金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
作者:SmartX 金融团队
金融机构在信息化建设时面临诸多数据合规要求,例如:不同业务区域之间互相隔离、数据库仅能由关联的应用服务器访问、仅有特定的服务器允许被外网访问等。对此,某跨境支付机构以 SmartX 榫卯企业云平台构建私有云,并采用网络与安全模块的虚拟专有云网络功能(Virtual Private Cloud,以下简称 “VPC”)实现业务主体间的网络隔离,保障业务安全。
点击下载《榫卯企业云平台产品组合》,了解更多产品特性与应用场景!
实践背景:从公有云下迁至私有云,需满足业务隔离等数据合规要求
出于成本考虑,用户计划将其运行在公有云上的开发环境、测试环境和生产环境业务系统迁移到本地数据中心。在使用公有云时,用户采用了公有云提供的 VPC 功能满足数据合规要求,因此也要求下迁的私有云环境具备同样的能力:不同的业务区域之间需要隔离,例如确保开发环境的服务器无法访问测试环境的服务器,反之亦然。在同一个业务区域内,服务器之间的互相访问需要根据业务的实际需求而定。
在经过评估验证后,用户选择了 SmartX 榫卯企业云平台进行私有云建设。榫卯企业云平台是一款模块化、灵活且强大的企业级云基础设施平台,提供完整的计算、存储、网络、数据保护和管理能力,在支撑企业数智化转型升级的同时,显著降低企业云基础架构的复杂性与成本。
榫卯企业云平台还通过网络与安全组件 Everoute 提供了完善的网络和安全能力,通过虚拟专有云网络功能将不同业务部门划分至不同 VPC 下,实现逻辑网络隔离;在 VPC 内部可进一步将部门不同类型的业务虚拟机划分至不同子网进行管理。对于有与外部网络互通需求的虚拟机,也可以通过对指定的虚拟机绑定浮动 IP 实现外部互通。
实践方案:以榫卯企业云平台实现业务隔离、灵活互访、安全管理与精简运维
#1 业务隔离
榫卯企业云平台的 VPC 功能基于 GENEVE 协议(增强版 VXLAN 协议)的覆盖虚拟化网络技术,实现了上层业务网络与底层物理网络之间的解耦:在同一套物理网络硬件上的两个 VPC 逻辑网络完全隔离,实现以业务为中心的全栈资源隔离。
实践中,用户初步将开发测试环境划分为一个独立的 VPC,以实现与生产环境网络的隔离,确保环境之间互不干扰。在 VPC 内进一步将不同类型的业务虚拟机划分到不同子网。数据库类型虚拟机、业务应用层虚拟机、测试虚拟机分别处于同一个 VPC 下的三个子网。
- 数据库子网:专门用于部署各类数据库服务虚拟机(大部分仅与同一 VPC 的应用虚拟机进行交互,不需要与 VPC 外部有网络互通);
- 业务应用层子网:用于部署业务逻辑服务虚拟机,与 VPC 内数据库服务互访,对 VPC 外提供服务;
- 测试子网:用于部署测试验证虚拟机。
#2 灵活互访
用户的业务虚拟机除了要在 VPC 内部进行通信,必然还有对 VPC 外部提供服务或者主动访问 VPC 外部服务的通信需求。榫卯企业云平台的 VPC 支持简单灵活配置网关,满足 VPC 内部与外部互联互通的需求,互通方式包括地址翻译(NAT)、路由、L2 桥接。不同子网可以配置不同的网关服务,从子网级别实现网关的灵活配置。榫卯企业云平台 VPC 还支持灵活的浮动 IP 功能,允许将浮动 IP 绑定到指定的业务虚拟机,让业务虚拟机可以被 VPC 外部主动连接,而无需逐一指定 NAT 端口和 IP 地址,最终效果等同于公有云中的弹性公网 IP。
实践中,用户的应用业务虚拟机需要对互联网提供服务,对指定的应用虚拟机绑定浮动 IP 后,便可以允许外部互联网进行访问。同样地,测试子网中的虚拟机也绑定了浮动 IP,用于访问其他业务部门。
#3 安全策略配置管理
榫卯企业云平台支持在虚拟专有云内配置网络安全策略。首先通过将虚拟机划分至不同的安全组,每个安全组有独立的 VPC 安全策略。配置安全策略时,以安全组为核心,对其出入流量配置白名单。其中出入流量支持选择安全组、IP 地址。
实践中,用户数据库子网中部分虚拟机与应用子网中部分虚拟机共同组合成一组业务,其中要求某数据库虚拟机只能被指定的应用虚拟机访问。通过为数据库虚拟机创建安全策略,开放指定业务虚拟机作为出入流量的白名单,即可满足该需求。在集群层面,也可配置子网间网络访问策略,同时通过安全策略配置进行虚拟机级别的安全访问管控。
#4 简化运维
榫卯企业云平台 VPC 在传统的 VLAN 网络之上构建,复用原有的网口和 VLAN 网段。用户只需要在物理交换机侧配置少量网段(用于 VPC 隧道交互的 TEP IP 网段)后,便可以创建多个 VPC。VPC 内可以自由划分多个子网网段,且不同 VPC 间网段互不影响,允许 IP 地址重复。因此,不仅实现了业务部门相互隔离的需求,还减少了对物理网络进行的配置变更,提高了运维效率。
* TEP IP:隧道端点 IP,用于在物理节点之间建立起隧道连接,这些 IP 为 VLAN 网络中的 IP;外部子网:外部⼦⽹是⼀个外部可路由的 IP 资源池,⽤于 VPC ⽹络与物理⽹络之间的映射,如外部子网中的 IP 可以用于浮动 IP。虚拟机使用外部子网中的 IP 地址与 VPC 外部物理网络完成通信。
总结
采用榫卯企业云平台的 VPC 功能,用户不仅实现了业务部门资源隔离、网络流量灵活互通,还进一步降低网络运维管理难度,构建起满足数据合规要求的安全私有云。
欲了解更多产品功能特性,欢迎点击下载《榫卯企业云平台产品组合》电子书!
推荐阅读:
榫卯企业云平台自服务中心模块(SSC)关键能力解读
以 Everoute 替代 VMware NSX:关键能力可对标,使用和运维更简单
安全、灵活、高可用:Everoute 虚拟专有云网络特性解读
为虚拟网络提供敏捷负载均衡:Everoute LB 特性解读
SmartX Everoute 如何通过微分段技术实现 “零信任” | 社区成长营分享回顾