企业上云，《云网络》先行（下）-阿里云开发者社区

今天继续介绍一本阿里人写的书，按照“Life is Random”的原则，这次还是按照片中书脊的从左到右顺序，第二本就是《云网络》，由于牵涉的内容过多，分享将分成上下两次，上次分享了云网络整体概述、VPC、EIP、NAT网关、PrivateLink私网连接、SLB负载均衡，本次分享的内容包括：VPN网关、智能接入网关、高速通道、云解析DNS、云网络安全、云网络解决方案。

假如企业要实现线下IDC数据中心和阿里云上VPC之间的内网互通，最快捷的方法就是采购云上的VPN网关与线下防火墙通过标准的IPSec协议在公共互联网线路上建立加密隧道来实现安全的内网通信。

不过在我看来VPN网关要想用的舒心，离不来三个要点：

网工团队、对于大多数的企业用户来说这个不成问题，通常情况下企业都有相当规模的内部网络要进行维护，使用标准VPN进行企业间互联的情况也不在少数。
网络设备、对于多大数据企业来说支持标准IPSec协议的防火墙设备基本上就标配。
公网线路、为了保证服务质量，最好有独立的用于VPN互联的公网线路，尽可能不要和其他互联网业务共用线路。

阿里云的VPN网关除了能够完成基本的站点到站点网络互联之外，还拥有如下特色功能：

基于路由的流量调度、阿里云的VPN网关支持以“感兴趣流”的模式建立加密隧道。
动态路由、通过标准的BGP动态路由协议，VPN网关支持动态路由的发布和接收，在建立加密隧道后，VPN网关将自动发布云上地址到对端的防火墙硬件设备，同时自动接收来自对端发送过来的路由。
国密评测、VPN网关支持等级保护2.0要求的“国密等保2.0”。
一键诊断、当出现异常时，可以快速发起诊断。
监控、提供流量速率、包速录、事件状态的实时监控。

阿里云VPN防火墙除了提供用于站点之间互联的IPSec协议之外，还提供用于终端互联的SSL-VPN协议。

（上图来自阿里云官网）

不过，假如要服务的对象是不具备太多网络专业技能的终端用户，我更推荐阿里云的另一个服务【智能接入网关】。智能接入网关是阿里云自研的云原生SD-WAN（软件定义广域网）解决方案，可以让企业的IDC、总部、分支、门店、边缘节点、移动终端设备等多种类型的网络节点一站式接入上云，形成企业内部网络。

（上图来自阿里云官网）

如上图所示，智能接入网关包含如下组件：

智能接入网关、智能接入网关依据不同的适配场景有硬件、虚拟设备、软件App三种形态。硬件形态对应IPSec-VPN方案中的客户侧的硬件防火墙设备、虚拟设备主要用于部署在其他第三方云平台及虚拟化软件平台、软件App提供包括Windows/Mac、安卓/IOS客户端，方便电脑和移动终端的接入使用。
云连接网、【CCN云连接网】是由阿里云众多接入点组成的接入矩阵网络，智能接入网关可以根据所在位置自动联入其中最优的接入点。
云企业网、CCN的矩阵网络归属于不同的地域范围，例如目前支持的地域范围包括中国大陆、香港、日本、新加坡、德国等，假如要实现跨区域访问其他地域的VPC就需要将CCN连接到云企业网，通过云企业的跨地域带宽来访问不同地域的VPC。

在面向站点之间互联的场景下，正是因为有了广泛分布的CCN接入矩阵节点，智能接入网关相对于IPSec-VPN具有更低的延迟和更稳定的访问连接质量，同时智能化程度更高因而对配置和运维人员的要求更低，并支持免配置自动化部署，特别适合分散的分支门店使用。
在面向终端用户的接入的场景下，智能接入网关的应用界面更加简洁直观，更有利于非专业终端用户的快速上手使用。

假如线下IDC需要大带低时延接入云上VPC，那么最合适的方案则是【高速通道】，高速通道采用【专线】的连接方式，能够避免通过互联网共享连接所导致的连接不稳定、数据私密性差的问题。

（上图来自阿里云官网）

如上图所示，高速通道是企业线下IDC通过专线接入阿里云云上网络的通道。高速通道的一端通过阿里云专线接入点（POP点）与运营商专线连接，另一端通过【VBR边界路由器】与云企业网连接。高速通道具有如下组件：

接入点、物理专线接入阿里云的物理位置，一般在中心城市具有多个接入点，可以根据需要选择，而在二三线城市则有可能没有接入点，这时要使用高速通道则要租用省内甚至是省际的线路才能将线下IDC接入到接入点。
物理专线接口、物理专线接口是专线在接入点交换机端口的抽象，可以通过申请运营商专线接入到该物理专线接口，从而完成物理链路的构建。
边界路由器、边界路由器是一个虚拟设备，负责在用户侧和云企业网之间进行数据转发。
云企业网、云企业网是云上网络的核心枢纽，可以在不同的VPC、VBR之间进行统一的数据转发和路由。

在企业确定要采取使用高速通道来连接云上和云下网络后还要面临一道选择题，是选择独享专线还是共享专线。
其中独享专线是和三大运营商直接签署合同租用专线，专线的价格通常按月支付，通常市内、省内、省际专线有不同的价格体系，不过运营商的线路通常不能直接进入阿里云的数据中心包间，专线接入到接入点以后还要和节点所在的IDC交涉租用楼内的光纤，具体收费标准依IDC而定，所以采用独享专线要事先确定好要接入的阿里云接入点，并提前确定楼内的跳线接入成本。
采用共享专线则是和一批阿里云的专线合作伙伴合作，直接租用合作伙伴的现成线路连接到阿里云的包间，免去了和IDC的协调。通常情况下共享专线的成本要低于独享专线。但共享专线可能存在易受线路运维割接影响的问题，在前期规划时要考虑线路的冗余备份。

在聊完了VPN、智能接入网关、高速通道这些用于实现云上云下互联互通的服务之后，让我们来看一个关乎整个互联网存亡的服务：DNS服务。
 在阿里云上和DNS有关的服务包括：

公共递归DNS、所有阿里云的服务器都要使用该DNS进行域名到IP地址的解析。
云解析DNS、为用户提供权威DNS服务，客户可以将自己的域名托管到阿里云的云解析DNS来进行权威解析。
PrivateZone、VPC内部的权威DNS，方便部署一些和互联网隔离的内部服务。
专有云DNS、阿里云专有云的DNS服务。
缓存加速Zone、是一种基于DNS代理模式的公网权威DNS服务，可以在现有DNS服务器前加装而无需迁移现有DNS服务器。
全局流量管理GTM、能够实现就近接入，并支持对访问目标进行健康检查探测，支持在多个访问目标之间进行负载均衡和故障切换。

在这里重点讲下【云解析DNS】，阿里云的云解析DNS基于BGP+Anycast任播技术来实现高可用。阿里云在全球部署了近40个集群用于云解析DNS服务，这些集群都有相同的AnyCastIP地址，因而能够将不同地域的攻击流量吸引分流到不同的本地集群，这样就更容易化解大规模的DDoS攻击。

除了 DNS云解析服务自身所拥有的超强抗DDoS攻击能力外，阿里云的云服务器、SLB、EIP等互联网服务还自带免费的基础的抗DDos能力，防御的带宽依据用户的安全信誉额度不同而不同，假如需要更强的DDoS防御能力则可以购买收费的DDosS高级防御服务，最大支持防御几百GB的攻击流量。

本书介绍的另一项网络安全服务是WEB应用防火墙服务，WEB应用防火墙专门针对WEB应用层攻击，具有更强的CC攻击防御能力，据说当年某个网络安全厂商开发出了一个专门防御DDoS攻击的安全设备，并广发英雄帖让大家对自家的设备进行攻击，结果还个人不讲武德，并没有使用传统的流量型攻击而使用了一种耗尽对方主机资源的攻击方式，因为当时这个安全产品的名字的首字母有一个“C”，这种攻击就被命名为CC （挑战 Challenge Cxxxx）。

最后，让我们再介绍一个云网络解决方案。
在很多时候企业的集团公司和子公司之间需要进行业务互通，表现在IT系统上就是不同的ECS也要进行相互访问，虽然这种访问可以通过公网进行，但有的企业更倾向于直接利用内网进行互动以达到更高的通讯效率和更好的私密性，在面对这种需求时，有一种解决方案是将集团公司和子公司各自所属的VPC借助于云企业网进行互联打通，今天我们来介绍另外一种方案，那就是由一方创建一个共享VPC交换机，然后将该VPC交换机分享给另一方，对方的资源部署到这个交换机后天然能够访问同VPC下的其他交换机下的资源，这样双方的ECS等资源就可以部署到这个共享VPC下进行正常的内网通讯了。对于不同VPC交换机之间的访问控制可以借助于VPC的ACL和安全组策略进行访问控制隔离。