混合云网络连接利器:Pipy 点对点网络连接实战

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量225 收藏 1
点赞数
文章标签: 网络 服务器 tcp/ip 网络协议 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654096769&idx=8&sn=a147198b485c2d095b41885f69af9374&chksm=80d869d4b7afe0c2c04343c4beef6aecbfd768b3b423449440eb79ec501bd8aecd1e1bd9baff&scene=126&sessionid=0
版权

随着多集群、多云、混合云的普遍采用,不同云之间网络如何打通,云端到内网如何访问,带来很多网络管理的挑战。本文介绍采用 Pipy 如何打通多云网络,实现多集群、多云、混合云、内外网的互通,不仅可以快速实现网络联通,同时避免了网络基础设施复杂的设置;搭配使用 Pipy 内置的安全和访问控制机制,可以有效的保障数据传输的安全性和必要的访问控制。

在 2022 年北美 Kubecon,Istio 团队提出了 sidecarless 的网络方案,其核心是使用基于 HTTP 的隧道 z-tunnel。Flomesh 团队基于灵活的 PipyJS 实现了同样的能力,并且该能力具备了多集群、多云、混合云的能力,进一步拓宽了 z-tunnel 模式的使用场景。

在之前的文章 用 Pipy 做个 HTTP 隧道 中,我们曾介绍过如何使用 Pipy 构建 HTTP 隧道以在孤立的网络中实现 TCP 协议的传输,让我们简单回顾一下当时的场景。

我们有两个设备需要基于 TCP 的私有协议进行通信,但防火墙仅允许 HTTP 通信,同时服务端监听内部 IP 及 8081 端口。

我们最终利用 TCP over HTTP 的方式,在两个网络间完成了两个设备的通信。

11efdd8f1df3ad6d95e605ad89db80b4.png

在实际的场景中,我们可能会遇到更多的挑战,例如:

  1. 1. 明文通信存在安全问题,缺乏有效的防护措施。

  2. 2. 在管控严格的网络中,不允许对外提供 HTTP 通信;或者每次开通都需要经历复杂且漫长的审批过程,而随意的开放网络,也给管控带来了压力。

现在我们试图解决上述挑战,首先将场景的难度提高一些。在局域网中有一台服务器(192.168.1.160)正在运行一个仅供内部访问的 web 站点,无法从外部访问;局域网内部可以正常访问互联网。现在,一台位于公有云的主机 20.187.107.151 需要访问局域网内的服务。

5b8c7bb1befa3e1b2519a243d6d08c73.png

之前的方案显然无法实现,因为公有云无法访问局域网。但既然局域网可以正常访问互联网,那么就可以由局域网向公有云发起连接,将该连接作为隧道进行通信,同时确保数据传输的安全。

方案

e60868df39b06b968ce57c2529476a00.png

以下以请求处理为例:

  1. 1. 局域网代理与公有云代理的 8443 端口建立 TCP 连接后,等待接收隧道创建的请求;

  2. 2. 公有云客户端(假设与公有云代理位于同一主机),使用 127.0.0.1:8080 访问公有云代理;

  3. 3. 公有云代理接收到客户端的请求后,通过第一步创建的连接发起创建隧道的请求,并提供要访问的目标服务地址 192.168.1.160:8080

  4. 4. 隧道创建成功后,局域网代理与目标服务建立连接;

  5. 5. 公有云代理将客户端的请求通过隧道传输至局域网代理;

  6. 6. 局域网代理将请求转发至目标服务;

这样便完成了请求的发送,局域网的服务处理完请求后,响应内容将会按照刚才建立的连接被发回客户端。

以上只是方案的简单说明,实际上还需要考虑更多的细节:

  1. 1. 隧道的数据传输要进行加密,采用 mTLS 方式;

  2. 2. 局域网的代理要对服务的访问进行严格管控,即只有指定的服务才能通过隧道访问;

  3. 3. 保障隧道的可用性,需要对隧道进行健康检查。这种检查是双向的,首先局域网代理检查隧道断开后,要进行重连;公有云上的代理,在检查隧道断开后可以使用其他的隧道进行数据传输,也就是说要有多条隧道保证整体服务的可用;

  4. 4. 实施对隧道的保护,如限速等。

以上提到的(并不仅限于这些)所有细节,都在我们的示例中一一进行了实现。你可以在 Pipy 的示例仓库[1] 的 pipy-reverse-tunnel 目录中找到所有代码。

├── external #公有云代理
│   └── tunnel
│       └── tls
├── internal #局域网代理
│   └── tunnel
│       └── tls
└── serve #局域网服务
    ├── secret
    └── www

测试

从仓库中拉取代码之后,你需要根据运行环境对配置进行调整。

  • • 在 pipy-reverse-tunnel/internal/config.json 中将 target 修改为云主机的公网地址

  • • 在 pipy-reverse-tunnel/internal/allow-list.json 中配置局域网服务的地址

  • • 在 pipy-reverse-tunnel/external/config.json 中,将 loadBalancers.xxxx.targets 中的地址改为局域网服务的地址

1. 运行局域网服务

在局域网主机上启动服务。

./pipy ./serve/main.js

检查服务是否正常。

curl -sI localhost:8080
HTTP/1.1 200 OK
content-type: text/html
content-length: 472
connection: keep-alive

2. 运行公有云代理

在公有云主机上启动代理。

./pipy ./external/main.js

代理启动后会立即进行健康检查,由于此时局域网代理并未运行,在日志中会看到检查失败的信息。

3. 运行局域网代理

./pipy ./internal/main.js

4. 验证

在公有云主机上,使用 127.0.0.1:8080 可以成功访问。

curl 127.0.0.1:8080
<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Hello, People!</title>
  </head>
  <body>
    <h1>The Quick Brown Fox Jumps Over the Lazy Dog</h1>
    <h2>The Quick Brown Fox Jumps Over the Lazy Dog</h2>
    <h3>The Quick Brown Fox Jumps Over the Lazy Dog</h3>
    <h4>The Quick Brown Fox Jumps Over the Lazy Dog</h4>
    <h5>The Quick Brown Fox Jumps Over the Lazy Dog</h5>
    <h6>The Quick Brown Fox Jumps Over the Lazy Dog</h6>
  </body>
</html>
引用链接

[1] Pipy 的示例仓库: https://github.com/flomesh-io/pipy-demos

dotNET跨平台
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
混合云网络怎么组网搭建?
m0_55510835的博客
02-24 1020
1 什么是混合云 云计算技术发展到现在,已经形成了两种主要的形态:公共云和专有云,它们分别有各自的优势。专有云能够对数据的安全性和服务质量进行最有效的把控,企业选择专有云是基于自身信息化建设的考虑,构建安全自主可控的基础架构环境等。而在公共云上运行大数据工作负载比在专有云服务器上要便宜得多,同时公共云可以弹性伸缩,非常灵活。因此,公共云与专有云的混合使用被越来越多的企业采纳,这种模式被称为混合云,它赋予公司对于云资源使用情况极高的控制力。 2 构建混合云应具备的...
pipywebserv:简约的python网络服务器,仅使用python内置库使用流数据
05-19
pipywebserv 简约的python网络服务器,仅使用python内置库使用python... 我确实希望它可以在封闭的网络中使用(即未连接到互联网)。 我非常喜欢方法。 我也想轻松地理解整个事情。 总体设计是将Web浏览器用作适当的应
如何实现混合云_连接到云,第2部分,实现混合云模型
cuyi7076的博客
06-28 228
存档日期:2019年5月14日 | 首次发布:2009年4月28日 这是连接到云的三部分系列的第2部分。 为了确定创建混合云应用程序的最佳解决方案, 第1部分研究了主要云平台供应商提供的一些产品。 在本系列文章的第2部分中,您将实现混合云应用程序,它将本地应用程序组件与云计算结合在一起。 该应用程序利用本地的JMS队列以及云中的SQS队列,将两者组合在一个混合应用程序中。 此内容不再被...
快速云:了解混合云连接最佳做法
zyp18065271351的博客
06-27 394
分享IDC知识
谈谈混合云传输安全,怎样用正确的姿势连接云上云下?
qq_35267530的博客
10-23 638
就在上周的云栖大会上,阿里巴巴集团推出了“数据安全合作伙伴计划”。通俗点来说,这个计划就是以阿里巴巴自己的数据安全能力成熟度模型(Data Security Maturity Model, DSMM)为基础,联合合作伙伴分享阿里在数据安全上的实践经验。从而提高整个行业的数据安全管理能力。 值得注意的是,DSMM从数据产生、存储、使用、传输、共享、销毁这6个方面,对数据安全管理提出了全
手把手教你DIY云网关混合云组网系列一云+本地路由器方案
wangli的博客
12-25 4329
      随着公有云资源的普及越来越多的人或单位在各种公有云上安了家,云虽然很好,但公有云资源如何安全快捷的访问本地局域网内资源呢?本文的目标是解决你的混合云组网,将公有云网络通过IPSEC-VPN技术打通与本地局域网的互联,实现混合云组网。       混合云组网是大势所趋,各个公有云服务商也都提供了相应的收费服务,我查了一下,在天翼云中利用IPSEC-VPN打通网络实现互联的产品叫做‘云网...
第二届 eBPF 开发者大会分享回顾 - Pipy 与 eBPF:重塑系统级编程的新范式
weixin_41455244的博客
04-23 886
在本次技术分享中,重点探讨 Pipy 与 eBPF 结合创造的全新编程模式及其在网络场景中的潜力。Pipy,作为一个高性能且低资源的可编程引擎,与 eBPF 的结合超越了传统的网络流量处理和系统监控领域,开辟了新的应用可能性。我们将重点介绍这种创新模式如何实现更灵活、更高效的编程和运维实践,特别是通过网络动态更新 BPF 程序来增强能力。
python 连接db2_Python安装ibm_db连接DB2
weixin_39545269的博客
12-09 426
一、在线安装方式截止目前(2018年7月18日),ibm_db version 2.0.8在Python2和Python3环境都不能直接pip install ibm_db安装,Version 2.0.8 does not install on python3 #286,只能pip3 install ibm_db==2.0.8a 或者安装更低版本# 2019年12月更新:现在可以直接pip安装了p...
Pipy 实现 SOCKS 代理
dotNET跨平台
12-29 239
上篇我们介绍了服务网格 osm-edge 出口网关使用的HTTP 隧道,其处理方式与另一种代理有点类似,就是今天要介绍的 SOCKS 代理。二者的主要差别简单来说就是前者使用HTTP CONNECT告知代理目的地址,而后者则是通过 SOCKS 协议。值得一提的是,SOCKS 也是出口网关的可选协议之一。SOCKS 是一种网络传输协议,是 Socket Secure 的缩写,主要用于客户端与外...
vcdpmsd:DPMS对Raspberry Pi的支持
05-15
需要以下PiPy软件包: sh-Raspbian软件包python-sh xpyb-Raspbian软件包python-xpyb 另外,还需要tvservice和vcgencmd程序。 这些通常与其他VideoCore控制实用程序一起安装在/opt/vc/bin 。 安装 标准setuptools...
media-pipy的包,姿态检测小玩意
05-27
mediapipe的姿态检测模型基于深度学习技术,如卷积神经网络(CNN),可以实时处理视频流并输出每个关键关节的2D坐标。这个模型不仅能够识别个体的全身姿势,还能在一定程度上处理遮挡和复杂背景的情况,具有较高的...
PyPI 官网下载 | ingress-0.3.0.tar.gz
02-01
`云原生`(Cloud Native)是指适应云环境的设计原则和开发方式,强调应用的可移植性、弹性伸缩和微服务架构。`Python库`则明确表示`ingress`是一个用Python编写的模块,可以被其他Python项目导入和使用。 从压缩...
PyPI 官网下载 | threadloop-0.3.0.tar.gz
02-13
这意味着`threadloop`可能包含了对Zookeeper API的封装,允许开发者在Python中更方便地使用Zookeeper。同时,标签中的“分布式”和“云原生”暗示了`threadloop`可能设计用于处理分布式环境和云基础设施中的任务,...
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 355
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 377
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 375
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 274
docker build网络问题
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 825
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
pipy软件源配置limux
03-10
可以使用以下命令来配置pipy软件源: 1. 首先,打开终端并输入以下命令: sudo apt-get install python-pip 2. 然后,输入以下命令来更新pip: sudo pip install --upgrade pip 3. 最后,输入以下命令来配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值