OpenZiti 进阶实战：跨云与混合网络架构

openapi

本文将探讨如何在多云和混合网络环境中部署 OpenZiti，实现跨云安全互联。

一、多云部署概述

为什么需要多云部署？

传统网络架构的问题：

• VPN 配置复杂，维护成本高
• 需要开放入站端口
• 横向移动风险
• 云厂商锁定

OpenZiti 的优势：

• 零信任访问控制
• 暗模式（无入站端口）
• 云厂商无关
• 动态拓扑

二、控制器部署

使用 Docker 部署控制器

# docker-compose.yml
version: '3.8'
services:
  ziti-controller:
    image: openziti/quickstart:latest
    environment:
      - ZITI_CTRL_NAME=ProductionController
      - ZITI_CTRL_EDGE_ADVERTISED_ADDRESS=controller.example.com
    ports:
      - "1280:1280"
      - "6262:6262"

高可用控制器

使用外部数据库实现高可用：

• PostgreSQL 后端
• 多控制器实例
• 负载均衡

三、跨云路由器部署

AWS 部署

# 创建路由器身份
ziti edge create edge-router "aws-router-1" \
  --role-attributes "aws-routers,us-east-1" \
  --jwt-output-file aws-router-1.jwt

阿里云部署

ziti edge create edge-router "aliyun-router-1" \
  --role-attributes "aliyun-routers,cn-hangzhou" \
  --jwt-output-file aliyun-router-1.jwt

本地数据中心部署（暗模式）

本地数据中心通常无法从公网访问，使用暗模式：只需要出站连接，无需开放入站端口。

四、网络拓扑设计

Hub-Spoke 模式

适合中心化管理的场景：控制器作为 Hub，各区域路由器作为 Spoke。

Full Mesh 模式

适合高吞吐、低延迟场景：所有路由器之间互联。

五、高可用方案

• 控制器高可用：多实例 + 外部数据库
• 路由器高可用：同一区域部署多个路由器

总结

本文介绍了：跨云部署架构、控制器和路由器部署、网络拓扑设计、高可用方案。

---

相关资源

• 官方文档：https://openziti.io/docs/
• GitHub 仓库：https://github.com/openziti/ziti
• OpenZiti 中文社区：https://www.openziti.cn