作者:SmartX 金融團隊
金融機構在信息化建設時面臨諸多數據合規要求,例如:不同業務區域之間互相隔離、數據庫僅能由關聯的應用服務器訪問、僅有特定的服務器允許被外網訪問等。對此,某跨境支付機構以 SmartX?榫卯企業云平臺構建私有云,并采用網絡與安全模塊的虛擬專有云網絡功能(Virtual Private Cloud,以下簡稱 “VPC”)實現業務主體間的網絡隔離,保障業務安全。
點擊下載《榫卯企業云平臺產品組合》,了解更多產品特性與應用場景!
實踐背景:從公有云下遷至私有云,需滿足業務隔離等數據合規要求
出于成本考慮,用戶計劃將其運行在公有云上的開發環境、測試環境和生產環境業務系統遷移到本地數據中心。在使用公有云時,用戶采用了公有云提供的 VPC 功能滿足數據合規要求,因此也要求下遷的私有云環境具備同樣的能力:不同的業務區域之間需要隔離,例如確保開發環境的服務器無法訪問測試環境的服務器,反之亦然。在同一個業務區域內,服務器之間的互相訪問需要根據業務的實際需求而定。
在經過評估驗證后,用戶選擇了 SmartX?榫卯企業云平臺進行私有云建設。榫卯企業云平臺是一款模塊化、靈活且強大的企業級云基礎設施平臺,提供完整的計算、存儲、網絡、數據保護和管理能力,在支撐企業數智化轉型升級的同時,顯著降低企業云基礎架構的復雜性與成本。
榫卯企業云平臺還通過網絡與安全組件 Everoute 提供了完善的網絡和安全能力,通過虛擬專有云網絡功能將不同業務部門劃分至不同 VPC 下,實現邏輯網絡隔離;在 VPC 內部可進一步將部門不同類型的業務虛擬機劃分至不同子網進行管理。對于有與外部網絡互通需求的虛擬機,也可以通過對指定的虛擬機綁定浮動 IP 實現外部互通。
?
實踐方案:以榫卯企業云平臺實現業務隔離、靈活互訪、安全管理與精簡運維
#1 業務隔離
榫卯企業云平臺的 VPC 功能基于 GENEVE 協議(增強版 VXLAN 協議)的覆蓋虛擬化網絡技術,實現了上層業務網絡與底層物理網絡之間的解耦:在同一套物理網絡硬件上的兩個 VPC 邏輯網絡完全隔離,實現以業務為中心的全棧資源隔離。
實踐中,用戶初步將開發測試環境劃分為一個獨立的 VPC,以實現與生產環境網絡的隔離,確保環境之間互不干擾。在 VPC 內進一步將不同類型的業務虛擬機劃分到不同子網。數據庫類型虛擬機、業務應用層虛擬機、測試虛擬機分別處于同一個 VPC 下的三個子網。
- 數據庫子網:專門用于部署各類數據庫服務虛擬機(大部分僅與同一 VPC 的應用虛擬機進行交互,不需要與 VPC 外部有網絡互通);
- 業務應用層子網:用于部署業務邏輯服務虛擬機,與 VPC 內數據庫服務互訪,對 VPC 外提供服務;
- 測試子網:用于部署測試驗證虛擬機。
#2 靈活互訪
用戶的業務虛擬機除了要在 VPC 內部進行通信,必然還有對 VPC 外部提供服務或者主動訪問 VPC 外部服務的通信需求。榫卯企業云平臺的 VPC 支持簡單靈活配置網關,滿足 VPC 內部與外部互聯互通的需求,互通方式包括地址翻譯(NAT)、路由、L2 橋接。不同子網可以配置不同的網關服務,從子網級別實現網關的靈活配置。榫卯企業云平臺 VPC 還支持靈活的浮動 IP 功能,允許將浮動 IP 綁定到指定的業務虛擬機,讓業務虛擬機可以被 VPC 外部主動連接,而無需逐一指定 NAT 端口和 IP 地址,最終效果等同于公有云中的彈性公網 IP。
實踐中,用戶的應用業務虛擬機需要對互聯網提供服務,對指定的應用虛擬機綁定浮動 IP 后,便可以允許外部互聯網進行訪問。同樣地,測試子網中的虛擬機也綁定了浮動 IP,用于訪問其他業務部門。
#3 安全策略配置管理
榫卯企業云平臺支持在虛擬專有云內配置網絡安全策略。首先通過將虛擬機劃分至不同的安全組,每個安全組有獨立的 VPC 安全策略。配置安全策略時,以安全組為核心,對其出入流量配置白名單。其中出入流量支持選擇安全組、IP 地址。
實踐中,用戶數據庫子網中部分虛擬機與應用子網中部分虛擬機共同組合成一組業務,其中要求某數據庫虛擬機只能被指定的應用虛擬機訪問。通過為數據庫虛擬機創建安全策略,開放指定業務虛擬機作為出入流量的白名單,即可滿足該需求。在集群層面,也可配置子網間網絡訪問策略,同時通過安全策略配置進行虛擬機級別的安全訪問管控。
#4 簡化運維
榫卯企業云平臺 VPC 在傳統的 VLAN 網絡之上構建,復用原有的網口和 VLAN 網段。用戶只需要在物理交換機側配置少量網段(用于 VPC 隧道交互的 TEP IP 網段)后,便可以創建多個 VPC。VPC 內可以自由劃分多個子網網段,且不同 VPC 間網段互不影響,允許 IP 地址重復。因此,不僅實現了業務部門相互隔離的需求,還減少了對物理網絡進行的配置變更,提高了運維效率。
*?TEP IP:隧道端點 IP,用于在物理節點之間建立起隧道連接,這些 IP 為 VLAN 網絡中的 IP;外部子網:外部??是?個外部可路由的 IP 資源池,?于 VPC ?絡與物理?絡之間的映射,如外部子網中的 IP 可以用于浮動 IP。虛擬機使用外部子網中的 IP 地址與 VPC 外部物理網絡完成通信。
總結
采用榫卯企業云平臺的 VPC 功能,用戶不僅實現了業務部門資源隔離、網絡流量靈活互通,還進一步降低網絡運維管理難度,構建起滿足數據合規要求的安全私有云。
欲了解更多產品功能特性,歡迎點擊下載《榫卯企業云平臺產品組合》電子書!
推薦閱讀:
榫卯企業云平臺自服務中心模塊(SSC)關鍵能力解讀
以 Everoute 替代 VMware NSX:關鍵能力可對標,使用和運維更簡單
安全、靈活、高可用:Everoute 虛擬專有云網絡特性解讀
為虛擬網絡提供敏捷負載均衡:Everoute LB 特性解讀
SmartX Everoute 如何通過微分段技術實現 “零信任” | 社區成長營分享回顧
開源:AI智能體生態的技術革命)
)
)
![[python][selenium] Web UI自動化8種頁面元素定位方式](http://pic.xiahunao.cn/[python][selenium] Web UI自動化8種頁面元素定位方式)
)
與分組分區】【下游收集器】)
