华为云前台网络(VPC,安全组,EIP)
1.EIP网段是从哪里划分的?
管理员在后台Service_OM已设置
| Service_OM-网络资源-外部网络-创建外部网络 |
| 基本信息: |
| 配置参数: |
| *名称 public |
| *网络类型 LOCAL 不带标签 类似开源Float |
| *共享类型 非共享 |
| 资源标签配置: |
| *显示名称:public |
| *网络用途 勾选EIP |
| 点击public(外部网络) |
| 子网信息-点击创建IPv4子网 #将来申请EIP从这里来 |
| 创建IPv4子网 |
| *名称 publicsub01 |
| *子网IP地址10.174.134.0/24 |
2.什么是elb后端检查?
电商平台web服务器不能相应百万请求,elb出现就是提供一个IP隐藏后端云服务器组各个ip,并提供负载均衡
四层负载均衡:使用TCP协议访问80端口,(基于端口负载均衡)
七层负载均衡:Nginx提供web服务器 Apache;也是负载均衡--既可以提供四层负载均衡,也可以提供七层负载均衡(基于内容负载均衡)使用HTTP,HTTPS协议
ELB有独享型和共享性
HCS用的是共享性ELB
为了保证您所配置的负载均衡实例可正常提供服务,请确保端服务器的安全策略已放通100.127.0.0/16网段。
| 基础配置 | |
| *实例类型:独享型 | 共享型 |
| *规格可勾选 应用型(HTTP/HTTPS) 网络型(TCP/UDP) | 网络配置 |
| 网络配置 | 网络类型 勾选IPv4公网 |
| *跨VPC后端 | *所属VPC |
| 网络类型 勾选IPv4公网 | *子网 |
| *所属VPC | *弹性公网IP |
| *子网 | (用100.127.0.0/23网络测试端口是否存活) |
| *弹性公网IP | |
| 配置健康检查(用VPC网络测试端口是否存活) | |
| 网络控制台-虚拟私有云-路由表-基本信息 |
3.EIP的工作原理
3.1EIP入方向流量
EIP工作原理数据流
EIP网段10.174.134.0/24
a.当客户端访问10.174.134.83时,经过核心交换机路由到BR网元
b.流量从 BR出来后到达核心交换机,通过等价路由然后到达ENAT节点
在核心交换机配置完,BR网元虚机也会看到路由记录;(下一跳是自己的隧道IP)
BR和ENAT的ip从vtep网段分
去BR的流量丢给Tunnel_Bearing
去ENAT的流量丢给Tunnel_Bearing;
c.ENAT 节点做一次 NAT,目的 IP 转换为虚拟机的真实 IP。
vroute网元登录使用root用户,密码是fsp用户的密码
d.流量从 ENAT 出来后到达计算节点,然后发到虚拟机。
总结:每绑定一个EIP就会新增一个流表
3.2EIP 出方向流量
a.流量从 VM 中发出,目的IP为公网IP,源IP是虚拟机的内部真实IP,从计算节点通过 tunnel bearing 平面发给 ENAT 节点。
b.ENAT 节点做一次 NAT,将源 IP 转换为虚拟机的 EIP。
c.流量从ENAT 出来,通过核心交换机的等价路由发给BR节点,如果有EIPQos,在 BR 上做 EIP 的 Qos,再经过核心交换机 TOR 的 Internet VRF 到外网。
4.BR网元和vroute网元区别
BR:边界路由器BR 网元全称为Border Router,解决访问外网的需求BR
Vrouter:解决 VPC 对等和内部网络的路由
4.1VPC对等原理
1.VM1 发送给 VM2 的流量,计算节点内根据路由判断,属于跨VPC的流量,在计算节点做 VXLAN 封装,流量发送到vRouter。
2.流量到达 vRouter 节点之后,做 VXLAN 解封装,做一次三层转换之后,流量再次VXLAN 封装。流量发送到 VM2做在的计算节点。
3.流量到达 VM2 所在的计算节点,做 VXLAN 的解封装之后,流量发送到 VM2。
5.管理墙配置
两台管理墙旁挂在核心交换机,以主备方式工作。管理墙为手工配置,不在云平台管控范围,可通过:MGMT 管理口进行配置,也可以复用PublicZone 的接口IP 进行配置。PublicZone 接口IP 作为管理墙管理,可以单独配置的物理网口,极简和低成本场景防火墙管理可以复用业务口。如下图所示,配置是按复用业务口进行的配置举例。
防火墙配置 VRRP备份组,通过虚拟地址与核心交换机进行通信,核心交换机通过静态路由引流的方式将流量引流到管理墙进行安全检测。
1.内大网要和DMZ通
扫一扫
864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
