步骤六:规划和创建VPC(操作主体:网络管理组成员)
以上面集团公司为例,需要针对每个子账号(部门A、部门A3、分公司F)提供多种运行环境:生产环境、开发环境、测试环境,各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通,具备很好的隔离性,所以推荐在大企业中采用VPC来创建隔离的运行环境,通常一个VPC对应一个隔离的运行环境,推荐的VPC规划如图1所示,具体考量因素如下:
- 一个VPC不能跨子账号,所以不能让不同子账号下面的企业项目共享一个VPC,每个子账号都有自己独立的生产、开发和测试VPC。
- 在生产环境内,由于安全隔离要求较高,将各个企业项目的应用系统和数据库系统放在不同的子网,通过网络ACL或安全组对子网间通信进行安全访问控制。
- 在开发和测试环境内,企业项目A1开发、A1测试、A2开发、A2测试、A31开发对安全隔离要求较高,在开发、测试环境中也要求将应用系统和数据库系统部署在不同的子网;而企业项目A32测试、A331开发、A331测试对安全隔离要求较低,在开发、测试环境中将应用系统和数据库系统部署在同一个子网。
- 同一个企业项目在同一运行环境的应用子网和数据子网建议尽量放在同一个可用区内,应用系统和数据库系统之间进行跨可用区通信会引入1-2毫秒的网络时延。例如,企业项目“A1生产”对应的两个子网“A1应用子网”和“A1数据子网”应该设置为在同一个可用区。
- 需要考虑不同子账号下的应用系统之间的交互关系,如果位于不同子账号下的应用系统需要互通,这对应的VPC的网段就不要产生冲突。例如,如果部门A下面的A1生产系统需要与部门A3下面的A31生产系统进行交互,则对应的两个VPC“VPC_部门A_生产”和“VPC_部门A3_生产”的网段不能冲突。
- 有频繁交互关系的VPC尽量创建在同一个区域内,否则跨区域的VPC通信需要额外购买带宽包。
规划完VPC之后需要在华为云上将其创建出来,以集团公司的部门A为例,使用一个网络管理组的成员登录华为云,进入VPC控制台,按照图1的VPC规划为部门A创建生产、开发、测试VPC,并为每个企业项目创建相应的应用子网和数据子网。由于这几个VPC内的网络由多个企业项目共享使用,所以创建这些VPC的时候,可以选择归属到default企业项目。
涉及到的操作如下:
- 网络规划:在创建VPC之前,您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。
- 创建虚拟私有云和子网:当创建新账户或账户余额不足时,主账号可以对现金账户进行充值操作。