CEN2.0:智能云企业网
解决方案&客户场景
——王梓宏(林司)
阿里云智能 云网络产品线 高级解决方案架构师
经过了数年成长期,阿里云目前已经成为全国乃至全球最大的公有云厂商之一。随着搬站上云的企业越来越多,迁移的业务量越来越大,客户对公有云的需求也在发生微妙的变化,他们急需一套新的架构来承载逐渐增加的云资源数量。
这套新的架构需要能承载大规模资源,并能够做到非常高的可扩展性。此外,还需要在保持大规模的前提下,尽可能降低运维管理的成本,最好能够实现智能化运维。与此同时,大量企业业务上云后,业务数据的网络安全性如何保障、安全机制如何设计也成为了企业的一大挑战。
帮本文将通过两个客户故事,来介绍当前阿里云上大客户的最新网络架构如何解决以上问题。
1.客户故事-周大福
周大福是全国知名珠宝连锁零售品牌,在全国范围内有数千家门店,同时也已经覆盖日韩、东南亚等其他国家。在使用阿里云之前,他们的业务系统全量部署于香港自建 IDC ,越来越多的国内门店终端新订单、库存查询、内部信息查询等请求访问到香港自建 IDC 内的企业信息系统平台,导致内地到香港的网络成为瓶颈。同时门店数量的增长给IT 成本和运维管理带来了非常大的压力。
阿里云为客户做了三件事情:
① 核心系统上云,将部分业务系统从香港自建 IDC 剥离出来,移至阿里云,降低了 IDC 的压力,提高了业务的可扩展性,也降低了运维复杂度。
② 在门店中部署阿里云自研SD-WAN 智能云分支 CID 设备,将门店纳入到集团公司内网中,提高了零售门店的数字化水平。
③ 通过云企业网 2.0 实现了智能化运维管理和监控等工作,大幅降低了运维成本。
一系列操作为客户带来了很高的业务收益,且业务平滑迁移上云,企业客户无感知,迁移过程不影响业务生产。通过阿里云的大规模和高弹性,提高了客户的业务稳定性,可用率高达99.9%,拉动了企业整体数字化转型的进展。
周大福将上云业务分为两种,一种与内地门店业务关联比较紧密,如商品展示系统,部署在阿里云北京 region ;另一种与香港总部关联度较高,部署在阿里云香港 region 。北京和香港 region分别由 VPC承载,这两个 VPC 又连接到各自 region 的转发路由器 TR 上。
另一方面,客户在其门店部署了SD-WAN、CID 设备,这些设备基于门店的互联网接入,通过SD-WAN 的方式连接到阿里云内地的 CCN 节点,进而连接到 CCN 转发路由器CCN-TR。 由于香港自建 IDC 仍然保留部分业务,如 ERP和订单系统,因此香港自建 IDC 使用物理专线的方式连接到阿里云虚拟边界路由器VBR, 香港VBR 也连接到香港 TR 。这样,客户的所有系统环境都连接到同一个三层网络平面中,所有内部系统也都运行在这张企业内部的网络中。
以上所有为客户带来价值的云网络特性均得益于转发路由器以及云企业网 2.0 带来的跨域网络连接。
首先,对于跨域网络来,其价格相对较高,因此周大福首先启用了流量调度策略功能,通过五元组的方式标记识别不同的业务,在有限的跨域带宽中进行不同的业务优先级区分,保证重要用户的关键业务高优先通过,实现较小的带宽保障重要业务先行,提高了关键业务系统运行的质量。
第二,利用了新推出的云企业网跨域网络按流量计费的能力。不同于此前的按带宽计费模式,新的按流量计费方式为客户免去了闲时网络带宽计费造成的浪费,实现了真正的按使用量付费,并提高了网络弹性,降低了总体成本,是对企业类客户非常有价值的特性。
第三,在跨域网络上,很多客户都遇到过类似的问题:带宽被占满,却不知道具体被哪个应用、哪台机器占用,导致电路拥堵,正常业务受到影响。周大福利用链路TOP-N 流量实时查看能力,能够第一时间查到当前流量最大的几条流的带宽占用,以及他们的源 IP 、源端口、目的 IP 、目的端口和协议等信息,快速定位到问题机器,减少问题对业务的影响。
周大福在国内有很多连锁门店,生意火爆,业务繁忙。近期随着企业数字化水平的发展,他们为门店增加了很多智能化设备,包括摄像头、POS 机等终端,上面运行了一系列订单系统、商品展示系统等内部业务系统。而这些系统都需要高质量的连接,连接到部署在阿里云上及香港总部 IDC 的服务器。
客户利用阿里云智能云分支CIB 设备快速高效地进行门店组网。每个门店的CIB 设备都分配一个内网网段,纳入到企业集团网段进行统一管理。所有门店的设备与集团内网都处于同一网络平面,让门店智能设备能够够快速高效地与集团内网服务器进行打通,实现业务快速上线。
同时在网络管理上,由于转发路由器支持动态路由同步,因此门店网络的任何变化都能实时自动反映到集团主网路由表中,大幅简化了网络配置,降低了因配置导致网络中断的可能性,提高了业务的可用性和效率。
2.客户故事:蚂蚁银行
蚂蚁银行隶属于蚂蚁集团,于 2020 年 9 月 28 日正式开业,是香港首批上线的持牌数字虚拟银行。金融业在香港非常发达,而且有着悠久的历史,政府和监管部门对金融业特别是银行从业者要求非常严格。蚂蚁银行的业务系统必须与监管部门的系统连通,并且通过复杂的策略进行安全管控,且网络架构必须满足特定的安全要求等,这也是蚂蚁银行面临的主要业务挑战。
客户通过阿里云网络解决方案成功解决了以上挑战:
① 通过云企业网 2.0 的混合云架构能力,实现了业务系统与监管部门的安全联通,符合监管的要求。
② 通过智能化运维手段,相比于线下纯自建的运维成本显著降低。
③ 通过 CEN 2.0 的统一东西向网络安全架构,加强了云网络的安全性,满足了客户对网络安全的要求。
从业务收益的角度来看,首先基于云网络 2.0 的架构,通过了香港金融监管部门的审查,可以合法合规地开展金融业务;其次,通过云网络高带宽、高弹性的特点,契合银行业务波峰波谷相对比较明显的特点,提高了系统承载能力,降低了成本;最后,通过业务上云带来的降本增效,加速实现企业的数字化转型。
蚂蚁银行的业务系统主要部署在阿里云上,由于金融行业对IT 系统要求很高,因此他们的业务系统往往非常庞大和复杂。
上图展示了部分核心业务系统。杭州 region 有部分总部的内部业务系统由 VPC 承载,并接入杭州 region 的转发路由器上。而主要的系统部署在香港 region 中,由不同的 VPC承载,分别为:
① 公网接入 VPC :主要负责统一管理互联网流入流出的流量的安全管控。
② 安全 VPC :主要负责统一管理内网东西向流量的安全管控。
③ 一系列业务 VPC :每个业务系统占用一个 VPC ,负责承载不同的业务,如接口服务、软件服务等。
④ 数据库 VPC :负责承载 Redis、 MySQL 等数据库资源。
与金融监管部门系统的互联互通主要通过连接物理专线实现。将专线连接到阿里云虚拟边界路由器VBR 并将所有 VPC 和 VR 连接到同一个香港 region的转发路由器上,通过云企业网 2.0 将客户国内和香港云上云下的不同资源组建成一张内网,实现数据的互联互通。
蚂蚁银行架构中存在两个关键点:
第一个关键点是安全 VPC 。客户对内网的数据需要做安全审计,mesh 网状网结构不利于做统一内网安全管控,因此客户需要将所有内网流量统一汇聚到一个安全 VPC 。此 VPC 类似于 hub 的角色,在安全 VPC 中部署云防火墙,所有不同业务之间的流量都要先经过安全 VPC 中云防火墙的过滤,再送往目的地,进而实现更高的内网安全性。通过云企业网 2.0 的转发路由器,再配合 VPC 的功能,即可轻松实现这一点。
如上图,由于转发路由器可以配置多路由表,先将业务 VPC1 的流量指向安全 VPC, 流量经过安全 VPC 的防火墙过滤后,再通过不同 VPC自定义路由表发回到 TR 。这时通过安全 VPC 关联不同的 TR 自定义路由表,再将过滤后的流量发给最终目的地业务 VPC 2 ;反之亦然。同样 VPC 与 VBR 的互通流量也可以通过统一的防火墙统一管理和清洗,实现更高的安全性。
第二个关键点在于业务的规模化部署,利用转发路由器可以连接 1000 个 VPC 等实例的超大容量特性。蚂蚁银行实现了精细化网络规划,将每个不同的业务系统都独立VPC 部署。从安全性上来看,每个业务都相对独立,可以实现路由隔离和网络 ACL 隔离;从可扩展性上来看,每个 VPC 都可以配置大量子网,未来业务扩容非常平滑。
这套云网络架构能够适配任何业务发展的突发变化,可以避免因后期发展与前期规划不同导致IT 系统部署的困难。
综合以上两个客户故事可以看到,基于云企业网 2.0 的企业级云网络解决方案已经发展为能够支持全行业、全场景、不同客户、不同诉求的成熟网络解决方案。无论是通过专线组建的混合云,还是通过SD-WAN 构建的多分支组网,阿里云都能够适配各种线下环境并实现灵活组网。
对于云上网络,通过云企业网 2.0 可以实现统一公网出口、统一内网安全管控、大规模业务组网等复杂的组网方式,满足当今不同领域客户复杂多变的业务诉求。
除了周大福和蚂蚁银行,阿里云上还有来自于各行各业的其他客户,无论是物联网、流媒体,还是在线游戏、金融服务等,这些来自不同行业的、截然不同的业务模式都在顺利运行着。在基于云企业网 2.0 的阿里云网络架构上,各行各业的客户都从阿里云网络上获得了丰富的业务价值。
云企业网 2.0 的发布是起点,阿里将继续与广大客户一同致力于打造技术领先、极致体验的智能云网络,继续为企业提供更便捷的云网络服务,加速万物上云,连接数字世界。