OpenZiti 进阶实战:跨云与混合网络架构
-
本文将探讨如何在多云和混合网络环境中部署 OpenZiti,实现跨云安全互联。
一、多云部署概述
为什么需要多云部署?
传统网络架构的问题:
- VPN 配置复杂,维护成本高
- 需要开放入站端口
- 横向移动风险
- 云厂商锁定
OpenZiti 的优势:
- 零信任访问控制
- 暗模式(无入站端口)
- 云厂商无关
- 动态拓扑
二、控制器部署
使用 Docker 部署控制器
# docker-compose.yml version: '3.8' services: ziti-controller: image: openziti/quickstart:latest environment: - ZITI_CTRL_NAME=ProductionController - ZITI_CTRL_EDGE_ADVERTISED_ADDRESS=controller.example.com ports: - "1280:1280" - "6262:6262"高可用控制器
使用外部数据库实现高可用:
- PostgreSQL 后端
- 多控制器实例
- 负载均衡
三、跨云路由器部署
AWS 部署
# 创建路由器身份 ziti edge create edge-router "aws-router-1" \ --role-attributes "aws-routers,us-east-1" \ --jwt-output-file aws-router-1.jwt阿里云部署
ziti edge create edge-router "aliyun-router-1" \ --role-attributes "aliyun-routers,cn-hangzhou" \ --jwt-output-file aliyun-router-1.jwt本地数据中心部署(暗模式)
本地数据中心通常无法从公网访问,使用暗模式:只需要出站连接,无需开放入站端口。
四、网络拓扑设计
Hub-Spoke 模式
适合中心化管理的场景:控制器作为 Hub,各区域路由器作为 Spoke。
Full Mesh 模式
适合高吞吐、低延迟场景:所有路由器之间互联。
五、高可用方案
- 控制器高可用:多实例 + 外部数据库
- 路由器高可用:同一区域部署多个路由器
总结
本文介绍了:跨云部署架构、控制器和路由器部署、网络拓扑设计、高可用方案。
相关资源
- 官方文档:https://openziti.io/docs/
- GitHub 仓库:https://github.com/openziti/ziti
- OpenZiti 中文社区:https://www.openziti.cn