更新时间:2024-05-11 GMT+08:00
Landing Zone网络规划
网络架构设计原则
华为云基于大量成功交付的项目,总结提炼了以下用户和权限管理原则:
- 业务隔离原则
不相关的业务进行流量隔离。按照生产环境、开发环境、测试环境分别划分独立的VPC;在每个VPC中按照接入层、应用层和数据层来分别划分子网。在互联网入口侧部署DMZ VPC,用于WAF等互联网安全的配置。
- 整体划分原则
- VPC的网络容量:每个VPC可使用IP地址建议不超5000个
- VPC间是隔离性大于连通性:VPC间默认隔离,可通过对等连接实现点对点互通;账户
- 子网间是连通性大于隔离性:子网间默认互通,但建议通过ACL访问控制按需隔离;
- VPC划分原则
- 业务账号可根据生产、开发、测试环境划分VPC,之间的网络建议不打通,确保生产、开发、测试环境的隔离。
- 网络运营账号创建一个集中的DMZ VPC,用于集中部署面向互联网连接的NAT网关,集中管理互联网的出入口,这样方便集中实施边界安全防护策略。
- Landing Zone架构下多个账号之间需要经常互访,需要打通VPC之间的东西向网络访问通道,所以需要统一规划Landing Zone的VPCDMA网络络的IP地址,避免地址重叠导致无法实现网络互通。
- 子网划分原则
- 同VPC内子网不可重叠,需要互通的VPC间子网不能重叠。
- 业务账号下,可以按照业务系统的应用层和数据层划分不同的子网。之间采用ACL进行网络访问控制。默认只有应用子网对公网提供服务,数据子网只可被应用子网访问。
- 建议不同业务系统使用不同子网,可使用子网ACL控制按需访问。
整体网络架构设计
Landing Zone的整体网络架构设计如下图所示:kin'g'zukingzu
图1 网络架构设计
上述网络架构的核心是网络运营账号,作为连接其他账号的网络枢纽,其他账号之间的通信必须通过该账号的ER进行。ER可以通过设置路由规则决定哪些VPC之间的网络可以连通,华为云基于以下假设并根据各个账号的职责梳理各个账号下VPC之间的连通性矩阵,据此则可以在ER上设置对应的路由规则。
- 运维监控账号需要运维第三方云和本地DC中的资源;
- 安全运营账号需要到公网获取系统补丁包;
- 数据平台需要获取第三方云和本地DC的数据;
- DevOps账号需要从Github上下载代码,需要将软件制品部署到各个业务账号;
- 公共服务账号需要与本地IDC互联;
- 生产、开发、测试环境要求网络隔离。
图2 各账号VPCDMA网络络的连通性矩阵
日志账号是集中存放审计日志和运行日志的地方,主要使用了华为云的LTS服务和OBS服务,该两个服务没有租户面IP地址,所以不需要考虑与其他账号的VPC进行互通。沙箱账号是一个允许客户任意测试华为云上资源的地方,包括VPC的功能测试以及与其他账号之间连通性测试,所以也不需要预先在ER中配置与其他账号的连通性。
