Azure助力出海企業(yè)全球架構建設

Azure助力出海企業(yè)全球架構建設

概述

越來越多的中國企業(yè)在海外開展業(yè)務, 上云已經(jīng)成為了新常態(tài)。怎樣保證云上的安全管控，穩(wěn)定的網(wǎng)絡連接及良好的客戶體驗成為大家都關心的話題。Azure在全球運營著60多個區(qū)域云數(shù)據(jù)中心, 超過185個全球網(wǎng)絡POP接入點, 及165,000 英里的光纖和海底電纜系統(tǒng)。基于Azure廣泛的全球基礎設施，企業(yè)可以快速地將業(yè)務部署到全球各地。同時在部署業(yè)務時，怎樣將國內(nèi)/國外, 云上/云下的IT資源連接起來，通過內(nèi)網(wǎng)實現(xiàn)應用程序間安全、穩(wěn)定的連接。來滿足出海企業(yè)對公有云、混合云、多云部署的需求。本文將通過Azure提供的ExpressRoute, VNET Peer, Azure Firewall,Azure WAF等技術給大家介紹幾種典型的出海企業(yè)全球架構模式。

Azure混合云網(wǎng)絡連接方式

全球架構的基礎是混合云網(wǎng)絡連接, Azure ExpressRoute可通過連接服務提供商所提供的專用連接，將本地網(wǎng)絡擴展到 Azure云。ExpressRoute使用 BGP（一種行業(yè)標準動態(tài)路由協(xié)議），在本地網(wǎng)絡、Azure云中的實例之間交換路由。

為了實現(xiàn)低成本的高可用架構, 我們可以通過將S2S VPN 用作 Azure ExpressRoute的備用解決方案, 這個是主動-被動模式。即平時是ER專線工作, 當ER專線故障時, 才會切換到S2S VPN, 以提供高可用的網(wǎng)絡連接。

Azure企業(yè)全球網(wǎng)絡架構

將本地私有網(wǎng)絡連接到Azure國內(nèi)/海外資源, 通過內(nèi)網(wǎng)實現(xiàn)應用程序間安全、穩(wěn)定的連接是出海企業(yè)上云需要解決的首要問題。很多出海企業(yè)在國內(nèi)子公司或分支機構的IT資源很多已經(jīng)通過網(wǎng)絡專線合作伙伴的專線或SDW連接在一起, 在國外開展業(yè)務時, 主要使用海外的公有云來部署業(yè)務, 海外的布局多采用區(qū)域中心模式, 典型的包括, 東南亞(新加坡), 北美、南美(美國), 歐洲, 印度, 澳大利亞, 非洲等, Azure骨干網(wǎng)絡提供了遍布全球的POP點, 客戶只需要接入到最近的POP點, 然后將ER專線連接到VNET中的ER網(wǎng)關, 就可以通過內(nèi)網(wǎng)連接Azure任意區(qū)域的云資源, 目前高級版本的ER專線可以支持連接100個ER網(wǎng)關(VNET), 通過這種方式, 我們只需要兩條專線就可以實現(xiàn)國內(nèi)本地私有網(wǎng)絡與Azure國內(nèi)/國外資源的網(wǎng)絡連接。

1. 通過專線合作伙伴的MPLS網(wǎng)絡連接一條專線到國內(nèi)的POP點, 打通和國內(nèi)Azure資源的連接。

2. 通過專線合作伙伴的MPLS網(wǎng)絡連接一條專線到海外的Azure POP點(如香港) ,打通和海外Azure資源的連接。

通過這種方式, 實現(xiàn)了本地數(shù)據(jù)中心(如深圳，武漢的本地機房), 與Azure云上資源的互聯(lián)互通。

1. 國內(nèi)(北京，上海)  

2. 海外(美國，歐洲，印度，新加坡, 澳大利亞等)。

這種網(wǎng)絡架構解決了全球部署的問題, 但對區(qū)域中心的應用部署支持還不全面,例如：

1. 怎樣在一個區(qū)域部署多個應用系統(tǒng)? 怎樣實現(xiàn)不同應用系統(tǒng)的資源隔離及成本分攤?

2. 怎樣實現(xiàn)不同應用系統(tǒng)之間的網(wǎng)絡連接及流量管控？

3. 怎樣做到統(tǒng)一的安全管控？

區(qū)域中心網(wǎng)絡拓撲Hub/Spoke

為了支持區(qū)域應用的部署及有效管理,我們會采用Hub/Spoke的方式。 Azure的訂閱是管理不同部門應用部署的有效方式，每個應用放在自己的訂閱下面的VNET中，它可以實現(xiàn)：

1. 不用應用資源的有效隔離。

2. 成本分攤。
   

3. 基于VNET(應用)的網(wǎng)絡流量管控。

Hub/Spoke模式

1. 每個應用的VNET通過VNET Peer(打開Gateway transit )的方式連接到HUB VNET。

2. 國內(nèi)與海外的網(wǎng)絡連接通過HUB VNET中的ER網(wǎng)關連接，打通國內(nèi)、國外的網(wǎng)絡連接。

3. 海外本地數(shù)據(jù)中心(如美國本地機房)通過HUB VNET中的VPN網(wǎng)關或專線網(wǎng)關連接。

通過HUB VNET中的Azure防火墻來實現(xiàn)

1.  通過防火墻的軟路由功能實現(xiàn)所有任意網(wǎng)絡節(jié)點的點對點連接虛擬網(wǎng)絡對等互連(VNET Peer)是兩個虛擬網(wǎng)絡之間的非傳遞關系,為了實現(xiàn)不同VNET及本地私有網(wǎng)絡的網(wǎng)絡連接, 我們需要使用Azure Firewall的軟路由功能來實現(xiàn)點對點的網(wǎng)絡連接, 只要連接到HUB VNET，就能實現(xiàn)點對點的網(wǎng)絡連接, 這需要通過路由表來控制網(wǎng)絡的連接, 如下圖所示：

• vnet2如果需要訪問本地機房2, 將10.0.0/8的路由指向防火墻的IP(10.112.0.4), 同時, 在HUB的Gateway子網(wǎng)中添加10.116.0.0/22的路由指向防火墻的IP(10.112.0.4)。

• 所有的網(wǎng)絡節(jié)點如本地機房2, VNET1, VNET2通過HUB可以實現(xiàn)任意兩點的點對點網(wǎng)絡連接。

2. 集中式的安全管控，所有的網(wǎng)絡流量都會通過防火墻, 通過防火墻主要對四個方向的流量做集中的安全管控。

1. 從本地數(shù)據(jù)中心到互聯(lián)網(wǎng)的流量需要通過防火墻做安全管控

2. 從本地數(shù)據(jù)中心到云上VNET的流量需要通過防火墻做安全管控

3. 從云上VNET到互聯(lián)網(wǎng)的流量需要通過防火墻做安全管控 

4. 不同VNET之間的流量管控 

集中的安全管控

安全是云中的首要任務, 在云上部署應用程序, 如果采用“散放“的模式，任由各個部門自己去部署應用系統(tǒng)，而不做集中管控，可能會由于每個部門的IT人員技能不一致，容易造成安全漏洞。通過防火墻作為應用的統(tǒng)一入口, 對應用安全做集中管控, 可以大大降低這種安全風險。

所有的流量都會經(jīng)過防火墻, 通過防火墻策略對所有的流量做安全管控。

1. DNAT 主要負責互聯(lián)網(wǎng)的流入流量的管控, 將流入防火墻公共 IP 地址和端口轉換為VNET中的負載均衡器或服務器的專用 IP 地址和端口,實現(xiàn)對互聯(lián)網(wǎng)入口流量的控制。

2. 應用程序規(guī)則主要用于HTTP/HTTPS協(xié)議的流量管控, 可以控制本地私有網(wǎng)絡，云上VNET之間的安全管控。

3. 網(wǎng)絡規(guī)則主要用于非HTTP/HTTPS, 如TCP, UDP, ICMP等協(xié)議的流量管控。

區(qū)域中心網(wǎng)絡拓撲安全加固方案

云上的威脅不僅僅來自于內(nèi)部, 還有來自于外部的安全威脅, 在區(qū)域中心模式下, 我們還需要對來自外部的DDOS, WAF, IDPS等進行防范, Azure 防火墻高級版給我們提供了更多的能力, 包括：

•  TLS 檢查 - 解密出站流量、處理數(shù)據(jù)，然后加密數(shù)據(jù)并將數(shù)據(jù)發(fā)送到目的地。

•  IDPS - 網(wǎng)絡入侵檢測和防護系統(tǒng) (IDPS) 使你可以監(jiān)視網(wǎng)絡活動是否出現(xiàn)惡意活動，記錄有關此活動的信息，予以報告，選擇性地嘗試阻止。

•  URL 篩選 - 將 Azure 防火墻的 FQDN篩選功能擴展到考慮整個 URL。例如，www.contoso.com/a/c，而非 www.contoso.com。

•  Web 類別 - 管理員可以允許或拒絕用戶訪問某些類別的網(wǎng)站，例如賭博網(wǎng)站、社交媒體網(wǎng)站等。

• 我們可以將Azure防火墻高級版，WAF等功能集成起來, 提供一個更加完善的解決方案。

1. 通過Azure原生提供的Azure DDoS功能,加上CDN，提供對DDOS的防護。

2. 通過在Application Gateway部署WAF, 提供對WAF攻擊的保護。

3. 通過Azure 防火墻高級版，提供TLS 檢查，IDPS，URL 篩選，Web 類別。