出海的企業越來越多，他們不約而同開始在全球范圍內部署應用程序。這樣做的原因有很多，例如降低延遲，改善用戶體驗；滿足一些國家或地區的數據隱私法規與合規要求；通過在全球范圍內部署應用程序來提高容災能力和可用性；更好地覆蓋不同地區的市場，并提供針對當地文化和語言的本地化體驗……

延伸閱讀，點擊鏈接了解 Akamai Cloud Computing

本文我們將告訴大家，在Linode云計算平臺上，如何借助VLAN快速實現多區域部署。

首先我們需要明確一些基本概念和思路：

• VLAN和VPC都是網絡隔離方法，可以借此保護部署在公有云中的基礎設施。通過減少網絡攻擊面，同時供我們對需要以及不需要訪問互聯網的應用程序層進行分割，有助于提高整體安全性。
• “地域”（Region）是指一個云服務提供商內部包含的不同地理位置，而“區域”（Zone）通常是指在一個地域內提供的多個托管地點。例如，云服務商可能在北京設立了“北方地域”，并在廣州設立了“南方地域”，每個地域都是通過當地的多個“區域”提供服務的。
• 除了通過距離用戶更近的地理位置提供延遲更低的服務，多地域部署的應用程序還可以幫助我們大幅提高應用程序的可靠性與容錯性。任何可能對一個位置運行的工作負載造成影響的問題（包括硬件故障或本地網絡中斷），都可將用戶重新路由到另一個位置從而加以緩解。

部署多地域VLAN

為了在多地域部署的不同VLAN分段之間進行路由，可以使用虛擬專用網絡（VPN）將VLAN網段捆綁在一起。

首先需要使用一個充當公共路由器的Linode節點將部署在一個地域的所有相關VLAN捆綁在一起。此時，每個VLAN網段都是獨立且隔離的二層域，在自己的第三層子網內運行。各個VLAN網段之間的所有流量都會流經該路由器，我們可以在路由器上通過防火墻規則來管理允許哪些流量在不同網段之間穿越。

隨后可以配置這個路由器實例，借助公共互聯網和VPN軟件（如WireGuard或IPSec等協議）將其他網段之間的流量橋接在一起。

上述例子展示了一個包含兩個地域的部署。每個地域負責通過一個路由器實例管理兩個獨立VLAN之間的連接，隨后，每個路由器即可使用配置有多個接口的Linode路由器實例在本地橋接多個地域。路由器可通過WireGuard隧道，借助每個地域的公共互聯網橫跨每個地域。

配置NAT出口點

至此，流量已經可以不受地域限制在VLAN之間流動。此外，路由器實例可以充當網絡地址轉換（NAT）出口點，為本地VLAN提供互聯網連接（如果部署路由器實例時未提供本地互聯網連接）。這種配置下，本地路由器實例將被指定為默認網關（例如通常會在10.0.0.0/24網絡中配置為10.0.0.1）。我們還可以將路由器實例當作安全套接字外殼（SSH）的管理堡壘機。

實現這類NAT配置的一種常見方法是使用防火墻規則來標記WireGuard流量，并對檢測出的未包含該標記的所有流量進行IP掩蔽（IP masquerading）。

例如，路由器可配置為使用如下的iptables規則：

iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j MASQUERADE

我們可以配置WireGuard在其配置中使用FirewallMark（如“42”），該配置保證了不對WireGuard流量進行NAT，但對所有VLAN流量進行NAT。

隨后即可配置云防火墻規則允許路由節點之間的WireGuard通信（通常為udp/51820）。

最后，如果需要，還可以使用防火墻規則配置路由器實例，從而控制或記錄流經本地和全局網段的流量。

注意事項

上述例子中的部署可用于在全球范圍內跨越多個地域實現共享，并借助路由器實例控制不同VLAN網段之間的流量。在通過隧道將多個VLAN網段的流量傳輸至一個聚合點時，務必要了解這樣做可能對性能和帶寬產生的影響。此時可獲得的性能主要取決于分配給路由器的計算資源所具備的上行帶寬。

在確定要使用的VPN協議時也需要慎重，這主要是為了保證滿足部署的特定要求。所選擇的技術將對點對點帶寬以及通過公共互聯網所發出的流量的安全性產生極大影響。例如，WireGuard會使用Cryptography來保證流量不被攔截，相比諸如strongSwan這種IPSec實現，可以更好地減少漏洞和暴露，可信度更高。

多云部署

用來跨越多個地域的這種技術還可用于跨越多個云平臺。例如，我們可以在另一個云平臺的網絡邊界內部署一個路由器實例，并將其綁定到該實例本地且由云提供商提供的VPC中。通過在路由器之間使用WireGuard隧道將不同云提供商的網絡橋接在一起，這種做法對于專門在私有網絡中保持隔離的服務往往能起到很好的效果。

總結

在設計自己的私有網絡時，有很多工具可供我們使用，這樣做的收益往往超過了所帶來的復雜性。如果應用程序和用戶數都在快速增長，妥善設計的環境將有助于降低大部分用戶可能遇到的延遲，從而極大改善用戶體驗。另外，額外的容錯能力也有助于改善服務的可靠性，并改善服務的可用性和可訪問性。

通過上述方法，我們已經可以借助VLAN將應用快速部署到多個區域，從而更好地從現代化云平臺的分布式架構中獲益。以Akamai的Linode云平臺為例，目前這個平臺已經上線了26個核心云數據中心和超過4100個邊緣計算節點，遍布全球130多個國家和地區，隨著時間推移，這個龐大的平臺規模和覆蓋面還將繼續擴大。

而這種規模的覆蓋面，為企業提供了大量可部署的位置、有吸引力的成本和高質量服務，幫助企業通過大規模部署和運營，借助更靠近邊緣位置的云解決方案吸引和維系客戶，在為客戶營造低延遲高性能體驗的同時更好地遵守數據駐留和主權法規，推動業務更穩妥地發展。

—————————————————————————————————————————————————

如您所在的企業也在考慮采購云服務或進行云遷移，

點擊鏈接了解Akamai Linode的解決方案