VPC的概念
VPC 全称 Virtual Private Cloud 虚拟私有云。
是基于Ali Cloud构建的1个隔离带网络环境, 专有网络之间逻辑上彻底隔离。
VPC 主要提供两个能力:
用户可以自定义网络拓扑, 包括自有ip地址范围, 划分网段, 配置路由表和网关等;
通过专线或VPN与原有数据中心连接, 云上和云下的资源使用同1个网络地址规划, 实现应用的平滑迁移上云。
两个VPC 之间正常是隔离的, 无法相互通信。可以限制用于彼此互联。
VPC的组成
路由器:实现不同网络的互通, 是专有网络的枢纽, 在VPC中有且只有1个。
交换机:VSwitch 是VPC的基础网络设备, 用来连接不同的云资源, 相当于实现局域网的设备。在 Ali Cloud 中交换机是虚拟交换机。每一台交换机对应1个私有网段。
私有网段: 在创建VPC和其交换机时, 你需要以CIDR地址块的形式指定专用网络使用的私有网段。
192.168.0.0/16 代表16位子网掩码, 192.168 是网络代码, 后面是主机代码
192.168.0.0/24 代表24位子网掩码, 192.168,x 是子网络代码, 后面是主机代码
上面的图代表1个大的网络网段中包括若干个小的24位网络
公网连接技术
公网IP: 最好用,成本高
EIP(弹性公网IP): 公网IP可能会变化, 1个EIP可以与多台主机绑定和解绑
上网两种有点浪费ip地址
NAT网关: 支持多台 VPC ESC实例访问公网(SNAT)和被公网访问(DNAT)。 平时内部通信用私有ip通信, 共享1个ip公网上网。 大大缓解ip地址不够用的问题。
SNAT: 源地址转换, 使NAT网关中任何主机都可以用1个公网ip访问互联网
DNAT: 把NAT网关中其中一台机暴露出去, 类似于家用路由器的端口映射
负载均衡: 让公网访问内部ECS主机时(DNAT)使用SLB 实现load balance.
VPC之间的互通
云企业网: 类似多一VPC中加入1个大路由来实现互通
VPN网关: 用于两个VPC之间的加密专线。
本地IDC上云 (把私有云加入共有云)
IDC: Internet Data Center
高速通道: 物理专线, 成本最高,效率最好, 延迟最低, 更安全可靠
VPN网关: IPsec -VPN, 把IDC 网络和云上VPC连接起来
SSL-VPN, 将本地客户端远程接入VPC( WFH就是1个例子)
智能接入网关:会收到1个硬件设备, 这个设备就叫只能接入网关, 大大减少配置复杂度, 可以实现线下机构(门店,分支机构)等轻松构建混合云。可实现线下机构之间的胡同。
云企业网:多个IDC 通过高速专线or VPN 网关接入云企业网来管理。 实现互通。
VPC的逻辑架构
基于隧道技术和软件定义网络(Software Defined Network, 简称SDN)技术, 阿里云的研发在硬件网关和自研交换及设备的基础上实现了VPC
VPC 包含 交换机, 网关 和控制器三个重要的组件。 交换机和网关组成了数据通路的关键路径, 控制器是以哦那个自研的协议下发转发表到网关和交换机, 完成了配置通路的关键路径。
网络:
1个VPC只能在1个地域。
所以如果1间公司在两个城市都有分公司, 则必须使用多个VPC。
即使1个VPC, 也建议至少创建两个交换机, 分布在两个不同的可用区, 这样可以实现跨可用区容灾。
网段的规划:
交换机的网段必须是其所属VPC网段的子集。
所以要尽量避免多个VPC使用相同的网段。不要重叠, 否则多VPC互联的话会出现路由冲突。
如果实在不能避免重复, 那么重复的那几台节点连接到云企业网。
SLB的概念
SLB - Server Load Balancer 是将访问流量过呢据转发策略分发到后端多台云服务器(ECS 实例)的流量分发 控制服务。 负载均衡扩展了应用的服务能力, 增强了应用的可用性。
* 通过设置虚拟服务地址, 将添加的同一地域的多台ECS实力虚拟成1个高性能, 高可用的后端服务池, 并根据转发规则, 将来自客户端的请求分发给后端服务器池的ECS实例。
* 默认检查云服务器池中的ECS实例的健康状态, 自动隔离异常状态的ECS实例, 消除了单台ECS实例的单点故障, 提高了应用的整体服务能力。此外, 负载均衡还具备抗DDos攻击的能力, 增强了应用服务器的防护能力。
SLB 的组成部分
关键在于listeners,除了转发请求的功能外, 它还有检查后端服务器健康的功能。
SLB的产品优势
SLB的基础架构
七层的话采用Tengine实现SLB
四层的话采用 LVS + Keepalived 来实现
SLB中提供的功能
调度算法: 支持轮询, 加权轮询(强-弱服务器), 加权最小连接数(WLC), 和一致性哈希(CH)调度算法。
* 一致性哈希, 尽量把同1个地方/类别的请求转发给同一台服务器, 避免初始化的浪费
健康检查: 若检查不通过, 则不转发请求到该服务器
会话保持: 在会话的生命周期内, 可以将同1个客户端的请求转发到同1个台服务器上
访问控制: 黑名单/白名单
高可用:
安全防护: 结合云盾, 可以提供5Gbps的防DDos攻击能力。
SLB的配置
- 创建SLB实例。
- 添加Listener
- 添加后端服务器, 分发对象
- 域名解析, 就是如果企业购买了域名后, 可以将SLB的实例地址与该域名进行绑定。
SLB 必须与后端ECS 在同一个地域!