云上虚构网络VPC布局设计通常
云上虚构网络是指在云计算环境中构建的虚构网络架构。它准许用户在云服务提供商的基础设备上创立和治理自己的网络环境。这种网络环境模拟了传统的物理网络,但齐全在软件层面上成功,具备高度的灵敏性和可裁减性。以下是云上虚构网络的一些关键特点:
1.虚构公用网络(VPN):用户可以经过VPN衔接到云上虚构网络,成功远程访问和数据传输。
2.软件定义网络(SDN):经过软件定义网络技术,用户可以编程控制网络流量和战略,而不须要扭转物理配件。
3.网络隔离:在云环境中,不同的虚构网络可以相互隔离,确保数据安保和网络性能。
4.弹性裁减:依据业务需求,用户可以灵敏地参与或缩小网络资源,如带宽、IP地址等。
5.多租户环境:云服务提供商的基础设备通常服务于多个客户,虚构网络技术确保了不同客户之间的网络环境相互独立。
6. 集成服务:云上虚构网络支持智能化部署和治理,简化了网络性能和保养上班。云上虚构网络可以与云服务提供商的其余服务(如计算、存储、数据库等)集成,提供一站式的处置计划。与传统的物理网络相比,云上虚构网络可以降落老本,由于它缩小了对物理配件的依赖。
云上虚构网络是云计算技术的一个关键组成局部,它为企业提供了一个灵敏、可裁减且老本效益高的网络处置计划。(1)VPC:专有网络,云上用户自定义的私有网络。(2)vSwitch:替换机,组成专有网络的基础网络设备,替换机可以衔接不同的云资源,在专有网络内创立云资源时,必定指定云资源所在衔接的替换机。(3)vRouter:路由器,作为专有网络的枢纽,可以衔接vpc的各个替换机,同时也是衔接专有网络与其余网络的网关设备;路由器依据路由条目转发网络流量。(4)RouterTable:路由表,路由器上治理路由条目的列表。(5)RouterEntry:路由条目,定义了通向指定指标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。
1、VPC:用户私有网络
VPC(Virtual Private Cloud)的正轨叫法是“虚构私有云”,但更多被人们称为“虚构私有网络”或“虚构网络”。 VPC给了用户一个完整独占的网络(Network),而后在这个网络上,用户创立子网、VM、存储等虚构资源,才构成一个私有的1云。不同的VPC在网络上是齐全隔离的,他们可以经常使用雷同的IP段,而不用担忧IP抵触的疑问。
一朵云里可以有若干个Region,不同Region的物理资源(计算、存储、网络)是齐全独立和不共享的。 一个Region外面可以创立多个VPC。一个VPC内又可创立多个子网(Subnet)。一个子网内,可以有多个虚机(VM)。
2、子网:虚机的栖身地
子网(Subnet)独占VPC中的一个IP地址段,和同一VPC中其余子网不共享。
虚机(VM)总是位于某个子网,并从中取得IP地址。一个子网内的多个VM可以散布在多台宿主机上。
创立子网很便捷,选用所在的“
可用区
”,定义IP段(即CIDR)和网关地址就可以了。
创立子网
这外面又产生一个新概念:
可用区
,这就是人们常说的(Available Zone)。
一个子网内的不同虚机,可以在一个AZ中,也可以在不同的AZ中。
Region、AZ、VPC、Subnet的相关
子网内的VM缺省是可以相互通讯的,要素是它们都接在
虚构替换机
()上。
VPC、子网、vSwitch和VM的便捷逻辑相关表示如下:
VPC、子网、vSwitch及VM
vSwitch是由(Open vSwitch)技术成功的,OVS是散布式技术,散布在多台宿主机上。
OVS提供散布式虚构替换机性能
子网外部的通讯就是二层通讯,假设要和子网外部通讯,就须要
虚构路由器
3、虚构路由器:子网和外部通讯的路径
在同一子网内的VM,都是在二层通讯的。当子网内VM须要访问其余子网(同一VPC或是不同VPC)的VM,或许访问外部网络,就须要三层互通。 创立子网时要填的那个“网关地址”吧,“网关地址”就是vRouter的一个接口地址。
创立VPC时,云平台会智能给你一个,不用专门去创立这个。
VPC由于是虚构私有网,所以VPC之间天生就是相互隔离的,想让两个VPC互通,须要在它们之间树立“
平等衔接
”,而后就能互通了。当然,前提是两个VPC的地址空间没有堆叠。
比如在某平台,树立“
平等衔接
”,选用要互通的VPC即可;
虚构路由器表示
4、网络ACL和安保组:云原生的安保控制
云网络内置了两种比拟便捷灵敏的安保控制方法,一种是针对子网的
网络ACL
,一种是针对虚机的
安保组
。两者的控制位置和方法略有不同,可以组合经常使用。
比如可以对某子网树立如下
网络ACL
规定,拒绝一切对TCP 445端口的入站访问,没有任何流量可以访问该子网内任一VM的TCP 445端口。
网络ACL
位于路由器和子网之间。
网络ACL的逻辑示用意
另一种隔离机制是
安保组
。
用户可以建多个安保组,每个VM可以选用划入多个安保组,而后该VM就受这些安保组战略的包全了。
将某VM实例绑定到某安保组上
安保组
(
Security Groups
)可以指定详细的入向和出向流量规定,如下图所示。
新建安保组规定
一个安保组里的VM,可以不在一个子网里,也可以不在一个VPC中,如下图所示。
安保组逻辑表示
便捷地说,网络ACL是针对子网的,安保组是针对虚机的。 安保组以前多经常使用Linux bridge中的iptables成功,如今多经常使用OVS的流表技术成功。
5、微隔离:更精细更通用的隔离
微隔离
(Micro-Segmentation)是更细粒度的网络隔离技术,能够对物理机、虚构机、容器之间流量启动隔离。它的原理是装置agent,而后经过主机防火墙(如iptables)启动控制。关于物理机和虚构机,这很容易做到,关于容器,agent以k8s网络插件的方式产生,成功对各容器的网络转发和控制。
微隔离关键分为战略控制中心和战略口头单元,前者是大脑,下发战略,后者口头战略。前者成功可视化和集中治理才干,按角色、业务性能等多维度的标签对须要隔离对象启动分组,后者口头流量监测和隔离。 微隔离并不是云厂商提供的服务,通常是第三方成功的。
6、vFW和vLB:虚构防火墙和虚构负载平衡
网络ACL是针对子网的包全;vFW是针对VPC的包全,包全的层面不一样。
而且,专业性不同。网络ACL是有形态的,不能跟踪网络协定的形态,仅仅用于放行或阻拦IP/端口,不能做到比拟初级和专业的运行层防护。而vFW可以做到和传统防火墙一样弱小的性能。
vFW通常是用虚机成功的,出于性能思考,可以用配件防火墙代替vFW,将配件下挂在VxLAN网关下经常使用。
下图是在云内创立vLB的图示:
vLB的创立示例
参与vFW和vLB后,云网络的示用意为:
参与vFW和vLB后的VPC逻辑表示
7、网关:通往外部环球
网关
()可以成功子网和外部网络的衔接。
网关有多种,比如NAT网关、互联网网关、专线网关、VPN网关等。
NAT网关
() 用于没有公共IP的VM访问互联网,
互联网网关
() 用于有公共 IP 的VM访问互联网。
以NAT网关为例,用户在控制台创立“NAT网关”并给网关绑定一个(
弹性公网IP
),而后,做一下NAT设置,就可以让子网内的VM衔接互联网了。
NAT网关实例
8、云衔接:把云网络和企业DC连起来
云衔接
(Cloud Connect)不只提供跨Region的VPC衔接,更提供云上和云下的衔接,比如私有云和企业DC的衔接。
经常出现的云衔接有两种方式:、
云专线
(Direct Connect);前者走互联网,后者走物理专线;前者经过VPN网关,后者经过专线网关。
企业假设有私有云,可以经过云衔接,让私有云和私有云买通构成混合云。
下图是本文所引见网络组件的汇合图示。
含云衔接的云网络示用意
其中,Region1和Region2经过云专线树立衔接;Region1经过云专线,Region2经过VPN,和企业的DC树立衔接。
在启动VPC(Virtual Private Cloud)的布局设计时,最佳通常的倡导如下:
1.确定VPC的数量:假设没有多地区部署系统的要求,并且各个系统之间不须要经过VPC启动隔离,介绍经常使用一个VPC。假设须要多地区部署或许须要对不同业务系统启动严厉隔离(例如消费环境和测试环境),则须要经常使用多个VPC。
2.虚构替换机(VSwitch)的经常使用:即使只经常使用一个VPC,也倡导至少经常使用两个虚构替换机,并且这两个虚构替换机应该散布在不同的可用区,以成功跨可用区的容灾。
3.网段的选用:在选用网段时,须要思考能否须要与线下IDC互通或许能否须要多个VPC。阿里云自动提供了三个规范私网网段供用户选用,倡导经常使用这些规范网段的子网作为VPC的网段,掩码倡导不超越/16。假设VPC和线下IDC须要互通,须要布局不同的网段以防止抵触。
4.多VPC和IDC互通的网段布局:假设云上存在多个VPC并且须要和云下IDC互通,须要布局不同的网段以确保地址不抵触。尽量做到不同VPC的网段不同,假设做不到,则保障不同VPC的虚构替换机网段不同,假设还做不到,则保障要通讯的虚构替换机网段不同。
5.安保性最佳通常:在VPC中参与子网时,应在多个可用区中创立子网以提供高可用性。经常使用安保组和网络ACL来控制流量。应用IAM来治理对VPC中资源的访问。经常使用VPC流日志监控IP流量,并经常使用网络访问剖析器和AWS Network Firewall来包全VPC。
6.性能优化:在设计VPC时,招思考到网络性能的需求,正当布局网段和子网,以确保网络通讯的效率和低提前。
7.治理和监控:活期审核VPC的性能和性能,经常使用云服务商提供的工具启动监控和日志记载,以便及时发现和处置网络疑问。
8.遵守云服务商的最佳通常:不同的云服务商或许会有自己的最佳通常指南,应依据所经常使用的云服务提供商的指南启动VPC的布局和设计。
经过遵照这些最佳通常,可以确保VPC的安保性、高可用性和性能,同时也能够满足业务需求和未来的裁减性。
参考链接:1. 私有云相关概念——region和AZ、VPC、安保组、私有云网络架构一文搞懂AWS Region, VPC, VPC endpoint,AZ, Subnet 基础篇上浅谈VPC二三,秒懂秒透云产品相关网络概念学习Regison/AZ/VPC这些基本概念都疑问,还谈什么你会VXLAN?数据中心——Vxlan基本概念2我非要捅穿这 NeutronOpenStack Neutron成功网络虚构化Neutron的VLAN成功模型OpenStack 安保组原理详解Linux VXLANOpenStack入门篇之VXLAN原理深度好文:vxlan引见OpenStack OVS成功安保组(五)数据中心网络架构浅谈(三)网络ACL简介一文看懂Amazon EKS中的网络布局