云上运维及应用 第9章 弹性架构之专有网络.pdf

《云上运维及应用 第9章 弹性架构之专有网络.pdf》由会员分享，可在线阅读，更多相关《云上运维及应用 第9章 弹性架构之专有网络.pdf（50页珍藏版）》请在咨信网上搜索。

1、专有网络VPC,01 VPC概要介绍02VPC基本概念专有网络概要介绍什么是专有网络VPC校园网网络架构MB系统上云之后，如何进行网络的管理？道路监控网路段中心VPN路段中心1、系统部署在阿里云上，我也可以像管理传统 数据中心那样进行网络配置么？2、我的系统已经部署在现有的数据中心中了，后续的扩容或者新系统的建设我想采用阿里云 来构建，但我依然希望将云上的系统和现有的 系统统一进行管理，有解决方案吗？阿里云VPC应运而生 VLAN级别的隔离，彻底阻断不同VPC间的网络通讯 网络地址自定义，我的网络我做主 专线/VPN接入，实现传统架构平滑迁移“PC介绍专有网络VPC(Virtual Priva

2、te Cloud)是基于阿里云构建的一个隔离的网络环境，专有网 络之间逻辑上彻底隔离。可以完全掌控自己的虚拟网络，包括选择自有IP地址范围、划分 网段、配置路由表和网关等。也可以通过专线/VPN等连接方式将VPC与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。HM8型。薛段中物理数据中心的架构VSVPC 虚拟专有网络优势安全隔离、软件定 义网络、访问控制、丰富的网络连接方 式由PC介绍虚拟专有网络帮助用户基于云计算网络建立一个完全隔离的私有网络环境。通过虚拟路由器，虚拟交换机，自定义路由，安全组等功能组件，可以按需配置私有网络 的逻辑拓扑和网络配置为了实现应用平滑迁移，用户可

3、以使用专线或VPN将虚拟专有网络与原有物理网络之间连 接起来，组成一个混合网络域PC的安全隔离 不同用户的云服务器在不同的VPC里 不同VPC之间通过隧道ID进行隔离。VPC内部由于虚拟交换机和虚拟机路由器的存在，所以可 以像传统网络环境一样划分子网，每一个子网内部的不同云服务器使用同一个虚拟交换机互联,不同子网间使用虚拟路由器互联 不同VPC之间内部网络完全隔离，只能通过对外映射的IP（弹性IP和NAT IP）互联 由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层，mac地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离，因此也实现了不同 VPC间二

4、层网络隔离 VPC内的ECS使用安全组防火墙进行三层网络访问控制VPC的特点PC产品特点一解决你的烦恼:安全隔离每个VPC都有一个独立的隧道号，一个隧道号对应着一 个虚拟化网络。专有网络之间通过隧道ID进行隔离使用隧道技术达到与传统VLAN相同隔离效果广播域隔离在实例网卡级别网络隔离是否彻底？不同的系统之间是否可以完全隔离？,PC产品特点二访问控制安全组规则、访问控制白名单等方式灵活的访 问控制规则满足政务、金融用户的安全隔离规范品PC产品特点三软件定义网络按需配置网络设置、软件定义网络管理操作实时生效PC产品特点四丰富的网络连接方式 支持软件VPN 支持专线连接 将一个VPC和本地数据中心或

5、其他VPC相连阿里云用户数据中心VPC连接而PC帮您轻松构建逻辑隔离的专有云奇PC通信VPN网关-VPN网关是一款基于Internet,通过加密通道将企业数据中心、企业办公网络、或Internet终端 和阿里云专有网络（VPC）安全可靠连接起来的服务。VPN网关提供IPsec-VPN连接和SSL-VPN连接。不提供访问Internet功能。阿里五VPCOInterne 像端 IPsec-VPNIPsec-VPN提供站点到站点的VPN连接，可以使用 IPsec-VPN将本地数据中心和专有网络连接起来，或 连接两个VPC。IPsec-VPN支持IKEvl和IKEv2协议。SSL-VPN可以使用SS

6、L-VPN功能从客户端远程接入VPC中部署 的应用和服务。部署完成后，仅需要在客户端中加 载证书发起连接即可。本地数据中心,PC通信一高速通道阿里云高速通道(Express Connect),帮助用户在VPC与本地数据中心之间、VPC与VPC间建 立私网通信通道，提高网络拓扑的灵活性和跨网络通信的质量和安全性。高速通道可以避免网络 质量不稳定问题，同时可以免去数据在传输过程中被窃取的风险。物理专线连接一 VPC与本地数据中心之间可以通过一条租用运营商的专线将本地数据中心连接到阿里云接入点，建立专线连接。专线接入 后，可以创建一个边界路由器(VBR)将本地数据中心和阿里云连接起来，构建混合云。物

7、理专线的私网连接不通过公网，因此与传统的公网连接相比，物理专线连接更加安全、可靠、速度更快、延迟更低。专有网络互连一 VPC与VPC间高速通道支持位于相同地域或不同地域，同一账号或不同账号的VPC之间进行内网互通。目前同地 域间的VPC互连不收取费用。阿里云通过在两侧VPC的路由器上分别创建路由器接口，以及自有的骨干传输网络来搭建高速通道,轻松实现两个VPC之间安全可靠，方便快捷的通信。品PC通信一VPN网关实现VPC与本地IDC通信-VPN网关创建站点到站点VPN连接，从而可以从本地数据中心访问专有网络连接前注意事项：检查本地数据中心的网关设备VPC 192.168.0.0/16VPN网关I

8、DC网段:172.16.0.0/12VPN设备的公网IP:211,167.68.68本蜘中心阿里云VPN网关支持标准的IKEvl和 IKEv2协议。只要支持这两种协议的设 备都可以和云上VPN网关互连本地数据中心的网关已经配置了静态 公网IP本地数据中心的网段和专有网络的网 段不能重叠&PC通信高速通道实现VPC与本地IDC通信-默认情况下，本地IDC网络中心和专有网络之间不能通信，可以使用高速通道的物理专线来连通 本地IDC到阿里云的专线接入点，并建立虚拟边界路由器作为VPC到IDC的数据转发桥梁0边界暂由器m2 Jy1 M|SB目标弼段172.16.0.0/12下一跳下一11RI2172.

9、160.0/12边界凿由器自定义路由2&PC通信一VPN网关实现两个VPC互通同账号下确保两个VPC的私网IP地址不重叠跨账号VPC互通，操作步骤和同账号VPC互通一样。只是在创建用户网关前，需要获取对方账号的 VPN网关的公网IP地址，然后使用获取的对方账号的公网IP地址创建用户网关VPC 1 172.16.0.0/12 10.0.0.0/8 VPC 2l _,_iIPsec-VPNvElty v D J _JBVPN悯关1 VPN网关2VPN网关是基于Internet建立加密隧道进行通信，通信质量依赖Internet。如果对通信质量要求高，可以使用高速通道PC通信高速通道实现同赚号的两个V

10、PC互通确保要进行互连的VPC或交换机的网段不冲突。vpcl 192.168.0.0/16交则 192.168.2.0/24VDr-172.16.0.0/16V/:城断 172,16.1.0/24ECS1:192.168.2.232高速通道ECS2:172.16.1.123华北1（青岛）华北2（北京）*PC通信一高速通道实现跨赚号的两个VPC互通 账号A的VPC1将作为连接发起端，账号B的VPC2作为连接接收端。已获取对方的阿里云账号ID和要连接的VPC的路由器ID。确保要进行互连的VPC或交换机的网段不冲突VPC 1192.168.0.0/16-：交则 192.168.2.0/24ECS1:

11、192.168.2.23230,172.16.1.0/24ECS2:172.16.1.123172.16.0.0/16账号A华北1（青岛）账号B华北2（北京）PC通信VPC与Internet通信默认情况下，专有网络内的ECS不能与公网互通。可以通过以下途径打通VPC与公网的通信:为专有网络中的ECS实例分配公网IP,实现专有网络与公网的通信。您可以通过在ECS上绑定弹性公网IP,实现专有网络与公网的互通CIDR 192.168.0.0/12帚PC通信-VPC与Internet通信-在专有网络的ECS上设置NAT网关，实现专有网络与公网的互通-基于端口的负载均衡，提供四层和七层负载均衡，支持从公

12、网通过负载均衡访问ECS，但是负 载均衡不支持VPC网络的ECS通过负载均衡主动访问公网192.168.0.1CIDR 192.168.0.0/12I信一VPCW经典网络通信-专有网络内的ECS不能访问经典网络的ECS或者云服务I r+i翁PC通信一VPC与经典网络通信 VPC与经典网络可以通过公网IP进行通信产品功能VPC ECS固定公网IP在专有网络内创建ECS时自动分配的公网IP,支持VPC ECS访问公网 和用户从公网访问VPC ECSo目前默认不能动态和VPC ECS解绑，但 可以将公网IP转换为EIP。弹性公网IP(EIP)能够动态和VPC ECS绑定和解绑，支持VPC ECS访问

13、公网和用户从公 网访问VPC ECSoNAT网关NAT网关支持多台VPC ECS访问公网和用户从公网访问VPC ECS。和负载均衡相比，NAT网关本身没有均衡流量的功能。NAT网关可用于多台VPC ECS和公网通信，而EIP只能用于一台VPC ECS和公网通信。负载均衡基于端口的负载均衡，一个负载均衡的一个端口可以对应多台ECS,提供四层和七层负载均衡，支持从公网通过负载均衡访问ECS。不 支持VPC网络的ECS通过负载均衡主动访问公网。应用场景&PC场景1:提供公网服务的独立VPC阿里云-（2bInternet对于面向互联网服务的Web应用程序,如博 客或简单的网站，实现用户账户下的ECS实

14、 例与其他用户的ECS实例在二层（数据链路 层）网络隔禺好PC场景2:专线连接的私网VPCServer Server172.16.21.11 172.16.21.12Server Server172.16.22.13 172.16.22.14172.16.22.0/24客户数据中心利用阿里云的基础设施把内部网络扩展到阿里云，在阿里云中划分企业的私有资 源，并且不连接到互联网，以实现阿里云上的资源和自有数据中心的资源内网互 联互通。云中的实例如果需要访问互联网资源，可以通过增加NAT实例实现。PC场景3:私网和公网的独立VPCInternet对于面向互联网服务的Web应用程序，需 要保留不对公网

15、开放的后端服务器，如多 层架构的网站，实现互联网区和内网区的 隔离&PC场景4:专线连接的混合网络阿里云专线InternetServer Server172.16.21.11 172.16.21.12172.16.21.0/24Gateway客户数据中心利用阿里云的 基础设施把网 络扩展到阿里 云，并划分互 联网区和内网 区。通过专线 连接到企业私 有数据中心，以实现阿里云 上的资源和自 有数据中心的 资源内网互联 互通&PC场景5:用户网络作为中心节点OI，Server Server172.16.21.11 172.16.21.12way子网172.16.21.0/24网闸S Server

16、Server/72.16.22.13 172.16.22.14Galway 子网1 172.16.22.0/24阿里云客户数据中心对于政府行业 的用户，要求 互联网和政务 网通过网闸隔 离，可以在云 中划分2个VPC,分别通过专线 连接传统数据 中心的互联网 和政务网，再 通过网闸数据 交换专有网络基本概念网络基础概念扁述ISO以太网7层协议假设一个场景，那就是把要传输数据的一方视为某个公司的经理，网络传输被视为这个经理要把一件事情告诉另一个公司的经理网络的A端：1、应用层：A公司经理把他想要告诉 B公司经理的事情用嘴讲了出来。2、表示层：秘书就把A公司经理说的 事情翻译成为英文然后写在了纸上

17、。3、会话层：行政的职员把秘书写的 这封信，装到了信封封装好了，写上 了信封的信息。4、7专输层温局的职工把这封信取5、网络层：A邮局的分派的职工，把 这封信分派到指定送信区域。6、数据链路层：A邮局的装箱的职工,就把一同送往这个区域的信封装到一 个木箱子里，然后送到A邮局物流站。7、物理层：A邮局的物流职工把木箱 运到铁路这里的铁路就是网络连接物理介质0101110001010101010101网络的B端：7、物理层：B邮局的物流职工把木 箱从铁路运到邮局的物流站。6、数据链路层：B邮局的拆箱的职 工把物流站的木箱拆箱然后把所有 的信件取出来。5、网络层：B邮局的分派的职工，把这封信分派到指

18、定送信区域。4、传输层：B邮局的职工把这封信 送至阳公司。3、会话层：B公司行政的职员把公 司的信件整理并且拆封信件（假设 这是公司允许的情况下）并送到各 自部门的秘书手里。2、表示层：B公司秘书把信上的英 文翻译成为中文。1、应用层：B公司经理听秘书转述 给他这封信的内容。$SI七层与TCP/IP五层协议的对应关系应用层FTP TELNET表示层SMTP HTTP会话层SNMP传输层TCP UDP网络层ICMP IP 路由选择蚀议三层1 数据链路层ARP RARP二层物理层任意物理层：中继器、集线器、还有我们通常说的双绞线也工作在物理层数据链路层：网桥（现已很少使用）、以太网交换机（二层交换

19、机八网卡（其实网卡是一半工作在物理层、一半工作在数据链 路层）网络层：路由器、三层交换机传输层：四层交换机、也有工作在四层的路由器（TCP支持的应用协议主要有：Telnet.FTP,SMTP等；UDP支持的应用层协 议主要有：NFS（网络文件系统）、SNMP（简单网络管理协议）、DNS（主域名称系统）、TFTP（通用文件传输协议）等）海由器和交换机的区别1.交换机工作在二层，识别的是MAC地址 MAC地址是物理地址，而且采用平坦的地址结构，因此不能根据MA C地址来划分子网2.路由器工作在三层，识别的是IP地址 IP地址由网络管理员分配，是逻辑地址且工P地址具有层次结构，被划分成网络号和主机号

20、,可以非常方便地用于划分子网，路由器的主要功能就是用于连接不同的网络举例:家血交换机主要起到线路连通的功用，比如家里有三台电脑，希望组建一个局域网，那么每台电脑 拉出一根网线到交换机上，那么这三台电脑就组成了一个网，可以相互连通和共享文件。路由器也可以当普通交换机使用，具备交换机的线路连通的功能。但是路由器还有个功能交换机没 有，那就是拨号上网功能。家里有三台电脑需要同时上网，猫就一个，怎么办，用路由器就能轻松解决，但是交换机不行。不 过家用路由器一般都是4个口的，如果电脑过多，比如单位有几十台电脑，那么单靠路由是不行了，需要交换机来撑住场面，交换机一般有4口、8口、16口、24口，能接入更多

21、的电脑。所以，现在 家用的话还是路由器比较多。扁由器和网关 网关（Gateway）就是一个网络连接到另一个网络的关口 路由器主要有以下几种功能：1.网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网 络互相通信；2.数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能；3.网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能网关是逻辑概念，路由器是物理设备，路由器可以作为网关来使用路由器是一个设备，而网关是一个结点（概念层）：1.路由器可以实现网关的功能2.网关的功能还可以由局域网中一台双网卡的机器（其中一块网卡接入广域网

22、）来实现ManVLAN是Virtual Local Area Network的缩写，中文名为“虚拟局域网”，VLAN是一种将局域网（LAN）设备从逻辑上划分（不是从物理上划分）成一个个网段（或者说是更小的局域网LAN）,从而实现虚拟工作组内的数据交换。相同VLAN内的服务器属于同一广播域，具有一致的VLAN-ID,二层连通 不同VLAN内的服务器需要通过网关互相访问，二层隔离，三层连通传统的数据中心一般是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性不同区域由于具有不同的功能,因此需要相互访问

23、数据时,只要终端之间能够通信即可,并 不一定要求通信双方处于同一VLAN或二层网络VLAN的好处：端口分隔：即便在同一个交换机上，处于不同VLAN的端口也是不能通 信的。这样一个物理的交换机可以当作多个逻辑的交换机使用网络的安全：不同VLAN不能直接通信，杜绝了广播信息的不安全性灵活的管理：更改用户所属的网络不必换端口和连线，只更改软件配置 就可以了虚拟专有网络VPC的产品概念综述VPC的安全隔离 不同用户的云服务器在不同的VPC里 不同VPC之间通过隧道ID进行隔离。VPC内部由于虚拟交换机和虚拟机路由器的存在，所以可以像传统网络环境一样划分子网，每一个子网内部的不同云服务器使用同一个虚拟交

24、换机互联，不同子网间使用虚拟路由器互联 不同VPC之间内部网络完全隔离，只能通过对外映射的IP（弹性IP和NAT IP）互联 由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层，mac地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离,因此也实现了不同VPC间二层网络隔离 VPC内的ECS使用安全组防火墙进行三层网络访问控制如C术语术语全称说明专有网络AliCloud VPC专有网络是您基于阿里玄创建的自定义私有网络，不同的专有网络之间彻底逻 辑隔离。您可以在自己创建的专有网络内创建和管理云产品实例，例如ECS,SLB,RDS等。路由器VRouter路由

25、器是专有网络的枢纽。它可以连接专有网络的各个父换机，同时也是连接 专有网络与其它网络的网关设备。路由器根据具体的路由条目的设置来转发网 络流量。交换机VSwitch父换机是组成专有网络的基础网络设备。它可以连接不同的云产品实例。在专 有网络内创建云产品实例时，必须指定云产品实例所连接的交换机。路由表Route Table路由表是指路由器上管理路由条目的列表。路由条目Route Entry路由表中的每一项是一条路由条目。路由条目定义了通向指定目标网段的网络 流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。弹性公网IPElastic IP AddressEIP是可以独立购买和持有的公网

26、IP地址资源，能动态绑定到不同的ECS实例 上，绑定和解绑时无需停机专线接入可以帮助用户建立一个连接本地数据中心至阿里云的专线网络PC在Region内各个概念之间的关系RegionVPC产品功能安全隔离采用隧道网络技术，通过为每个VPC分配独立的Tunnel Id,并将二层广播域隔离在虚拟网卡级别，实现与传统VLAN方式相同的隔离效果访问控制使用安全组功能，实现VPC内不同安全域之间的访问控制软件定义网络按需定义VPC的网络拓扑/路由规则以及VPC网络内的私网地址，网络配置即时生效，有效提升用户的管理效率专线/VPN接入通过物理专线或VPN方式将VPC与传统数据中心连接起来，组成混合网络弹性公

27、网IP弹性公网IP可以按需绑定到同一地域内任意VPC类型云产品实例上。绑定与解绑操作实时生效，不影响实例的正常 使用VPC与阿里云其他产品的关系及计费模式介&PC在Region内各个概念之间的关系专有网络华东192168.0.0/161 192.168.1.0/24可用区A391 2 192.168.2.0/24可用区B路由器（VRouter）可以连接V PC内的各个交换机，同时也是 连接VPC和其他网络的网关设 备。每个专有网络创建成功后，系统会自动创建一个路由器。每 个路由器关联一张路由表。交换机（VSwitch）是组成专有 网络的咎础网络设备，用来连接 不同的女广,品实例。创建专有网 络

28、之后，可以通过创建交换机为 专有网络划分一个或多个子网。可以将应用部署在不同可用区的 交换机内，提高应用的可用性。同一个VPC内不同可用区的交换 机默认内网互通。PC和其它产品的关系 VPC是网络产品，目前阿里云支持VPC网络的包括ECS、RDS和SLB如果VPC申请成功，并创建了VSwitch之后，就可以在相应的Region下的可用区中创 建处于这个Vswitch之下的ECS、RDS和SLB实例.PC产品的计费模式专有网络：免费的网络容器 目前，路由器只提供基本的流量转发功能。基本版本的路由器是免费的；交换机、路由表、路由条目和私网高 可用虚拟IP都是免费的弹性公网IP 弹性公网IP支持两种

29、计费方式：预付费和按量付费（分为按流量计费、按带宽计费）预付费：包年包月，计费周期30天，目前只支持按固定带宽方式计费，无法变更按量付费，在合同期内，实例 只支持升级配置，不支持释放，降配需要提交工单 按流量计费：先使用后付费；计费周期为1小时；账单周期也为1小时；修改带宽上限并不会影响价格 按带宽计费：先使用后付费；账单周期为1天；计费周期为1天，阶梯定价专线产品 阿里云目前提供物理专线接入的能力，物理专线租用，预付费和按量付费两种，物理专线接口费用由阿里云收 取，包括阿里云初装费和资源占用费及出方向流量费。第三方（电信运营商、合作伙伴、数据中心运营商等）费用包括专线租用费用和楼内线缆租赁费等