华为云首页用户手册

智能制造-部署方案设计:部署设计原则

时间：2024-06-20 15:34:36

智能制造实施步骤

部署设计原则

总体设计原则：
基于应用系统逻辑架构的网络隔离业务应用一般按照逻辑架构划分，可以划分为接入层、应用层、数据层，每一层级部署如果干弹性云服务器。考虑到每一层级的实际功能，同一应用相同层级内部的弹性云服务器建议二层互通。不同的业务系统部署在不同的子网，同一子网内，仅部署一种应用。应用的不同层级，通过安全组进行隔离。

基于网络安全的最小访问域某些业务应用需要对外提供服务，此时在VPC中，通常是在接入层子网中创建Web应用实例，为应用实例申请EIP来连通应用实例与Internet等外部网络，通过安全组规则以及防火墙规则设定Web应用实例端口的入站和出站请求，以保护系统安全（可类比传统数据中心的DMZ区域）。从系统安全上考虑，原则上不建议将应用层子网、数据层子网中的弹性云服务器直接绑定EIP与外部进行互通。

尽量减少跨网络区域的应用互访上云方案设计时，应尽量减少跨网络区域的应用互访请求。如互联网数据采集场景，可以先将数据做初步的分析之后，再将数据交换到其他网络区域，减少需要交换的数据量；为多个网络区域提供服务场景，可以考虑在多个网络区域内分别部署接入服务器和应用服务器，缓存常用的数据，减少数据的跨网络区域交换。
地址规划设计原则
- 确保VPC网络地址范围与企业私有网络的地址范围不重合；如果是多Region场景，不同Region之间的网络CIDR建议不要有重合；
- 子网及IP地址不要一次分配完，确保为未来预留扩容空间；
- VPC 网络地址范围（CIDR）大小需要考虑未来业务增长；
- VPC网络地址范围需要考虑多Region和多AZ，VPC可以跨AZ，子网不能跨AZ，需要为多个AZ 预留子网和地址。
VPC设计原则
- 端到端业务划分到同一个VPC；
- 强隔离业务创建单独的VPC；
- 内外部业务划分不同VPC；
- 生产和测试划分不同VPC；
- 管理面和业务面划分不同VPC。
命名设计原则：
- 环境代码：dev、test、uat、stage、prod
- 逻辑区域：dmz、prod、dev、opm
- 防火墙action：allow、deny、reject