前两天,在做测试的过程中无意发现阿里云对云企业网进行了升级,现在已经不支持创建基础版的转发路由器了,只能创建企业版的转发路由器,这里不准备对两者的功能细节过多阐述(反正以后也没有基础版了),大家只需要知道企业版的转发路由器在创建连接时要收取费用就可以了。
在看到收费标准之后,我的我第一感觉就是:阿里云是嫌云企业网的客户太多了吧?后来转念一想,云企业网顾名思义不就是给企业用户量身打造的么?而真正能称得上”企业级”的用户的数量本身就不是很多。按照阿里云网络白皮书中对企业用户典型网络架构的设想是这样的:
这里的云企业网连接了北京和上海两个地域,其中北京地域是生产中心,上海地域作为灾备中心。两个地域都通过VBR连接专线到外部网络,为解决对外部网络的流量进行过滤采用专门的引流规则将外部网络的流量转发到专门的安全管控VPC进行过滤,在安全管控VPC内有云防火墙或者第三方的防火墙应用对流量进行过滤和检测,过滤后的业务流量再分别转发到不同业务VPC中进行处理。
对于这样一个架构,使用免费的基础版转发路由器肯定是无法完成的,阿里云的企业版转发路由器通过自定义路由表和关联转发功能能够满足企业的各种复杂流量转发需求。而且,基于企业的管控和治理需求,上图中的这些VPC还会从属于不同的阿里云账号。按照阿里云的云上IT治理最佳实践,这些账号的结构可能是这样的:
这里有一个企业管理主账号,主账号是包含任何阿里云资源的,只用于进行企业架构管控,具体包括和企业的身份管理系统进行对接和实现单点登陆SSO、资源目录树的管理、财务管理、审计管理等。
每一个业务组织或应用都有自己独立的阿里云账号,账号下的资源只供该业务组织或应用来使用。
对于一些共享服务如EIP、SLB、VPC、CEN等云网络资源通过统一的共享服务账号来提供。
共享服务账号通过共享虚拟交换机来为业务账号提供服务。
共享账号将某个VPC的虚拟交换机作为共享资源分别提供给不同的业务账号,这些业务账号在共享交换机下创建的云资源就能借助该共享交换机实现内网通信。
借助于共享交换机这个功能,这样大部分的中小型企业就有了一个可以便捷的进行跨账号内网通信的解决方案,而不需要再使用云企业网来实现该功能了。
对于单账号的中小型企业来说,可以借助RAM子账号和资源组来实现便捷的最小化授权,可以将不同部门的资源分别划分到不同的资源组中,然后将RAM子账号授予不同资源组的管理权限。
在单个阿里云账号内部,假如要对不同部门的费用进行分账,可以将资源赋予不同的标签,再基于标签进行分类统计以实现按部门进行分账。
