分享人:毕役,解决方案架构师
易鹏,阿里云网络产品
视屏地址:https://yqh.aliyun.com/live/detail/22024
正文:
最佳实践目前已覆盖23种常用场景,有170余篇最佳实践,这其中涉及100款以上阿里云产品的最佳使用场景。目前,最佳实践已成功帮助大量客户实现自助上云。本篇实践将从3个部分为大家详细介绍基于SAG APP实现云上移动办公最佳实践,希望可以让大家对其有更深入的了解,并可以将其应用到项目中,达到降本提效的目的。
本文主要内容分为以下三个方面:
l 最佳实践架构讲解
l 智能接入网关产品核心能力介绍
l 最佳实践系统搭建
一、 最佳实践架构讲解
1)业务场景
公司已经购买了阿里资源并部署了业务应用,比如CRM,ERP或OA系统等。从网络安全方面考虑,比较简单和常见的一个做法是在业务用的服务端设置IP白名单,允许包括网络出口的公网IP访问。日常情况下,员工通过办公网络访问云上资源。随着公司的不断发展,移动办公场景越来越多,比如出差在家、办公等,公司运维人员也要求在任何时间和任何地方都能安全访问云资源。
除了公网IP白名单方法之外,客户还可以选择在办公网络和云商上网络之间拉通专线。虽然网络专线质量稳定,但是成本高,交付周期长,也不适合移动办公场景。当然可以在办公网络搭建VPN,移动场景下,客户端先连接办公VPN,再以内网访问云上资源。或者直接将VPN搭建在公共云上,客户端先通过VPN认证再允许访问内网资源。VPN虽然成本低,但传输依赖公网,质量不稳定,配置运维也比较复杂。
阿里云推荐的云上移动办公最佳实践是选择智能接入网关SAG APP,控制台即开即用,配置高度自动化。管理员在控制台创建账号,客户端安装APP登录之后就可以将本地网络与云上网络打通。相比较VPN全部依赖公网,SAG会将本地APP通过公网路由到城域内最近的接入点。接入点到云上其他VPC通信都是基于阿里云内部网传输,私网通信保障传输质量。
2)业务部署
通过使用云架构设计工具CADT一键拉起基于SAG APP的互联互通的网环境,创建2个跨地的VPC和ECS。通过云企网CEN打通VPC和CCN(CCN就是云连接网,是SAG分配的终端网络连接的聚合)。通过自定义的私有域名访问云上应用,这里就用到了阿里云PrivateZone产品的私有域名解析能力,并以OSS对象存储举例,演示如何通过内网访阿里云产品服务。
3)方案优势
最后来说一下SAG APP方案优势:
l 开箱即用,ZTP(零接触),管理方便,配置简单。
l 支持Windows/MacOS/ Android/IOS等客户端接入,一键登录连接。
l 城域内Internet就近接入,通信快速高效。
l 数据加密传输,满足安全性要求。
l 支持自定义DNS,支持内网访问阿里云产品服务。
二、智能接入网关产品核心能力
1)云网融合
我们通过SAG就可以就快速的更高质量的访问到阿里云,比如咱们自己在云上部署在阿里云上的ECS,RDS,OSS这些资源,以及基于此部署的OA系统,CRM系统。
同时还可以访问到阿里云以及阿里集团提供的公共的SAAS服务和PaaS服务。
2)丰富的网络资源
阿里云在国内拥有遍布全国的接入点资源,以及在全球主要是region都支持这款SAG产品。我们可以在不同的地区来购买对应接入能力的产品。在国内我们支持多运营商,包括电信、移动、联通。
另外一点就是支持多线路类型,SAG可以接入用采用专线的方式上云,也可以用宽带的方式,也还可以用4G的流量来进行访问云上连接和云上打通。
3)一云多端,全场景一站式接入
l 可能有移动办公的人员,比如有出差的,这时他可以在他自己的手机里,或者PC端安装我们SAG APP的软件,还可以一键输入账号密码,就可以访问企业的内部的应用系统。
l 针对门店或者小分支场景,可以选择部署SAG-100WM(硬件)款型。
l 针对总部或者IDC场景,可以选择部署SAG-1000(硬件)款型,它的处理性能更强。
l 针对海外的像AWS,Azure,包括国内阿里云边缘计算的节点,可以选择安装SAF-vCPE的软件来实现多云互通。
4)降本增效,低成本的应用加速
l 网络资源优化
它有体现降本增效,实现低成本的应用,加速阿里云拥有众多接入点的能力。但实际上网络资源的优化,充分利用我们现在阿里云的网络布局可以解决三跨的问题,网络的稳定性能相比功能要提升30%以上.
l 网络协议的优化
SAG设备端以及POP点接入网关之间我们做了很多协议上的优化,比如FEC就解决了公网丢包场景的问题。
l 混合组网,降低专线用量
通过SAG可以把不同的流量调度到不同的链路类型上。从而降低专线链路使用,节省IT的费用。
l 弹性伸缩,提高带宽利用率
我们可以根据业务发展的需要,随时在控台进行对接入的带宽进行妙计扩容即实时生效;也可以临时升级宽带,比如我们要开个电话会议,可以临时升级一下带宽;也可以进行续费变配,就是在下一个计费周期在进行带宽的调整都是可以的。所以非常容易灵活
5)ZTP安装部署,集中管理运维
比如我们用户里面有规模比较大,有几百上千节点或门店接入,在这种情况下要采用传统的网络部署,周期会非常长,后期的运维和管理也非常麻烦,因为我们传统设备更多的还是通过CLI命令行的方式进行管理,在大规模的网络环境下还是非常难以管理的。通过SAG SD-WAN的技术实现集中管理和快速上线,从而降低我们的管理难度。
6)合作伙伴交付服务
我们引入了鹏博士作为我们的合作伙伴。鹏博士在国内是比较大的电信增值服务公司,在全国拥有非常丰富的工程师资源,这些都可以为我们的客户提供更好的线下服务。
总结来说,我们可以看到:
第一是实现了云和网络的融合,包括云上安全融合,可以实现公共云网络上的融合。
第二是网络资源,阿里云在在全球都有丰富的接入点资源,这些都可以为客户提供网络连接能力。
第三是一云多端,针对不同的场景可以移动办公,支持小门店、总部、线下IDC或者其他云的服务器,这些都可以安装部署SAG的终端硬件或软件客户端。第四是降本增效,我们可以实现一个更低成本的应用加速的能力。
第五是我们通过SD-WAN的技术,大大简化了安装和后续的运维,降低大规模网络的管理和部署的难度。
第六是针对需要线下实施的需求,我们引入鹏博士作为紧密的合作伙伴,提供更好的这种线下交付服务。
三、最佳实践系统搭建
下面简单演示下环境的构建过程。
1)网络规划
APP 版配置本地终端接入阿里云使用的私网网段,需要确保各私网网段与云上 VPC 网段不冲突,且网段大小可满足承载的用户量。本示例相关网络地址段规划如下。
2)CADT 架构
2.1.架构说明
在阿里云上海和美东区域各创建 1 个 VPC,本地的办公环境通过 APP 版本的智能接入网关 SAG 接入并挂载到云连接网 CCN。云企业网 CEN 可以打通云上的 VPC 和CCN,实现互联互通。通过 PrivateZone 可以实现内网环境下通过私网域名访问部署在云上的应用,通过云服务的路由配置实现内网访问云服务,如 OSS 等。
2.2.配置构建
步骤1 访问 CADT 控制台 https://bpstudio.console.aliyun.com,打开官方模板库:
步骤2 输入 SAG 关键字模糊搜索,找到《中小企业上云多地域办公组网 SAG》模板,单击基于方案新建。
步骤3 双击架构图中的 SAP-APP,在右侧的配置栏输入 SAG 客户端账号邮箱地址。请输入真实有效的邮箱地址, 并设置密码,用于后续进行登录测试。
步骤4 双击 OSS 图标,修改 OSS bucket 名称,本实践以“oa-aliyunbp11”作为示例。
步骤5 保存应用。
步骤6 单击应用 > 部署应用。
步骤7 资源验证成功之后,单击下一步:价格清单。
步骤8 可以单击查看报告。此处单击下一步:确认订单。
步骤9 勾选《云速搭服务条款》,并单击下一步:支付并创建。
步骤10 单击确认,注意架构图中 SAG,CEN 是按月购买的,无法提前释放。
步骤11 大概 3 分钟左右,资源部署成功。
3)ECS 部署 Web 服务
用户可按照实际业务部署应用,这里通过在 ECS 上部署 httpd 服务模拟办公系统。
步骤1 访问 ECS 控制台 https://ecs.console.aliyun.com/#/server/region/cn-shanghai,查看创建好的 ECS,勾选该 ECS,单击更多 > 发送远程命令。
步骤2 输入以下命令安装 web 服务,配置 index.html 主页。
yum install -y httpd
cd /var/www/html
echo "Hello world
This is OA system." > index.html
service httpd start
netstat -an|grep :80|grep LISTEN
4)查看 CEN 云企业网
步骤1 登录云企业网控制台。(https://cen.console.aliyun.com/cen/list),查看创建好的云企业网实例如下,单击创建的 CEN 实例 ID。
步骤2 可以发现 VPC 和 CCN 已经都加载进来了。
5)看 SAG APP 配置
步骤1 访 问 SAG 控制台( https://smartag.console.aliyun.com/software/cnshanghai/softwares),SAG 实例已挂载云连接网 CCN,状态为可用。私网网段已正确设置。
步骤2 单击 SAG 实例 ID,在客户端账号管理页签下可以查看到创建好的账号信息。可以在操作栏进行重置密码操作。
关于完整的搭建演示过程,大家可以用过https://bp.aliyun.com/detail/11这个链接来访问本篇最佳实践文档内容,里面包含最佳实践场景和完整的搭建过程。