阿里云企业级云网络解决方案_云企业网CEN

阿里云企业级云网络解决方案

NAT 网关是一款企业级的地址转换网关，提供 NAT 代理（SNAT、DNAT）、跨可用区的容灾能力。公网NAT网关与EIP、共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级公网访问出入口网关。VPC NAT网关可与高速通道，CEN TR组合成为私网互访的私网访问出入口。

立即咨询

首页 > 产品中心 > 网络安全 > 阿里云企业级云网络解决方案

客户架构

解决方案概述

账号划分：不同子公司可以用不同的账号，保证资产独立；网络分区：按照业务形态，三种方式：1、每个业态独立VPC部署；2、WEB-APP-DB，分层独立VPC部署；3、紧密型业态，同VPC多vSW部署；路由边界：每个账号有独立的CEN，CEN之间路由域隔离；不同的业务系统独立VPC，VPC天然隔离；业务间互通，VPC接入CEN-TR实现路由传播；

解决方案整体产品介绍 icon

解决方案核心产品-云企业网CEN icon

全新智能

• 智能组网，全网路由自动同步

• 意图网络，基于policy的全球一张网

• 智能诊断，全链路诊断分析

弹性升级

• 超大规模：10->1000个VPC

• 超大路由：100->5000条路由

• 超广覆盖：25个地域，280+ 灵活组网

• 复杂组网：服务链编排组网

• 精细管理：跨地域QoS/TOP-N

• 能力升级：全场景组播

解决方案核心产品- NAT网关 icon

产品简介

NAT 网关（NAT Gateway）是一款企业级的地址转换网关，提供 NAT 代理（SNAT、DNAT）、跨可用区的容灾能力。公网NAT网关与EIP、共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级公网访问出入口网关。VPC NAT网关可与高速通道，CEN TR组合成为私网互访的私网访问出入口。

• 灵活易用：简单易用、便捷开通

• 稳定高性能：通过底层的高可用架构，提供稳定、高性能的服务

• 可视化运维：丰富多维度的监控数据，帮助提升运维效率

解决方案核心产品-负载均衡SLB icon

负载均衡SLB（ Server Load Balancer ）是阿里云负载均衡产品的统称，一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。 SLB负载均衡具有即开即用，超大容量，稳定可靠，弹性伸缩，按需付费等特点。根据不同应用场景分为：主要基于7层(HTTP/HTTPS)的应用型负载均衡ALB；主要基于4层(TCP/UDP)的传统型负载均衡CLB；以及其他类型。

解决方案核心产品-私网连接PrivateLink icon

私网连接（PrivateLink）简介

私网连接是利用阿里云的私有网络进行服务交互的一种方式。利用私网连接，阿里云上的用户可以通过私有网络访问其它VPC所提供的服务，无需创建NAT网络、EIP等公网出口。交互数据不会经过互联网，有更高的安全性和更好的网络质量。私网通信：流量不会离开阿里云内网，大大减少数据泄露的可能性；避免被攻击等互联网安全问题；低延迟高质量：同可用区转发，时延更优，抖动更小；具备高可用能力，可靠性更高；安全可控：能够控制服务连接请求和访问带宽；支持安全组和网络访问控制列表能力；简化管理：服务方和使用方的网络可独立规划，无需担心地址冲突，简化网络路由配置；支持跨账号服务访问，简化账号和安全管理；

云上网络分区设计

网络分区设计

满足业务规模化发展需求，合理划分VPC和vSW，DMZ、生产、开发测试、运维管理等独立VPC部署；满足可靠稳定性，建议重要业务业务系统跨可用区部署；满足业务之间的高效调用和交互，关联业务尽可能部署同Region；

分区间网络互通

通过采用CEN-TR，打通阿里云上任意Region开通的业务系统，实现全局一张内网；VPC按需加入TR，自由控制路由的传播和学习；采用多路由表，按需控制不同VPC之间or不同vSW之间的互通关系；采用多路由表，配置默认路由，将对互联网的访问调流到DMZ区，统一公网出口；CDT(按流量计费)根据业务灵活计费，跨地域QoS保障业务带宽优先级。

企业内网安全场景-东西向 icon

场景说明

实现企业内网东西向流量统一管控，借助云原生或第三方防火墙安全能力，降低企业内网安全威胁，通过网络安全架构实现企业不同业务的隔离。

推荐方案

使用TR多张路由表能力，支持建立可信流量（防火墙处理后）和不可信流量（防火墙处理前）等不同路由表隔离网络流量。设置安全VPC，使用云原生防火墙或第三方防火墙进行内网流量安全检测。IDC上云/下云流量，跨地域流量同样也可以通过安全VPC内的防火墙进行安全处理。

方案价值

兼容性

支持云原生防火墙的同时也与Palo Alto，Fortinet等镜像版软件设备完美匹配。

高可用性

底层网络和设备均具备高可靠特性，保证上层业务容灾能力。

高性能

进出安全VPC的带宽最高支持10Gbps，支持大规模企业网络及流量突发场景。

企业内网安全场景-南北向 icon

场景说明

• 借助云原生或第三方安全产品能力，降低企业外部安全威胁，防止遭受来自互联网的攻击、渗透、爬虫等

• 通过网络安全架构保护企业应用安全运行

推荐方案

• 设置单独的DMZ VPC，从网络规划层面隔离保护后端业务VPC

• 配合互联网边界防火墙，在流量到达DMZ VPC之前进行安全检测和异常防护

• 还可通过内网防火墙进行二次防护

方案价值

简化部署

通过云控制台、API或Terraform等方式均可以简单快速的部署上线，方便企业运行维护工作。

业务安全保障

云原生安全或通过阿里云合作伙伴提供的全面网络安全特性，提高企业网络等级。

高可靠

从底层链路和设备提供网络的高可靠能力，极大减轻企业客户高可靠设计复杂度。

企业DMZ上云场景

场景说明

随着企业业务云化进程逐渐进入深水区，简单地使用云上资源出入公网已经无法满足业务的诉求，安全、成本、权限、监控等诉求的迭代，需要企业有系统性地视角来考虑如何做好公网出入口（DMZ）的规划设

推荐方案

• 统一出口：在TR组网架构下，使用NAT网关在DMZ VPC统一云上公网出口，为不同业务设置不同的EIP出口方便流量统计管理

• 统一入口：DMZ VPC与后端业务VPC通过TR或PrivateLink打通，通过ALB/NLB跨VPC挂载能力保障后端业务VPC无需暴露在公网

方案价值

保障企业安全出入口，防止潜在针对云资源的攻击侵入。

出口带宽共享，优化公网成本，统一管控公网权限，防止业务部门私开公网资源导致业务遭受安全威胁。

监控内网/外网访问情况，及时排查异常流量原因。

企业DMZ上云场景-公网出口设计 icon

DMZ区域设计

DMZ-VPC设计：将企业云上整体的WAN能力均放在Shared-Service的DMZ-VPC，该VPC内可按需部署NATGW、防火墙、行为管理等公网产品。安全设计：联动云防火墙等安全产品，保障公网出口安全，并结合NACL实现安全访问策略。成本优化：启用共享带宽，并将所有EIP加入其中，节约成本。权限划分：利用将公网出口能力统一收口至IT部门，部署DNAT+SNAT，业务VPC均通过CEN实现跨VPC访问公网。监控管理：使用NATGW+流日志的组合能力，监控公网出口流量信息，并根据异动排查原因。

统一公网出向

统一公网出口：使用增强型NATGW，并开启跨VPC访问NATGW能力。

企业DMZ上云场景-公网入口设计 icon

DMZ区域设计

DMZ-VPC设计：将企业云上整体的WAN能力均放在Shared-Service的DMZ-VPC，可按需部署ALB/NLB、WAF、云防火墙等产品。安全设计：业务Internet/Intranet VPC分离，联动高防、WAF、云FW等安全产品，保障公网入口安全。成本优化：启用共享带宽，并将所有EIP加入其中，节约成本。权限划分：利用将公网能力统一收口至IT部门，统一控制和管理企业业务入口。监控管理：使用ALB/NLB+流日志的组合能力，监控公网入口流量信息，并根据异动排查原因。

公网入向

公网入口：4层应用使用NLB，7层应用使用ALB。

VPC互联：使用CEN/PrivateLink均可以实现VPC之间的互联能力，推荐使用PrivateLink，无需配置路由。

企业内共享服务场景

VPC挂载多个CEN

场景说明

某业务系统即和本公司的其他系统有交互，同时可能和其他子公司、或者集团内其他账号下的业务系统需要互通。

推荐方案

采用多VPC，可以把同一个VPC分别加速多个CEN中（可跨账号加入对方CEN），解决业务系统快速互通的需求。

方案价值

• 简单易用：无需改动业务架构，无需复杂的规划，只需要有一个加入的动作，即可实现异构路由域的快速互通，且不影响已有访问关系；

• 边界清晰：VPC的资源归属为发生任何变化，只是在路由层面进行了网络通道的打通。

Share VPC

场景说明

有跨子公司、跨部门、跨项目的数据共享、系统对接等情况，需要网络最小化互通；

推荐方案

采用共享VPC，可以让不同账号的用户把资源（ECS、SLB、RDS）部署在同一个VPC内，快速满足业务需求。

方案价值

• 企业分账：各个业务方可以自己购买资源，共享VPC一方提供平台和共享资源（如NAT、VPN、公网出口等）

• 快速上线：各业务方案的资源部署在统一VPC，路由天然互通；

企业间共享服务场景

场景说明公司A和公司B因为业务发展需要，进行合作共创，需要有数据共享和业务接口相互调用；但是考虑到数据安全性，不希望双方的网络直接互通推荐方案根据数据调用的方向，两个公司分别在自己的服务资源VPC中创建终端节点服务，对方公司按需创建终端节点，并向对象发起数据访问。如果多个公司之间数据服务，一个终端节点服务可以被多个对方公司提供数据访问服务。方案价值安全：数据通过阿里云内网互通，避免通过公网出现的不安全风险；简单：无需创建前置数据交换VPC，避免网络层直接打通，网络管理简单，运维边界清晰；灵活：可以一对多，快速向对方提供服务，让企业间的合作层面变的更简单可控；

集团专线互通场景

场景说明：集团公司+多子公司客户，集团统一向运营商采购专线统一管理结算，各个子公司共享专线资源按需开通。推荐方案：集团购买多条专线，形成备份、或者负载，就近接入阿里云POP点；建议购买不同运营商的电路，客户侧接入不同的CPE设备，阿里云侧接入不同的POP点。集团内每个子公司都有独立的UID，集团创建不同的VBR，跨账号授权给对应子公司的UID；同一子公司的VBR和VPC加入在各自UID的CEN实例。方案价值：不同子公司使用单独的VBR做到网络隔离，共享集团物理专线，子公司按需合理使用带宽，集团管理物理专线，统一结算。

专线流量加密场景

场景说明：大客户敏感业务，对于专线上云流量有加密需求。政企对于专线加密需求，主要集中在国密符合政府加密要求。金融领域对专线同样有加密需求，特别是对外提供金融服务的平台。推荐方案：在专线互通的基础上创建私网形态的VPN网关与线下CPE设备打通Overlay网络。确保VPN的路由优先级高于VBR，支持专线和VPN网关双BGP/静态，以及专线静态+VPN网关BGP。方案价值：私网流量加密通信，提高客户业务的安全性。满足金融/政企网络合规要求。