华为云网络知识

随笔2个月前发布 忆念车车
8 0 0

虚拟私有云(Virtual Private Cloud,VPC)、云解析服务(DNS)、虚拟专用网络(VPN)、云专线(DC)、弹性网络(EIP)、NAT网关(NET GW)、弹性负载均衡(ELB)

华为云网络知识

 

1.虚拟私有云(Virtual Private Cloud,VPC)

https://support.huaweicloud.com/vpc/index.html

VPC是在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离的的私有网络。可以通过弹性公网IP连通云内VPC和公网网络,通过云专线、虚拟专用网络等连通云内VPC和线下数据中心,构建混合云网络,灵活整合资源。

可以指定VPC的IP地址范围,然后通过在VPC内划分子网来进一步细化IP地址范围。vpc支持的网段为10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24。同时,您可以配置VPC内的路由表来控制网络流量走向。

VPC产品架构

华为云网络知识

1.1VPC的基本元素

1.1.1子网

子网是vpc的IP地址集,可以将vpc的网段分成若干块。可以根据业务需求在VPC内划分子网,VPC内至少需要包含一个子网。实例(云服务器、云容器、云数据库等)必须部署在子网内,实例的私有IP地址从子网网段中分配。

不同VPC之间的网络不通,同一个VPC内的多个子网之间网络默认互通。

通过对等连接peer连接到主vpc,选定本账户或其他账户的某个vpc,其他的vpc都连这个vpc,然后还需要配置主vpc账户的路由表,选择吓一跳类型为对等连接,另外在非主vpc要接受对等连接,使得所有的vpc都是相通的.

华为云网络知识

华为云网络知识

默认情况下,同一个VPC中,不同子网内的所有实例网络互通。同一个VPC内的子网可以位于不同可用区,不影响通信。比如VPC-A内有子网A01(可用区A)和子网A02(可用区B),子网A01和子网A02的网络默认互通。
子网创建成功后,不支持修改网段,请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。  

子网的网段必须在VPC网段范围内,子网网段的掩码长度范围是:所在VPC掩码~29,比如VPC网段为10.0.0.0/16,VPC的掩码为16,则子网的掩码可在16~29范围内选择。比如VPC-A的网段为10.0.0.0/16,则您可以规划子网A01的网段为10.0.0.0/24,子网A02的网段为10.0.1.0/24,子网A03的网段为10.0.2.0/24。 

华为云网络知识

 

1.1.2路由表

在创建VPC时,系统会为您自动创建一个默认路由表(Local),默认路由表确保同一个VPC内的子网网络互通。您可以在默认路由表中添加路由来管控网络,并且当默认路由表无法满足需求时,您还可以创建自定义路由表。路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向。VPC中的每个子网都必须关联一个路由表,一个子网只能关联一个路由表,但一个路由表可以同时关联至多个子网。创建VPN、云专线、云连接服务时,默认路由表会自动下发路由,该路由不能删除和修改。

华为云网络知识

1.2VPC的网络安全

安全组与网络ACL(Access Control List)用于保障VPC内部署实例的安全。

1.2.1网络ACL

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。

网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL。安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。

相比安全组,网络ACL的防护范围更大。当安全组和网络ACL同时存在时,流量优先匹配网络ACL规则,然后匹配安全组规则。

安全组与网络ACL

华为云网络知识

 

您的VPC默认没有网络ACL。当您需要时,可以创建自定义的网络ACL并将其与子网关联。关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规则。
网络ACL可以同时关联多个子网,但一个子网只能关联一个网络ACL。
每个新创建的网络ACL最初都为未激活状态,直至您关联子网为止。

 

1.3VPC的网络连接

 可以使用VPC和云上的其他网络服务,基于您的业务诉求,构建不同功能的组网。

连通同区域VPC:通过VPC对等连接或者企业路由器ER,连通同区域的不同VPC。
连通跨区域VPC:通过云连接CC,连通不同区域的VPC。
连通VPC和公网:通过弹性公网IP (EIP)或者NAT网关,连通云内VPC和公网。
连通VPC和线下数据中心:通过云专线DC或者虚拟专用网络VPN,连通云内VPC和线下数据中心。

1.3.1EIP

弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式,可以满足各种业务场景的需要。

一个弹性公网IP只能绑定一个云资源使用。

华为云网络知识

1.3.2对等连接peer(用于同区域的vpc连通)

对等连接是建立在两个VPC之间的网络连接,不同VPC之间网络不通,通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC,您可以在相同账户下或者不同账户下的VPC之间创建对等连接。

对等连接用于连通同一个区域的VPC,如果您要连通不同区域的VPC,请使用云连接。
您可以通过对等连接构建不同的组网,常见的使用示例请参见对等连接使用示例
华为云网络知识

1.3.3企业路由器(ER)

企业路由器(Enterprise Router, ER)可以连接虚拟私有云(Virtual Private Cloud, VPC)或本地网络来构建中心辐射型组网,是云上大规格、高带宽、高性能的集中路由器。企业路由器使用边界网关协议(Border Gateway Protocol, BGP),支持路由学习、动态选路以及链路切换,极大的提升网络的可扩展性及运维效率,从而保证业务的连续性。 

对等连接免费,企业路由器收费,相比使用VPC对等连接,企业路由器连接VPC构成中心辐射性组网,网络结构更加简洁,方便扩容和运维。

不使用企业路由器构建网络

华为云网络知识

 使用企业路由器构建网络

华为云网络知识

 

网络拓扑对比说明,通过对比,可以看出,使用企业路由器构建的网络拓扑更简洁,可扩展性高,同时网络维护工作也更简单。

华为云网络知识

 

1.3.4云连接(用于不同区域的vpc、VGW连通)

云连接(Cloud Connect,CC)为用户提供一种能够快速构建跨区域VPC之间以及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。通过创建云连接,将用户所需要实现互通的不同区域的网络实例加载到创建的云连接实例中,这里的网络实例可以是用户自己创建的VPC实例或用户创建的用于本地数据中心接入的虚拟网关(VGW)实例,也可以是其它用户授予权限允许加载的VPC实例,最后通过配置需要互通的网络实例之间的域间带宽,就可以快速的为您提供全球网络互通服务

华为云网络知识

VGW即虚拟网关,是云专线的接入路由器。在云专线服务里,物理专线是用户本地数据中心与云上VPC建立网络连接线路的抽象。虚拟接口是用户本地数据中心访问VPC的入口。VGW将虚拟接口和VPC关联,即可实现本地数据中心访问VPC。

云专线原理图
华为云网络知识

 

网络实例包括VPC、虚拟网关(VGW)和企业路由器。

将VPC加载到云连接,可以实现VPC之间的互通。
将虚拟网关加载到云连接,可以实现云下IDC与云上多VPC互通,构建混合云。

1.3.5NAT网关(NET GW)

购买一个公网NET网关,然后购买一个或多个EIP(弹性公网),然后在EIP界面将这一个或多个EIP绑定到这个NET网关上,在NET网关界面通过SNAT规则的配置,可以将某个内网ECS ip或者ip段配置到这个EIP上,从而似的ECS可以访问公网。DNAT是反向的公网访问互联网的,如果有需求通过一个EIP访问多个ECS,这个需要DNAT配置不同端口来路由到不同的内网ECS。通常公网访问服务器会使用单独的EIP而不会使用这种DNAT的方式。

SNAT架构图

华为云网络知识

DNAT架构图

华为云网络知识

 1.3.6连通VPC和线下数据中心(DC VPN)

DC:DC用于搭建线下数据中心和云上VPC之间高速、低时延、稳定安全的专属连接通道,通过DC可以构建大规模混合云组网。更多信息请参见什么是云专线。
VPN:VPN用于在线下数据中心和云上VPC之间建立一条安全加密的公网通信隧道。更多信息请参见什么是虚拟专用网络。

相比通过DC构建混合云,使用VPN更加快速,成本更低。

1.3.6.1云专线(DC)

https://support.huaweicloud.com/productdesc-dc/zh-cn_topic_0032053183.html

 云专线(Direct Connect)用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,充分利用华为云服务优势的同时,继续使用现有的IT设施,实现灵活一体,可伸缩的混合云计算环境。

云专线组网图

华为云网络知识

 

为什么选择云专线

网络质量:专用网络进行数据传输,网络性能高,延迟低,用户使用体验更佳。
安全性:用户使用云专线接入华为云上VPC,使用专享私密通道进行通信,网络隔离,满足各类用户对高网络安全性方面的需求。
传输带宽:华为云专线单线路最大支持100Gbps带宽连接,满足各类用户带宽需求。

 

组成部分

云专线服务主要包括物理连接、虚拟网关、虚拟接口三个组成部分。

物理连接

物理连接是用户本地数据中心与接入点的运营商物理网络的专线连接。物理连接提供两种专线接入方式:

标准专线接入,是用户独占端口资源的物理连接,此种类型的物理连接由用户创建,并支持用户创建多个虚拟接口。

托管专线接入,是多个用户共享端口资源的物理连接,此种类型的物理连接由合作伙伴创建,并且只允许用户创建一个虚拟接口。用户通过向合作伙伴申请来创建托管物理连接,需要合作伙伴为用户分配VLAN和带宽资源。

虚拟网关

虚拟网关是实现物理连接访问VPC的逻辑接入网关,虚拟网关会关联用户访问的VPC,一个虚拟网关只能关联一个VPC,多条物理连接可以通过同一个虚拟网关实现专线接入,访问同一个VPC。

虚拟接口

虚拟接口是用户本地数据中心通过专线访问VPC的入口,用户创建虚拟接口关联物理连接和虚拟网关,连通用户网关和虚拟网关,实现云下数据中心和云上VPC的互访。

1.3.6.2虚拟专用网络(VPN)

虚拟专用网络(Virtual Private Network,以下简称VPN),用于在企业用户本地网络、数据中心与云上网络之间搭建安全、可靠、高性价比的加密连接通道。华为云VPN仅支持建立非跨境连接,不支持建立跨境连接。

VPN由VPN网关、对端网关和VPN连接组成。

VPN网关提供了VPC的公网出口,与用户数据中心的对端网关对应。
VPN连接通过加密技术,将VPN网关与对端网关相关联,使数据中心与VPC通信,更快速、更安全地构建混合云环境。

VPN组网图

华为云网络知识

 

组成部分

VPN网关:虚拟专用网络在云上的虚拟网关,与用户本地网络、数据中心的对端网关建立安全私有连接。
对端网关:用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象,用于记录用户数据中心实体设备的配置信息。
VPN连接:VPN网关和对端网关之间的安全通道,使用IKE和IPsec协议对传输数据进行加密。

1.3.7VPC的网络运维

VPC流日志和流量镜像可以监控VPC内的流量,用于网络运维。

流日志:通过流日志功能可以实时记录VPC中的流量日志信息。通过这些日志信息,您可以优化安全组和网络ACL的控制规则,监控网络流量、进行网络攻击分析等。更多信息请参见VPC流日志简介。
流量镜像:通过流量镜像功能可以镜像弹性网卡符合筛选条件的报文到目的实例中,在目的实例中进行流量分析,不会影响运行业务的实例,适用于网络流量检查、审计分析以及问题定位等场景。更多信息请参见流量镜像简介。

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...