在之前我们讲过了我们上云的目的是为了节省成本,提高运维的生产力而且期望的是在不影响业务生产的情况下进行。那么我们在上云之前的第一步,应该是先根据现有的IDC机房的网络环境,在云上也规划出来一套一模一样的网络环境。
一般来讲,我们的网络环境一般会分为以下几种类别:
- 生产环境
- UAT环境
- 开发环境
其中生产环境应该是一个被隔离开,安全性最高的一个环境,对于网络的进出都会有很严格的控制。UAT环境应该是一套和生产环境的业务保持一直而数据不一致(Mock数据)的环境。开发环境相较于前两种的安全控制更低一个级别。
在IDC当中,我们通常采用的方法是直接从网段上进行区分,并在防火墙上面做一些安全设置,并采用跳板机或者VPN的方式进行接入。而在阿里云上,我们所采取的方案是直接使用阿里云的‘专有网络VPC’进行网络环境的搭建。
‘专有网络VPC’是阿里云所提供的一套用于构建隔离网络的工具,一个‘专有网络VPC’包括了一个路由器 , 至少一个交换机 和私网网段构成,其结构如下:
VPC.png
(图片来自于阿里云)
其中,VPC会有地域的限制,在创建VPC的时候需要根据自身业务情况考虑创建相应地域当中的VPC,虽然跨地域的VPC可以互通,但是尽量在规划的时候考虑清楚避免在以后需要做跨地域数据同步的工作。
根据我们之前提到的3个环境,我们按照如下的情况进行VPC的设置。
- 创建VPC -PROD 用于生产环境的使用。
- 创建VPC -SANDBOX 用于UAT和开发环境的使用。
VPC1.png
在创建VPC划分网段的时候,尽量选择和之前私网相同的网段,阿里云在可选的列表当中只提供了10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 三个网段,如果有特殊情况,就需要提交工单来解决
在VPC的创建界面当中,可以将交换机的分段同时创建,交换机创建的时候可以指定该交换机所在的可用区。由于不同可用区是在同一个地域当中电力和网络独立的区域,因此创建多个交换机在不同的可用区当中也是对灾备的一种对应方式。(实际还有一种可能是,当你最早一批的设备都购买在RegionA当中,到后面扩容的时候RegionA没有机器了,被迫可能需要在RegionF当中去创建机器)
VPC2.png
在我们的实践当中,我们早期对每一个VPC当中至少创建了2个交换机
至此VPC创建就算完成了,且VPC当中的私网网段也符合我们现有IDC当中的网段。这个时候,看起来结构是像下面的样子。
VPC3.png
下一步我们就可以着手开始规划我们的网络进出规则了。阿里云提供了NAT网关和EIP两个非常好用的工具。
EIP提供了一个对外访问的公网IP,且可以根据业务需要去购买带宽和流量。
NAT网关,简单来说就是通过DNAT和SNAT功能,来进行VPC内机器的私网IP,端口到公网EIP,端口的映射。阿里云提供了四种规格的SNAT可以选择,具体选择根据业务场景的最大连接数和每秒新建连接数选择即可。
一个配置后的NAT网关如下:
DNAT.png
SNAT.png
在实践中,通过SNAT和DNAT的控制可以在前端业务访问不变的情况下,灵活快速的调整后端服务器的结构
下一章我们说一说服务器的创建(ECS)和数据库(RDS)的数据迁移。
网友评论