•
•
•
•
•
•
•
A LB DMZ -VPC
EIP
NAT
EIP
vSW
vSW vSW
CEN
AZ
AZ
DDOS WAF
Internet
GTM DNS
N LB
VPC
A LB N LB
vSW
VPC
A LB N LB
TR
AZ
AZ
VPC VPC
VPC
TR
•
•
•
•
•
•
1 2
3
•
•
•
•
•
•
•
•
•
•
Internet
• 外联服务前置 VPC 通过 双挂生产网 / 外联网 TR 来实现外联接入服务和生产网的隔离 ,做到强管控。
• 通过 云墙实现企业内网东西向流量统一管控 ,降低企业内网安全威胁。
• 通过 TR 的静态路由及 多路由表,实现企业不同业务的隔离。
• 外联机构 VPC 跨账号、专线 VBR 及 VPN - attachment 作为外联结构的接入。
• 生产网 / 外联网独立两张网管理,做到 外联机构和生产网强安
全隔离。
• 对于外联机构,只提供 IP 白名单受限接入,按需放通。
1
2
• ALB ip -target
+TR
CN/Global
•
•
TR QOS flowlog
VPC1
VPC2
CEN
IDC
TR TR
TR QOS FLOWLOG
NATGW Internet ALB
Internal NLB
EIP EIP EIP
Internet ALB
VPC1
Internet
internet
•
•
•
转发路由器 TR
ENI
VPC
裸金属
ENI 1_1
ENI 1_2
裸金属
ENI 2_1
ENI 2
组播源 1
组播成员 ENI 1_1
组播成员 ENI 2_1
MDQP
tcp 2.
IDC1
IDC2
CPE
本地数据中心
VBR
CPE
VM with Cisco
组播域 1 组播域 2
IDC
ECS
1. MIPR
ENI
•
•
•
•
•
•
•
•
THANKS
阿里云-金融行业云网络最佳实践分享.pdf