一、介绍

目前使用公有云的方式就是混合云,即在公有云的基础上搭建我们的私有云。

搭建私有云的方式有两种:

1、专线

这种方式延时很低,但是我们一般需要指定固定的区域,因为不会每个区域都有专线。

专线通过POP点方式与公有云厂商对接。

什么是POP点?

2、VPN方式

这种方式的缺点是延时比较大。

二、VPC

Virtual Private Cloud,简称VPC,虚拟私有云。

VPC是公有云上自定义的逻辑隔离网络空间,是一块可我们自定义的网络空间,与我们在数据中心运行的传统网络相似,托管在VPC内的是我们在私有云上的服务器资源,如云主机、负载均衡、云数据库等。我们可以自定义网段划分、IP地址和路由策略等,并通过安全组和网络ACL等实现多层安全防护。同时也可以通过VPN或专线连通VPC与我们的数据中心,灵活部署混合云。

VPC主要是一个网络层面的功能,其目的是让我们可以在云平台上构建出一个隔离的、自己能够管理配置和策略的虚拟网络环境,从而进一步提升我们在AWS环境中的资源的安全性。我们可以在VPC环境中管理自己的子网结构,IP地址范围和分配方式,网络的路由策略等。由于我们可以掌握并隔离VPC中的资源,因此对我们而言这就像是一个自己私有的云计算环境。

我们通过VPC及其他相关的云服务来把企业自己的数据中心与其在云上的环境进行集成,构成一个混合云的架构

三、POP点

Point of Presence,简称POP,表示入网点(pop),pop位于网络企业的边缘外侧,是访问企业网络内部的进入点。

在企业中,POP提供通往外部服务和站点的链路,POP可以直接连接到一家或多家ISP(网络运营商)

POP接入点是两个或多个不同的网络或通信设备相互建立连接的点

POP点可以包括路由器、交换机、服务器和其他数据通信设备。

PoP接入点具有一个或多个唯一IP地址、IP地址池,用来分配给终端用户。

POP点和普通交换机的区别?

  • POP点一般也是交换机,主要是职能特殊,是专指连接外部网络,如运营商,甚至不同运营商
  • 普通交换机的话一般职能是用于过滤和转发网络数据包,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。是个通用的概念。而POP可以认为是特点场景的交换机,专指的。

四、VPN

虚拟专用网络(VPN)的功能是:​在公用网络上建立专用网络,进行加密通讯​。

企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

VPN主要是用于大型企业中,比如异地办公或出差的员工可以通过VPN网络访问公司内部网,从而实现整个企业的异地协同工作,且有足够的安全性。

对于利用VPN访问互联网,国家法律已有规定:未经电信主管部门批准, 不得自行建立或租用专线(含虚拟专用网络 VPN)等其他信道开展跨境经营活动。如果有人利用VPN技术提供互联网跨境访问的,就触犯了法律。像阿里云、腾讯云之类的云服务商虽然也提供VPN服务,但并不提供Internet访问。

随着网络规模的不断扩大,ARP欺骗、广播风暴、主机扫描等网络安全问题越来越严重,为了解决这些问题,出现了各种网络隔离技术,比如虚拟局域网(VLAN)、VPC等。虽然VLAN技术可以将网络的用户进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公有云的巨大用户量。

PC技术可以将公有云的网络隔离,每个VPC网络都有一个隧道号,相互之间逻辑上彻底隔离。另外,VPC不存在VLAN技术的数量限制,非常适合于公有云中用于网络隔离。目前VPC服务已经是主流云计算服务商提供的一项基础服务,使用者可以利用VPC服务在公有云上隔离出一个自己的专有网络。

以阿里云VPC服务为例,使用者可完全掌控自己的VPC,比如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现更加安全的网络环境。

阿里云的VPC架构图如上图所示,主要包括三个核心部件:网关、交换机和控制器。交换机和网关组成了数据通路的关键路径,控制器是实现配置通路的关键路径。

结语

对信息安全有较高要求的企业,VPC以及基于VPC的混合云架构将成为首选,但对使用者有较高的技术要求,需要有一定数据通信网络的配置经验。

五、VPN与VPC区别

VPC:是一个虚拟私有云,主要作用是搭建私有云的。

VPN:是虚拟私有网络,主要作用是用户与私有网络建立一条安全链接的。

所以,VPC和VPN不是一个东西,而是需要结合使用,比如公司使用阿里云搭建一个VPC私有云,然后用户在外地办公需要使用VPN连接到VPC私有云。

VPC与VPN有什么关系

六、经典网络与VPC网络

1、介绍

经典网络:IP地址由云厂商统一分配,配置简便,使用方便,适合对操作易用性要求比较高、需要快速使用 ECS 的用户。

专有网络:是指逻辑隔离私有网络,您可以自定义网络拓扑和 IP 地址,支持通过专线连接。适合于熟悉网络管理的用户。

2、适用对象

经典网络:适合测试使用,如在校大学生搭建服务时临时使用,他们不关心数据的安全性,只要能部署服务即可。

专有网络:适合公司使用,他们对安全要求较高,并且有自己专业的网络团队。

七、裸金属服务器

华为云:什么是裸金属服务器_裸金属服务器 BMS_产品介绍_华为云

阿里云:弹性裸金属服务器概述 - 云服务器 ECS - 阿里云

裸金属服务器(Bare Metal Server)是一款兼具 云服务器的弹性 和 物理机性能 的计算类服务。

  • 基于单台物理机搭建
  • 资源独占,单租户(传统的虚拟机是和其它租户共用一台物理机)
  • 无任何虚拟化开销。直接访问弹性裸金属服务器的处理器和内存。

对比物理机:不需要采购,不需要指定机房,不需要配置网络,不需要专门的运维人员

对比虚拟机:性能更高,稳定性更好,安全性更好,特性完整。

裸金属服务器优缺点

优点:

  • 性能高。独占物理机资源,高CPU,高内存。另外没有使用虚拟化技术,规避了虚拟化带来的性能消耗
  • 稳定性好。避免了普通虚拟机之前资源争抢导致的稳定性问题。虚拟化虽然承诺了资源配额,但其他租户突发高负荷的时候,多多少少也会影响到自己
  • 交付快。接近虚拟机的分钟级交互时间
  • 相较于普通物理机,免去了采购,IDC,网络等繁杂的流程
  • 安全?:相较于普通虚拟机多租户特性而言,多租户未必能严格的隔离数据,资源共享情况下是否有数据泄露或攻击风险;特权用户问题;

缺点:

八、带外网络

1、区别

传送的物理通道不同。

  • 带内管理:是管理控制信息与数据信息使用统一物理通道进行传送。当网络出现故障中断时数据传输和管理都无法正常进行。
  • 带外管理:在于通过不同的物理通道传送管理控制信息和数据信息,两者完全独立,互不影响。

2、带外管理的意义

故障处理能力

带外网管系统是基于国际先进的带外管理结构研发的新一代网络集中运维管理系统,通过专用对IT设备的专用管理端口集中联网形成一个独立于数据网络之外的专用管理网络。运维管理人员通过专用管理网络对机房网络设备、服务器设备、电源系统进行集中管理和远程维护 。

运维审计功能

运维管理人员登录ITM集中运维管理平台,通过统一的管理界面对分布式网络系统IT设备进行集中管理和维护,ITM集中运维管理平台对所有运维管理人员的管理维护数据进行集中记录。

精细化运维管理

ITM集中运维管理系统具有权限分级管理,端口分组管理,设备分组管理功能,通过上述功能对运维管理人员身份、管理权限、管理范围进行严格界定,不同级别管理员登陆系统后只能看到有管理权限和监控权限的设备列表。分工精细责任明确。

运维责任

ITM运维管理支持多进程访问功能,各级别运维管理人员通过多进程访问功能实现互助式协作运维。高级别运维管理人员可以对低级别运维管理人员管理过程进行全程监控,必要时可以强制接管运维管理进程。

九、CPU超分

超分:即所有虚拟化资源总数超过所在物理机的真实资源量。

比如物理机的CPU是100核,内存500GB,如果CPU超分比为2的话,那么分配给所有虚机的CPU核总数是200。

“超分”是虚拟化平台的优势,能够将可分配给客户机器的内存总合大于实际可用的物理内存总数。因为物理机中的客户机不可能都处于高负荷的状态,所以适当的超分有助于资源的充分利用。

比如VPS系统中,每个OpenStack集群都有指定超分比。

十、cloud-init

cloud-init是云平台为Linux操作系统的虚拟机做系统初始化配置的开源服务软件

阿里云、AWS、Azure和OpenStack等主流云平台均支持cloud-init。

阿里云版cloud-init能在ECS实例启动阶段完成系统初始化配置,包括NTP、软件源、主机名和SSH密钥对等,同时执行实例自定义数据(User data)脚本。

cloud-init 是 linux 的一个工具,当系统启动时,cloud-init 可从 nova metadata 服务或者 config drive 中获取 metadata,完成包括但不限于下面的定制化工作:

  1. 设置 default locale

  2. 设置 hostname

  3. 添加 ssh keys到 .ssh/authorized_keys

  4. 设置用户密码

  5. 配置网络

  6. 安装软件包

十一、AK / SK

参考:AK/SK 简介

1、 简介
AK:Access Key Id,作用是标识用户,类似于用户名;
SK:Secret Access Key,即密钥,是用于加密认证字符串,假设最终的加密字符串为A,服务端会在数据库找到AK对应的SK,并用相同方式加密的到字符串B,最终判断A和B是否相同,如果相同则认证通过。其中SK必须保密.

2、流程
1、判断用户请求中是否包含Authorization认证字符串。如果包含认证字符串,则从字符串中获取AK(AK是明文传输的,可以参照百度云的方式,Authorization = bce-auth-v{version}/{accessKeyId}/{timestamp}/{expirationPeriodInSeconds}/{signedHeaders}/{signature},可见AK是明文的)。

2、根据发送的access key 查找数据库得到对应的secret-key;

3、用客户端计算签名相同的规则也计算出一个签名(signature);

4、对比用户发送的签名和服务端计算的签名,两者相同则认证通过,否则失败。
 

十二、NAT、SNAT、DNAT

NAT

NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

在实际应用中,NAT用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。

例如下面为配置的DMZ: 

DNAT

DNAT(Destination Network Address Translation): 目的网络地址转换

主要针对的是从外部访问内网的场景。

当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。

SNAT

SNAT(Source Network Address Translation):源网络地址转换

其作用是将ip数据包的源地址转换成另外一个地址。主要用于内部IP访问外部网络。

内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。

NAT功能如何去使用?

一般来说,企业网络都要连接ISP(网络营运商,例如电信),然后ISP连接internet的。

如何实现呢?

其实前面提过POP点,POP点一般是基于交换机实现,我们可以在交换机上安装NAT软件即可。

另外,路由器上一般也支持安装NAT软件。

十五、OpenStack

OpenStack 是当今最具影响力的云计算管理工具,OpenStack 系统或其演变版本目前被广泛应用在各行各业,包括自建私有云、公共云、租赁私有云及公私混合云。

OpenStack 支持 KVM、Xen、Lvc、Docker 等虚拟机软件或容器,默认为 KVM。通过安装驱动,也支持 Hyper-V 和 VMware ESXi,不过有些功能暂时不支持,具体的虚拟机管理器支持矩阵参见网站 http://docs.openstack.org/developer/nova/support-matrix.html

OpenStack 采用 Python 语言开发,遵循 Apache 开源协议,因此相比 CloudStack 来说,更轻量化,效率更高。

Nova 是 OpenStack 最核心的服务,负责维护和管理云环境的计算资源。OpenStack 作为 IaaS 的云操作系统,虚拟机生命周期管理也就是通过 Nova 来实现的。

十六、安全组与ACL的区别

ACL:访问控制列表(Access Control List)作为应用在子网上的防火墙组件帮助用户实现子网级别的安全访问控制

主要是范围上的区别:ACL针对子网(范围比安全组大),安全组针对的是服务器级别

 

十七、子网的作用

子网是 VPC 内的用户可定义的IP地址范围,根据业务需求,用户可以指定不同的地址空间和IP段。

未来用户可以将子网作为一个单位,用来定义Internet访问权限路由规则安全策略

十八、公有云其它服务怎么申请?

直接创建集群即可,比如ElasticSearch。集群节点的性能配置可选。

十九、公有云上负载均衡服务是干啥的?

以下是百度云的介绍:

百度负载均衡BLB(Baidu Load Balance)通过将同一区域的多台百度智能云服务器虚拟成一个组,设置一个内网或外网的服务地址将前端并发访问转发给后台多台云服务器实现应用程序的流量均衡,性能上实现业务水平扩展。负载均衡还通过故障自动切换及时地消除服务的单点故障,提升服务的可用性

说白了,作用和QLB那边提供的作用一致。

二十、如何实现VPC与公司网络互通?

可以通过专线或VPN 等连接方式,将VPC与公司的私有数据中心构建组成一个混合云,将原有的业务轻松迁移云端。

如下图可知,我们使用的是专线和公司的网络进行互通。

VPC之间(如果有多个VPC就需要创建对等连接了)是通过对等连接进行互通。

 专线网关配置:

专线网关很重要,是真实的和我们公司网络打通的核心,专线会对接公司的POP点,然后专线的另一端会对接云厂商的VPC。

目前了解到,不管是百度云还是阿里云,专线的铺设与流量费用都是免费的,估计费用均摊到了虚机上,羊毛出在羊身上。

 看第一个:

我们可以直接为我们的VPC创建专线网关:

二十一、关于公有云的安全性

公有云是否安全,这还是现在很多客户顾虑的事情,尤其是大型企业。

安全问题比如:

  • web应用是否会被外部网络访问或攻击?
    • 一般,如果没有给VPC开DNAT,外部是无法访问内网地址的,这是安全保障之一
    • 业务一般都会配置ACL和安全组,所以即使开了DNAT,只要ACL和安全组配置好,一般也不会有问题,这需要业务自身要维护好
  • 服务器是否会被不相干人登陆?
    • 云厂商运维人员一般通过授权是能登陆的

公有云天生就是要在多租户的环境中保证其安全。

公有云厂商有各种方式去保障数据的租户的安全性,从技术角度来说,可能比我们自己搭建的数据中心可能会更安全。

其实,这就好比钱放在自己手里安全还是放在银行安全类似,一般我们认为放到银行是更安全的,但是确实也存在银行出问题的情况,比如银行职员的一些违法行为,甚至银行倒闭。

所以,到底是自己的数据中心安全还是公有云安全,这也是需要去评估的,但是从长远看,我觉得随着公有云环境的不短完善,公有云会更安全。

从公有云的第一朵「云」产品上线到现在已经十数年了,目前没有看到因为公有云自身的安全问题导致的用户数据泄漏。

二十二、VPC只能一个区域一个VPC吗?

目前各个云厂商是这样的,都是以区域为打框架进行环境搭建的。

所以,我们的数据模型也是VPC属于某个区域。

二十三、混合云如何搭建?

首先应该对数据进行分类,如:

  • 公共数据,比如公司网站上的数据,是可以在公共平台上发布的;
  • 内部数据,就是内部使用的数据,如电话号码簿;
  • 机密数据,比如未发布的财务报表、未来合并或并购的数据等;

对于一些公共数据服务,直接使用公有云。

对于内部数据和机密数据,使用本地数据中心。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐