第一章 虚拟私有云
前言
- 在整个ICT基础设施的发展过程中,网络资源一直是必不可少的存在。有了网络资源,设备与设备间,系统与系统间才有了交流,才能更好地去支撑企业业务的快速发展。
- 本章将带领大家了解华为云上的网络服务。
网络服务总览
- 虚拟私有云:华为云上隔离的、私密的虚拟网络环境.。
- VPC端点:安全访问华为云上托管的服务。
- 弹性负载均衡:自动分发访问流量到多台云服务器。
- NAT网关:为云服务器提供网络地址转换服务。
- 弹性公网IP:提供独立的公网IP资源。
- 云专线DC:本地数据中心与VPC间的专属通道。
- 虚拟专用网络:本地数据中心与VPC间IPsec加密通道。
- 云连接:为租户提供多Region VPC互通及云上云下互通的混合云组网服务云解析服务
- DNS:提供权威DNS服务和DNS管理服务。
- 虚拟私是华为云网络基础,基于安全的隧道网络技术,提供安全、隔离的网络环境,用户可以自定义自己的VPC,包括划分子网、配置路由表、指定IP地址等,同时还可以配置网络安全策略。
VPC优势:
- 灵活配置:自定义虚拟私有网络,按需划分子网,配置IP地址段,DHCP、路由表等服务。支持跨可用区部署弹性云服务器
- 安全可靠:VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对弹性云服务器进行防护
- 互联互通:默认情况下,VPC与公网是不能通信访问的,依靠了弹性公网IP、弹性负载均衡、NAT网关、虚拟专用网络、云专线等多种方式连接公网。默认情况下,两个VPC之间也是不能通信访问的,依靠对等连接的方式,使用私有IP地址在两个VPC之间进行通信
- 高速访问:使用全动态BGP协议接入多个运营商,支持多达21条线路。可以根据设定的寻路协议实时自动故障切换,保证网络稳定,网络时延低,云上业务访问更流畅
VPC组成部分:每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成:
- 私网网段:用户在创建虚拟私有云VPC时,需要指定虚拟私有云VPC使用的私网网段。当前虚拟私有云VPC支持的网段有10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24
- 子网:云资源(例如云服务器、云数据库等)必须部署在子网内。所以,虚拟私有云VPC创建完成后,需要为虚拟私有云VPC划分一个或多个子网,子网网段必须在私网网段内
- 路由表:在创建虚拟私有云VPC时,系统会自动生成默认路由表,默认路由表的作用是保证了同一个虚拟私有云VPC下的所有子网互通。当默认路由表中的路由策略无法满足应用(比如未绑定弹性公网IP的云服务器需要访问外网)时,可以通过创建自定义路由表来解决
- 当有互相通信的需求时,可以在两个VPC之间建立对等连接,通过对等连接来实现互通。
- 弹性网卡即虚拟网卡,用户可以通过创建并配置弹性网卡,并将其附加到云服务器实例(包括弹性云服务器和裸金属服务器)上,实现灵活、高可用的网络方案配置。
- IP地址组是多个IP地址的集合,可被安全组规则引用,可统一管理具有相同安全要求或需要频繁修改的IP地址。通过使用IP地址组,可有效应对需要重复多次编辑安全组规则的场景,方便管理。
- 默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。
- 不同VPC的弹性云服务器可通过创建对等连接通信。
- 华为云提供了管理路由表的功能:添加自定义路由、查询路由、修改路由和删除路由等。
- 用户创建虚拟私有云时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表。用户可以在默认路由表中添加、删除和修改路由规则,但不能删除默认路由表。创建VPN服务时,默认路由表会自动下发路由,该路由不能删除和修改,用户可以将子网关联到自定义路由表或者复制该条路由到自定义路由表中,在自定义路由表中添加、修改和删除路由。
- 用户可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并将自定义路由表与子网关联。自定义路由表可以删除。
- 当前在部分区域中,路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,支持路由表与子网关联功能,请以实际界面为准。
- 未解耦:在虚拟私有云详情页的“路由表”页签,可对路由表进行操作。
- 已解耦:在进入“网络>虚拟私有云”后,在左侧导航栏直接选择“路由表”可对路由表进行操作。
- 系统会为每个用户默认创建一个Sys-default安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。
- 在同一个帐户下,创建对等连接后,状态是已接受。需要在两端VPC内添加对等连接路由信息,才能使两个VPC互通。
- 跨帐户创建VPC对等连接时,一端VPC发起创建对等连接请求,对等连接状态为待接受。待对方接受该创建请求后,对等连接状态变为已接受,请求方和接受方须分别配置对等连接路由信息,才能使两个VPC互通。
- 网络ACL与安全组类似,都是安全防护策略,当用户想增加额外的安全防护层时,就可以启用网络ACL。安全组只有“允许”策略,但网络ACL可以“拒绝”和“允许”两者结合起来,可以实现更精细、更复杂的安全访问控制。
- 虚拟IP的典型组网1:HA高可用模式;虚拟IP的典型组网2:高可用负载均衡集群。
- 通过云专线/VPN,建立的是云上与云下的三层网络通道,要求云上与云下子网网段不重叠。而当数据中心与云上子网网段相同,且需要云上与云下服务器在该相同子网网段互通时,可以通过二层连接网关来解决云上与云下二层网络通信问题。
- 二层连接网关作为虚拟私有云的隧道网关,与用户本地数据中心侧的隧道网关对应可基于云专线/VPN网络使虚拟私有云与用户数据中心之间建立二层网络。
- 二层连接可将虚拟私有云的子网接入到二层连接网关中,并指定二层连接网关与企业数据中心侧的隧道网关建立连接,使虚拟私有云的子网与企业数据中心侧的子网建立二层通信。
- 在配置VPC之前,更重要的是根据业务需求做网络规划,确定需要用的网段在VPN和专线等场景网段不冲突,子网空间充足。
- 网络安全需要考虑不同业务对外的访问策略,将权限最小化,例如安全组只放通哪些源IP和端口。
- 网段:VPC的地址范围,VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围:10.0.0.0/8~24、172.16.0.0/12~24、192.168.0.0/16~24。
- DNS服务器地址:默认情况下使用网络外部DNS服务器地址,如果需要修改DNS服务器地址,请确保配置的DNS服务器地址可用。
- DHCP(动态主机配置协议):是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
- 用户无法删除默认安全组,但可以修改默认安全组的规则。
- 安全组需在网络互通的情况下生效。若实例属于不同VPC,但同属于一个安全组,此时实例不能互通。用户可以使用对等连接等产品建立VPC连接互通,安全组才能对不同VPC内实例的流量进行访问控制。
- 不同安全组内的弹性云服务器内网互通:在同一个VPC内,用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时,可以将两台弹性云服务器设置为内网互通后再拷贝资源。同一个VPC内,在同一个安全组内的弹性云服务器默认互通。但是,在不同安全组内的弹性云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云服务器内网互通。