在企業(yè)起步階段����,規(guī)模較小�����,一般采用單賬號(hào)模式��。隨著企業(yè)的發(fā)展���,單賬號(hào)的缺陷越來(lái)越明顯��,多賬號(hào)相對(duì)于單賬號(hào)有哪些優(yōu)點(diǎn)���?
在企業(yè)起步階段,規(guī)模較小���,一般采用單賬號(hào)模式�����。隨著企業(yè)的發(fā)展����,單賬號(hào)的缺陷越來(lái)越明顯,多賬號(hào)相對(duì)于單賬號(hào)有眾多優(yōu)點(diǎn):
多賬號(hào)間的資源默認(rèn)隔離����,減少了單賬號(hào)因?yàn)橐粋€(gè)資源或服務(wù)問(wèn)題導(dǎo)致其它資源和服務(wù)也出現(xiàn)問(wèn)題的可能性;
多賬號(hào)減少了單帳戶(hù)過(guò)于寬泛的RAM權(quán)限帶來(lái)的風(fēng)險(xiǎn)�����;
多賬號(hào)便于成本結(jié)算����、獨(dú)立管理����、環(huán)境隔離等。
因此中大型企業(yè)上云時(shí)通常選擇多賬號(hào)���,但是多賬號(hào)間往往存在著大量的網(wǎng)絡(luò)互通場(chǎng)景�����,如何解決多賬號(hào)的網(wǎng)絡(luò)互通問(wèn)題呢����?
VPC作為云上最常用的網(wǎng)絡(luò)環(huán)境,不同賬號(hào)的VPC之間默認(rèn)是無(wú)法互通的���,多賬號(hào)網(wǎng)絡(luò)互通常用的解決方案是CEN(云企業(yè)網(wǎng))和VPN網(wǎng)關(guān)����。
基于VPN的網(wǎng)絡(luò)架構(gòu)
VPN網(wǎng)關(guān)是一款基于Internet的網(wǎng)絡(luò)連接服務(wù)����,通過(guò)加密通道的方式實(shí)現(xiàn)企業(yè)數(shù)據(jù)中心、企業(yè)辦公網(wǎng)絡(luò)或Internet終端與VPC安全可靠的連接����。VPN網(wǎng)關(guān)可以實(shí)現(xiàn)跨地域、跨賬號(hào)的VPC互通�����,在需要連接的VPC上創(chuàng)建VPN網(wǎng)關(guān)���,網(wǎng)關(guān)之間通過(guò)基于Internet的IPSec加密隧道來(lái)傳輸私網(wǎng)數(shù)據(jù)�����,以實(shí)現(xiàn)安全可靠的多賬號(hào)VPC間通信����。
圖1
如上圖所示:服務(wù)分別部署在賬號(hào)1、2����、3的VPC網(wǎng)絡(luò)環(huán)境中,每個(gè)服務(wù)基于多可用區(qū)和SLB實(shí)現(xiàn)同城雙活���,前端VPC部署前端服務(wù)����,后端VPC部署后端應(yīng)用���,前端服務(wù)處理Web請(qǐng)求時(shí)需調(diào)用部署在賬號(hào)2、賬號(hào)3的后端應(yīng)用�����,分別為每個(gè)VPC創(chuàng)建VPN網(wǎng)關(guān)���,VPN之間配置IPSEC�����、路由����,以此來(lái)實(shí)現(xiàn)多賬號(hào)網(wǎng)絡(luò)互通。
基于CEN的網(wǎng)絡(luò)架構(gòu)
云企業(yè)網(wǎng)(Cloud Enterprise Network)是承載在阿里云提供的高性能����、低延遲的私有全球網(wǎng)絡(luò)上的一張高可用網(wǎng)絡(luò),可以在跨地域���、跨賬號(hào)的VPC間搭建私網(wǎng)通道��,通過(guò)自動(dòng)路由分發(fā)及學(xué)習(xí)�����,提高網(wǎng)絡(luò)的快速收斂和跨網(wǎng)絡(luò)通信的質(zhì)量和安全性��,實(shí)現(xiàn)全網(wǎng)資源的互通����,打造一張具有企業(yè)級(jí)規(guī)模和通信能力的互聯(lián)網(wǎng)絡(luò)��。
圖2
如上圖所示:首先創(chuàng)建CEN實(shí)例���,將要互通的網(wǎng)絡(luò)實(shí)例(專(zhuān)有網(wǎng)絡(luò)和邊界路由器)加載到CEN中��,再購(gòu)買(mǎi)一個(gè)帶寬包(同Region無(wú)需購(gòu)買(mǎi)帶寬包)���,配置路由���、跨賬號(hào)授權(quán)等,即可實(shí)現(xiàn)服務(wù)在不同賬號(hào)的VPC間互通����。
VPN和CEN網(wǎng)絡(luò)架構(gòu)比較
VPN和CEN都可實(shí)現(xiàn)多賬號(hào)網(wǎng)絡(luò)互通,兩者有何區(qū)別呢���?
VPN需要為每個(gè)VPC配置VPN網(wǎng)關(guān),創(chuàng)建IPsec連接��、配置VPN網(wǎng)關(guān)路由等����,隨著VPC數(shù)量的增加,人工配置成本成倍增加��;同時(shí)VPN連接使用共享的公網(wǎng)資源進(jìn)行通信���,網(wǎng)絡(luò)延時(shí)和丟包率等都無(wú)法保證��,其網(wǎng)絡(luò)帶寬受限于公網(wǎng)IP的帶寬���。在實(shí)際使用中VPN網(wǎng)關(guān)很少用于多賬號(hào)網(wǎng)絡(luò)互通�����,多用于本地?cái)?shù)據(jù)中心與VPC互通以構(gòu)建混合云���。
CEN專(zhuān)線(xiàn)連接在網(wǎng)絡(luò)質(zhì)量、安全性和傳輸速度等方面都優(yōu)于VPN��,但是CEN在跨賬號(hào)連接時(shí)需要配置跨賬號(hào)授權(quán)���、路由等���,存在一定的配置成本;跨Region通信時(shí)需要購(gòu)買(mǎi)帶寬�����,存在一定的費(fèi)用成本���;每個(gè)CEN實(shí)例在每個(gè)Region可加載的網(wǎng)絡(luò)實(shí)例數(shù)量有限����。
由此可見(jiàn),VPN和CEN都能解決多賬號(hào)網(wǎng)絡(luò)互通問(wèn)題���,但是不一定適合所有的場(chǎng)景���,還有其他的方案嗎?
ResourceSharing介紹
不同于VPN和CEN�����,資源共享服務(wù)(ResourceSharing)通過(guò)在賬號(hào)間共享VSwitch來(lái)實(shí)現(xiàn)多賬號(hào)網(wǎng)絡(luò)互通����。
如下圖所示:企業(yè)賬號(hào)A、B���、C、D加入ResourceDirectory(資源目錄)后��,資源所有者賬號(hào)A把虛擬交換機(jī)共享給賬號(hào)B�����、C、D����,這樣賬號(hào)A、B��、C��、D都能使用該虛擬交換機(jī)�����,并在該交換機(jī)上掛載ECS/RDS/SLB等資源���,以此來(lái)實(shí)現(xiàn)不同賬號(hào)的資源共享同一個(gè)子網(wǎng)���。
圖3
相對(duì)于CEN和VPN,ResourceSharing極大地簡(jiǎn)化了配置��,在網(wǎng)絡(luò)規(guī)模較復(fù)雜的場(chǎng)景下尤為明顯�����。
基于ResourceSharing的網(wǎng)絡(luò)架構(gòu)
如下圖所示為基于ResourceSharing的網(wǎng)絡(luò)架構(gòu):賬號(hào)1所在的VPC使用兩個(gè)VSwitch作為多可用區(qū)以實(shí)現(xiàn)同城雙活,用于部署前端服務(wù)���;再共享三個(gè)VSwitch給賬號(hào)2和賬號(hào)3用于部署后端服務(wù):“Shared VSwitch For AZ1 ECS”用于掛截賬號(hào)2和賬號(hào)3在A(yíng)Z1的ECS資源����,“Shared VSwitch For AZ2 ECS”用于掛截賬號(hào)2和賬號(hào)3在A(yíng)Z2的ECS資源�����,“Shared VSwitch For SLB”用于掛截賬號(hào)2和賬號(hào)3的SLB資源��;這樣基于資源共享的方式�����,前端服務(wù)與后端服務(wù)均在同一個(gè)VPC下���,所有服務(wù)天然支持網(wǎng)絡(luò)互通��。
圖4
由于每個(gè)賬號(hào)仍然獨(dú)立管控自己的資源��,所以服務(wù)之間既實(shí)現(xiàn)了多賬號(hào)間網(wǎng)絡(luò)互通,又保證了相關(guān)資源在賬號(hào)間的隔離��,此外,相對(duì)于CEN和VPN�����,ResourceSharing有一定的優(yōu)勢(shì):
整個(gè)體系在一個(gè)VPC中����,因此不需要網(wǎng)關(guān)、路由����、IPSEC、跨賬號(hào)授權(quán)等相關(guān)配置����,極大地簡(jiǎn)化了工作量。
服務(wù)在VPC內(nèi)部通信���,不依賴(lài)公網(wǎng)帶寬���,減少了網(wǎng)絡(luò)延時(shí)和丟包率帶來(lái)的風(fēng)險(xiǎn)。
ResourceSharing是完全免費(fèi)的�����,能為用戶(hù)節(jié)省不少成本。
總結(jié)
ResourceSharing有眾多優(yōu)勢(shì)��,是否能取代VPN和CEN滿(mǎn)足所有的應(yīng)用場(chǎng)景呢����?
由于VPC是地域級(jí)別的資源,因此ResourceSharing是不能跨Region共享VSwitch的����,而CEN則沒(méi)有這個(gè)限制,所以跨Region間VPC通信時(shí)通常選擇CEN的方式���。如下圖所示Region A和Region B的VPC通過(guò)CEN互通����。
當(dāng)用戶(hù)需要將本地?cái)?shù)據(jù)中心與VPC互通以構(gòu)建混合云時(shí)�����,ResourceSharing顯然無(wú)法滿(mǎn)足需求��。如下圖所示通過(guò)VPN的方式將本地?cái)?shù)據(jù)中心與安全登陸VPC快速連接起來(lái)���。
當(dāng)企業(yè)對(duì)安全有更高要求時(shí)�����,往往需要通過(guò)VPC將網(wǎng)絡(luò)劃分成多個(gè)安全域��,ResourceSharing由于共享VSwitch所在的實(shí)例都在同一個(gè)VPC���,無(wú)法滿(mǎn)足需求。如下圖所示:根據(jù)安全級(jí)別的不同���,將整個(gè)網(wǎng)絡(luò)分隔成多個(gè)VPC�����,通過(guò)CEN實(shí)現(xiàn)不同安全域VPC的網(wǎng)絡(luò)互通��,利用ResourceSharing實(shí)現(xiàn)多賬號(hào)同安全域VPC的網(wǎng)絡(luò)互通���。
圖5
VPN網(wǎng)關(guān)、CEN和ResourceSharing分別適用于不同的場(chǎng)景��,如上圖所示為集團(tuán)化的大型企業(yè)���,網(wǎng)絡(luò)架構(gòu)較為復(fù)雜,同時(shí)用到了三種方案�����,用戶(hù)在實(shí)際使用時(shí)����,需要根據(jù)自己的需求和網(wǎng)絡(luò)規(guī)模選擇最合適的方案��。
閩公網(wǎng)安備 35010202001226號(hào)
