資安

網絡架構優化–雲企業網典型場景分析for客戶

2021-03-22

image.png

1. 背景描述

客戶從傳統的高速通道遷移到雲企業網,加入雲企業網的VPC,VBR默認全通,但是實際業務場景需要更嚴格的策略做選擇性放通。此外,由於測試賬號沒有實際專線和VBR,本文均以VPC舉例講解路由策略的配置,VBR類似。

2. 概念理解

image.png
image.png
圖1

3. 環境準備

3.1 創建VPC,vswitch,ECS

VPC1:vpc-j**nv 網段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用區B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用區B
VPC1-ECS2:10.0.2.*

VPC2:vpc-j**ob 網段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用區B
VPC2-ECS1:172.16.*

VPC3:vpc-g**rl 網段:192.168.0.0/16 地域:法蘭克福
vswitch: 192.168.1.0/24 法蘭克福 可用區A
VPC3-ECS1:192.168.1.*

以上3個VPC的4個vswitch各創建一臺ECS,安全組上放開10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16

3.2 創建CEN

參考官網:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登錄雲企業網控制檯
II 在雲企業網實例頁面,單擊創建雲企業網實例
III 在創建雲企業網實例頁面,完成以下操作:

  1. 輸入實例名稱。名稱長度為2~128個字符,以英文字母或中文開頭,可包含數字、下劃線(_)和短橫線(-)。
  2. 可選: 輸入實例描述信息。名稱長度為2~256箇中英文字符,不能以http://https://開頭。
  3. 加載同賬號下的網絡實例。您可以在創建CEN實例時,將同賬號下的網絡實例包括專有網絡VPC、邊界路由器VBR或雲連接網CCN直接加載到CEN實例中。加載後,CEN實例內的網絡實例可私網互通。
    說明:確保要加載的網絡實例沒有加入到其他的雲企業網實例中。

IV 單擊確定

圖2.png
圖2

4. 場景實戰

4.1 場景一:VPC通過CEN實現全通

4.1.1 場景描述:VPC1,VPC2,VPC3全部互通

image.png
圖3

4.1.2 實現步驟
4.1.2.1 ping檢驗當前連通性
  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1
  • VPC1-ECS1/2----Nok----VPC3-ECS1
  • VPC2-ECS1----Nok----VPC3-ECS1

    (ok表示可以ping通,Nok表示無法ping通,下同)

4.1.2.2 將3個VPC加入雲企業網

參考官網:
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企業網以及VPC的路由分析

理解路由是很關鍵的步驟,也是檢查配置問題最終、最有效的手段,所以我們花點時間。
1)香港地域網關

圖4-1.png
圖4

100.64.0.0/10是雲服務的保留地址段,由系統自動添加,以下不再重複解釋。
2)法蘭克福地域網關

圖5-1.png
圖5

從香港和法蘭克服地域網關的路由信息來看:
①VPC1,VPC2的路由成功上報給香港地域網關,並且同步至法蘭克福的地域網關。
②VPC3的路由成功上報給法蘭克福的地域網關,並且同步至香港的地域網關。
接下來我們看下各個VPC的情況,看下地域網關是否將對應的路由信息下發。
3)VPC1

圖6-1.png
圖6

4)VPC2

圖7-1.png
圖7

5)VPC3

圖8-1.png
圖8

從VPC內的路由信息來看:
VPC內部的交換機網段,系統自動添加了本地路由,且已經上報至對應地域網關。
地域網關中的VPC上報的路由信息,已經下發至其他VPC中。

4.1.2.4 ping再次檢驗當前連通性
  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----ok----VPC2-ECS1 (雲企業網連通)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (雲企業網連通)
  • VPC2-ECS1----ok----VPC3-ECS1 (雲企業網連通)

4.2 場景二:限制VPC間互通

4.2.1 場景描述

VPC1與VPC3互通(場景一已實現),VPC1與VPC2不通,VPC2與VPC3不通。

image.png
圖9

4.2.2 策略分析-VPC1與VPC2不通(同地域)

如VPC1與VPC2不通,那麼我們要從1,2,3,4入手,其中1,4是VPC上報路由給地域網關,為了不影響VPC1,VPC2的路由上報並且下發給VPC3,所以我們需要保證暢通,那麼可以從2和3入手。
1)其中2中可以設置策略讓VPC1拒絕由香港地域網關同步過來的VPC2的路由,源是VPC2,目的是VPC1,出地域網關方向。
2)對於3可以設置策略:讓VPC2拒絕由香港地域網關同步過來的VPC1的路由,源是VPC1,目的是VPC2,出地域網關方向。

image.png
圖10

4.2.3 策略配置-VPC1與VPC2不通(同地域)
4.2.3.1 拒絕VPC1訪問VPC2的路由

對應圖10中線路2
1)點擊添加路由策略

圖11-1.png
圖11

2)填寫策略信息

  • 策略優先級:數字越小,優先級越高
  • 地域:香港地域
  • 應用方向:出地域網關
  • 匹配條件:源和目的VPC
  • 策略行為:拒絕

圖12.jpg
圖12

3)檢查效果,查看VPC1的路由表,可以看到已經拒絕VPC1訪問VPC2的路由。

圖13-1.png
圖13

4.2.3.2 拒絕VPC2訪問VPC1的路由

對應圖10中線路3
1)配置步驟同上,配置截圖如下:

圖14.jpg
圖14

2)檢查效果:查看VPC2的路由表,可以看到已經拒絕VPC2訪問VPC1的路由。

圖15-1.png
圖15

4.2.4 策略驗證-VPC1與VPC2不通(同地域)

ping檢驗當前連通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (雲企業網連通)
  • VPC2-ECS1----ok----VPC3-ECS1 (雲企業網連通)
4.2.5 策略分析-VPC2與VPC3不通(跨地域)

如VPC2與VPC3不通,那麼我們要從3,4,5,6,7,8入手,其中4,8是VPC上報路由給地域網關,為了不影響VPC2,VPC3的路由上報並且下發給VPC1,所以我們需要保證暢通,然後5,6是保證兩個地域之間的路由互通的,為了不影響地域下其他VPC的互通,需要保證通暢,那麼可以從3和7入手。
1)其中3中可以設置策略讓VPC2拒絕由香港地域網關同步過來的VPC3的路由,源是VPC3,目的是VPC2,出地域網關方向。
2)對於7可以設置策略:讓VPC2拒絕由法蘭克福地域網關同步過來的VPC2的路由,源是VPC2,目的是VPC3,出地域網關方向。

image.png
圖16

4.2.6 策略配置-VPC2與VPC3不能互通(跨地域)
4.2.6.1 拒絕VPC2訪問VPC3的路由

對應圖16中線路3
1)配置截圖如下:
主要注意點,由於配置跨地域了,需要指明源實例對應的地域:法蘭克福。

圖17.jpg
圖17

2)檢查效果,查看VPC2的路由表,可以看到已經拒絕VPC2訪問VPC3的路由。

圖18-1.png
圖18

4.2.6.2 拒絕VPC2訪問VPC3的路由

對應圖16中線路7
1)配置截圖如下:
主要注意點,這次地域選擇法蘭克福,由於配置跨地域了,需要指明源實例對應的地域:香港。

圖19.jpg
圖19

2)檢查效果,查看VPC3的路由表,可以看到已經拒絕VPC3訪問VPC2的路由。

圖20-1.png
圖20

4.2.7 策略驗證-VPC2與VPC3不通(跨地域)

ping檢驗當前連通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (雲企業網連通)
  • VPC2-ECS1----Nok----VPC3-ECS1 (訪問控制策略生效)

至此,場景二的需求已經完全實現!

4.3 場景三:限制網段間互通

4.3.1 場景描述

VPC1與VPC2不通(場景二已實現),VPC2與VPC3連通(需要去除場景二中4.2.6章節的控制策略),VPC1的vswitch1與VPC3不通,vswitch2與VPC連通。

image.png
圖21

4.3.2 策略分析-VPC2與VPC3互通

刪除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2與VPC3互通

1)刪除策略(這裡為實驗環境,實際生產環境刪除策略需謹慎評估)。

圖22.png
圖22

2)檢查效果

  • VPC2中VPC3的路由條目恢復可用。

圖23-1.png
圖23

  • VPC3中VPC2的路由條目恢復可用。

圖24-1.png
圖24

4.3.4 策略驗證-VPC2與VPC3互通

ping檢驗當前連通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (雲企業網連通)
  • VPC2-ECS1----ok----VPC3-ECS1 (訪問控制策略刪除)
4.3.5 策略分析-VPC1與VPC3限制網段互通

VPC1與VPC3的聯通,要從1,2,5,6,7,8入手,其中1,8是VPC上報路由給地域網關,為了不影響VPC1,VPC3的路由上報並且下發給其他VPC,所以我們需要保證暢通,然後5,6是保證兩個地域之間的路由互通的,為了不影響地域下其他VPC的互通,需要保證通暢。最後由於VPC1中只是部分網段與VPC3不通,所以VPC3的路由還是需要通過2給到VPC1,所以我們從7入手。
1)7可以設置策略:讓VPC3拒絕由法蘭克福地域網關同步過來的VPC1的路由條目10.0.1.0/24,源是VPC1,目的是VPC3,出地域網關方向,並且指定網段。

image.png
圖25

4.3.6 策略配置-VPC1與VPC3限制網段互通

1)配置截圖,重點是增加路由前綴的匹配條件。

圖26.jpg
圖26

2)檢查效果
VPC3中已經拒絕了VPC1中10.0.1.0/24網段的路由。

圖27-1.png
圖27

4.3.7 策略驗證-VPC1與VPC3限制網段互通

ping檢驗當前連通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
  • VPC1-ECS1----Nok----VPC3-ECS1 (訪問控制策略)
  • VPC1-ECS2----ok----VPC3-ECS1 (雲企業網連通)
  • VPC2-ECS1----ok----VPC3-ECS1 (雲企業網連通)

至此,場景三的全部需求實現。

4.4 反向思維:默認不通,選擇性打通

4.4.1 場景描述

雲企業網(CEN)默認策略是加入的實例全部互通,對於VPC,VBR實例較多,且時不時有新增實例,訪問控制較為複雜的用戶,可以選擇先設置默認Deny的低優先級策略然後根據需求再做開通的高優先級策略。建議用戶用此方式管理CEN路由策略。
讓我們用反向的思維,重新看待下場景二:

image.png
圖28

4.4.2 策略分析--反向思維

如何做到讓加入的VPC,VBR實例都默認不通呢?在前面的整個配置過程中,我們都是通過拒絕CEN的地域網關下發到VPC,VBR的路由來實現不互通的需求,那麼我們考慮設置整個地域的實例默認拒絕CEN地域網關下發的路由即可,效果如下圖。
1)香港地域網關:出地域網關方向,所有VPC,VBR,CCN(雲鏈接網)拒絕網關的下發路由。
2)法蘭克福地域網關:出地域網關方向,所有VPC,VBR,CCN(雲鏈接網)拒絕網關的下發路由。

image.png
圖29

經過上面兩步後,兩個地域除了網關之間的所有入地域網關均被阻斷,包括後續新增加的VPC,VBR實例。所以,當前場景二就演變成需要打通VPC2與VPC3。即新增策略(策略優先級一定要高於默認Deny的策略)允許3和7。

image.png
圖30

1)其中3中可以設置策略讓VPC1允許由香港地域網關同步過來的VPC3的路由,源是VPC3,目的是VPC2,出地域網關方向。
2)對於7可以設置策略:讓VPC3允許由法蘭克福網關同步過來的VPC2的路由,源是VPC2,目的是VPC3,出地域網關方向。

4.4.3 策略配置--反向思維
4.4.3.1 配置香港與法蘭克福地域網關默認不通

對應圖29
對於我們的實驗環境,為了演示方便,清理場景二、三種配置的路由策略(實際生產環境刪除策略需謹慎評估)。然後所有VPC,VBR,CCN拒絕CEN地域網關下發的路由,策略優先級設置低一些,後續設置的放通策略優先級是一定要高於默認拒絕的策略,配置截圖如下:
a.香港地域

圖31.png
圖31

b.法蘭克福地域

圖32.png
圖32

此時VPC1,VPC2,VPC3中拒絕了所有本地域的CEN網關發來的路由,VPC1舉例截圖如下:

圖33-1.png
圖33

4.4.3.2 配置VPC1與VPC3可以互通

對應圖30
a. 允許VPC1接受VPC3的路由,策略優先級要高於默認的策略。

圖34.jpg
圖34

路由驗證:VPC1中已經接受VPC3的路由信息。

圖35-1.png
圖35

b. 允許VPC3接受VPC1的路由,策略優先級要高於默認的策略。

圖36.jpg
圖36

路由驗證:VPC3中已經接受VPC1的路由信息。

圖37-1.png
圖37

4.4.4 策略驗證-反向思維

圖38.png
圖38

ping檢驗當前連通性:

  • VPC1-ECS1----ok----VPC1-ECS2 (同一個VPC,二層互通)
  • VPC1-ECS1/2----Nok----VPC2-ECS1 (默認不通的訪問控制策略生效)
  • VPC1-ECS1/2----ok----VPC3-ECS1 (允許VPC1與VPC3通信的訪問策略生效)
  • VPC2-ECS1----Nok----VPC3-ECS1 (默認不通的訪問控制策略生效)

至此,場景二的需求已經通過反向思維完全實現!後續:
如果在香港,法蘭克福地域有新加入VPC,VBR實例,需要與已經在CEN中的實例通信時,只需要按照4.4.3.2的方式配置一對放通策略即可。
如果有其他地域的VPC,VBR實例加入CEN,可以先如4.4.3.1配置默認deny的策略,然後再根據情況按4.4.3.2配置放通策略。

參考文檔

[1]創建CEN實例:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha
[2]雲企業網控制檯:https://cen.console.aliyun.com/cen/list
[3]加載網絡實例:https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

我們是阿里雲智能全球技術服務-SRE團隊,我們致力成為一個以技術為基礎、面向服務、保障業務系統高可用的工程師團隊;提供專業、體系化的SRE服務,幫助廣大客戶更好地使用雲、基於雲構建更加穩定可靠的業務系統,提升業務穩定性。我們期望能夠分享更多幫助企業客戶上雲、用好雲,讓客戶雲上業務運行更加穩定可靠的技術,您可用釘釘掃描下方二維碼,加入阿里雲SRE技術學院釘釘圈子,和更多雲上人交流關於雲平臺的那些事。

image.png

Leave a Reply

Your email address will not be published. Required fields are marked *