开发者社区> 开放平台小助手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

简单高效的跨账号网络互通方案 - 上篇

简介: 随着云计算的普及,云的使用被逐渐认可,企业上云的任务需要进一步深耕。越来越多的企业将更多的业务放在了云端,这使得企业采购的云资源迅速增多,核心业务上云后,企业管控的需求随之而来。业务强隔离、按组织结构划分业务、多种结算模式以及生产账号保护等要求之下,单个账号已无法支撑企业的继续发展。
+关注继续查看

一、方案背景

随着云计算的普及,云的使用被逐渐认可,企业上云的任务需要进一步深耕。越来越多的企业将更多的业务放在了云端,这使得企业采购的云资源迅速增多,核心业务上云后,企业管控的需求随之而来。业务强隔离、按组织结构划分业务、多种结算模式以及生产账号保护等要求之下,单个账号已无法支撑企业的继续发展。

1.png

企业使用多账号来适应业务发展需要,但无序、散落的企业账号不便于集中管理,同时基于多账号的使用,企业需要进一步精细化管控业务,解决多账号管理带来的新问题。

阿里云提供了一套多账号管理系统-资源目录(Resource Directory,简称RD,查看介绍),旨在帮助企业将多账号组织并管理起来。

2.png

网络架构规划是企业上云第一步,复杂场景下企业如何将多账号结构与网络部署进行统一规划?本文主要介绍基于资源目录场景下,企业将多账号有序组织起来后,如何快速实现它们之间的网络互通,并避免现有方案下的一些问题。

二、现有网络互通方案及问题

企业采用多账号来部署其不同的业务或应用,这些账号间经常会有网络互通的需求。
阿里云推荐使用云企业网(Cloud Enterprise Network)将多个账号间的专有网络(Virtual Private Cloud)进行连接,以实现多账号间的网络互通。

3.png

云企业网是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。
云企业网可帮助您在不同地域VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。

4.png

企业通过上述网络规划,可以实现不同账号间业务互通的目的,但随着业务复杂度的增加,新问题也在不断产生。

Q1:分散配置无法集中网络运维
企业网络架构是一张经过规划的大网,当网络设施分散在每个业务账号之下时,企业网络运维人员很难做到集中的网络统一控制

Q2:重复网络资源配置带来的成本增加
在每个账号内进行VPC的配置,使得企业的人力配置维护成本和实例费用成本都在增加。

Q3:VPC数量上升带来的网络复杂度上升
为了满足企业的业务需要,VPC数量会不断攀升,与此同时,随之而来网络复杂度、管理难度、及类似CEN可支持挂载的VPC数量限制等Quota问题显现了出来。

三、使用共享VPC解决问题

随着企业业务的增长,使用的账号数量也在增长,不可避免会使用超多的VPC,导致上述问题的出现,那么能否少用一些VPC,同样满足企业网络架构需要呢?答案是肯定的。

阿里云提供企业通过共享VPC的方式来减少企业订购和配置VPC的数量。本章节将介绍共享VPC的实现原理。

(一)建立账号间的共享关系
建立共享VPC的先决条件是,先建立A、B两个账号的共享关系。

1. 资源共享机制
资源共享(Resource Sharing,简称RS)是阿里云提供的一种账号间共享资源的机制,它支持您将一个账号下的资源,共享给另一个或多个账号使用。

5

资源共享的4个基本概念释义如下

  • 共享单元
    资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name),您可以给共享单元分组和绑定标签。
  • 资源所有者
    资源共享的发起方,也是共享资源的拥有者,通常为一个阿里云账号。
  • 资源使用者
    资源共享的受益方,对共享的资源具有特定的操作权限,通常为一个或多个阿里云账号。
  • 共享的资源
    用来共享的资源,通常为某云服务的某类资源。例如,专有网络(VPC)的交换机(VSwitch)。

注意,资源共享服务目前支持基于资源目录中的账号进行共享,所以建立共享的两个账号均需处于同一个资源目录内。当然,如果企业使用大量的阿里云账号承载业务,将这些账号进行组织化管理,资源目录是个很好的必要选择。点击此处了解资源目录

2. 资源共享使用须知

(1)基于资源目录的共享关系建立,无需资源使用者进行确认,因为在同一个资源目录内的账号具备相同的企业租户形态,共享行为将被视为企业管理行为。
(2)上图所示,在一个共享单元中,资源所有者、资源使用者和共享的资源三者构成一组共享关系,资源所有者与资源使用者和共享的资源分别都是1:N关系,您可以在同一个共享单元内添加多个资源使用者和共享的资源。
(3)资源共享服务为Region化部署,目前已开放支持杭州、上海、新加坡、张家口、北京地域。
(4) 限制:每个账号的共享单元数量和共享的资源数量默认为10个。企业可以根据自己的需要向阿里云申请扩大限制数量的要求。

更多资源共享详情,请转至产品介绍页面了解

在本文中,我们着重介绍的是基于资源共享,将一个账号内VPC下的交换机(VSwitch)作为共享资源share给另一个账号使用。

(二)共享VPC
共享VPC允许多个账号在一个集中管理、共享的VPC内创建云资源,例如云服务器ECS、负载均衡SLB、云数据库RDS等。共享VPC基于资源共享RS(Resource Sharing)机制,VPC的所有者可以将VPC内的交换机共享给其阿里云企业账号组织内的其他账号使用。查看产品详情

6

1.多账号共享同一个VSwitch

7

企业可将VSwitch粒度的资源进行共享,极大减少了VPC的使用数量,有效降低由VPC数量上升带来的问题。

2.共享VPC所有者拥有的权限

8

所有者作为VPC资源的Owner,拥有该VPC的所有权限。
所有者能够获取使用者在共享VSwitch中放入资源的如下属性:

  • 实例id信息
  • 私网IP地址信息
  • 资源归属账号的ID信息

请注意,VPC所有者不能修改、删除使用者在共享Vswitch中的任何资源。

3.共享VPC使用者拥有的权限

9

VPC使用者作为共享的参与方,在VSwitch共享状态处于开启和关闭时,拥有不同的权限和限制。

• 当VSwitch处于共享状态时

  • 使用者仅能查看与该共享VSwitch相关联的VPC、路由表、网络ACL信息;
  • 使用者不能查看该VPC内其他账号的任何资源;
  • 使用者可以将自己的资源创建在该共享的VSwitch中。

• 当VSwitch取消共享状态时

  • 使用者不再具有之前共享的VPC/VSwitch的相关信息查看权限;
  • 使用者配置在该VSwitch上的tag信息将被清除;
  • 使用者不能继续在该VSwitch中创建资源;
  • 之前创建在共享VSwitch中的资源,使用者能够继续管理并操作。

注意,使用者可以对共享的VSwitch进行tag标记,此标记与VPC Owner的tag标记互不可见、互不影响。

(三)共享VPC中的隔离需求
企业将单个VPC中的不同VSwitch共享给不同账号后,网络是默认连通的。
在某些场景下,企业希望将不同的VSwitch进行隔离。

10

企业可通过以下两种方式进行隔离:

  • 网络ACL:实现跨VSwitch粒度的访问控制管理;
  • 安全组:实现实例粒度的访问控制,并且支持跨账号安全组的互相引用。

小提示:使用安全组设置两个实例间禁止访问规则以达到网络隔离效果。这种办法主要用以弥补在相同VSwitch内的实例之间隔离无法采用网络ACL的缺失。当然,您仍然可以使用安全组跨账号引用能力实现跨VSwitch的不同账号下资源间的隔离,只需要您在安全组内配置好源IP和目标IP即可。

四、使用共享VPC的优势及注意

(一)企业运维提供标准化网络服务

11

  1. 企业运维部负责搭建整体网络架构,并将子网共享给业务部门,每个业务部门只能看到和操作自己的资源。
  2. 业务部门根据实际的业务需求添加或删除子网中的服务器,数据库等资源。
  3. 整个组织采用统一的网络架构和安全策略,业务方可聚焦自身业务逻辑和需求
  4. 网络和安全能力作为一个的服务供业务方使用,将运维体系标准化和流程化,并提升整个组织的IT效率。

(二)集中管理的VPC
职责分工更为清晰,使得网络配置管理集中,网络规划和运维由专门的团队负责,业务人员更专注于管理应用服务。

12

(三)避免创建一个“巨大”的VPC
对于共享VPC的优势而言,每个产品都存在相对的劣势,企业需要根据自身业务进行“适度”配置,以免造成风险。

  • 考虑是否有强隔离需求,使用VPC是最好最简单的隔离方法。建议适当使用VPC和VSwitch的配比,在必要时使用CEN连接不同VPC,避免单个VPC过于臃肿巨大;
  • VPC所有者无法修改使用者的资源,因此需要考虑当共享取消后,无法将使用者放入VSwitch中的资源剥离出去。

五、持续企业IT治理,实现“生产就绪”

阿里云开放平台提供了“生产就绪”的企业IT治理能力。

13

不同企业的形态不同,网络规划选型不可一概而论。企业上云需要做好规划,网络规划是第一步,未完待续。

14

欢迎企业客户探讨企业IT治理方法论。
https://open.aliyun.com/governance

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
编写Java程序,实现一个简单的echo程序(网络编程TCP实践练习)
编写Java程序,实现一个简单的echo程序(网络编程TCP实践练习)
109 0
高效sql性能优化极简教程
高效sql性能优化极简教程
32 0
Java核心类库之(网络编程:网络编程入门、UDP通信程序、TCP通信程序)
黑马程序员全套Java教程_Java基础入门视频教程,零基础小白自学Java必备教程
62 0
PL/SQL程序中调用Java代码(转)
主要是学习PL/SQL调用JAVA的方法. 平台:WINDOWS 1.首先使用IDE写好需要调用的java代码,再添加"create or replace and compile java source named 名字 as",然后在PL/SQL中执行   create or r...
1085 0
【工业串口和网络软件通讯平台(SuperIO)教程】八.SuperIO通讯机制与设备驱动对接的说明
SuperIO相关资料下载:http://pan.baidu.com/s/1pJ7lZWf 1.1    通讯机制说明       通讯的总体机制采用呼叫应答方式,就是上位机软件主动发送请求数据命令,下位机终端接收到命令后,并校验成功,返回相应的数据。
593 0
【工业串口和网络软件通讯平台(SuperIO)教程】七.二次开发服务驱动
SuperIO相关资料下载:http://pan.baidu.com/s/1pJ7lZWf 1.1    服务接口的作用  围绕着设备驱动模块采集的数据,根据需求提供多种应用服务,例如:数据上传服务、数据请求服务、4-20mA服务、短信服务、LED服务以及OPC服务等。
848 0
41
文章
0
问答
来源圈子
更多
相关文档: OpenAPI Explorer
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载