1.网络服务概览

1.1. 什么是云上网络

image.png

  • 网络功能和资源托管在公共或私有云平台中,在平台内部管理或由服务提供商管理并按需提供。
  • 时下移动程度较高的用户和应用程序需要云上网络的灵活性和规模提供的性能、安全性和管理方式。
  • 云上网络还可为办公空间、学校、居家办公环境以及医疗和公共场所提供IT效率和成本节约。

1.2. 云上网络与本地网络的对比

image.png

1.3. 华为云网络全景图

image.png

  • 网络服务全景图按照网络互通可作如下分类
  • 云上网络
    • 云上通用网络:2VPC、安全组、网络ACL;
    • 云内同Region互通:VPCEP、VPC-Peering;
    • 云内跨Region互通: 云专线、云连接、VPN。
  • 云上网络接入:EIP、NAT网关、ELB、云解析服务

2.云上网络规划原则

2.1 VPC网络规划

image.png

2.1.1 网络规划设计原则

image.png

2.1.2 VPC网络规划

image.png

  • 地址规划原则:
    • 确保VPC网络地址范围与企业私有网络的地址范围不重合;如果是多Region场景,不同Region之间的网络建议不要有重合。
    • VPC网络地址范围大小需要考虑未来业务增长
    • 子网及IP地址不要一次分配完,确保为未来预留扩容空间
  • 建议选择私有网段:
    • VPC/子网内资源申请IP地址后是用于VPC内部网络通讯的,如果配置公网网段后续访问公网可能会冲突。
    • 10.0.0.0-10.255.255.255 ( 10/8 prefix )
    • 172.16.0.0-172.31.255.255 ( 172.16/12 prefix )
    • 192.168.0.0-192.168.255.255 ( 192.168/16 prefix )

2.1.3 案例

  • 单一VPC

image.png

  • 多个VPC

image.png

2.2 云上网络安全规划

2.2.1 安全组和网络ACL

image.png

  • 和安全组相同,网络ACL规则控制每个子网的入方向和出方向规则,通过这个规则,判断数据包是否可以流入或流出子网

2.2.2 安全组和网络ACL的区别

image.png

2.2.3 安全组和网络ACL设计原则

image.png

2.2.4 案例

  • 配置安全组和网络ACL

image.png

  • 安全组1: 第一条,如果后续扩容,允许web1服务器互通;第二条,允许公网任意地址访问web1网站;第三条,出方向不做限制。
  • 安全组2:第一条,如果后续扩容,允许App服务器互通;第二条,允许Web1服务器访问App服务器,第三条,出方向不做限制。
  • ACL1: 第一条,禁止测试子网访问;第二条,允许除了以上规则以外的访问;第二条,出方向不做约束。
  • ACL2: 第一条,禁止生产子网访问;第二条,允许除了以上规则以外的访问;第三hw3580条,出方向不做约束。

2.3 云上网络连通规划

2.3.1 对等连接VPC Peering

image.png

  • 配置对等连接时,不建议两端VPC的网段(CIDR)存在重叠,可能会造成路由冲突导致配置不生效。
  • 如果两个VPC的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系。如果两个VPC下的子网网段有重叠,那么该对等关系可能不生效。建立对等连接时,请确保对等连接两端不包含重叠的子网
  • VPC A与VPC B、VPCC分别建立对等连接,如果VPG:B和VPC C的网段有重叠,那么VPC A中无法添加具有相同目的网段的路由。
  • 两个VPC之间不能同时建立多个VPC对等连接
  • VPC对等连接不支持传递的对等关系。例如,在VPC A和VPC B之间,VPC A和VPC C之间建立对等连接,那么VPC B和VPC C不能通过VPC A进行通信,用户需要在VPC B和VPC C之间建立对等连接才可以实现通信。
  • 不同区域的VPC不能创建对等连接

2.3.2 同账号创建对等连接

image.png

2.3.3 跨账号创建对等连接

image.png

  • 跨租户申请VPC对等连接,需要对端租户接受后,才能生效。同租户申请对等连接默认已接受

2.3.4 VPC终端节点VPCEP

image.png

  • VPC终端节点提供“终端节点服务”和“终端节点”两种资源:
  • 终端节点服务:是指云服务或用户私有服务,可以通过配置在VPC终端节点中提供服务。用户可以在VPC中创建自己的应用程序,并将其配置为VPC终端节点支持的服务即终端节点服务。(云服务:由运维人员将云平台上的一些服务配置为终端节点服务用户私有服务:用户将自己VPC中的服务资源配置为终端节点服务,这些服务资源为增强型负载均衡或者云服务器。)
  • 终端节点: 在VPC和终端节点服务之间提供连接通道。用户可以在VPC中创建自己的应用程序并将其配置为终端节点服务,同一区域下的其他VPC可以通过创建在自己5802:VPC内的终端节点,与终端节点服务之间获得连接,进行通信

2.3.5 对等连接与VPC终端节点区别

image.png

  • 功能差异:
    • 对等连接主要是打通两个VPC之间的流量,使两个VPC的子网中的实例可以彼此通信,如同在同一个网络中。
    • VPC终端节点是将某个VPC中的实例暴露出来,通过专门的网关将此实例的端口映射在其他VPC中。
  • 访问场景:
    • 对等连接主要应用在网络规划中,多是同一个租户用来规划自己的网络,将两个VPC的子网连通。
    • VPC终端节点主要是将服务在云平台中开放,可以提供给同一个租户使用,也可以提供给其他租户使用。
    • VPC终端节点与对等连接的安全性、通信方向、路由配置等其他方面的区别

2.3.5 适用场景

image.png

  • 通过云专线实现云下IDC与云上VPC1互通
  • 通过终端节点1,IDC可以访问VPC1内的云资源ELB。
  • 通过终端节点2,IDC可以跨VPC访问VPC2内的云资源ECS
  • 通过终端节点3,IDC可以通过内网访问云服务DNS。
  • 通过终端节点4,IDC可以通过内网访问云服务OBS.

2.3.6 虚拟专用网络VPN

image.png

  • 高安全
    • 采用华为专业设备,基于IKE和IPsec对传输数据加密,提供了电信级的高可靠性机制,从硬件、软件、链路三个层面保证VPN服务的稳定运行。
  • 无缝扩展资源
    • 将用户本地数据中心与云上VPC互联,业务快速扩展上云,实现混合云部署
适用场景

image.png

2.3.7 云专线DC

image.png

  • 物理连接,是用户本地数据中心与接入点的运营商物理网络的专线连接。物理连接提供两种专线接入方式:
    • 标准专线接入,是用户独占端口资源的物理连接,此种类型的物理连接由用户创建,并支持用户创建多个虚拟接口。
    • 托管专线接入,是多个用户共享端口资源的物理连接,此种类型的物理连接由合作伙伴创建,2并且只允许用户创建一个虚拟接回。用户通过向合作伙伴申请来创建托管物理连接,需要合作伙伴为用户分配VLAN和带宽资源
  • 虚拟网关,虚拟网关是实现物理连接访问VPC的逻辑接入网关,虚拟网关会关联用户访问的VPC,一个VPC只能关联一个虚拟网关,多条物理连接可以通过同一个虚拟网关实现专线接入,访问同一个VPC。
  • 虚拟接口,虚拟接口是用户本地数据中心通过专线访问VPC的入口,用户创建虚拟接口关联物理连接和虚拟网关,连通用户网关和虚拟网关,实现云下数据中心和云上VPC的互访。

2.3.8 VPN与云专线对比

image.png

  • VPN:
    • 使用IPSec VPN技术能够为数据传输保驾护航。操作简单,即开即用
  • 云专线
    • 使用私有通道打通站点,私密性极高站点之间时延稳定,抖动小,性能强
适用场景image.png
  • 前提条件:
    • 必须使用单模的1 GE、10 GE、40 GE或100 GE的光模块与华为云的接入设备0对接。
    • 必须禁用端口的自动协商功能,同时必须手动配置端口速度和全双工模式
    • 用户侧网络需端到端支持802.1Q VLAN封装。
    • 用户侧设备必须支持BGP,且不能使用64512(该AS号华为已使用)

2.3.9 云连接CC

image.png

  • 适用约束:
    • 在同一个云连接实例里,所有网络实例的地址不能重叠,Subnet子网地址不能o冲突,否则可能会引起互通问题;
    • 在云连接实例里加载VPC网络实例,并通过高级配置引入子网时,不能引入回环地址,组播地址或广播地址;
    • 在同一个云连接实例里加载的所有VPC网络实例里,如果该VPC里同时创建了NAT网关,则只能同时在该VPC网络实例里通过高级配置自定义子网的方式引入0.0.0.0/0默认路由。
适用场景一

image.png

适用场景二

image.png

3.云上网络接入规划

3.1 弹性公网IP服务EIP

3.1.1 弹性公网IP

image.png

  • 共享带宽:
    • 共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力,同一区域下的所有已绑定弹性公网IP的ECS、BMS、ELB等实例共用一条带宽资源。
    • 客户有大量业务在云上时,如果每个弹性云服务器单独使用一条带宽,则需要较多的带宽实例,并且总的带宽费用会较高,如果所有实例共用一条带宽,就可以节省企业的网络运营成本,同时方便运维统计。

3.1.2 EIP实现原理

image.png

3.1.3 线路类型

image.png

  • 全动态BGP:
    • 使用BGP协议同时接入多个运营商,可以根据设定的寻路协议实时自动优化网络结构,保持客户使用的网络持续稳定,高效。
  • 静态BGP:
    • 由网络运营商手动配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,运营商需要手动去修改路由表中相关的静态路由信息。
  • 保障性方面对比:
  • 全动态BGP:
    • 多线接入的BGP,能够感知接入线路及运营商内部网络状况,运营商内部故障时,能够快速切换到其他运营商接入链路,保证用户能够正常访问,而不是访问中断。
    • 目前支持的运营商线路包括:电信、移动、联通、教育网、广电、鹏博士等
  • 静态BGP:
    • 当静态BGP中网络结构发生变化,运营商是无法在第一时间自动调整网络设置而是通过其他技术进行切换,所以静态BGP时延一般略大。

3.1.3 ECS实例访问公网

image.png

3.1.4 公网访问云内ECS

image.png

适用场景

image.png

3.2 负载均衡服务ELB

3.2.1 弹性负载均衡ELB

image.png

  • 独享型负载均衡:独享型负载均衡实例资源独享,实例的性能不受其它实例的影响用户可根据业务需要选择不同规格的实例。
  • 共享型负载均衡:属于集群部署,实例资源共享,实例的性能会受其它实例的影响不支持选择实例规格

3.2.2 ELB相关组件

image.png

  • 健康检查:健康检查功能用于检查后端服务器组中服务器的状态,确保流量分发到后端服务器后能够正常访问,从而提高业务的可靠性。

3.2.3 会话保持

image.png

  • 七层会话保持时间最长为24小时
  • 四层会话保持时间最长为1小时

3.2.4 协议

image.png

3.2.5 策略

image.png

适用场景 一

image.png

  • 为潮汐业务弹性分发流量
    • 对于存在潮汐效应的业务,结合弹性伸缩服务,随着业务量的增长和收缩,弹性伸缩服务自动增加或者减少的ECS实例,可以自动添加到ELB的后端云服务器组或者从ELB的后端云服务器组移除。负载均衡实例会根据流量分发、健康检查等策略灵活使用ECS实例资源,在资源弹性的基础上大大提高资源可用性。例如电商的“双11”、“双12”、“618”等大型促销活动,业务的访问量短时间迅速增长,且只持续短暂的几天甚至几小时。使用负载均衡及弹性伸缩能最大限度的节省IT成本。
适用场景 二

image.png

  • 使用ELB跨可用区特性实现业务容灾部署
    • 对可靠性和容灾有很高要求的业务,弹性负载均衡可将流量跨可用区进行分发建立实时的业务容灾部署。即使出现某个可用区网络故障,负载均衡器仍可将流量转发到其他可用区的后端云服务器进行处理。
    • 例如银行业务,警务业务,大型应用系统等。

3.3 网关服务NAT

3.3.1 公网NAT网关(一)

image.png

  • 灵活部署:
    • 公网NAT网关支持跨可用区部署,可用性高,单个可用区的任何故障都不会影响公网NAT网关的业务连续性。公网NAT网关的规格、弹性公网IP,均可以随时调整。
  • 多样易用:
    • 对公网NAT网关进行简单配置后,即可使用,运维简单,快速发放,即开即用运行稳定可靠。
  • 降低成本:
  • 当用户的私有IP地址通过公网NAT网关发送数据,或用户的应用面向互联网提供服务时,公网NAT网关服务将私有地址和公网地址进行转换。用户无需为云主机访问Internet购买多余的弹性公网IP和带宽资源,多个云主机共享使用弹性公网IP,有效降低成本。

3.3.2 公网NAT网关(二)

image.png

3.3.3 私网NAT网关

image.png

  • 中转子网:中转子网相当于一个中转网络,用户可以在中转子网中创建私网IP,即中转IP,使本端VPC中的云主机可以共享该私网IP访问用户iDC或其他远端VPC。
  • 中转VPC:中转子网所在VPC。
  • 简规划:
    • 支持重叠网段通信:5客户可保留原有组网上云、无需重新规划,极大简化了IDChw35802上云的网络规划。
  • 高安全
    • 满足行业监管要求,将私网IP映射为指定IP进行接入
  • 易运维管理:
    • 支持私网的IP地址映射,各部门的网段可映射至统一的VPC大网地址进行统一管理,让复杂组网的管理更加简易。
  • 零冲突
    • 基于私网NAT网关的大小网映射能力,可支持云上的重叠网段互通,助力客户上云后网络零冲突。

3.3.4 公网NAT适用场景

image.png

  • SNAT连接数: 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的弹性公网IP和它的端口。连接能够区分不同会话,并且对应的会话是唯一的。
  • 吞吐量:DNAT规则的弹性公网IP的带宽之和。例如,2gu3个公网NAT网关有两条DNAT规则,其中绑定到第一条规则的EIP带宽为10 Mbit/s,绑定到第二条规则的EIP带宽为5 Mbit/s,则公网NAT网关的吞吐量为15 Mbit/s。
  • 每个公网NAT网关支持的最大转发带宽为20 Gbit/s。
  • 常见的业务模型及规格选择.
  • 上传、下载、上网等访问目的地址不多、连接数较少的场景。推荐: 小/中型。
  • 爬虫、客户端推送等访问目的地址或端口较多,连接数较多的场景。推荐:大/超大型。
  • 小型( SNAT最大连接数): 10000个。
  • 中型(SNAT最大连接数): 50000个。
  • 大型( SNAT最大连接数):200000个
  • 超大型(SNAT最大连接数): 1000000个。

3.3.5 私网NAT适用场景

image.png

3.4 云解析服务DNS

image.png

  • 平滑切换无感知:
    • 支持将使用中的网站域名迁移至华为云云解析服务进行解析。在域名转入时用户可以提前创建域名,并设置解析记录,使网站的DNS服务实现平滑切换用户访问体验不中断。

3.4.1 DNS提供的解析服务类型

image.png

  • 公网域名解析:可以将公网域名与IP地址相关联,为用户提供基于Internet网络的域名解析服务,实现通过域名直接访问网站或者Web应用程序。公网域名解析是基于lnternet网络的域名解析过程,可以把人们常用的域名(如www.example.com )转换成用于计算机连接的IP地址(如1.2.3.4)
  • 内网域名解析:可以将在VPC内生效的内网域名与私网IP地址相关联,为用户的华头云上资源提供VPC内的域名解析服务。内网域名解析是基于VPC网络的域名解析过程通过华为云内网DNS把域名(如ecs.com)转换成私网iP地址(192.168.1.1)。内网域名解析实现云服务器在VPC内直接通过内网域名互相访问。同时,还支持不经公网直接通过内网DNS访问云上服务,如OBS、SMN等。
  • 反向解析:支持通过IP地址反向获取该IP地址指向的域名,通常用于自建邮件服务器hw358(的场景,是提高邮箱IP和域名信誉度的必要设置。
  • 智能线路解析:支持按运营商、地域等维度区分访问者IP的来源和类型,对同一域名的访问请求做出不同的解析响应,指向不同服务器的IP地址。当联通用户访问时,域名解析服务器返回联通服务器的IP地址,当电信用户访问时,返回电信服务器的IP地址,解决了跨网访问慢的难题,从而实现高效解析。还支持按IP网段划分访问者的自定义线路解析,可以更细粒度的设置解析线路,将访问者路由至不同的网站服务器

3.4.2 公网域名解析

image.png

3.4.3 内网域名解析

image.png

思考题

image.png
image.png

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐