弹性计算Clouder认证:企业级云上网络构建——课时8:企业网络架构最佳实践

本文涉及的产品
轻量应用服务器 2vCPU 1GiB,适用于搭建电商独立站
轻量应用服务器 2vCPU 4GiB,适用于搭建容器环境
轻量应用服务器 2vCPU 4GiB,适用于搭建Web应用/小程序
简介: 弹性计算Clouder认证:企业级云上网络构建——课时8:企业网络架构最佳实践

背景介绍

小云所在公司的业务主要集中在杭州地区,公司决定将总部地点设在杭州。同时,公司为了更好地吸引北京各高校的科技人才,特在北京设立了远程研发中心。因此分别在北京和杭州的本地机房部署了开发环境和生产环境,具体环境描述如下:

  • 开发环境:开发环境在北京本地机房,比较简单,仅包含几个开发服务器供开发人员使用, 方便开发团队协作进行代码开发上传,版本发布的流程如下:
  1. 当正式版本的代码需要发布到生产环境时,会先从开发服务器上传到杭州的文件服务器
  2. 运维人员再将文件服务器的代码包分发至所有生产环境中的Web服务器上,并分批完成代码的部署、发布和测试工作,确保版本发布过程中的稳定安全
  • 生产环境:生产环境部署在杭州本地机房,因为生产环境承载的是核心线上业务,进行了前后端分离高可用访问权限管理等管控,具体如下:
  1. 为了便于扩展和更新,做了前后端分离架构,即将Web服务器和数据库服务器分开部署,运维人员会根据开发人员提交的版本,对前端Web服务器进行变更
  2. 为了提升整体业务的可用性,前端Web服务器和后端数据库服务器需要多机房部署,规避了单一机房故障造成业务中断
  3. 为了提升整体业务的安全性,在开发环境、文件服务器和Web服务器上,都做了严格的访问规则配置,其中:
  • 文件服务器允许北京开发环境中的开发服务器通过22端口上传文件
  • Web服务器允许所有人通过Web服务访问80端口,也允许文件服务器通过22端口上传和配置文件
  • 数据库的服务器只允许生产环境的Web服务器来连接,其他的所有连接都会拒绝
  • 开发环境与生产环境通过VPN方式打通,网络带宽较小。

 

思考:以上为小云目前在本地机房的业务逻辑,小云要如何基于本地业务架构设计云上网络架构?如何在阿里云上规划地域、交换机、VPC、安全组、网络ACL,小云应该如何规划云上路由走向,才能连通不同的企业网络环境?

小云根据现有业务情况,在阿里云上设计了如下图所示的网络架构:

其中网络架构为:

  • 北京开发环境一个VPC:VPC-DEV(172.16.0.0/16),该VPC下有一个开发环境交换机:VSW-DEV(172.16.1.0/24),交换机中部署了两台研发服务器ECS-DEV01、ECS-DEV02,互为主备,避免单点故障导致代码等重要文件丢失。
  • 杭州生产环境一个VPC:VPC-PRD(192.168.0.0/16),该VPC下有五个交换机,分别为:
  • 两个WEB服务交换机VSW-WEB1(192.168.1.0/24)和VSW-WEB2(192.168.2.0/24),用于跨可用区部署Web业务,避免可用区故障导致整个业务不可用,大大提升Web服务的可用性;
  • 两个数据库DB服务交换机VSW-DB1(192.168.100.0/24)和VSW-DB2(192.168.101.0/24),用于跨可用区部署数据库服务,避免可用区故障导致整个业务不可用,大大提升数据库服务的可用性;
  • 一个文件服务器交换机VSW-FS(192.168.200.0/24),用于从北京开发环境获取最新版本的软件包,并将软件包分发至生产环境中的Web服务器,该文件服务器因为与Web服务器在一个VPC中,因此可以通过内网传输文件,速度快且无需带宽费用的支出,Web服务器越多,其优势越明显。
  • 杭州和北京两个VPC需要通过VPC对等连接完成网络打通,并手动添加路由完成从开发环境交换机VSW-DEV到文件服务器交换机VSW-FS的联通。
  • 各个区域安全组访问权限控制:
访问控制资源 源/目标IP 方向 访问权限 协议和端口 作用说明
北京开发安全组SG-DEV VSW-FS(192.168.200.0/24) 入方向 允许 TCP 22端口 文件服务器可以从北京开发环境拉取文件
文件服务器安全组SG-FS VSW-DEV(172.16.1.0/24) 入方向 允许 TCP 22端口 北京开发环境可以向文件服务器推送文件

VSW-WEB1(192.168.1.0/24)、VSW-WEB2(192.168.2.0/24)

入方向 允许 TCP 22端口 WEB生产环境服务器可以从文件服务器拉取文件
WEB服务安全组SG-WEB 0.0.0.0/0 入方向 允许 TCP 80端口 对外开放WEB服务(HTTP 80)
VSW-FS(192.168.200.0/24) 入方向 允许 TCP 22端口 文件服务器可以向WEB生产环境服务器推送文件
数据库服务安全组SG-DB01 VSW-WEB1(192.168.1.0/24)、VSW-WEB2(192.168.2.0/24) 入方向 允许 TCP 3306端口 WEB生产环境服务器可以从数据库服务器获取数据
数据库服务安全组SG-DB02

 

  • 数据库所在交换机的网络ACL规则配置如下:
出/入方向规则 优先级 策略 协议类型 源地址/目的地址 目的端口
入方向 1 允许 TCP VSW-WEB1(192.168.1.0/24)、VSW-WEB2(192.168.2.0/24) 3306/3306
入方向 2 拒绝 ALL 0.0.0.0/0 -1/-1
出方向 1 允许 TCP VSW-WEB1(192.168.1.0/24)、VSW-WEB2(192.168.2.0/24) 1/65535
出方向 2 拒绝 ALL 0.0.0.0/0 -1/-1

 




练习实验:企业级云上网络构建

https://developer.aliyun.com/adc/scenario/exp/65e54c7876324bbe9e1fb18665719179

目录
打赏
0
0
0
0
215
分享
相关文章
阿里云CDN:构建全球化智能加速网络的数字高速公路
阿里云CDN构建全球化智能加速网络,拥有2800多个边缘节点覆盖67个国家,实现毫秒级网络延迟。其三级节点拓扑结构与智能路由系统,结合流量预测模型,确保高命中率。全栈式加速技术包括QUIC协议优化和Brotli压缩算法,保障安全与性能。五层防御机制有效抵御攻击,行业解决方案涵盖视频、物联网及游戏等领域,支持新兴AR/VR与元宇宙需求,持续推动数字内容分发技术边界。
86 13
2025 年网络法律论坛 | 应对安全风险,构建韧性举措
2025年查尔斯顿网络法律论坛汇聚法律、网络安全与保险行业专家,探讨全球威胁态势、人工智能应用及监管变化等议题。主旨演讲揭示非对称威胁与供应链漏洞,强调透明度和协作的重要性。小组讨论聚焦AI合理使用、监管热点及网络保险现状,提出主动防御与数据共享策略。论坛呼吁跨领域合作,应对快速演变的网络安全挑战,构建更具韧性的防御体系。
31 1
2025 年网络法律论坛 | 应对安全风险,构建韧性举措
FANformer:融合傅里叶分析网络的大语言模型基础架构
近期大语言模型(LLM)的基准测试结果显示,OpenAI的GPT-4.5在某些关键评测中表现不如规模较小的模型,如DeepSeek-V3。这引发了对现有LLM架构扩展性的思考。研究人员提出了FANformer架构,通过将傅里叶分析网络整合到Transformer的注意力机制中,显著提升了模型性能。实验表明,FANformer在处理周期性模式和数学推理任务上表现出色,仅用较少参数和训练数据即可超越传统Transformer。这一创新为解决LLM扩展性挑战提供了新方向。
66 5
FANformer:融合傅里叶分析网络的大语言模型基础架构
新四化驱动,如何构建智能汽车的“全场景”可进化互联网络?
在智能化、电动化、网联化、共享化的时代浪潮中,汽车正从单纯的 “机械产品” 进化为先进的 “移动智能终端”。在软件定义汽车(SDV)的崭新时代,每一次 OTA 升级的顺利完成、每一秒自动驾驶的精准决策、每一帧车载娱乐交互的流畅呈现,都离不开一张实时响应、全域覆盖、安全可靠的广域网络。
JS数组操作方法全景图,全网最全构建完整知识网络!js数组操作方法全集(实现筛选转换、随机排序洗牌算法、复杂数据处理统计等情景详解,附大量源码和易错点解析)
这些方法提供了对数组的全面操作,包括搜索、遍历、转换和聚合等。通过分为原地操作方法、非原地操作方法和其他方法便于您理解和记忆,并熟悉他们各自的使用方法与使用范围。详细的案例与进阶使用,方便您理解数组操作的底层原理。链式调用的几个案例,让您玩转数组操作。 只有锻炼思维才能可持续地解决问题,只有思维才是真正值得学习和分享的核心要素。如果这篇博客能给您带来一点帮助,麻烦您点个赞支持一下,还可以收藏起来以备不时之需,有疑问和错误欢迎在评论区指出~
领先AI企业经验谈:探究AI分布式推理网络架构实践
当前,AI行业正处于快速发展的关键时期。继DeepSeek大放异彩之后,又一款备受瞩目的AI智能体产品Manus横空出世。Manus具备独立思考、规划和执行复杂任务的能力,其多智能体架构能够自主调用工具。在GAIA基准测试中,Manus的性能超越了OpenAI同层次的大模型,展现出卓越的技术实力。
企业网络架构安全持续增强框架
企业网络架构安全评估与防护体系构建需采用分层防御、动态适应、主动治理的方法。通过系统化的实施框架,涵盖分层安全架构(核心、基础、边界、终端、治理层)和动态安全能力集成(持续监控、自动化响应、自适应防护)。关键步骤包括系统性风险评估、零信任网络重构、纵深防御技术选型及云原生安全集成。最终形成韧性安全架构,实现从被动防御到主动免疫的转变,确保安全投入与业务创新的平衡。
云栖大会 | Terraform从入门到实践:快速构建你的第一张业务网络
云栖大会 | Terraform从入门到实践:快速构建你的第一张业务网络
云存储Clouder认证:存储应用与数据管理—课时10:实验练习与认证考试
云存储Clouder认证:存储应用与数据管理—课时10:实验练习与认证考试

热门文章

最新文章