背景介绍
虚拟私有云VPC作为天翼云最基础的IaaS服务之一,是每个用户上云都需要用到的产品。合理的网络设计、有前瞻性的网络规划、充分的网络安全考量能够极大的便利您在天翼云上使用部署业务,降低业务运行和扩展面临的潜在网络问题。以下是一份单资源池、单VPC云网络架构设计指南,涵盖规划、部署、安全及优化关键点。本文适用于虚拟私有云的可用区资源池,不同资源池列表见产品简介-资源池区别页面,实际情况以控制台展现为准。
设计目标
简单高效:通过单一VPC满足单资源池业务需求,降低复杂度。
安全隔离:通过子网分层、安全组实现内部资源隔离。
高可用性:多可用区部署关键服务,避免单点故障。
可扩展性:预留IP地址空间,支持未来扩展业务。
基础架构组件
组件 | 作用 |
虚拟私有云VPC | 创建逻辑隔离的私有网络环境 |
子网 | 按业务分层划分网络段(Web/App/DB) |
路由表 | 路由表是管理和控制网络流量的关键,用于控制虚拟私有云内网络流量走向 |
安全组 | 实例级流量控制(有状态防火墙) |
网络ACL | 子网级流量过滤(无状态规则) |
弹性负载均衡 | 流量分发至多台后端服务器 |
NAT网关 | 私有子网访问互联网的统一出口 |
弹性IP | 为云主机或NAT网关绑定公网地址 |
云监控 | 网络流量监控 |
网络架构设计步骤
VPC与子网规划
CIDR分配
建议使用较大私有地址段(如 10.0.0.0/8),按业务分层划分子网
Web层子网:10.0.1.0/24(公网子网,能够访问公网)
应用层子网:10.0.2.0/24(私网子网,仅能进行内网访问)
数据库子网:10.0.3.0/24(私网子网,严格隔离)
路由表配置
公网子网路由表:默认路由指向NAT网关(用于出向互联网访问)。
私网子网路由表:仅保留VPC内网路由,禁止直接访问公网。
安全策略设计
安全组规则
Web层安全组:仅开放80/443端口给公网,限制内网访问应用层端口(如8080)
数据库安全组:仅允许应用层子网IP访问3306(MySQL)或5432(PostgreSQL)等。
网络ACL
入站规则:按需限制来源IP(如仅允许企业办公网段)。
出站规则:禁止私有子网直接访问公网。
网络连接与高可用
互联网访问
在VPC中部署NAT网关,通过弹性IP,作为私有子网访问外网的唯一出口。
对于需要接入公网的私有子网,通过NAT网关配置SNAT、DNAT规则管理VPC与公网互通。
跨可用区负载均衡
每个子网部署云主机跨2个可用区部署。
使用天翼云弹性负载均衡(CT-ELB),将流量分发至处于不同可用区的主机实例。
配置负载均衡健康检查,自动剔除故障节点。
跨可用区冗余:关键服务(如数据库、中间件)部署在多个可用区,通过主从复制保持数据同步。
典型架构图
安全增强措施
数据加密
使用SSL/TLS加密公网传输流量(如HTTPS)
数据库启用透明数据加密(TDE)和天翼云KMS服务
安全防护
根据业务情况使用天翼云提供的安全产品进行公网防护。
成本优化建议
按需分配公网IP:公网流量通过NAT网关共享出口,仅对必须暴露的服务使用独享的弹性IP(需要为云主机所在的子网配置指向IPv4网关的默认路由)。
合理选择带宽:
优先使用共享带宽降低弹性IP带宽成本。
根据业务峰谷情况选择弹性IP的固定带宽或按流量计费模式。
清理闲置资源:定期删除未使用的EIP、安全组、路由表等资源。
运维与监控
自动化部署:使用天翼云原生API实现VPC、子网、安全组等资源的自动化编排。
监控告警:配置云监控对使用的云资源进行告警,重点关注以下指标:
弹性IP、共享带宽网络出入带宽利用
NAT网关并发连接数
弹性负载均衡健康/异常后端主机数
常见问题规避
IP地址耗尽:预留至少20%的IP空间(如使用/16的VPC,按/24划分子网)。 如果出现VPC地址不足的情况,可以通过为VPC增加扩展网段的方式,扩容地址。
安全组配置错误:遵循最小权限原则,禁止开放0.0.0.0/0到高危端口(如22、3389)。
单可用区风险:确保关键服务(如数据库)部署在至少2个可用区。
通过以上设计,可在天翼云单地域单VPC环境下构建安全、高可用且易于扩展的网络架构,适用于中小型企业或独立业务系统。