全部产品
Search

搜索本产品

    云网络卓越架构设计指南:统一公网出入口设计

    文档中心

    云网络卓越架构设计指南:统一公网出入口设计

    更新时间:Dec 13, 2024

    概述

    背景介绍

    为了构建高效安全的云上网络架构,云上统一公网出入口(DMZ VPC)通过新建一个专门的VPC,作为隔离外部互联网(非信任区域)和企业云上内网(信任区域)之间的接入接出区域,实现了公网接入接出资源的集中管理。该设计便于构建高并发大流量的应用接入网关,管理企业外联访问控制,合理利用公网带宽资源。另一方面,通过与安全产品结合,显著提升企业内网的防护水平,确保云资源免受外部威胁。本文旨详细介绍了DMZ-VPC的设计原则与关键点,提供了完整设计方案与实践,旨在帮助您优化云基础设施,保障其安全性和高可用性。

    基本概念

    • 专有网络VPC:VPC是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。

    • 转发路由器TR:转发路由器TR提供连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等丰富的网络互通和路由管理功能。

    • 应用型负载均衡ALB:专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务,具备超强弹性及大规模应用层流量处理能力。

    • 网络型负载均衡NLB:面向万物互联时代推出的新一代四层负载均衡,支持超高性能和自动弹性能力,帮您轻松应对高并发业务。

    • 网关型负载均衡GWLB:三层负载均衡,通过IP监听可将所有端口的流量分发给后端服务器组中的网络虚拟设备NVA(Network Virtual Appliance),可帮您轻松实现各类网络虚拟设备的高可用部署。

    • NAT网关:阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,显著提升网络安全性。

    • 弹性公网 IP EIP:可以独立购买和持有的公网IP地址资源。EIP是一种NAT IP,实际位于阿里云的公网网关上,通过NAT方式映射到被绑定的云资源上。当EIP和云资源绑定后,云资源可以通过EIP与公网通信。

    • 共享带宽:提供地域级带宽共享和复用功能。创建共享带宽实例后,您可以将同地域下的EIP添加到共享带宽实例中,复用共享带宽中的带宽,节省公网带宽使用成本。

    • 网络智能服务NIS:NIS是一系列云上网络AIOps工具集,提供了云上网络从网络规划到网络运维全生命周期。包括流量分析、网络巡检、网络性能监控、网络诊断、路径分析、网络拓扑等功能。帮助用户优化网络架构,提升网络运维效率,降低网络运营成本。

    设计原则

    为实现企业公网的统一出入口设计,结合使用负载均衡、NAT网关、云企业网、转发路由器、共享带宽、EIP、安全产品等,提升了网络灵活性和可扩展性的同时,保障企业云上数据和应用的安全性和可靠性。统一公网出入口设计需要遵循以下核心原则:

    稳定性:统一公网出入口承担企业内网和外部互联网之间的桥梁,其稳定持续服务能力,直接关系到企业对外的服务是否可用,因此需要全面考虑统一公网出入口的稳定性设计。

    高效性能企业可能遭遇潮汐式流量变化,统一公网出入口必须具备动态调整资源的能力,既需要确保在流量峰值时能够有充足的资源提供可靠服务,也需要在流量低峰时能够缩减资源,提高资源利用率。

    安全合规:统一公网出入口需帮助企业隔离外部风险并满足特定行业的合规要求(如金融行业),因此设计时需要充分考虑攻击防御和安全入侵检测等方面的同步建设。

    最小权限原则系统组件仅能访问执行其功能所需的最低限度资源,以此增强整个系统的安全性。

    设计关键点

    稳定性

    为了提高整体架构的稳定性,创建NLB、ALB、TR、NAT时,至少选择两个可用区部署,后端应用服务器分布在不同可用区的不同交换机内,以达到自顶向下的跨可用区的容灾高可靠能力。

    安全

    • 基础安全措施:

      • ALB和NLB通过设置安全组,实现对外服务的安全访问控制。

      • NAT网关部署过程中,建议仅开启SNAT服务,按需管控后端服务器访问公网的能力,降低潜在安全风险。

    • 进阶安全能力:

      • DDoS防护:采用高防EIP,绑定至DMZ VPC内的私网NLB、ALB,实现TB级防攻击能力。注意开通高防EIP前,需要提前开通阿里云DDoS原生防护(按量付费版)。

      • Web安全防护:通过为ALB实例开通ALB WAF增强版,将ALB Web业务流量引流到WAF进行安全防护。相比WAF 2.0透明化接入,ALB WAF增强版采用WAF 3.0服务化接入,WAF不参与流量转发,业务监听与转发由ALB负责,实现转发与防护的完全分离,避免了WAF转发额外带来的各种兼容性和稳定性问题。

      • 互联网边界防火墙:开通互联网边界防火墙服务,并设置新增资产自动保护为开启状态。如果账号下有新增的公网资产,云防火墙将自动开启新增资产的互联网边界保护。

      • 三方防火墙:结合GWLB产品来实现三方防火墙(例如Palo Alto、Fortinet等品牌)的安全访问控制。

    性能

    • EIP配合共享带宽使用,可以按需提供高达百G级别的出入口能力,承载企业的洪峰流量。

    • NAT单实例提供万兆级吞吐量,百万级连接数,满足超大业务上云需求。

    • 为提高突发流量场景下整体架构的弹性伸缩健壮性,在开通ALB时建议选择动态IP模式进行自动弹性伸缩。

    • NLB支持超高性能和自动弹性能力,单实例可以达到1亿并发连接。

    可观测

    通过网络智能服务NIS,实现对公网的流量分析、异常洞察、性能分析等可观测服务。

    • 网络洞察仪:使用洞察仪获取实时公网质量评估数据,及时感知公网质量劣化,接收公网质量异常事件和影响面分析。

    • 公网流量分析:提供流量统计和流量地图功能,可观测公网流量大小,基于地域粒度和实例粒度进行流量统计,分别以一元组(云端IP)、二元组(云端IP、对端IP)、五元组(云端IP、云端端口、协议、对端IP、对端端口)展示入云方向和出云方向流量的排行。

    • 互联网访问性能观测:查看云下各地域访问阿里云地域的平均时延。您可以参考性能观测数据,在搭建服务时选择更适合的地域或可用区。

    设计最佳实践

    image

    场景整体设计

    云上统一公网出入口(DMZ VPC)通过新建一个专门的VPC,作为隔离外部互联网(非信任区域)和企业云上内网(信任区域)之间的接入接出区域,集中管理公网接入接出资源,便于构建高并发大流量的应用接入网关,管理企业外联访问控制,合理利用公网带宽资源。另一方面,通过与安全产品结合,确保企业内网得到最大程度的保护

    转发路由器及路由表设计

    • 有公网出入口的业务VPC和DMZ VPC都挂载到TR环境下,并在业务VPC中配置0.0.0.0/0的路由指向TR,实现公网默认路由的引流。

    • TR使用系统路由表(默认),路由表中配置目标网段为0.0.0.0/0、下一跳为DMZ VPC的自定义路由,将出公网流量引入到DMZ VPC进而出公网;公网入流量经过SLB和NAT网关,将目的IP转换成私网地址后,查此路由表的明细路由转发到目的VPC。

    DMZ VPC设计

    • 使用IPv4/IPv6网关,统一管控公网出入口,集中控制公网访问流量。

    • 公网带宽:

      • 共享带宽包支持按带宽预付费、按带宽后付费、按带宽95计费、按流量计费,共享带宽内EIP共享总带宽并受限速。

      • CDT公网支持按流量计费,并且在特定区域内按照用户标识维度累计计量,享受阶梯价格。

    • NAT部署:

      • 划分独立的交换机以部署NAT实例,在有出公网需求的业务交换机所在的可用区内,部署独立NAT实例,以便于在可用区故障时不影响其他可用区的NAT出网流量。

      • 建议关闭DNAT,仅开启SNAT,按需配置SNAT策略,控制哪些私网可以访问外网,同时,可以按需关闭NAT关联EIP的禁Ping能力,防止不必要的风险

    • SLB部署:划分独立的交换机部署LB实例(4层推荐使用NLB,7层推荐使用ALB),每个LB实例进行多可用区部署提升可靠性。

    • 路由表:参考同地域单VPC网络设计

    说明

    统一公网出入口(DMZ VPC)架构比较适合整体出入公网流量规模可控的企业客户,若是入向流量较大的互联网客户,也可以选择统一公网出口(DMZ VPC)叠加分布式公网入口的组合方案,唯一的区别是把入口统一的负载均衡分布式下沉到各个业务VPC。

    安全防护设计(可选)

    • 公网入云防护:推荐使用互联网边界防火墙。

    • 公网出云防护:ECS自带公网IP、EIP推荐使用互联网边界防火墙;NAT出公网推荐使用NAT边界防火墙,可以使用VPC边界防火墙。

    应用场景介绍

    统一公网出入口已成为大中型企业网络架构的标配,尤其在金融、零售、制造、政企及外资MNC等行业中,其重要性得到广泛认可。DMZ为企业提高整体架构的健壮性、安全性、可维护性,可应用于以下场景:

    云上行为集中管控:企业在云环境中为了防范风险,对各个业务访问公网的场景往往需要集中的行为管控。 建议设立统一的公网DMZ出口,方便企业对所有进出互联网的流量进行集中管理和监控,确保符合公司的安全策略和合规要求。例如,可以实现对Web访问、文件数据发送接收、远程办公接入等各类业务流量的有效控制。

    企业云上业务安全防护:安全是企业在云上开展业务的前提条件,综合考虑安全性、成本效益、简化运维、减少攻击面等多维度因素,统一出入口设计极其重要。部署云防火墙、DDoS、WAF等安全服务,便于形成多层次的安全防线,有效防止来自外部网络的攻击,同时也能及时发现和阻止内部异常流量。

    物流企业日志审计与合规报告场景:物流企业的互联网业务承载着非常多的用户敏感数据,应监管要求,需要对所有流量进行监控,以确保遵守数据保护和隐私法规,同时需要记录和审计所有出口流量,以便在发生安全事件时进行调查结合流日志和流量镜像进行统一公网出入口设计,便于企业快速收集和分析所有公网流量的日志信息,满足企业的合规审计需求,确保数据传输行为合法合规,为安全事件追溯提供依据。

    Terraform参考

    统一公网出入口设计

    项目

    说明

    Terraform Module官网地址

    统一公网出入口设计

    Github 地址

    统一公网出入口设计

    示例地址

    示例地址

    代码流程:

    1. 划分生产、测试、DMZ区环境在每个环境内创建多个VPC及对应交换机。

    2. 创建CEN和TR通过TR-attachment把VPC加入CEN中。

    3. 在TR默认路由表中配置路由,以引导公网流量。

    4. DMZ VPC中创建网络型负载均衡NLB,NLB后端服务器挂载生产环境服务器。

    5. DMZ VPC中创建NAT网关,并为其绑定弹性公网IP,仅开启SNAT,配置路由实现测试环境中的实例通过NAT网关的EIP访问公网。

    需要创建的实例如下:

    • 3个VPC

    • 12个交换机

    • 1个CEN

    • 1个TR

    • 1个NLB

    • 1个公网NAT网关

    • 1个弹性公网IP