我正在考虑在 Cloudhub 中设置 VPC,只是想知道我是否会为开发、测试和生产环境设置一个 VPC,或者我是否为开发和测试环境设置一个 VPC,而为生产环境设置一个 VPC?
此外,是否有关于如何在 Cloudhub VPC 中设置私有和公有子网的最佳实践?
谢谢
问问题
1283 次
3 回答
0
建议将您的生产环境与非生产环境分开。
在创建 VPC 之前,请务必与您的网络团队确认 CIDR,以确保它们不会与您组织中的任何其他网络重叠。
关于网络的规模,它还取决于您的业务和您对未来的计划。我可以建议最好高估。例如,即使 /24 就足够了,我也会使用 /16,这是因为 VPC 是不可变的,一旦创建就无法更改大小,因此如果您的业务快速增长,您可能需要更多 IP。
在 CloudHub 中,您对 VPC sebnets 没有任何控制权。这些由 Mulesoft 内部管理。
但是,使用专用负载均衡器 (DLB),您可以在公开资源和内部资源之间进行安全分离。
在每个 VPC 中,您可以创建一个仅公开您的公共 API 的公共 DLB 和一个为所有 API 提供服务的内部 DLB。
2 个 DLB 的区别在于白名单部分,您可以在其中指定谁可以连接到它。
- 公共 DLB 将列入白名单:0.0.0.0/0
- 内部 DLB 将列入白名单:内部网络
请记住,要连接到内部 DLB,您需要在公司网络和 VPC 之间设置 VPN 或 Direct Connect
希望这可以帮助 ...
于 2019-06-09T08:34:44.277 回答
0
您可以在单个 VPC 中托管任意数量的环境。因此,您的所有 3 个环境 Dev、ST、Prod 都可以驻留在同一个 VPC 中。DNS 条目将流量路由到不同的环境。作为推荐的方法,在同一 VPC 中托管您的测试环境 - DEV、ST、SI 等,并为生产设置单独的 VPC。
谢谢维卡斯
于 2018-10-08T02:00:51.093 回答
0
通常,是的。我工作过的大多数客户都将 VPC 用于非产品,并将单独的 VPC 用于产品。将生产环境与非生产环境完全隔离是一种很好的做法,尤其是在网络级别上。
我将提供一些其他详细信息,因为我认为它们可能与您的 VPC 设置相关。
确定应将多少公司的内部 IP 地址分配给非产品和产品 VPC 可能有点令人头疼。需要提前做出此决定,因为 VPC 是不可变的:在创建 VPC 后无法动态添加或减少额外的 IP 地址。VPC 需要彻底拆除,并重新建立一个新的 VPC。这意味着该 VPC 中的所有应用程序也需要关闭并在新 VPC 中重新部署。如果可能的话,你会想要避免这种情况。
您应该知道您将为整个 VPC 中的每个工作人员和每个代理使用一个 IP 地址。因此,如果您有一个服务于 2 个环境(开发和测试)的非产品 VPC,并且您有 4 个应用程序,每个环境使用 2 个工作人员,那么您将需要至少4 个应用程序 * 2 个工作人员 * 2 个环境 = 分配 16 个 IP 地址。
如果我没记错的话,MuleSoft 上次建议您使用您认为需要的任意数量的 IP 地址(使用上面的计算),并将其加倍以确定您应该为每个 VPC 分配多少 IP 地址。
不确定私有/公共子网或它们如何应用于这种情况。
于 2018-10-08T16:53:31.593 回答