账号网络架构

公共网络账号的网络架构

1. 在该账号中集中部署网络资源（ER、VPN、DC、CC、公网NAT网关）和网络边界安全防护（WAF、CFW、Anti-DDoS）。集中控制和管理四个网络出入口：互联网出入口、本地IDC出入口、第三方云出入口、其他Region出入口。
2. 在互联网出入流量的访问策略中，建议不允许从公共IP地址访问所有端口。只开放必要的Internet IP地址和端口。阻止对所有其他端口的访问。Internet请求首先到达WAF，WAF转发到NAT网关特定的弹性IP和端口。
   图1 公共网络账号的网络架构设计
   
3. 当VPC挂载到ER时，ER自动学习VPC路由。设置手动路由策略，禁用不同环境VPC之间的路由。
4. VPC之间的云防火墙访问控制策略如下：
   • 默认规则：允许所有业务账号访问网络运营账号的VPN网关、云专线网关、NAT网关，并使用访问控制策略。
   • 当ER允许两个VPC连接时应该创建一个策略来允许来自可信来源的流量，然后创建另一个策略来拒绝来自所有其他来源的流量。确保允许策略的优先级高于拒绝策略。

业务账号的网络构架

针对大的业务系统，一般是对应一个独立的子账号，在该账号中建议为每个业务系统创建三个独立的VPC：生产VPC、开发VPC、测试VPC，VPC之间彼此隔离。每个VPC至少部署二个子网：应用子网和数据子网，分别对应业务系统的应用层和数据层。子网之间使用网络ACL进行访问控制，还可以将云主机、RDS等资源放入到安全组，通过安全组规则进行实例级别的访问控制。业务系统的应用主机集群可以跨可用区部署，实现应用层的高可用；再使用华为云跨可用区的主备数据库集群和缓存集群实现数据层的高可用。如下图所示：

图2 一个大型业务系统对应一个独立子账号

针对多个没有严格安全隔离需求的小型业务系统，可以共用一个子账号，在该账号中同样建议创建三个独立的VPC：生产VPC、开发VPC、测试VPC，VPC之间彼此隔离。这些小型业务系统共同部署在这几个VPC中，不同的业务系统通过子网隔离，每个业务系统也都有独立的应用子网和数据子网，为这些子网创建ACL，以控制不同子网之间的内部网络流量。如下图所示：

图3 多个小型业务系统共用一个子账号