【背景】
金融证券行业的个别客户,对数据的安全性要求较高,数据库是部署在他们自己的私有云中,通过IP白名单授权访问的方式与我们的公有云形成混合云架构。
此方案的缺点:
1、在面对突发的并发峰值时,系统需要临时扩容服务器,但新的服务器的IP白名单授权,需要经过客户的层层审批,无法满足时效性要求;
2、系统在迭代过程中,经常会有新增的服务站点,需要开通新的服务器来部署,同样需要经过客户的IP白名单授权流程,对云服务器的管理造成极大的不便。
第一次研究的方案,是通过VPN网关和高速通道的方式来打通双方的网络:
1、 搭建VPN服务
建立虚拟 边界路由器 作为 VPC 到 用户IDC 的数据转发桥梁。然后分别在虚拟边界路由器和 VPC 的路由器上创建并连接 虚拟路由器接口 ,从而打通 用户IDC 与阿里云 VPC。
2、 VPC高速通道的专线服务
通过一条租用运营商的 物理专线 (电缆或光纤)来连通用户 IDC 到阿里云专线接入点,并建立虚拟 边界路由器 作为 VPC 到 IDC 的数据转发桥梁。然后分别在虚拟边界路由器和 VPC 的路由器上创建并连接 虚拟路由器接口 ,从而打通 用户IDC 与阿里云 VPC。
但是,经过与对方IT的沟通,对方出于网络安全的考虑,是绝对不可能把它们的网络与我们这类第三方厂商互通的。
第二次研究的新方案:
通过专有网络VPC+NAT网关+弹性公网IP的方案,来实现在VPC环境下构建一个统一的公网流量的出入口IP。也就是说,VPC环境下的所有ECS,都是以相同的公网IP访问外网,这样客户只需要开通一次白名单,VPC的内部ECS就可以随意调整。
【相关知识】
网友评论