【主动分享】安全资源池流量模型

流量模型

  云平台上租户业务系统具备两种IP，一种是租户VPC子网为业务系统分配的子网IP，该IP实际落在业务系统的网卡上，该IP无法直接与公网进行通信，只能用于内网通信；另一种是云平台为每个业务系统子网IP绑定的弹性EIP，EIP并非实际落在系统网卡上，而是从云平台层面做的一对一地址转换，弹性EIP一般为公网IP，使得业务系统可以通过EIP与公网进行通信。

从资源池角度，可以分为两类流量：

1）流量型组件（AF、WAF）防护的是公网访问业务系统EIP的南北向流量，该流量是核心交换机通过租户安全万兆交换机引流进资源池；

2）运维型组件（OSM、SIP Logger、VPN、EDR、AD）则通过租户安全万兆交换机透到租户专线接入交换机，再与业务系统VPC子网IP直接通信。

  为适配这两种流量，资源池引流模板需要创建两类引流子接口，第一类流量通过路由转发子接口统一接收引流，所有租户仅需资源池核心路由器与核心交换机起一对互联地址即可；第二类流量通过VLAN直连子接口与专线接入交换机上的租户VRF进行路由打通，每一个租户VRF与资源池租户路由器都需要起一对互联VLAN子接口。

租户业务经过租户侧引流组件（AF、WAF）清洗

租户侧引流组件面向来自163访问租户业务EIP的南北向流量做清洗

流量路径

163——>边界设备（边界接入交换机-ddos-NGFW）——>核心交换机——>租户安全万兆交换机——>租户侧AF/WAF组件——>安全接入交换机——>核心交换机——>云主机；

租户业务与运维型组件（SIP Logger、DAS、EDR）通信

流量路径

云主机——>核心交换机——>专线接入交换机——>租户安全万兆交换机——>租户侧SIP Logger/DAS/EDR组件；