一、华为云Stack网络服务概览
1.网络服务包括:虚拟私有云、弹性负载均衡、弹性IP、网络ACL、虚拟专用网络、云专线、VPC终端节点、云解析
2.华为云Stack网络服务全景图:
二、云上通用网络服务
1.虚拟私有云
虚拟私有云(Virtual Private Cloud,VPC),是一套为云服务器(包括弹性云服务器和裸金属服务器)构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境,旨在提升用户资源的安全性,简化用户的网络部署。
用户可以在VPC中自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表和网关等,方便地管理和配置网络,进行安全、快捷的网络变更。
VPC相关概念
子网
自定义路由
对等连接
先决条件:
同一个region内,同租户或者不同租户下的VPC内部网络之间的互通
对等连接内的VPC子网不能冲突
2.安全组与网络ACL
①安全组
安全组是一个逻辑上的分组,为同一个资源空间内具有相同安全保护需求并相互信任的云服务器提供访问策略,支持白名单(指允许策略)。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
安全组是对进出虚拟机端口的网络报文进行限制的安全过滤规则。关联虚拟机端口与安全组后,该安全组的规则会对进出该虚拟机端口的网络报文进行过滤,只有规则允许的报文才能通过。
②网络ACL
③网络ACL VS 安全组
网络 ACL / 安全组,底层都是 基于linux的iptables的能力 ,其实本质上也是集成在 OVS 上的安全模块的能力,通过对 iptables 的能力进行不同的编排实现了安全组 / 网络 ACL 的能力。因为底层都采用同一个模块,所以安全策略容量是共享的。复用 OVS 的资源占用,吞吐性能也复用 OVS 转发能力。
3.弹性负载均衡
业务分发场景
对于访问量较大的网站或政企客户内部办公系统,可通过负载均衡方式将业务负载分摊到多台后端云服务器上,提升业务处理能力。也可利用负载均衡健康检查功能,自动屏蔽异常状态主机,将业务负载分配到后端云服务器组上,后端云服务器组由多个后端云服务器组成。
监听器
监听器是用于检查连接请求的进程,它使用前端 (客户端到负载均衡器)连接的协议以及端口和后端(负载均衡器到后端云服务器)连接的协议以及端口配置负载均衡策略。
后端服务器
弹性负载均衡器会将客户端的请求转发给后端服务器处理。
三、互通服务
1.云内互通
分类:
- 同一VPC互通
VPC默认路由规则、安全组、网络ACL
- 同region不同VPC互通
对等连接、VPC终端节点、云连接
- 不同region不同VPC互通
云连接、虚拟专用网络
①云内互通——同一VPC互通
默认情况下,同一个 VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC 的弹性云服务器不能进行通信。 当用户创建虚拟私有云时,系统会自动创建一张默认路由表,其路由规则保证了虚拟私有云内的所有子网互通。用户也可以添加自定义路由规则,将指定目标网段的流量路由至指定目的地。
②同Region不同VPC互通——对等连接
• 对等连接支持在相同区域内的两个 VPC 间创建。 VPC 可以位于不同租户内。• 两个 VPC 间不能同时建立多个对等连接 。• 针对两个 VPC 中的网段建立的对等连接, 需确保两端建立对等连接的网段没有重叠网段 。• 创建对等连接后,需要在 两端VPC内添加对等连接路由信息 ,才能使两个 VPC 互通。• 对等连接具有 不可传递性 ,即 VPC A 与 VPC B , VPC B 与 VPC C 已分别建立对等连接,那 VPC A 和 VPC C 不能直接对等连接。
③同Region不同VPC互通——VPC终端节点
• VPC 终端节点提供“ 终端节点服务 ”和“ 终端节点 ”两种资源。• 终端节点服务:是指云服务或用户私有服务,可以通过配置在 VPC 终端节点中提供服务。用户可以在 VPC 中创建自己的应用程序,并将其配置为 VPC 终端节点支持的服务,即终端节点服务。• 终端节点:在 VPC 和终端节点服务之间提供连接通道。用户可以在 VPC 中创建自己的应用程序并将其配置为终端节点服务,同一区域下的其他 VPC 可以通过创建在自己 VPC 内的终端节点,与终端节点服务之间获得连接,进行通信。
④不同Region不同VPC互通——云连接
• 每个云连接实例在每个区域支持默认支持加载 6 个网络实例。• 每个云连接实例支持加载的区域数默认为 6 个。• 一个VPC 仅可以加载到一个云连接实例中。• 每个网络实例最多加载 50 个 CIDR 。• 在同一个云连接实例里,所有网络实例的CIDR 不能重叠,子网网段不能冲突,否则可能会引起互通问题。• 在云连接实例中加载 VPC 网络实例,通过自定义网段类型的 VPC CIDR 时,不能引入回环地址、组播地址或广播地址。
2.云内与外网互通
①弹性IP服务
弹性 IP ( Elastic IP ),提供了用户从外网访问云数据中心内虚拟机的能力,弹性 IP 业务需结合虚拟机或负载均衡业务使用,用户可以自主将申请的公网 IP 绑定到 ECS , BMS , ELB 或者 VIP 上,从而实现将云数据中心的业务开放到外网上面。
EIP应用场景:
- 单台云服务器访问外网
- 多台云服务器访问外网
②NAT网关
NAT网关(NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。NAT网关分为SNAT和DNAT两个功能。
源网络地址转换(SNAT)
用于将内部网络中的源IP地址转换为公共网络可路由的IP地址。
SNAT通常用于实现多个内部设备共享一个公共IP地址访问互联网的情况。当内部设备发送请求到公共网络时,SNAT会将请求的源IP地址修改为公共IP地址,以确保响应能够正确返回到内部网络。
目标网络地址转换(DNAT)
主要用于将外部请求的目标IP地址转换为内部网络中的特定IP地址。
NAT通常用于提供服务器的外部访问,例如Web服务器或邮件服务器。当外部用户发送请求到公共IP地址时,DNAT会将请求的目标IP地址修改为服务器的内部IP地址,从而确保请求能够正确路由到服务器。
3.云内与本地IDC互通
①虚拟专用网络
②云专线
四、实验
1.VPN
使用华为公有云,先清理环境。
目的:10.0.0.10能和11.0.0.10互通
创建环境ECS和VPC
创建VPN网关
添加本端VPC和本端子网
创建对端网关
创建VPN连接
两台ECS互ping不通原因:安全组
配置安全组
增加一台ECS12
创建VPC-peer
创建完成
11.0.0.10与12.0.0.10不通配置
①添加VPN连接
②添加VPC-peer目地地址
1534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
