弹性计算Clouder认证：企业级云上网络构建——课时8：企业网络架构最佳实践

背景介绍

小云所在公司的业务主要集中在杭州地区，公司决定将总部地点设在杭州。同时，公司为了更好地吸引北京各高校的科技人才，特在北京设立了远程研发中心。因此分别在北京和杭州的本地机房部署了开发环境和生产环境，具体环境描述如下：

• 开发环境：开发环境在北京本地机房，比较简单，仅包含几个开发服务器供开发人员使用， 方便开发团队协作进行代码开发上传，版本发布的流程如下：

1. 当正式版本的代码需要发布到生产环境时，会先从开发服务器上传到杭州的文件服务器
2. 运维人员再将文件服务器的代码包分发至所有生产环境中的Web服务器上，并分批完成代码的部署、发布和测试工作，确保版本发布过程中的稳定安全

• 生产环境：生产环境部署在杭州本地机房，因为生产环境承载的是核心线上业务，进行了前后端分离、高可用、访问权限管理等管控，具体如下：

1. 为了便于扩展和更新，做了前后端分离架构，即将Web服务器和数据库服务器分开部署，运维人员会根据开发人员提交的版本，对前端Web服务器进行变更
2. 为了提升整体业务的可用性，前端Web服务器和后端数据库服务器需要多机房部署，规避了单一机房故障造成业务中断
3. 为了提升整体业务的安全性，在开发环境、文件服务器和Web服务器上，都做了严格的访问规则配置，其中：

• 文件服务器允许北京开发环境中的开发服务器通过22端口上传文件
• Web服务器允许所有人通过Web服务访问80端口，也允许文件服务器通过22端口上传和配置文件
• 数据库的服务器只允许生产环境的Web服务器来连接，其他的所有连接都会拒绝

• 开发环境与生产环境通过VPN方式打通，网络带宽较小。

思考：以上为小云目前在本地机房的业务逻辑，小云要如何基于本地业务架构设计云上网络架构？如何在阿里云上规划地域、交换机、VPC、安全组、网络ACL，小云应该如何规划云上路由走向，才能连通不同的企业网络环境？

小云根据现有业务情况，在阿里云上设计了如下图所示的网络架构：

其中网络架构为：

• 北京开发环境有一个VPC：VPC-DEV(172.16.0.0/16)，该VPC下有一个开发环境交换机：VSW-DEV(172.16.1.0/24)，交换机中部署了两台研发服务器ECS-DEV01、ECS-DEV02，互为主备，避免单点故障导致代码等重要文件丢失。
  
• 杭州生产环境有一个VPC：VPC-PRD(192.168.0.0/16)，该VPC下有五个交换机，分别为：

• 两个WEB服务交换机VSW-WEB1(192.168.1.0/24)和VSW-WEB2(192.168.2.0/24)，用于跨可用区部署Web业务，避免可用区故障导致整个业务不可用，大大提升Web服务的可用性；
  
• 两个数据库DB服务交换机VSW-DB1(192.168.100.0/24)和VSW-DB2(192.168.101.0/24)，用于跨可用区部署数据库服务，避免可用区故障导致整个业务不可用，大大提升数据库服务的可用性；
  
• 一个文件服务器交换机VSW-FS(192.168.200.0/24)，用于从北京开发环境获取最新版本的软件包，并将软件包分发至生产环境中的Web服务器，该文件服务器因为与Web服务器在一个VPC中，因此可以通过内网传输文件，速度快且无需带宽费用的支出，Web服务器越多，其优势越明显。
  

• 杭州和北京两个VPC需要通过VPC对等连接完成网络打通，并手动添加路由完成从开发环境交换机VSW-DEV到文件服务器交换机VSW-FS的联通。
• 各个区域安全组访问权限控制：

• 数据库所在交换机的网络ACL规则配置如下：

练习实验：企业级云上网络构建

https://developer.aliyun.com/adc/scenario/exp/65e54c7876324bbe9e1fb18665719179