背景
作为较早开始全面使用阿里云的用户,我们的业务系统一开始就使用了操作简单、易用性高、不需要提前进行网络规划,IP地址全部由阿里云统一分配的网络。这个网络也是当时阿里云唯一的网络模型,现在称之为经典网络。在只使用云服务器ECS的场景下,经典网络的简便性非常突出。不过,随着业务场景的复杂化以及各种云产品的不断使用,经典网络的一些问题开始暴露。
问题
- 首先,经典网络下的安全性维护存在问题。经典网络是一个大二层设计,阿里云全网可达,这本身就存在安全问题。而要解决甚至只是初步的堵上一些安全漏洞,都需要付出巨大的维护成本。比如:经典网络下的负载均衡SLB本身是全网可达的,即使是内网也是全网可达的。当然,SLB是提供了访问控制的。但是,如果想要保证业务系统中每增加一台机器,都能正常访问对应的SLB,那么就要保证每个SLB对应监听端口的对应访问控制策略得到及时更新。这在有大量SLB和ECS存在,而且经常有新增和释放的情况下,需要付出不少的开发工作量和维护工作量。再比如:数据库类产品RDS和MongoDB等,安全的要求性必然更高,只有授权白名单中的IP方可访问。这也同样是需要付出不少开发工作量和维护工作量的。存在同样问题的还有ECS安全组、外部依赖白名单等。
- 其次,一些业务场景无法实现。比如,一些银行机构、保险公司等的业务访问,需要开通专线,而阿里云经典网络不支持。再比如,在一些业务场景下,我们需要把两个网络用VPN连接起来,方便进行访问,而阿里云经典网络同样不支持。阿里云的很多产品新功能基本都不支持经典网络,比如自动伸缩、比如swarm容器集群的自研网络模型、比如kubernetes容器集群等。
- 再次,资源的网络成本无法有效掌控。由于在经典网络中所有的IP地址都是阿里云统一维护的,每台ECS如果需要访问外部都需要配置公网地址。这样,公网流量费用无法统一计算,无法统一购买和共享带宽。
方案
- 以上种种问题,不仅是用户的痛点,阿里云更是早早就做好了规划,不仅推出了专用网络产品,更是在2016年6月启动了专用网络策略,没有经典网络ECS实例的用户,只能购买专有网络ECS实例。
- 专有网络VPC(Virtual Private Cloud)是阿里云在云上构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。VPC能够在自己定义的虚拟网络中使用阿里云资源。在专用网络中可以完全掌控自己的虚拟网络,例如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现安全的资源访问和应用程序访问。也可以通过专线或VPN等连接方式将专有网络与其他网络相连,形成一个按需的网络环境。
总结
- 综上,经典网络是阿里云上早期的一个简便易用但是也存在不少问题的网络产品,阿里云正在努力推动使用新型的功能强大、用户自主可控的专有网络VPC来替代经典网络产品。
- 为了能帮助老用户顺利迁移到专有网络VPC,阿里云研发了SLB混挂、RDS/MongoDB等产品网络混访、ECS ClassLink等功能,以便于业务系统可以方便的从经典网络过渡到专用网络VPC。
当前,从经典网络迁移到专有网络VPC,不仅是势在必行,而且在保证可用性以及成本前提下事实可行。
