更新时间:2024-05-11 GMT+08:00
网络互联方案
VPC之间的互联
- 企业路由器(ER)是云上大规格,高带宽,高性能的集中路由器,支持路由学习、动态选路以及链路切换,减少路由条目配置及维护工作量。将同Region的多个VPC接入ER中,就可以实现同区域多个VPC互通。
- 不同应用账号的VPC可以通过ER路由规则隔离。VPC之间支持灵活互通和隔离。
- VPC间访问策略
- DMZ VPC所有子网默认对内只能访问维护子网和公共服务子网的服务端口.
- DMZ VPC建议不同业务用不同子网,默认隔离,按需放通
- DMZ VPC业务系统建议分应用子网和数据子网,默认只有应用子网对公网提供服务,数据子网只可被应用子网访问
- 公共运维VPC对线下网络放通公共服务子网访问权限,按需放通维护子网访问权限;
- 生产VPC按照业务划分不同子网,业务内可划分应用子网和数据子网,默认数据子网只可被应用子网访问,应用子网按需对其他子网放通。生产VPC各子网放通维护子网的访问。
- 开发测试VPC按照业务划分不同子网,业务内可划分应用子网和数据子网,默认数据子网只可被应用子网访问,应用子网按需对其他子网放通。开发测试VPC各子网放通维护子网的访问。
- 生产VPC和开发测试VPC默认不互通,不建立对等连接,数据传输建议通过OBS存储传输。
云上云下互联
- 单条专线场景
图1 单条专线场景
- 通过将专线接入ER,实现线下IDC和云上多个VPC互通。避免了需要为每个和IDC互通的VPC建立专线。多个VPC可以共享专线访问线下IDC,免去多条专线配置,降低成本。
- 通过将VPC关联至ER中不同的路由表,灵活实现VPC之间的互通和隔离,网络拓扑简洁,配置简单易管理。
- 多条专线场景
图2 多条专线场景
- 云上业务访问线下IDC要求高带宽、高可靠时,通常部署两条或更多的专线链路,专线链路之间相互独立。
- 专线接入ER后,可以实现专线的动态选路和切换。多个链路之间进行负载分担实现高带宽,同时保证可靠性;多个链路之间互为主备,单链路故障秒级切换,避免了单点故障带来的业务中断。
Region之间的互联
跨Region互联,采用每个Region部署一台ER。只需要将每个Region的ER接入云连接(Cloud Connect),构成ER对等连接,实现云上跨Region网络互通。这样的好处是无需在CC中接入所有网络实例,简化网络拓扑;支持路由学习,无需手工配置路由,快速构建组网。
图3 Region之间的互联
云间互联(华为云与其他云的互联)
- 客户业务部署在多朵云上,避免被厂商绑定,降低风险;同时部署在多个region,实现就近接入。客户没有自建骨干网,使用云平台的骨干网实现多云多region网络互通。
- 示意图参考以上图3,不同公有云之间通过DC专线链路(不同运营商)互通,同云之间互通走云厂商骨干网。ER可以实现专线和云连接之间的链路联动,用作负载分担或者主备。
父主题: Landing Zone网络规划
