企业网 CEN和转发路由器 TR,并将同地域的三个 VPC加载到转发路由器,作为后续多个场景的基础网络环境。 1.1. 组网架构图 转发路由器挂载同地域的三个 VPC,默认 VPC之间网络不通。 1.2. 环境构建 1.2.1. 创建 VPC & ECS 在同一地域(如香港)创建 3个 VPC,每个 VPC内创建 3个交换机(因为香港的转 发路由器是部署在可用区 B和可用区 C,所以 VPC的交换机必须包含可用区 B和可 用区 C)。在其中一个交换机部署一台 ECS,用于做网络连通性检测。 步骤1 参考 https://help.aliyun.com/document_detail/65398.html,在香港地域分别创建 3个 VPC和 3个交换机,地址规划如下。其中可用区 B和可用区 C用来与转发路由器通 信。 VPC VPC-CIDR 交换机-CIDR 10.1.0.0/24 - 可用区 B VPC-A 10.1.0.0/16 10.1.1.0/24 - 可用区 C 10.1.2.0/24 - 可用区 C 10.2.0.0/24 - 可用区 B VPC-B 10.2.0.0/16 10.2.1.0/24 - 可用区 C 10.2.2.0/24 - 可用区 C 文档版本:20210204 3