กลยุทธ์ความสามารถในการทำงานร่วมกันของอินทราเน็ตเซิร์ฟเวอร์ Alibaba Cloud: ข้ามบัญชีข้าม VPC การเชื่อมต่อข้ามภูมิภาค

เมื่อสร้างสถาปัตยกรรมคลาวด์เพื่อให้มั่นใจในความปลอดภัยของการรับส่งข้อมูลและประหยัดค่าใช้จ่ายในการรับส่งข้อมูลเครือข่ายสาธารณะ

ความสามารถในการทำงานร่วมกันของอินทราเน็ต

เป็นงานหลักของการดำเนินการและการบำรุงรักษาอินสแตนซ์ Alibaba Cloud ECS ไม่เพียงแต่เชื่อมต่อกับ ECS อื่นเท่านั้นแต่ยังสร้างการเชื่อมต่ออินทราเน็ตกับฐานข้อมูลบนคลาวด์ RDS, โหลดบาลานซ์ SLB และ OSS จัดเก็บออบเจ็กต์

บทความนี้จะจัดเรียงเส้นทางทางเทคนิคและคำแนะนำในทางปฏิบัติสำหรับการสื่อสารอินทราเน็ตในสถานการณ์ต่างๆ

1.เหตุใดจึงควรให้ความสำคัญกับการเชื่อมต่ออินทราเน็ต?

การส่งผ่านความเร็วสูง: ขีดจำกัดสูงสุดของแบนด์วิดท์อินทราเน็ตมักจะสูงกว่าเครือข่ายสาธารณะและเวลาแฝงต่ำมาก

ความปลอดภัยสูง: การรับส่งข้อมูลไม่ผ่านเครือข่ายสาธารณะแยกการโจมตีภายนอกได้อย่างมีประสิทธิภาพ

ค่าใช้จ่ายเป็นศูนย์: ในพื้นที่เดียวกันการส่งข้อมูลผ่านอินทราเน็ตมักจะฟรี

2.ปัจจัยหลักที่มีอิทธิพลต่อความสามารถในการทำงานร่วมกันของอินทราเน็ต

อินทราเน็ตสามารถเชื่อมต่อได้หรือไม่นั้นขึ้นอยู่กับสี่มิติต่อไปนี้:

ประเภทเครือข่าย: เครือข่ายที่เป็นกรรมสิทธิ์ (VPC) หรือเครือข่ายคลาสสิก

การระบุแหล่งที่มาของบัญชี: บัญชีเดียวกันหรือบัญชีอื่น

ภูมิภาค: ไม่ว่าจะอยู่ในพื้นที่ห้องทางกายภาพเดียวกัน

กลุ่มความปลอดภัย: การควบคุมการเข้าถึงที่คล้ายกับไฟร์วอลล์

3.สรุปสถานการณ์ทั่วไปและแนวทางแก้ไข

1.การทำงานร่วมกันภายใน VPC เดียวกัน (ที่ง่ายที่สุด)

นี่คือฉากกระแสหลักที่สุดในปัจจุบันตราบใดที่อินสแตนซ์อยู่ภายใต้ VPC เดียวกันไม่ว่าจะเป็นของบัญชีเดียวกันหรือไม่ตรรกะการทำงานร่วมกันมีดังนี้:

กับกลุ่มความปลอดภัย: ระบบเริ่มต้นการทำงานร่วมกันของอินทราเน็ต

กลุ่มความปลอดภัยที่แตกต่างกัน: ไม่สามารถใช้งานได้โดยค่าเริ่มต้นวิธีแก้ไข: คุณต้องเพิ่มกฎทิศทางอินทราเน็ตในกลุ่มความปลอดภัยสองกลุ่มตามลำดับเพื่ออนุญาตสิทธิ์การเข้าถึงของกลุ่มความปลอดภัยของอีกฝ่าย (กรณี: โปรโตคอลการอนุญาตคือโปรโตคอลเต็มรูปแบบหรือพอร์ตเฉพาะและอ็อบเจ็กต์การอนุญาตคือ ID กลุ่มความปลอดภัยของอีกฝ่าย)

2.ความสามารถในการทำงานร่วมกันของอินทราเน็ตระหว่าง VPC ที่แตกต่างกัน (ในพื้นที่เดียวกัน)

หากคุณได้สร้าง VPC หลายรายการเนื่องจากการแยกธุรกิจหรือต้องการการเชื่อมต่อข้ามบัญชี:

โซลูชัน: ใช้ VPC Interconnection (Cloud Enterprise Network CEN หรือ VPC peer-to-peer connection)

จุดปฏิบัติการ: เพิ่ม VPC สองตัวลงในอินสแตนซ์เครือข่ายเดียวกันผ่านเครือข่ายองค์กรคลาวด์กำหนดค่าตารางเส้นทางและคุณสามารถสื่อสารได้เหมือนในเครือข่ายภายในเดียวกัน

3.การทำงานร่วมกันของอินทราเน็ตข้ามภูมิภาค (ภูมิภาค)

ตัวอย่างเช่น ECS ในพื้นที่ปักกิ่งจำเป็นต้องเชื่อมต่อกับฐานข้อมูลในพื้นที่เซี่ยงไฮ้:

วิธีแก้ไข: ต้องใช้ CEN เครือข่ายองค์กรคลาวด์เพื่อให้เกิดการทำงานร่วมกันข้ามภูมิภาค

หมายเหตุ: ความสามารถในการทำงานร่วมกันข้ามภูมิภาคจะเกี่ยวข้องกับต้นทุนแพ็กเก็ตแบนด์วิดท์และความล่าช้าจะได้รับผลกระทบจากระยะทางกายภาพ

4.การเชื่อมต่อแบบไฮบริดของเครือข่ายคลาสสิกกับ VPC

สำหรับผู้ใช้เก่าที่ยังคงใช้เครือข่ายคลาสสิก (รุ่นเก่า):

วิธีแก้ไข: ใช้ ClassicLink 。

ฟังก์ชัน: ClassicLink ช่วยให้อินสแตนซ์ ECS ประเภทเครือข่ายคลาสสิกและทรัพยากรคลาวด์ใน VPC สามารถแลกเปลี่ยนการเยี่ยมชมอินทราเน็ตได้ซึ่งสะดวกสำหรับคุณในการย้ายข้อมูลทางธุรกิจได้อย่างราบรื่น

สี่ตรวจสอบตารางอย่างรวดเร็ว

ฉากเครือข่าย

บัญชี/ภูมิภาค

โปรแกรมที่แนะนำ

หมายเหตุ

VPC กับกลุ่มความปลอดภัย

บัญชีเดียวกัน/ภูมิภาคเดียวกัน

การสื่อสารเริ่มต้น

ไม่จำเป็นต้องกำหนดค่า

กลุ่มความปลอดภัยที่แตกต่างกันกับ VPC

บัญชีเดียวกัน/ภูมิภาคเดียวกัน

การอนุญาตการเยี่ยมชมร่วมกันของกลุ่มความปลอดภัย

เพิ่มการอนุญาตอินทราเน็ตในกฎกลุ่มความปลอดภัย

VPC ที่แตกต่างกัน (เดียวกัน/ข้ามบัญชี)

ภูมิภาคเดียวกัน

Cloud Enterprise Network CEN/การเชื่อมต่อแบบเพียร์ทูเพียร์

เหมาะสำหรับการทำงานร่วมกันขนาดใหญ่ในระดับ VPC

การเชื่อมต่อข้ามภูมิภาค

ภูมิภาคต่างๆ

CEN Cloud Enterprise Network

จำเป็นต้องซื้อแพ็คเกจแบนด์วิดท์ข้ามภูมิภาค

เครือข่ายคลาสสิก VPC

บัญชีเดียวกัน/ภูมิภาคเดียวกัน

ClassicLink

แก้ปัญหาการเปลี่ยนแปลงของสภาพแวดล้อมใหม่และเก่า

5.ขั้นสูง: จะตรวจสอบความล้มเหลวของอินทราเน็ตได้อย่างไร?

หากคุณยังไม่สามารถผ่าน Ping ได้หลังจากกำหนดค่าตามโครงร่างข้างต้นโปรดตรวจสอบ:

กฎกลุ่มความปลอดภัย: ทิศทางการเข้าจะปล่อยโปรโตคอลที่เกี่ยวข้อง (TCP/ICMP) และพอร์ตหรือไม่

ไฟร์วอลล์ภายในของ OS: ตรวจสอบว่า iptables/firewalld ของ Linux หรือไฟร์วอลล์ของ Windows บล็อก IP ของอินทราเน็ตหรือไม่

ความขัดแย้งในการกำหนดเส้นทาง: เมื่อเชื่อมต่อ VPC ที่แตกต่างกันตรวจสอบให้แน่ใจว่าส่วนเครือข่ายส่วนตัว (CIDR) ไม่ทับซ้อนกันมิฉะนั้นจะทำให้เกิดความขัดแย้งในการกำหนดเส้นทาง

สรุป

แนวคิดหลักของความสามารถในการทำงานร่วมกันของอินทราเน็ตคือ:

ปรับกลุ่มความปลอดภัยด้วย VPC เดียวกันปรับเครือข่ายองค์กรคลาวด์ด้วย VPC ที่แตกต่างกันและใช้ ClassicLink แทนเก่าและใหม่

ด้วยการเรียนรู้แกนทั้งสามนี้คุณสามารถเล่นกับสถาปัตยกรรมเครือข่ายที่ซับซ้อนของ Alibaba Cloud ได้