云架构师学习------腾讯云通识-网络与安全
私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,您可以为 云服务器、云数据库等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。弹性网卡(Elastic Network Interface,ENI)是绑定私有网络(Virtual PrivateCloud,VPC)内云服务器的一种弹性网络接口
云架构师学习------腾讯云通识-存储与数据库
- 云架构师学习------腾讯云通识-网络与安全
-
* 云上网络
-
* 负载均衡
-
* * 工作原理
- 产品优势
- 使用场景
- 技术原理
-
* 基础架构
- 转发路径
- 私有网络
-
* 产品概述
-
* VIP核心组成部分
- 私有网络连接
- 私有网络安全
- 产品优势
- 应用场景
-
* 访问公网
- 对公网提供服务
- 应用容灾
- 部署混合云
-
- 弹性网卡
-
* 产品概述
- 产品功能
- 相关概念
- NAT网关
-
* 产品概述
-
* 简介
- 与公网网关的区别
- 产品功能
- 应用场景
-
* 公网 NAT 网关
- 私网 NAT 网关
-
- 网络流日志
- Anycast 公网加速
-
* 什么是腾讯云 Anycast 公网加速?
- 为什么选择腾讯云 Anycast 公网加速?
- 共享带宽包
- 共享流量包
- 弹性公网 IPv6
- 弹性公网 IP
-
* 产品概述
-
* EIP 的 IP 地址类型
- EIP 和普通公网 IP 的区别
-
- 私有连接
-
* 产品概述
-
- 混合云网络
-
* 专线接入
-
* 产品概述
-
* 专线部署混合云(一)
- 专线部署混合云(二)
- 组成部分
- 较 IPsec VPN 的优势与区别
-
- 云联网
-
* 产品概述
-
* 什么是云联网
- 产品组成
- 功能介绍
- 功能对比
-
- 对等连接
-
* 产品概述
-
* 产品优势
-
- VPN连接
-
* 产品概述
-
* IPSec VPN
- SSL VPN
-
- SD-WAN 接入服务
-
* 产品概述
- 产品组成
- 产品架构
- 5G入云服务
-
* 产品组成
- 产品功能
-
- CDN 与边缘平台
-
云架构师学习------腾讯云通识-网络与安全
腾讯云通识-网络与安全
云上网络
负载均衡
负载均衡(Cloud Load Balancer,CLB)提供安全快捷的流量分发服务,访问流量经由 CLB
可以自动分配到云中的多台后端服务器上,扩展系统的服务能力并消除单点故障。负载均衡支持亿级连接和千万级并发,可轻松应对大流量访问,满足业务需求。
什么是负载均衡
负载均衡(Cloud Load
Balancer,CLB)是对多台后端服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
负载均衡服务通过设置虚拟服务地址(VIP),将位于同一地域的多台后端服务器资源虚拟成一个高性能、高可用的应用服务池。根据应用指定的方式,将来自客户端的网络请求分发到服务器池中。
负载均衡服务会检查服务器池中后端服务器实例的健康状态,自动隔离异常状态的实例,从而解决了后端服务器的单点问题,同时提高了应用的整体服务能力。
腾讯云提供的负载均衡服务具备自助管理、自助故障修复,防网络攻击等高级功能,适用于企业、社区、电子商务、游戏等多种用户场景。
组成部分
一个提供服务的负载均衡组通常由以下部分组成:
- 负载均衡实例 :一个 CLB 实例是一个运行的负载均衡服务,用于流量分发。
- 监听器 :用来检查客户端请求并将请求转发给后端服务器。
- 后端服务器 :后端的一组服务器实例,用于接收前端的请求。
来自负载均衡外的访问请求,通过负载均衡实例并根据相关的策略和转发规则分发到后端服务器进行处理。
工作原理
基本工作原理
负载均衡器接受来自客户端的传入流量,并将请求路由到一个或多个可用区的后端服务器实例上进行处理。
负载均衡服务主要由负载均衡监听器提供。监听器负责监听负载均衡实例上的请求、执行策略分发至后端服务器等服务,通过配置客户端 - 负载均衡和负载均衡 -
后端服务器两个维度的转发协议及协议端口,负载均衡可以将请求直接转发到后端服务器上。
建议您跨多个可用区配置负载均衡器的后端服务器实例。如果一个可用区变得不可用,负载均衡器会将流量路由到其他可用区正常运行的实例上去,从而避免可用区故障引起的服务中断问题。
请求路由选择
客户端请求通过域名访问服务,在请求发送到负载均衡器之前,DNS 服务器将会解析负载均衡域名,并将收到请求的负载均衡 IP
地址返回到客户端。当负载均衡监听器收到请求时,将会使用不同的负载均衡算法将请求分发到后端服务器中。目前腾讯云支持加权轮询和 ip_hash
加权最小连接数等多种均衡算法。
监控后端服务状态
负载均衡器还可以监控后端实例的运行状况,从而确保只将流量路由到正常运行的实例上去。当负载均衡器检测到运行不正常的实例时,它会停止向该实例路由流量,然后会在它再次检测到实例正常运行之后重新向其路由流量。
产品优势
高性能
CLB 单集群(非单个 CLB 实例)支持亿级并发连接数,每秒处理百万级的包数据量,轻松应对日访问量超过千万的电商网站、社交平台和游戏业务等。
高可用
CLB 采用集群化部署,可用性高达99.95%。在单台 CLB
物理服务器可用的极端情况下,仍可支撑千万级的并发连接数。同时,集群系统会及时剔除故障实例,筛选出健康实例,确保后端服务器业务正常运行。
高弹性
CLB 集群根据业务负载横向伸缩,弹性扩展应用系统对外的服务能力,同时借助弹性伸缩(Auto Scaling)的动态伸缩组自动创建和释放 CVM
实例,结合动态监控情况和秒级计费系统,您无需手工干预和预估资源,即可实现您的计算资源合理分配,防止资源浪费。
安全稳定
CLB 依靠大禹分布式防御系统能够防御绝大多数网络攻击(例如 DDoS、Web 入侵),针对流量攻击实现秒级清洗,极大避免 IP
被封、带宽被占满等情况发生。CLB 自带的 synproxy 防攻击机制,避免了大禹系统生效之前后端 CVM 被攻击压垮,保护数据更安全稳定。
CLB 对每个租户的流量进行严格隔离,提供主动 DDoS 防护能力,公网 CLB 默认支持 DDoS 基础防护。CLB 还支持 DDoS 高防包、DDoS
高防 IP、Web 应用防火墙 等多种安全产品,保障业务安全性。
使用场景
负载均衡主要适用于如下场景:
- 流量分发 ,将高访问量的业务通过负载均衡分发到多台后端服务器上。
- 消除单点故障 ,当其中一部分后端服务器不可用时,负载均衡可自动屏蔽故障的 CVM 实例,保障应用系统正常工作。
- 横向扩展 ,根据业务发展的需要,按需扩展应用系统的服务能力,适用于各种 Web Server和 App Server。
- 全局负载均衡,结合 DNS 解析 DNSPod,可支持全局多地域负载均衡,保障异地容灾。
流量分发和消除单点故障
您可以通过负载均衡,将业务流量分发到多台后端服务器上:
- 业务的客户端访问负载均衡。
- 多台后端服务器构成一个高性能、高可用的服务池,负载均衡将业务流量转发到这批后端服务器上。
- 当某台或某几台后端服务器不可用时,负载均衡可自动屏蔽故障的 CVM 实例,将请求分发给正常运行的 CVM 实例,保障应用系统正常工作。
- 若您的业务部署在多个可用区,建议您将一个负载均衡实例同时与多个可用区的 CVM 实例进行绑定,以便在后端服务器层保障多可用区容灾。
会话保持功能可将同一客户端的请求转发到同一台后端服务器,提高访问效率。
横向扩展
负载均衡结合 弹性伸缩,可为您按需创建和释放 CVM 实例。
- 您可以设定弹性伸缩策略来管理 CVM 实例数量,完成对实例的环境部署,并保证业务平稳顺利运行。在需求高峰时,自动增加 CVM 实例数量,以保证性能不受影响。当需求较少时,则会减少 CVM 实例数量以降低成本。
- 电商行业的“双11”、“6.18”等大促活动,Web 访问量可能瞬间陡增10倍,且只持续短暂的数小时。使用负载均衡及弹性伸缩能最大限度的节省 IT 成本。
全局负载均衡
结合云解析 DNS,您可以将业务流量解析到全局各个地域的负载均衡,保障异地多活和容灾。
- 您可以在不同地域部署负载均衡实例,并分别绑定对应地域的后端服务器。
- 使用云解析 DNS 将域名解析到各个地域的负载均衡 VIP 下。
- 业务流量会通过域名解析和负载均衡转发到多个地域的多个后端服务器上,以此实现全局负载均衡。
- 当某个地域不可用时,暂停对应地域负载均衡 VIP 的解析即可保障业务不受影响。
技术原理
负载均衡 CLB 提供四层(TCP 协议/UDP 协议/TCP SSL 协议)和七层(HTTP 协议/HTTPS 协议)负载均衡。您可以通过 CLB
将业务流量分发到多个后端服务器上,消除单点故障并保障业务可用性。CLB
自身采用集群部署,可实现会话同步,消除服务器单点,提升系统冗余,保证服务稳定,可在同一个地域部署多个机房,实现同城容灾。
基础架构
腾讯云负载均衡当前提供四层和七层的负载均衡服务:
- 四层主要基于腾讯自研的统一接入网关(Tencent Gateway,TGW)来实现负载均衡,TGW 具有可靠性高、扩展性强、性能高、抗攻击能力强等特点,支持 Data Plane Development Kit(DPDK)高性能转发,单集群可支持亿级并发、千万级 PPS。腾讯内部诸多业务均通过 TGW 接入服务,包括腾讯游戏、腾讯视频、微信、QQ 等。
- 七层主要基于 Secure Tencent Gateway(STGW)实现负载均衡,STGW 是腾讯基于 Nginx 自研的支持大规模并发的七层负载均衡服务,承载了腾讯内大量的七层业务流量,包括腾讯新闻、理财通、腾讯游戏、微信等。
转发路径
负载均衡负责转发业务流量,由后端服务实际处理业务请求。CLB 与后端 CVM 之间是通过腾讯云内网进行通信的。TGW 和 STGW
均由多台服务器部署,通过集群来提供负载均衡服务。CLB 的转发路径如下图所示:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/54376a570fbd448b9bdcfcd535da793f.png)
1、TCP/UDP协议:
TCP/UDP 协议由 TGW 集群处理转发逻辑。
业务流量到达后,由 TGW 通过腾讯云内网转发给后端 CVM,后端 CVM 的回包也是通过 TGW 返回给客户端。
2. 、TCP SSL 协议
处理 TCP SSL 协议时,业务流量会先经过 TGW 集群,而后由 STGW 集群来转发给后端 CVM。
新建会话时需经过加速卡集群来进行证书的验证和加解密等前置操作。
业务流量到达后,在腾讯云内网中依次通过 TGW、STGW、后端 CVM,回包也依次逆向返回给客户端。
3.、HTTP/HTTPS 协议
处理 HTTP/HTTPS 协议时,业务流量会先经过 TGW 集群,而后由 STGW 识别 HTTP 协议并转发给后端 CVM。
新建 HTTPS 会话时需经过加速卡集群来进行证书验证和加解密等前置操作,将 HTTPS 转换成 HTTP 协议,再转发给后端 CVM。
业务流量到达后,在腾讯云内网中依次通过 TGW、STGW、后端 CVM,回包也依次逆向返回给客户端。
私有网络
产品概述
私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,您可以为 云服务器、云数据库
等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。
VIP核心组成部分
私有网络有三个核心组成部分:私有网络网段 、子网 、路由表 。
私有网络网段
用户在创建私有网络时,需要用 CIDR(无类别域间路由) 作为私有网络指定 IP 地址组。
腾讯云私有网络 CIDR 支持使用如下私有网段中的任意一个:
- 10.0.0.0 - 10.255.255.255(掩码范围需在12 - 28之间)
- 172.16.0.0 - 172.31.255.255(掩码范围需在12 - 28之间)
- 192.168.0.0 - 192.168.255.255 (掩码范围需在16 - 28之间)
子网
一个私有网络由至少一个子网组成,私有网络中的所有云资源(如云服务器、云数据库等)都必须部署在子网内,子网的 CIDR 必须在私有网络的 CIDR 内。
私有网络具有 地域(Region) 属性(如广州),而子网具有 可用区(Zone)
属性(如广州一区),您可以为私有网络划分一个或多个子网,同一私有网络下不同子网默认内网互通,不同私有网络间(无论是否在同一地域)默认内网隔离。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/2b0890dd0af848b188cc1420e8ac860c.png)
路由表
用户创建私有网络时,系统会自动为其生成一个默认路由表,以保证同一个私有网络下的所有子网互通,当默认路由表中的路由策略无法满足应用时,您可以创建自定义路由表。
私有网络连接
腾讯云为您提供丰富的 VPC 连接方案,以满足不同用户的场景需求:
- 通过弹性公网 IP 和 NAT 网关等,实现 VPC 内的云服务器连接公网。
- 通过对等连接和云联网,实现不同 VPC 间的通信。
- 通过 VPN 连接、专线接入和云联网,实现 VPC 与本地数据中心的互联。
私有网络安全
私有网络为云上逻辑隔离的网络空间,不同私有网络间相互隔离,保障您的业务安全:
- 安全组 :安全组是一种有状态的包过滤虚拟防火墙,用于控制实例级别的出入流量,是重要的网络安全隔离手段。
- 网络 ACL :网络 ACL 是一个子网级别的、无状态的包过滤虚拟防火墙,用于控制进出子网的数据流,可以精确到协议和端口粒度。
- 访问管理(CAM) :访问管理提供用户安全管理腾讯云账户下所有资源的访问权限。通过访问管理,您可以对私有网络的访问进行权限管理,例如,通过身份管理和策略管理控制用户访问私有网络的权限。
产品优势
自定义网络
私有网络为您提供了强大的网络管理能力,您可以自定义网段,可以像传统网络一样按需划分子网,并通过灵活配置路由表和路由规则,定制化地部署您的云上业务。
腾讯云私有网络还提供可视化的网络拓扑,帮助您更好地规划网络。
弹性可扩展
使用私有网络,您可以根据业务需要进行弹性部署,通过在一个或多个私有网络内创建不同的子网来部署不同的业务部分。还可以通过将私有网络与您的本地数据中心、与其它
VPC、基础网络相连,按需扩展网络架构。
丰富接入
私有网络提供丰富的接入方式,可以满足您在云上的通信需求:
- 访问 Internet:您可以使用普通公网 IP、弹性公网 IP、NAT 网关、负载均衡等访问 Internet。
- 访问其它私有网络:您可以使用云联网、对等连接来访问其它私有网络。
- 访问本地数据中心:您可以使用 VPN 连接、专线接入、云联网来访问您的本地数据中心。
- 访问基础网络:您可以使用基础网络互通来访问您部署在基础网络中的业务。
安全可靠
私有网络基于隧道技术,在物理网络上构造虚拟网络,使用虚拟化技术,实现不同私有网络之间内网完全隔离,为用户提供独立、隔离的安全云网络。
对于私有网络内云服务器,我们还为您提供安全组、网络 ACL 等不同层面的网络访问控制方式。
简单易用
您可以通过控制台、API 等方式,快速创建、管理私有网络,产品化的网络功能、丰富的排障功能,可以大幅降低您的运维成本。
应用场景
访问公网
单个云服务器访问公网
当您的业务量较小,仅有单个云服务器时,可以通过申请一个公网 IP 绑定在云服务器上,实现访问公网的功能。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/55d5bcdf5d11449997b382484bc8fb90.png)
多云服务器安全访问公网
当您有多个云服务器需要同时访问公网,且不希望暴露云服务器的内网地址时,可以使用 NAT 网关。NAT 网关具有 SNAT 功能,可以使多个云服务器都通过
NAT 网关上的公网 IP 实现访问公网,且在未配置 DNAT 功能时,外部用户无法直接访问 NAT 网关,保证了安全性。当 NAT 网关上有多个公网 IP
时,NAT 网关会自动做负载均衡。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/9dd9937cb59a4e3bbefea8e9b16a6515.png)
对公网提供服务
单个云服务器提供服务
您可以将网站等服务托管在 VPC 中的云服务器上,并通过一个公网 IP 实现对外提供服务的功能。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6db32536bf244a3aa19f1abf4eb06b3d.png)
多个云服务器负载均衡
当您有较多服务器来部署复杂业务、且公网流量较大时,可以使用 负载均衡 CLB。负载均衡 CLB 可以实现自动分配云中多个 CVM
实例间应用程序的访问流量,让您实现更高水平的应用程序容错能力。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/8dee0196fab24525b7cb19f94accca0a.png)
应用容灾
跨可用区容灾
子网具有可用区属性,您可以在一个地域的私有网络下创建属于不同可用区的子网,同一个私有网络下不同子网默认内网互通,您可以在不同可用区的子网中部署资源,实现跨可用区容灾。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/729e8438af7e49eb8824e540e7aef5a3.png)
跨地域容灾
您可以跨地域部署业务,两个私有网络通过云联网打通。例如两地三中心方案,以实现跨地域的容灾。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/924fa599e0cc4c7cbb83a3e6699a8ee6.png)
部署混合云
连接本地数据中心
私有网络提供专线接入、VPN
连接等多种方式,可以将您的本地数据中心和云上私有网络连接,轻松构建混合云架构。使用本地数据中心,可以保证您核心数据的安全性。您还可以根据业务量扩展云上的资源数量(如云服务器、云数据库等),降低
IT 运维成本。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/0298334008bd415298139231e1a3491f.png)
全国多点互联
当您在全国多地域都部署有业务,且各个地域需要进行互联时,可以使用 云联网 、专线接入 等产品,通过单点接入,轻松实现全国多点互联。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/b55b69d64393415eb13fd71ba4ed19ae.png)
弹性网卡
产品概述
弹性网卡(Elastic Network Interface,ENI)是绑定私有网络(Virtual Private
Cloud,VPC)内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。弹性网卡对配置管理网络与搭建高可靠网络方案有较大帮助。您可以在云服务器上绑定同一可用区下的多个弹性网卡,实现高可用网络方案;也可以在弹性网卡上绑定多个内网
IP,实现单主机多 IP 部署。
产品功能
多网卡
云服务器除创建时自动产生的主网卡外,支持绑定多个辅助弹性网卡。弹性网卡可以属于相同私有网络和可用区下的不同子网,每个网卡支持配置独立的安全组,网卡所在子网可以配置独立的路由转发策略。
灵活迁移
弹性网卡可以自由地在相同私有网络、可用区下的云服务器间自由迁移,弹性网卡与云服务器解绑时,保留已绑定内网 IP、弹性公网 IP
和安全组策略,迁移后无需重新配置关联关系。
多 IP
根据云服务器配置不同,弹性网卡最多可支持绑定30个内网 IP,每个内网 IP 可以绑定独立的弹性公网 IP。单台云服务器可以通过多个弹性公网 IP
开放多个相同端口。弹性网卡和内、外网 IP 的绑定关系不随弹性网卡解绑云服务器而变化。
独立路由转发
云服务器可以绑定位于相同私有网络、可用区下位于不同子网的弹性网卡,每个子网可以独立设定路由转发策略,从而实现网络隔离。您也可以在云服务器内设定路由策略,实现将特定目的端的网络流量指向不同网卡。
流日志
为弹性网卡创建流日志后,系统将自动采集弹性网卡的日志流,并将日志数据同步至日志服务 CLS。在 CLS
的主题中,每个弹性网卡有唯一的日志流,其中包含流日志记录。一个弹性网卡仅能创建一个流日志,具体使用请参见 创建弹性网卡的网络流日志。
相关概念
主网卡或辅助网卡
- 私有网络的云服务器创建时联动创建的弹性网卡,其网卡属性为主网卡。
- 用户自行创建的弹性网卡,其网卡属性为辅助网卡。
- 主网卡不支持绑定和解绑,辅助网卡支持绑定和解绑。
主内网 IP
弹性网卡的主内网 IP,在弹性网卡创建时:
- 主网卡的主内网 IP 由系统随机分配,且支持在创建后修改。
- 辅助网卡的主内网 IP 可由系统随机分配,也可由用户自行指定,但创建后不支持修改。
辅助内网 IP
弹性网卡主 IP 以外绑定的辅助内网 IP,由用户在创建或编辑弹性网卡时自行配置。
辅助内网 IP 支持绑定和解绑。
弹性公网 IP
与弹性网卡上的内网 IP 一一绑定。
安全组
弹性网卡支持绑定一个或多个安全组,可根据业务实际情况,为其配置合适的安全组。
MAC 地址
弹性网卡有全局唯一的 MAC 地址。
NAT网关
NAT 网关(NAT Gateway)是一种支持 IP 地址转换服务,提供 SNAT 和 DNAT 能力,可为私有网络(VPC)内的资源提供安全、高性能的
Internet 访问服务。NAT 网关支持高达99.99%的高可用性、5Gbps的带宽以及1000 万以上的并发连接数。
产品概述
简介
NAT 网关(NAT Gateway)是一种支持 IP 地址转换服务,提供网络地址转换能力,主要包括 SNAT(Source Network Address
Translation,源网络地址转换) 和 DNAT (Destination Network Address
Translation,目的网络地址转换)能力,可为 私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。
NAT 网关分为公网 NAT 网关和私网 NAT 网关。公网 NAT 网关提供公网地址转换服务,而私网 NAT 网关提供私网地址转换服务。
NAT 网关支持高达99.99%的高可用性、5Gbps的带宽以及1000 万以上的并发连接数,其典型应用场景如下:
-
1. 大带宽、高可用的公网出口服务,例如:网络爬虫,访问 Internet 公共服务等。
-
2. 安全的公网出口服务,例如:云服务器需要与公网通信,但出于安全性考虑,不希望云服务器绑定公网 IP。
与公网网关的区别
VPC 内的云服务器可以通过 NAT 网关或者公网网关访问 Internet。两种网关之间的差异如下表所示。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f8b9d45ea48547699ab90629c3414f02.png)
由上表可知,NAT 网关具有如下优势:
-
大容量
最大支持1000万并发连接、5Gbps带宽和10个 EIP,满足大规模用户诉求。 -
双机热备高可用
单机故障自动切换,相对于公网网关的手动切换,实现了自动容灾,保障99.99%的服务可用性。 -
省成本
提供高、中、低三种配置,用户可按需购买,弹性计
产品功能
腾讯云 NAT 网关可以分为公网 NAT 网关和私网 NAT 网关,介绍如下:
公网 NAT 网关:为 VPC 内多个无公网 IP 的云服务器 CVM 提供主动访问公网的能力,同时也支持将弹性公网 IP 和端口映射到云服务器内网 IP
和端口,使得 VPC 内的云服务器可被公网访问。
私网 NAT 网关:为 VPC 内的云服务器 CVM 提供访问外部私有网络的能力,也支持云服务器 CVM 实例对外提供私网访问服务。
腾讯云 NAT 网关具备 SNAT(Source Network Address Translation,源网络地址转换)、DNAT(Destination
Network Address
Translation,目的网络地址转换)、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能。具有高性能、大容量、跨可用区的容灾能力。
SNAT
SNAT 支持 VPC 内多个云服务器通过同一公网 IP 主动访问互联网。NAT 网关可支撑单实例5Gbps级别的转发能力。
您可以为 NAT 网关绑定多个 EIP,绑定成功后,云服务器实例会随机通过 NAT 网关绑定的 EIP 访问公网。如您希望云服务器仅通过特定 EIP
访问公网时,您可以将特定 EIP 加入 SNAT 地址池,这时云服务器仅会通过 SNAT 地址池中的 EIP 访问公网。
DNAT
DNAT 将外网 IP、协议、端口映射到 VPC 内的云服务器内网 IP、协议、端口,使得云服务器上的服务可被外网访问。
共享带宽包
NAT 网关可以配合共享带宽包中的 IP 带宽包 使用,当您为 NAT 网关绑定了多个 EIP 时,可将 EIP 加入共享带宽包,实现多个 IP
共享公网带宽,可用于不同应用间流量错峰场景,有效降低带宽成本。
网关流控
您可以为 NAT 网关开启网关流控,网关流控可对某内网 IP 与 NAT 网关之间的带宽进行限制,提供 IP 网关粒度的 “监” 与 “控”
能力。精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP 粒度的限速能力帮助您快速排查故障,屏蔽异常流量,保障关键业务。
流量告警
您可以设置自定义流量告警,当指标超过一定阈值时自动告警,告警消息会通过电子邮件和短信发出,帮助您提前预警风险。监控和告警服务无需额外收费,同时当故障发生时,能帮助您快速定位问题。
安全高防
DDoS 高防包可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持310Gbps防护。您可以将高防包绑定到需要防护的 NAT
网关上,实现安全防护。
自动容灾
NAT 网关支持双机热备、自动容灾,单机出故障自动切换,业务无感知,服务可用性高达99.99% ,为您业务稳定运行保驾护航。
应用场景
公网 NAT 网关
VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。最后 NAT 网关把绑定的弹性公网
IP(EIP)地址作为源 IP 地址,将流量发送到 Internet。公网NAT网关提供 IP 的安全转换,可用于下述场景:
隐藏 IP 的同时,能与公网通信。
隐藏 VPC 内主机的公网 IP ,防止暴露其网络部署。
此外,公网NAT网关可满足用户以下需求:
需要超大带宽。
公网 IP 使用量大。
部署服务较多的公网访问。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c8ce83588947490da082c551adf587ed.png)
私网 NAT 网关
私网 NAT 网关的不同类型针对性支持以下场景:
专线网关:主要用于解决同地域内 VPC 与专线 IDC 的地址转换(例如北京地域内)。
云联网:主要用于解决跨地域 VPC 与 VPC 间,VPC 与专线 IDC 间的地址转换(例如北京到上海)。
私有网络:主要用于解决 VPC 内的地址转换。
场景举例
**场景一:**用户使用专线打通腾讯云和客户 IDC 实现资源访问,同时期望指定访问 IP 地址并无 IP 冲突,可以通过私网 NAT(专线网关) +
专线方案来实现。
详情可参考文档 通过专线接入+VPC NAT 网关实现本地 IDC 与云上资源互访。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/dade5219606c41dbbd896f4efe88f12b.png)
场景二 :用户使用专线 + 云联网打通腾讯云和客户远程 IDC 实现资源访问,同时期望指定访问 IP 地址并无 IP 冲突,可以通过私网
NAT(云联网) + 专线方案来实现。
详情可参考文档 通过专线接入+CCN+VPC NAT 实现远程 IDC 与云上资源互访。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/2e4c1d42d235479ba813864e734fed08.png)
网络流日志
网络流日志(Flow
logs)为您提供全时、全流、非侵入的流量采集服务,可将采集的网络流量进行实时的存储、分析,适用于故障排查、合规审计、架构优化、安全检测等场景,让您的云上网络更加稳定、安全和智能。
您可以创建指定采集范围(例如弹性网卡、NAT 网关、云联网跨地域流量)的网络流日志,来采集该范围内传入/传出的流量。创建流日志后,您可以在
日志服务(CLS) 中查看和检索数据,也可以在高级分析仪表盘中直观查看日志数据。
Anycast 公网加速
什么是腾讯云 Anycast 公网加速?
Anycast 公网加速(Anycast Internet
Acceleration,AIA)是一个覆盖多地的动态加速网络,可以大幅提升您业务的公网访问体验。AIA 不同于其他应用层加速服务,它能实现 IP
传输的质量优化和多入口就近接入,减少网络传输的抖动、丢包,最终提升云上应用的服务质量,扩大服务范围,精简后端部署。
为什么选择腾讯云 Anycast 公网加速?
低时延
AIA 用 Anycast 的方式同时把 IP 发布到多个地域,请求包根据传输协议会到达最优的 IP
发布地域,优先进入腾讯云,然后通过腾讯云内网到达主机,避开公网的拥堵,达到减少时延的效果。
高可靠
公网传输是不可靠的传输,而运营商线路中断导致的不可访问,一般用户只能等待恢复。使用 AIA 后,腾讯云内网、运营商网络、腾讯云 POP
点实现网络多路径和多入口,屏蔽单地域和单线路的故障,提高网络稳定性。
降低抖动
公网链路的性能不稳定,例如南北问题、跨境问题都会导致网络的抖动,从而影响服务体验。而AIA
将请求就近接入腾讯云后,通过腾讯云的内网专线进行跨地域传输,完美解决公网抖动问题,传输性能稳定。
简化部署
客户分散在多地又需要就近接入的服务,需要多地部署机器且配置 DNS 实现负载均衡,且不同地域的 IP 不同,部署繁琐。使用 AIA 后在 IP
层面收敛了地域属性,无需每个地域都配置 IP,且后端维护一套逻辑即可,各地域请求直接用专线加速到后端机器。
全局负载均衡
用 Anycast 的方式同时把 IP 发布到多个地域,请求包根据传输协议会到达最优的 IP
发布地域(通常是最近的地域),实现了全局的负载均衡。当发生流量型攻击时,由于 IP 多地发布,也达到了流量分摊的效果。
易于使用
使用 AIA 时购买一个加速型弹性公网 IP 即可兼容常见的 IP 操作。AIA
使用门槛低,支持自助设置外网带宽限速,方便根据成本或主机处理速度设置合适的带宽上限;支持流量监控,用于回溯和分析;支持绑定和解绑操作,方便后端资源变更。
共享带宽包
共享带宽包(Bandwidth Package,BWP)是一种多 IP
聚合的计费模式,可大幅降低公网费用。当业务中公网流量高峰分布在不同时间段内,可通过共享带宽包实现带宽聚合计费,相比单独为每台设备购买带宽,可帮您节省带宽费用。
共享带宽包提供 预付费,后付费(后付费日结、后付费月结)两类计费模式,满足您不同业务场景。
共享流量包
共享流量包(Traffic
Package,TP)是一款流量套餐产品,节省成本,使用方便。购买共享流量包后立刻生效,并自动抵扣同地域内公网网络计费模式为按流量计费的云服务器、弹性公网
IP、弹性公网 IPv6、负载均衡和 NAT 网关的流量费用,直到共享流量包用完或到期为止。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5e7dfdf517a6462eb2d9af24c8838aae.png)
弹性公网 IPv6
弹性公网 IPv6(Elastic IPv6,EIPv6)是云服务器 IPv6 的公网网关。通过弹性公网 IPv6,您可以为每一个云服务器的 IPv6
地址开通或者关闭公网,并设置公网带宽。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/3ba1b8c8c7f241428a5ee08b8dad478d.png)
弹性公网 IP
产品概述
弹性公网 IP (Elastic IP,简称 EIP),是可以独立购买和持有的、某个地域下固定不变的公网 IP 地址。EIP 可以与 CVM、NAT
网关、弹性网卡和高可用虚拟 IP 绑定,提供访问公网和被公网访问的能力。
EIP 的 IP 地址类型
腾讯云支持常规 BGP IP、精品 BGP IP、加速 IP 和静态单线 IP 等多种类型的弹性公网 IP。
常规 BGP IP:国内多线 BGP 网络覆盖超过二十家网络运营商(三大运营商、教育网、广电等),BGP
公网出口支持秒级跨域切换,保证您的用户无论使用哪种网络,均能享受高速、安全的网络质量。
精品 BGP IP:专属线路,避免绕行国际运营商出口网络;延时更低,可有效提升境外业务对中国大陆用户覆盖质量。
加速 IP:采用 Anycast 加速,使公网访问更稳定、可靠、低延迟。
静态单线 IP:通过单个网络运营商访问公网,成本低且便于自主调度。
高防 EIP:云原生 DDos 防护 BGP IP,需配合企业版高防包使用,提供 Tbps 级别 DDos 全力防护。高防 EIP
分别与业务资源、高防资源绑定后,便可拥有 DDoS 防护能力。
EIP 和普通公网 IP 的区别
公网 IP 地址是 Internet 上的非保留地址,有公网 IP 地址的云服务器可以和 Internet 上的其他计算机互相访问。普通公网 IP 和
EIP 均为公网 IP 地址,二者均可为云资源提供访问公网和被公网访问的能力。
普通公网 IP:仅能在 CVM 购买时分配且无法与 CVM 解绑,如购买时未分配,则无法获得。
EIP:可以独立购买和持有的公网 IP 地址资源,可随时与 CVM、NAT 网关、弹性网卡和高可用虚拟 IP 等云资源绑定或解绑。
私有连接
产品概述
私有连接(Private Link)提供腾讯云 VPC 通过内网访问同地域其他 VPC 的能力, 可以在同账号或者不同账户的跨 VPC
之间快速建立访问连接,相比公网服务,可以节约公网带宽,安全性更高,同时能够大幅简化网络架构。
您可以通过 Private Link,实现 VPC 与云上的服务建立安全稳定的私有连接,简化网络架构,避免通过公网访问服务带来的潜在安全风险。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/06561bfc826f4eacbef898e36e37e842.png)
产品组成
Private Link 涉及两个重要的产品对象:
- 终端节点服务:终端节点服务是可以被其他 VPC 通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。
- 终端节点:终端节点可以与终端节点服务相关联,以建立通过 VPC 访问其他 VPC 网络内服务的网络连接。终端节点由服务使用方创建和管理。
混合云网络
专线接入
产品概述
专线接入(Direct
Connect,DC)为您提供了一种便捷的连接企业数据中心与腾讯云的方法,您可通过专线接入建立与公网完全隔离的私有连接服务,相比公网,专线接入具备更安全、更稳定、更低时延、更大带宽等特性。您只需要一条运营商物理专线一点接入腾讯云,便可快速创建多条专用通道打通部署于腾讯云的计算资源,实现灵活可靠的混合云部署。
专线部署混合云(一)
使用传统的专用通道打通用户 IDC 与云上 VPC。
如果一根物理专线需要打通多个 VPC,您需要通过不同的 VLAN ID 分别创建专用通道来连接多 个VPC。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/fc35a3c18fbe47ecb553472bca325c22.png)
专线部署混合云(二)
使用云联网产品实现互通。
优势:您只需要创建一个通道连接云联网专线网关,然后把专线网关加载到云联网,即可实现云联网内的多个网络实例间全互通,操作简单。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/aaefd2068c3a40969216605ab59f4d63.png)
组成部分
专线接入由物理专线、专用通道和专线网关组成。
-
物理专线
连接腾讯云与本地数据中心的物理线路连接。物理专线支持双线热备接入,双线接入点供电,网络管道完全隔离。 -
专用通道
专用通道是物理专线的网络链路划分。用户可以创建连接至不同专线网关的专用通道,实现本地数据中心与多个私有网络的互联。 -
专线网关
私有网络的专线流量出入口,可以通过接入多个专用通道与多个不同的 IDC 互联。专线网关通过集群方式实现,全路无单点故障风险,满足金融级网络互联要求。
专线网关是连接私有网络与物理专线的桥梁,您可以在物理专线内创建一条关联至某个专线网关的专用通道。
专线网关可以连接来自多个物理专线的专用通道,从而与您的多个本地数据中心互通。
用户可以在专线网关控制台为每个私有网络创建专线网关,每个私有网络最多支持创建2个专线网关(标准型和 NAT
型各1个),该专线网关可以连接来自不同物理专线的专用通道申请需求。
较 IPsec VPN 的优势与区别
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/682d4bdeaac549de9a100fe16af9e852.png)
云联网
产品概述
什么是云联网
云联网(Cloud Connect Network,CCN)为您提供云上 私有网络 间(VPC)、VPC
与本地数据中心间(IDC)内网互联的服务,具备全网多点互联、路由自学习、链路选优及故障快速收敛等能力。云联网覆盖全球20+地域,支持100+Gbps带宽以及最高可达99.99%的可用性,为您轻松构建极速、稳定、安全、灵活的全球互联网络。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ccc5b409c0524eee8ac42d619aed7523.png)
产品组成
云联网有以下组成部分:
- 关联网络实例:加入到同一个云联网内的网络实例即可实现互通,支持类型包含:VPC、VPC(黑石)、专线网关、VPN 网关(详情请参见 )
- 路由表:网络实例加入到云联网后,云联网即可自动学习到相关路由,呈现在该路由表中
功能介绍
云联网具有以下功能:
- 全网互联
通过全网多节点、多级路由的自动转发及学习、路由秒级收敛,可一步到位实现云联网上所有网络实例的互联,轻松管理。
- 智能学习与调度
基于全网多节点、链路 Full Mesh
互联,帮助您告别繁琐的路由维护。智能调度系统基于全网多级网络拓扑、路由、流量的统一检测,支持您本地业务就近接入、最短链路互通。
- 路由自动下发
云联网多级路由可自动学习,当您的网络拓扑发生变化时,路由能够自动学习更新,您无需再进行配置、变更等繁琐的操作,管理简单,可以极大地提升您网络的可扩展性及运维效率。
功能对比
与对等连接/专用通道的区别
使用腾讯云云联网之前,如果您想要实现多个 VPC 以及通过物理专线连接到云上的IDC 网络之间的互通,需要为 VPC
间两两分别建立对等连接,为物理专线与每一个 VPC 之间建立专用通道和专线网关,且各 VPC、IDC
网络的网段均不能重叠,否则无法建立连接。建立连接后,您还需管理各实例的路由表,手动添加路由策略后才能实现互通。
上述场景如果使用腾讯云云联网,您只需创建一个云联网实例,将需要互联的 VPC 和
专线网关(一条物理专线只需创建一个专用通道和一个专线网关)加入到该云联网中,即可实现所有网络之间的互通。云联网的路由自动转发及学习,使您只需一次操作将实例加入到云联网中,无需再手动配置、管理各实例的路由表。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7d09902514984f1380d9adfa09ab3e24.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c8259457308c4792ad406d7c9450e82c.png)
对等连接
产品概述
对等连接(Peering
Connection)是一种大带宽、高质量的云上资源互通服务,可以帮助您打通腾讯云上的资源通信链路。对等连接具有多区域、多账户、多种网络异构互通等特点,轻松实现云上两地三中心、游戏同服等复杂网络场景;支持
VPC 间互通、VPC 和黑石私有网络互通,满足您不同业务的部署需求。
产品优势
对等连接服务与 Internet 传输对比有以下优势。
-
更高质量
与腾讯集团业务共享同一自建内部网络,不受公网质量影响,可用性、时延、丢包率保障大大提高。 -
更强安全性
处于腾讯 DDoS 基础防护 系统的 DDoS 安全防护下,具有高防护性。
不经过广域 Internet 和运营商链路,避免报文在公网传输可能被窃取的风险。 -
更省成本
支持白金、金、银不同服务等级,对应不同业务,差异化服务配置,更省成本。
白金:适用于通信质量最敏感的业务,如支付,游戏加速等。
金:适用于重要数据业务数据传输的业务,如企业商务数据传递、ERP 等。
银:适用于成本敏感,抖动不敏感,安全性高的业务,如异地数据备份。
VPN连接
产品概述
VPN 连接(VPN Connections)是指在 Internet
公共网络上建立的一个安全的网络连接,通过为企业提供基于公网的加密通道,从而实现将企业数据中心(IDC)、内部办公网络与腾讯云的私有网络 VPC
安全的连接起来。
腾讯云 VPN 支持 IPsec 和 SSL 网络安全协议,后文中我们将使用 IPsec 协议的 VPN 连接简称为 IPsec VPN,使用 SSL
协议的 VPN 连接 简称为 SSL VPN 。
IPSec VPN
腾讯云 VPN 连接分为如下组成部分:
-
VPN 网关:创建的 IPsec VPN 网关。
VPC 型 VPN 网关:当您需要与单个 VPC 通信时,可通过 VPC 型 VPN 网关接入 VPC。
CCN 型 VPN 网关:当您需要与多个 VPC 通信时,可通过 CCN 型 VPN 网关接入云联网,实现全流量互通。 -
对端网关:记录 IDC 端 IPsec VPN 网关公网 IP 地址的逻辑对象(IDC 端必须有固定公网 IP)。
-
VPN 通道:加密的 IPsec VPN 通道。
SSL VPN
腾讯云 SSL VPN 连接分为如下组成部分:
- SSL VPN 网关:创建的 SSL 协议类型的 VPN 网关。
- SSL 服务端:提供 SSL 服务的服务模块,实现数据包的封装与解封装,约定通信端口、加密算法、双方联通网段。
- SSL 客户端:用户移动设备上部署的 VPN 客户端在腾讯云的逻辑实例对象。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/a071deac799e449daa9c195ac42b1e2f.png)
SD-WAN 接入服务
产品概述
SD-WAN 接入服务(SD-WAN Access
Service)助力多分支轻松实现与云、数据中心的任意互联,具有即插即用、全球覆盖、智能管控等特性,为企业多分支提供更简单、可靠、智能的一站式的上云体验。
产品组成
SD-WAN 接入服务由 Edge 设备和控制台两个部分组成。
-
Edge 设备:硬件设备形态,在用户 IDC、分支和门店安装 Edge 设备后,可自动与腾讯云网络连接。Edge 设备详情如下:
-
控制台:控制台提供配置网络接口、云联网及防火墙功能,还可以实时查看 Edge 设备的状态、网络链路及流量详情,同时可在线提升 SD-WAN 的接入带宽。
产品架构
不同地域的各分支(如成都和上海分支)、腾讯云 VPC(如北京地域的 VPC)、用户 IDC(如广州的 IDC)可以通过云联网实现 Full Mesh
全互联的企业。
- 各分支:通过 Edge 设备关联至云联网。
- 腾讯云 VPC:直连云联网。
- 用户 IDC:通过 VPN 或专线关联至云联网。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f2870dd5c8a14095883514ef06a68dcf.png)
5G入云服务
产品组成
5G入云服务由 APN/DNN 和控制台两个部分组成。
- APN/DNN:客户向运营商定购的4G/5G专用接入点,由物联网卡和运营商网络构成。插入物联网卡的终端设备可以通过它定向访问腾讯云或客户 IDC 资源。
- 控制台:控制台提供配置5G云网关功能,还可以实时查看运营商侧或云侧流量,配置、接收各种告警信息。
产品功能
客户 APN/DNN 下的物联终端通过5G云网关(5G入云服务的网络实例)与腾讯云 VPC、客户 IDC 互通。
5G云网关由用户通过腾讯云控制台创建,支持弹性带宽和秒级扩容,支持云监控和告警,与运营商核心网通过双路由大带宽专线对接,采用高可用的集群方式部署,无单点故障的风险,可用性高达99.95%。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/006360b68b10425b9181ee2f9faab87d.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/60ca06aa5a584bf29746bbcb998d9cba.png)
CDN 与边缘平台
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
更多推荐
所有评论(0)