企业级云上网络构建：高效连接北京研发中心与杭州生产环境

背景介绍

小云所在的公司业务主要集中在杭州地区，并决定将总部设立于此。为了吸引北京地区的科技人才，公司在北京设立了远程研发中心。当前，开发环境部署在北京本地机房，而生产环境则位于杭州本地机房。随着业务的发展，公司计划迁移至阿里云，实现更高效、稳定的网络架构。

开发环境

• 开发环境位于北京本地机房，主要包括几台开发服务器，支持开发团队进行代码开发及上传。
• 版本发布流程包括：
  1. 正式版本代码从开发服务器上传至杭州的文件服务器。
  2. 运维人员将文件服务器上的代码包分发至所有生产环境中的Web服务器，并分批完成部署、发布和测试工作。

生产环境

• 生产环境位于杭州本地机房，采用前后端分离架构，确保高可用性和安全性。
• 前后端分离：Web服务器与数据库服务器分开部署，便于扩展和更新。
• 多机房部署：前端Web服务器和后端数据库服务器分布在多个机房，提高业务可用性。
• 访问权限管理：实施严格的访问规则配置，确保整体业务的安全性。

网络连接

• 开发环境与生产环境通过VPN方式连接，但网络带宽较小。

云上网络架构设计

设计概述

小云根据现有业务需求，在阿里云上设计了一套高效的网络架构，旨在实现业务的无缝迁移和扩展。

架构详情

• 北京开发环境：

  • VPC-DEV (172.16.0.0/16)
  • 开发环境交换机 VSW-DEV (172.16.1.0/24)
  • 部署两台研发服务器 ECS-DEV01 和 ECS-DEV02，互为主备，确保代码等重要文件的安全性。

• 杭州生产环境：

  • VPC-PRD (192.168.0.0/16)
  • WEB服务交换机 VSW-WEB1 (192.168.1.0/24) 和 VSW-WEB2 (192.168.2.0/24)，实现跨可用区部署，提高Web服务的可用性。
  • 数据库服务交换机 VSW-DB1 (192.168.100.0/24) 和 VSW-DB2 (192.168.101.0/24)，同样实现跨可用区部署，提高数据库服务的可用性。
  • 文件服务器交换机 VSW-FS (192.168.200.0/24)，负责从北京开发环境获取最新版本的软件包，并快速分发至生产环境中的Web服务器。

• 网络连接：

  • VPC对等连接实现北京和杭州两地VPC之间的网络打通。
  • 手动添加路由规则，确保从开发环境交换机 VSW-DEV 到文件服务器交换机 VSW-FS 的连通性。

• 安全组访问权限控制：

  • 北京开发安全组 SG-DEV：允许从文件服务器 VSW-FS (192.168.200.0/24) 通过TCP 22端口访问。
  • 文件服务器安全组 SG-FS：允许从开发环境 VSW-DEV (172.16.1.0/24) 通过TCP 22端口访问。
  • WEB服务安全组 SG-WEB：允许从文件服务器 VSW-FS (192.168.200.0/24) 通过TCP 22端口访问；对外开放WEB服务（HTTP 80）。
  • 数据库服务安全组 SG-DB01/SG-DB02：允许从WEB服务交换机 VSW-WEB1 (192.168.1.0/24) 和 VSW-WEB2 (192.168.2.0/24) 通过TCP 3306端口访问。

• 网络ACL规则配置：

  • 入方向：允许来自WEB服务交换机 VSW-WEB1 (192.168.1.0/24) 和 VSW-WEB2 (192.168.2.0/24) 的TCP 3306端口访问；拒绝所有其他来源的访问。
  • 出方向：允许向WEB服务交换机 VSW-WEB1 (192.168.1.0/24) 和 VSW-WEB2 (192.168.2.0/24) 发送TCP流量；拒绝所有其他目的地的访问。

通过上述设计，小云实现了高效、安全的企业级云上网络架构，为业务的持续发展奠定了坚实的基础。