以下为自己个人做的笔记,不带有商业性质,纯粹交流分享学习资料,如有侵权,请联系作者,作者看到会第一时间删除,如有侵权敬请见谅。
腾讯云推销
大家好,今天我们向大家介绍云网络方面的内容,这堂课我们首先对云网络进行概述,让大家了解云网络的特点和技术的演进途径。今天的课程内容主要包括以下几个方面
,随着云计算的发展,越来越多的业务承载在数据中心的虚拟机上,业务数据的流动从南北向转向东西向对数据中心的网络提出了巨大的挑战。
在这里南北向及数据中心的虚拟机与网络中的其他服务器进行数据交换,东西向及网络内部的虚拟机之间的数据交换。
同时数据中心内部虚拟机的迁移,促进了大二层网络虚拟交换技术的发展,支持大容量数据的通信和超高的端口密度,可以连接更多的服务器,提升数据中心的处理能力。
可以发现用户的需求和网络运维人员的需求存在矛盾点,一边是用户对网络的稳定性、可用性、低延迟和高转换的要求越来越高,网络管理的难度越来越大。而另一边网络运维人员对网络管理的需求是简单易操作、容灾、自动化运维安全可靠而解决这个问题的综合解决方案就是云网络。
腾讯云最早期的网络架构是一个比较简单的三层网络架构,网络架构最大的特点是简单,所有的IP地址都是事先规划好的,并且静态绑定到交换机上,但网络架构最大的特点是内网IP只能在一个交换机下可用,
如果将主机迁移到另外一个交换机下,主机原有的IP就不能使用了。
有 IP地址需要事先规划,这会引入另外一个问题,地址如果规划多用不完,就会造成Ip地址浪费。如果规划少,主机的虚拟比就会受限于IP地址的数目,所以三层网络不太适合在公有云机房里采用。
为了解决Ip地址跨交换机迁移的问题,腾讯云采用了大二层网络,在该网络架构下,交换机主要依靠MAC地址端口的映射关系来转发数据包,通过隧道封装解封装,整个过程由虚拟交换机完成。大二层的技术解决方案由IT技术产生提出,摆脱对网络设备商的技术依赖,不依赖于存在网络,可以在现有的基础网络上建立大二层网络。如果mac地址和端口关系缺失时,交换机会对数据包进行广播处理,但大二层网络仍然存在一些问题,例如可能会有一些软件的bug,或者用户伪造MAC地址行为,造成交换机维护的映射关系错乱,从而造成大量广播,引发网络泛红,严重的情况下会导致整个网络中断。
同样因为交换机的MAC表项规模有上限,对组织虚拟化来说,同样会约束虚拟币出于对大二层网络稳定性的余力,腾讯云结合大二层和三重网络OA类方式,来实现虚拟网络的弹性。Oa内的核心是分布在所有数组机上的虚拟交换机,它是通过一个内核模块的方式来实现的。宿主机上运行的所有虚拟机都位于虚拟交换机的虚拟网络里,虚拟机之间的通信必须要通过各自宿主机上的虚拟交换机来完成。**
简单来说就是二层通讯,隧道封装。
腾讯云涉及OA类网络的主要目的是解决IP地址跨交换机迁移的问题。基于OA类网络在演进为vPC网络,在VBC网络中主要引入两个能力,第一个能力是采用明智空间来隔离不同的vPC网络,每个vPC网络都有一个唯一的标志ID,这个ID可以认为是名字空间,每个ID都有自己的独立地址空间,从而做到vpc之间的地址是可以重叠的。在自己的地址空间管理范围里,用户还可以随意划分子网,在vpc网络里面,子网只是一个逻辑的抽象。第二个能力是子网络路由,网络的核心是虚拟交换机对OA内包的下一套地址进行寻址。当前子网络路由提供worker路由和自定义路由两种方式,worker路由负责abc内部两台主机之间点对点通信的路由,系统设定的不能修改的路由器配置,自定义路由将特定流量路由到指定的网关设备上使用。这堂课我们对云网络的特点进行了介绍,并以腾讯云为例介绍了云网络的演进过程。在后续的课程中,我们将会对各个知识点的内容进行详细讲解。
以下说法错误的是?A.数据中心内部虚拟机的迁移促进了大二层网络虚拟交换技术的发展B.支持大容量数据的通信和超高的端口密度可以提升数据中心的处理能力C.腾讯云最早期的网络架构是大二层网络架构D.越来越多的业务承载在数据中心的虚拟机上,业务数据的流动从南北向转向东西向
C
三层网络架构的特点不包括?A.所有的IP地址都是事先规划好的B. 内网IP只能在一个交换机下可用C.架构简单,易于部署D.三层网络非常适合在公有云机房里采用
D
以下关于大二层网络架构说法正确的是? A.依靠MAC地址、端口的映射关系来转发数据包B.这种架构是完美的,目前尚未发现任何缺点C.交换机的MAC表项规模没有上限,因此对主机虚拟化来说不会约束虚拟比D.腾讯云目前尚未采用大二层网络
A
今天我们向大家介绍等一下网络方面的基础知识。由于大家都学习过计算机网络课程,因此我们会非常简单的回顾一下语音网络相关的知识点。如果同学们没有学过计算机网络,可以先学习本课程,然后再继续找相关的书籍学习一下。
当前互联网中使用的是TCP IP协议来进行网络通信,为了正确传输数据,在internet上每一个网络设备都设置了一个唯一的标识,TCP IP中使用的地址标志符就叫做IP地址,但是也有可能网络中的主机或路由器具有多个IP地址,如果一台主机或者路由器连接到两个或者多个物理网络,那么它可以拥有两个或者多个IP地址,IP地址由internet网络管理中心统一分配,保证IP地址在internet上的唯一性。Internet授权某些地区和国家负责这些地区的IP地址管理工作,从而形成了地区中心和国家中心。
目前主要有Ipv4和Ipv6两个版本的Ip协议。这次我们主要了解Ipv4,为了便于记录Ipv4的地址,使用点分10进制标识,也就是说Ipv四中的Ip地址是一个32位的二进制地址,用4个有点号隔开的数字来表示,
IP地址由网络号与主机号两个部分组成,网络号是网络在internet上的唯一标志,主机号是一台网络设备在特定的网络内的唯一编号,为了管理方便,。
IP地址中也有一些特殊的情况,直接广播地址,它是将最后一个字节设为全一,即255,受限广播地址4个字节全部为1,也就是255.255.255.255。
还有网络上的特定主机地址,他把前面的网络号设为0,最后设上主机号。
最后一个特殊的IP地址是回送地址,比如我们经常使用的127.0.0.1是指本机地址。
目前IP地址分配主要存在静态分配和动态分配两种方法,静态分配是指预先给每一台网络设备分配一个固定的IP地址,而动态分配是指网络设备在启用网络功能时向某一台管理机申请IP地址。那么这两种分配方法的优缺点是怎样的呢?在网络发生问题时,静态分配方法比较容易跟踪问题,但是由于某些网络设备可能并没有同时在线,静态分配容易浪费IP地址。相反,动态分配方法的优缺点且与静态分配相反,在IP地址的概念提出时,就将IP地址分为了a类、b类和c类三类地址。
随着internet的指数增长,传统的分配方式缺点也越来越明显,IP地址即将用完,而基于分类的IP地址空间则浪费了大量的地址。
后面就提出了无类域间路由CIDR,在CIDR机制中路由表中增加了一个32位的源码域,
划分子网是在IP地址编制的层次结构中增加了一个中间层次,使IP地址变成了三级层次结构。三级层次结构的IP地址是由网络号、子网号和主机号三个部分组成的。
第一级网络号定义了网点的位置,第二级子网号定义了物理子网,第三级主机号定义了主机和路由器到物理网络的链接
通过子网掩码,可以把一个IP网络分为若干个小网,也就是子网,这样的话可以更灵活更有效的使用网络。什么是子网掩码呢?子网掩码就是一个与IP地址对应的32位数字,在源码中网络号以子网号之一主机号置零,通过掩码可以把IP地址中的主机号再分为两个部分,即子网号和主机号,
把网络地址与子网掩码进行与操作,从而可以获得网络号作为路由选择的目的网络号,通过掩码可以把计算机中的网络号给取出来,
那么这个时候就提出了一个子网的概念,通过子网可以把一个大的网络划分为几个较小的网络,而每一个网络都有其自己的子网地址,具有相同子网部分能够直接到达对方,不需要通过路由器。
网段一般是指一个计算机网络中使用同一物理设备连接,能够直接通信的部分,在同一网段要求网络标志相同,即处于同一网络下的设备,具有相同的网络号和子网号。在划分子网的情况下,判断两台主机是不是在同一网段中要看他们的网络好,与子网号是不是相同。
网关又称为网间连接器协议转换器。网关工作在网络层用于将两个不同的网络互联。如果说 IP地址不在本网络内,则可以交给网关,传给其他的网络。网关的结构和路由器比较类似,不同的是他们互联的层次不同,网关既可以用于互联网互联,也可以用于局域网互连。
路由是指分组从源到目的时决定端到端路径的进程。目前我们使用的IP地址可以分为网络号、子网号和主机号三个层次,那么IP分组的路由选择过程也可以分为第一步转发给网络,第二步转发给物理子网,第三步转发给主机三个步骤,通过选择适当的路由算法来完成端到端的数据转发过程。
为了管理方便提出了VLAN这个概念。vlan的中文名为虚拟局域网,VLAN本质就是指一个网段,之所以叫虚拟的局域网,是因为它是在路由器中虚拟创建的网段,vlan可以根据规则将交换机上的部分端口划分为vlan,划分出单独的网段,当然也可以根据规则划分出多个VLAN,形成多个网段
NAT,网络地址映射是在IP地址短缺的情况下提出的一个周转的方案。那么他是怎么工作的呢**
?它是让一个局域网里面的所有的主机对外共享同一个IP地址,通过将网络中的主机以外网IP地址的端口进行映射,从而实现多台主机共享同一个IP地址的这样的一种技术。
例如如果我们网络中的主机想要发送数据给公网的服务器,这个时候就会在我们的路由器上形成一个地址映射,也就是把内网的IP和端口号映射到我们对外的IP地址和端口号。**
网络中的服务器想要发回数据给我们的主机时,他就把数据发到我们的路由器上来,然后通过端口就可以找到我们内网的主机。
如果我们内网的主机想要跟其他服务器进行通讯时,就会产生新的地址映射,这样的话就能够让多台内网的主机共享一个对外的IP进行通讯。
通过nat本地网络仅使用一个IP地址与外面联络,不需要向ASP申请多个IP地址,能够根据需要设计内部网络的地址,内部地质变化对外部无影响,能够修改iSP对内网络地址没有影响。在内部网络中的设备在外部不能直接被外部寻址,这堂课我们对网络的相关知识进行了介绍,在后续的课程中,我们将带领大家使用这些知识进行云网络设置。
十进制方式表示的IP地址10.2.0.52对应的二进制表示为哪项?A.10000001 00001000 00010000 00011001B.00001010 00001010 00000000 00110100C.01111110 00000000 00000000 00000000D.00001010 00000010 00000000 00110100
D
关于IP地址的说法错误的是?A.IPv4中IP地址是一个4位的二进制地址B.IP地址由网络号与主机号两部分组成C.TCP/IP中使用的地址标识符叫做IP地址D.如果一台主机或路由器连接到多个物理网络,那么它可以拥有多个IP地址
A
以下关于子网掩码说法正确的是?A.划分子网使IP地址变成了四级层次结构B.第二级子网号定义了物理子网C.将一个大的网络划分成几个较小的网络,这些网络共同使用同一个子网地址D.网络地址与子网掩码进行OR操作,获得网络号,作为路由选择的目的网络号
A 错 三层
B 对
C 错 每一个网络都有其自己的子网地址
D 与操作
首先讲公网的接入,那公网的接入第一步就是公网IP,因为我们之前说在vpc里面,我们给主机也好,数据库也好,分配的是私有IP,但是没办法去访问公网的。还有一个办法就是我们可以多网卡,在绑定私网IP的同时,我们绑定公网IP有两种形式的公共IP,第一种就是普通的公用IP,在我们购买 cvm的时候就会申请来绑定,这个IP它是只有 cvm本地,它其实与账号是无关的,
那么如果你 cvm销毁或者你自己主动去释放 IP之后,他就回到公网的IP池
很有可能被其他用户给占用了,这个时候你是没有办法再找回的,这也说说有些服务器是不愿意换IP地址的。
这个时候我们提供的解决方案就是弹性公网IP它的特点它可以是独立去申请的,你独立申请完之后你可以绑定cvm,绑定net网关,然后它是与这个账号是相关的,你即便是解绑之后,只要你的账号没有欠费被释放,那么这个IP他会一直都在你这个账号上面,那么你解绑以后,你下次其他服务器需要再使用的时候,你可以重新再绑定,然后你不使用的话你一直闲置,他可能会对你做一些收费,这个时候可以通过API或者控制台去主动释放弹性IP地址。
那么公网接入的第二类叫公网的网关,之所以要用公网网关,**因为公网IP访问的话,你只能解决一台服务器去访问的问题,**我有多台服务器每一台服务器都去申请一个公网IP,对公网IP资源是一个很大的浪费比较好的一种方式,我们可以通过公网网关,实际上它是一台这个服务器,它就是开启了这个公网转化功能的服务器,那么我们什么时候去开启这个转化功能呢?
在你购买服务器的时候可以看到你的购买服务器在选择存储与带宽这里,它下面会有一个选择项,就是说你是否用做公网网关,如果你这里没有勾选,那么它就是一台普通的服务器,那么如果你这里勾选了,就代表这个服务器它将开启这个转化功能,作为一个公网网站来配置。
公网网关它还有个比较大的特点就是说他不能为他相同子网的服务器来提供转发服务,它只能是位于不同的子网的服务器,比如说我不同的子网去另外一个子网的普通云服务器,它只有这个私有IP,我在配置路由表中把它指向这个公网网关,共有网关它需要有独立的子网,不能对本子网的主机进行转发,这个时候服务器就会转发到公网网关,网关再去访问公网,公网网关他其实也是有一些限制的。
我们其实需要功能更强大的叫NAT网关,实际上nat的全称就是网络地址转换,我们前面说了,它提供的功能就是我可以把私有IP地址转换成一个公有的IP地址,然后我共用IP地址就会在网上进行通信,当这个业务包发到共用IP地址的时候,他net网关这里我又把它转化成私有IP,最终再把这个数据包转发到内部的私有主机,有两种方式转换,第一种叫s net,就是基于IP地址转换,我一个私网IP对应一个公网IP,这样一对一的转换,但是这样子其实对公网安全来说也是一种浪费,因为公网资源它是非常紧张的,所以我们每个私网IP都对应一个公网IP,我们需要大量的公网IP,实际上是非常浪费资源的。
这个时候我们提供了一种新的解决方案叫 d nat,就是通过端口来进行转换,目的网络地址转换,我除了通过IP地址,我还可以通过这个端口不同的IP地址,当端口号不一样的时候,那么我就可以转化成不同的 IP,也就是说你比如说原来我一个IP-1,IP对应的一个功能,IP一1对应的,那么现在我的IP1加上公网ip二,那么公网ip二带一个端口对应的是IP1,一带另一个端口我对应的是有IP2。再看第三个端口,那么对应的是有IP3,
也就是说我通过一个公网IP加上不同的端口号,那么我就可以实现后端的多个私有IP,转换为目的端的一个公网IP
所以叫目的网络转换。通过网关它还提供一些流量控制告警,还有一些共享流量带宽报的一些增值的功能,可以看到公网网关也是分类型的,比如说一些小型的网关,它可以达到连接数100万,中型的网关可以达到300万,大型的网关是1000万,所以就是可以根据客户自己的业务需求来选择需要什么样的公网网关。当然了这个价格其实也是不一样的。
在这里可以看到公网还有一些属性,首先公网关它必须属于你选择具体的一个vpc网络,然后它可以进行这种带宽商业的控制,而且你还可以绑定弹性的IP,最多可以绑10个弹性IP。
我们可以对比一下nat网关和公网网关的差异,那么首先nat网关它是一个装机设备的可以自动切换,就可用性上来说耐特网关相对更高一些,公网网关因为它是一台独立的服务器,实际上你要去手工的去配置和切换,相比之下的可用性可能更高一些,从带宽的维度来看,net网关支持5g、5gpps还是比较高的,公网网关取决于你买服务器的时候你给了多大的带宽,那么它就会基于你这个带宽来提供服务。然后从IP数量来说,nat网关可以绑定10个弹性IP,这样子他的转化能力就更强了,可以看到我们可以转化几百万的年鉴,但是公网网关因为它只是一台服务器,它就只能绑定一个公网APP或者一个弹性IP,所以转换能力相对更弱一些。那么限速的话,公网网关可以做一些简单的限速,是取决于服务器的。
nat网关这块其实是可以不限速的。然后从最大连接数来看,最大年收入可以达到1000万,这是nat网关,公网网关只能达到50万,这其实与他这个IP的数量是有关系的,我们IP越多,我的转发的连接数越多。同时从内网IP来看,nat网关它是不需要分配内网IP的,这个时候它就不会占用你的内网IP,但是公网网关因为它是一台服务器,它必须要有内网的IP,它会占用内网IP,而且公网网关还需要有独立的网关子网,它也会占用一个子网,那么网关它是不支持安全组绑定的,它就是相当于不受安全组的限制。但是公网网关还是因为它的服务器的属性,它是可以绑定安全组的,那么安全组也是都可以对公网的发生作用的。所以整体上来看nat网关各方面都会比公网更强,但是它肯定价格也会更贵,实际上就根据客户的业务需求来选择对网络。
那么在传统的数据中心里面,我们会给主机分配IP地址,它也有网卡,然后把主机放在vlan中,通过vlan去其他的主机进行通信,还有通过路由表去访问不同的网站,那么在云环境里面也是需要有这么一个网络空间的。所以腾讯云提供了虚拟自由网络abc,就是一个用户可自定义的逻辑隔离的专属于上网络空间,那么vPC包含以下几个部分,首先跟主机应该包含 I p地址,网卡,然后网卡IP它必须属于某一个子网,然后这个子网还必须属于一个比较大的私有网段,那么子网之间内部是可以连通的,但要子网和外网之间要互通,需要通过路由表来实现,然后在网络中因为它要实现逻辑隔离,那么它其实也要保证互通保证安全性,所以我们会通过安全组或者网络访问控制,列表sl来进行访问的控制,确保安全性。
企业私有数据中心的连接,我们可以看到第一种方式叫专线接入,专线接入实际上就是我们帮助企业去拉一条物理的专线,把它的数据中心连到腾讯云,它的一个组成,首先我需要有一条物理专线,然后需要有一个专线通道,还有在腾讯是要有一个专业的网关,然后最终实现说用户本地的地下的一个连接,它的最大的优势就是网络资源有保证,因为我拉的是一条物理专线,然后还可以通过多地域的接入,因为腾讯的机房接入点是拼布全国全球各个地方都有对就近的去介入,而且我们可以支持各种端口的协议有什么10G的100G的,而且接的时候那双线一条主一条备用,它主要应用的场景一般是在混合云的场景是吧?我把企业的私有数据中心或腾讯连接起来,或者我要跨数据中心实验容灾的时候,这个时候会用到物理专线。
那么第二种这种企业数据和连接的方式叫连接,专线连接虽然它的网络质量很好,但是确实它的成本是比较高的,而且那么有些网络连接其实它是不需要那么强的连接性,通过连接也是可以达到的,实际上它并不是一条物理连接,它是一条在互联网上的一条虚拟的加密传输的网络隧道,它实际上是一条虚拟的链路,然后它的组成在腾讯有个网关,在企业有一个对端的网关,因为它要实现加密隧道,它通过两端的网关来实现加密的隧道,它的优势就是说安全可靠,而且它部署非常方便,实时部署可以通过监控还有流量控制来保证流量的可控性,因为它的安全性怎么保证呢?
我们是通过IKE的私钥交换协议,还有 APC整个数据下面进行传输的,就可以保障你传输是不会受到影响的,安全性是有保障的,那么我们有连接也有专线连接,但企业应该怎么选择呢?
这个时候我们可以对他们做一个对比,从网络质量来说,专线接入可以保障一个99.5%的时间保障,而且它有这种固定的这种路由配置算法,免去网络拥堵或者绕行对吧?因为我在官网上你他的路由可能会绕行,可以说在不同的节点之间绕行,甚至在不同运营商之间绕行,而且因为它是没有预留的,可能就会产生一些拥堵甚至丢报。
然后从带宽上来看,专线网关最大支持时机的链路,而且我可以实现多链路接入,多链路之间可以做负载均衡,也可以容灾备份,然后微平行连接单一网关最大值是100兆时机和100兆连接的网络带宽差别还是比较大的。
第二个维度是高可靠。那么接入网关它的接入设备,它的转发设备实际上是采用这种分布式集群的部署,而且是可以双线甚至多线的接入,它整个是可以达到全链路的一个可靠性,但是 它没办法达到全链路了,它只能在网关层面实现双机备份,就是它只是具备网关层的一个可靠性,但是在 internet上前面说了,因为她有些造型有些时延有一些这种风拥堵,这个时候它的可靠性是不够的,但是对于说一般普通的业务是可以用的。
而从安全性来讲,因为是专线技术是独立的,网络链路安全性是非常高的,另外一些金融政企跨数据中心连接,它一般会用到一些专线,因为它独占的安全性是非常高的,那么因为它前面说过通过abc和ak加密传输,基本上大部分情况下还是可以满足的,相比专线接入安全互相对没那么强,但是可以满足大部分场景了。
再看一下 nat地址转换的支持,在专线技术上我们可以支持配置nat进行地址转换,这样子可以实现说我少量的公网IP可以应对大量的私有IP,但是连接,现在是不支持这个地址转换的。
最后一个是它的部署时间,因为专线接入它需要联系运营商去申请部署一条专线,所以它还是非常耗时间的,首先你就要去申请,申请完之后它去布线可能要花几个周的时间,但是连接因为它是一条虚拟链接路,虚拟的加密隧道可以实时部署,基本上也是看客户的需求了。有些客户他的业务对网络质量要求比较高,他真的是需要拉专线,有些客户他可能网络质量要求没那么高,只是一些普通的业务流量也可以拉 ,这样可以帮助他省一部分成本。
实际上很多企业它真正的用法是专线接入和 APP连接一般都会有,首先专业接入对网络质量要求较高的地方,我要求用专业接入,同时 VPN连接,我也可以把它作为一些比如说管理流量或者是做一些备份,就是两种方案同时使用。
那下一个就是说我们跨VPC或者跨地域连接的时候,我们通过什么方案呢?对等连接可以理解为它是一种大带宽高质量的这种互通,支持这种多VPC多区域和多账户,甚至还有这种不同的网络结构,比如说一些VPC网络或者一些这种技术网络之间互通。
二个是跨账号的对联连接需要对端确认,其实也是为了保障网络安全性的,如果a客户他需要和b客户的账户时间对等连接,那么首先可以发起这个对等连接,但是必须等这个对端确认了,大概等7天的时间,如果7天时间他确认了,那就可以建立,如果7天时间他没有确认,那这个对等连接就自动无效。
而且他还有一个限制就是两端的VPC网段是不能重叠的,重叠了它就冲突就没办法建立这个连接。因为重叠了他路由表这个就出现混乱。
可以看到对等连接有两种类型,第一种叫同地域的对等连接,第二种是跨地域的对等连接。我们可以看一下,首先从底层架构上来说,我们定义的连接它是基于腾讯云的,它具有本地内网,这个时候它内网的保障性就更强一些,那么跨地域的话是基于mlps网络,实际上它跨地域一般会产生流量经过公网,所以它就专门通过MPls网络。
第二个是从带宽维度来看,最大的一块带宽是5g,黑石是一g,跨地域是一g,所以同地域还定高一些。
从计费规则来看同地域是免费的,同地域因为是在企业培训内部的流量,成本会低一些,所以免费使用。跨地域,因为跨地域会要通过公网,这个时候你会用到运营商的带宽,那么腾讯云需要去买带宽,这个时候客户也需要付相应的成本。
从电路可用性来说,从地我们可以达到99.5%的可能性保证,但是跨地域的话因为是经过公网,这个时候我们会分等级,比如说白金等级的,我们保障99.95%,金等级的,我们会给99.5%,银的话99%。当然不同的等级代表你要付不同的费用,你可以根据你的业务需求看一下我需要哪一个等级,我要考均衡我的成本肯定是选最合适的。跨账号连接的两个都是支持的,但是要记住就是一定要经过对端的确认,而且
对等费用是由发起端来支付的
,比如A用户发起的对等连接,与用户连接,那么费用由A用户来结算,这是从访问的权限来看,两段资源都是相互通的,那么不同之后就可以进行通信,从功能限制来看,两端的vpc网站不可能重复的。
第二个是应用场景主要是在我同地域的不同vpc的互通,那么跨地是相当于跨地域的连接以及两地三中心。
我们在谈产品云联网是一个什么东西,我们前面讲对等连接也好,专线连接也好,它有很大特点,
就是单点互联,我要和这个vpc连接我还得必须再重建一个对等连接
这其实管理是比较麻烦的对吧?而且限制也比较多,所以它运用为了方便网络连接,我们做了一个什么云联网,它的功能是什么?首先我的目标是实现 vpc与企业数据中心的一个互联,那么它的好处就是说我只要把这些vpc实例还是要专用网关的实例加入到云联网之后,它就可以实现互通了,就是一次配置多次互联。我们可以看一下它的对比,原来是单体互联这里,我一次接入全网互联,而且客户还可以就近访问,要从网络的重叠性上来说,整个VPC网站是不能重叠的,但是云联网里面我是允许你 vpc可以重叠,但是到子网这个层面不能重叠,所以它的力度更细,这样子你的 IP网站的规划配置就会更灵活,应该从配置维度对着连接单点的需要手动去配置管理,但是
云联网里面通过这种智能的学习和调度,路由也是自动去下发,这样就自动化的管理其实也是更方便的。
我们可以看一下云联网它有些什么样的限制,第一个限制就是互通性也是不传递的。
你比如说我们VPC3、VPC1和IDC实现了云联网,VPC1和VPC2加上对等连接,但是 vpc2和云联网里面的也是不互通的,如果你要实现互动的话,你把vc2加到云联网环境里面来,这是你也不需要有联系就可以互通了。
第二个从路由上的限制来说,第一个是不同的vpc,包含相同的子网,不能互通。前面我们已经说过它的子网层级的是不能重叠的,但是不同vpc它有一定的重叠,但是子网不相同的话可以互通,这样其实就更灵活了。
如果出现互通冲突的话,那就是先到先得对吧?先关联的生效后关联的就无效。
而且他从资源的使用上来说也是有一些限制的,比如说每个账号目前可以限制5个云联网,然后可以绑定的网络实例是25个,路由条目吗?那是不限制的。
我们可以看一下云联网的它应用的场景,第一种就是混合云的场景,我的企业数据中心,我的云上的网络要实现互联对吧?我这不再需要通过它安检的去连接了,我把这些实例全部加到我的云联网之后,它就实现全网互通。这是第一。
第二种叫游戏加速全球布局,因为游戏的话一般用户会分布于全球各地,如果我没有做云联网的话,可能客户从不同地方接进来,有些地方你服务器进就是我服务器在广州,你服务器进的这些客户他的性能就好,我在国外的客户他接进来他性能就慢,这样子用户的体验和公平性就不好,加入我的云联网之后,在用户就可以通过比如说广州的玩家从北美的玩家从北美接入,香港玩家从香港接入,这样的客户可以就近接入,那么经过腾讯内部云联网高速传输,可以保证你不管从哪里接入,你体验可用性都是有保障。
公网接入的方式有哪几种?A.弹性IPB.公网网关C.NAT网关D.私有网络VPC
ABC
公有云和企业私有云之间的连接方式有哪些?A.私有网络VPC B.专线接入 C.VPN连接D.弹性IP
ABC
云联网能提供的服务有哪些?A.云上VPC之间连接 B.VPC与企业DC直接按连接 C.VPC与企业专线网关实例连接 D.智能学习调度,路由自动下发
ABCD
首先我们来看一下负责均衡的功能是什么,就是做流量的分发
,可以看一下它的工作原理,首先对于前端我们会提供一个虚拟IP,就是VIP作为接收服务请求的一个入口,然后接收请求之后负载金融的实例,他会有一个监听器会监听后端服务器的实例处理的情况,然后再基于流量分发算法,把前端接收的请求分配到后端的服务器上去,那么后端服务器接收请求之后会进行处理并返回结果,这是一个整体的过程。
那么整个过程中我们还会用到云监控服务,它会监控所有节点的状态,以及他的情况,然后反馈给监听器作为监听器做分发决策的一个输入,看起来还是比较简单的。
我们可以看一下腾讯云服务的均衡有些什么样的优势呢?首先高性能和高吞吐,腾讯云现在单集群已经最大支持到1.2亿的连接数,然后流量峰值达到47,每秒处理包量达到600万。实际上是腾讯云或者确实是基于 QQ微信,这些有大量的用户有大量的连接这种实战经验,所以导致了他的能力还是非常强的。第二个优势是高可靠性,我们可以保障99.5%的可靠性,
主要有两个方面,一个是对节点的健康检查,然后如果发现故障节点会进行分钟级的进行切换,然后流量自然就分配到其他正常节点上去。第二个它还可以实现那种跨可用性的部署,就是说你可以通过负责军人将你的业务部署在不同的可用区,那么平时的话不同和区之间做负载均衡,一部分流量去A可用区,一部分流量去b可用区。
然后如果某一个可能去发生故障,给通知的就能把流量全部导入到另外一个正常的可用区,这样子就可以实现那种机房机的这种容灾备份。
第三个是安全保障,目前我们对每一个租户的流量他其实是进行严格的隔离的,你互相是不可以干扰对方的。第二个是基于腾讯的安全产品,我们提供了一部分的这种D DOS防护的能力,避免被攻击。
负载均衡它的转发首先它只是一个多协议的转发,有4层的负载均衡,也有7层的负载均衡,可以看到4层的负责监听,它其实监听的是这种4层的端口,就是TCP和UDP比如tcp现在是80端口,然后在基于端口号以及 VIP地址去做一个转发到后端服务器上去,所以4层是比较简单的。
那么7层会相对更复杂一些,它监控的是HTTP或者HTTP s然后是基于内容来转发,内容就是域名或者网络访问地址url,可以看到这里负责新时令监听器或者请求之后,它会基于这个域名, text.QQ.com,你看image点QQ号你看制定不同的转发规则,然后再发到不同的转发组,再对应到后端的不同的服务器上去,所以7层它会相对更复杂一些,但是它转发的分发的力度会更细。
前面只是基于端口,现在可以基于内容来负载均衡,就可以更精细化的去转发和管理。
那么他怎样去分发一个后端呢?实际上是通过流量分发的算法。
我们可以看一下,首先加权轮询线方法就是假设我有10台后端服务器,那么我依次把前端的访问请求分派到后端的服务器,这样叫轮巡,但是它会有一个问题,因为不同的服务器它的配置可能不一样,处理能力也不同,这个时候如果只是按照轮询的话,还是会出现说处理能力强的,他处理的量是不饱和的,但处理能力弱的它可能是量是超负载的时候,我们就增加权重,我会把处理能力更强的服务器配置更高的权重,这个时候我再连接到达的时候,我优先把连接分配到权重更高的服务器,让他处理更多的连接,这样子就可以达到处理能力和处理连接处的一个均衡。
那么它实际上的场景就是这种连接的服务时间基本相同,然后比较短的短连接,但是不使用的产品就是这种连接服务时间差距比较大,如果服务时间差距比较大,会出现什么问题?比如说接的都是同样的连接处,但是有一个服务器它接的连接处是每个连接平均处理时长是5分钟,但有一个服务器上的连接平均处理时长是半小时,这个时候常连接的服务器上的力量就不均衡了,所以我们有一种叫加权最小连接数的这种方法,首先就是我设置一个权值wi,同时这个服务器当前连接数为ci我算一个比值就是Ci/wi另外这个值得到一个最小值了,我就会把新来的连接分配到这个服务器上去,
这样子就可以避免了这种长连接的时候,他们服务时间不同的时候的不均衡。
但是它有一个弊端就是最小连接数和会话保持功能它是不能同时开启的,这也是其中的一个弊端。那么第三类我在分配的时候,我希望某一个源地址来的服务都去到某一个服务器上去处理,实现一个一致性的均衡,这个时候我就会用到源地址散列,就是我寄原地址会通过垃圾算法给他算一个哈希值,然后再通过moyu(?)的方式把它分配到后端的服务器。你比如说我有10台服务器,我算出这个哈希值之后,我会用这个哈希值去除以10,得到一个余数,余数是几?我就把它分配到对应的服务器上去,比如说余数是5,我就分配到编号第5号的服务器上去,
这样就实现来自同一个IP地址的服务,都去到同一个后端处理服务器,它的服务响应服务体验会比较一致,
这样它就比较适合这种需要固定分配、会话保持的这种没有cookie功能的tcp协议的场景。但是这里它有一些弊端,你比如说我的服务器数量变化的时候,这个时候我的moyu(?)算出来就不一样,我原来10台服务器我出去时得到这个余数是5,但是我除以11等于他就不收了,那就可能变到其他服务器上去了。还有一种情况,你如果固定到同一个服务器,那么要这个服务器在那边刚好不可用,去找你这个服务是不可用的,这样也是有影响的。当然对于这种情况,因为我们是对这个节点有健康检查的,如果有不可用的服务器,我们会及时的发现,发现之后就进行剔除,或者去重新调度到其它可用的服务器上去,所以说各种不同的规划算法,它的应用场景不同,实际上也是根据基于业务的特点来做选择的。
我们再看一下负责均衡的类型,实际上是基于两个维度,细分出了4个类型,首先叫应用型和传统型,第二个是公网和内网行,我们可以看一下他们对不同功能的知识的差异性在哪里,应用型为例,它的功能性和内容性的知识差别在哪里?所以前面这部分我们七层转发,4层转发支持HTTP2策略绘画保持健康检查,以及这种转化的不同端口,这些都是一样的差别,就是在最后的三个功能对吧?
重定向、跨地域绑定,还有日志存储这三个功能内容形式不支持的。那是公网型是支持的。所以说公网现在会比内容性更强,我们再比较一下应用性和传统性的差别在哪里,以公网为例,可以看到前面这几个都是一样的,但是它实际上健康检查还有这种转化的后端可能它也是不支持的,
所以说应用型的比公有型又更强,所以总结起来就是说应用型公有型的负载均衡是中等最强的,支持范围最广的。
所以你在购买的时候你也会发现它会告诉你应用型是推荐的,传统型,它有些不支持的功能。而且这里负载均匀可以看到它可以继续进行配置和选择。
具有地域属性的,我们再看一下公网型和内网型的差别,首先公网型它的主要功能就是提供公网的一个统一的入口,外网访问的时候有一个统一的入口接收流量,然后再进行后端的分发,那么它有一个功能对后端服务器的故障容错或者是故障恢复,比如说我后端服务器出故障,这个时候外网流量是没有感知的,它发过来之后我会分直接分发到对应的正常的节点去,而且我可以把有问题的节点剔除,然后再恢复增加新的可用节点。
第三点它有个好处就是能够不同运营商就近接入,因为每一个客户他最先介入是介入运营商网络,但是很大访问的服务器,比如他介入电信的网络,但实际上他访问服务器在联通这个时候就会出现绕行,我先去电信的出口,然后再到联通的入口,就有一个绕行。服务质量和时间方面可能是有影响的。但是腾讯公它的负载均衡,因为腾讯同时接入了电信,联通这个时候你说接到我的负载均衡之后,我会通过内部的联络选择最优的联通最快的调度到对应的节点去,这个就是避免运营商的绕行。能够保障服务访问的质量。
对于内网型来说,它的功能其实是内网流量的分发,那么它的功能除了服务器故障容错和恢复,实际上它还有很重要的功能就是它可以屏蔽后端的IP,还有这种进行提供透明化的服务。你比如说我进行后端数据库访问,如果以前我固定去访问某一个IP,如果这个IP出现问题或者检验出现问题的时候,我的流量就不可用了。
那么这个时候我如果通过负载均衡,做好下一代负载均衡之后,我永远都是访问这个负载均衡的 VIP,
所以你后端节点也好,节点变化,节点故障还是后端的IP做了变化,对于我前端来说都是不可感知的,都是透明的,所以可以达到这种透明化服务的一个要求。
所以我们再看一下负载均衡进行它的一个应用场景,第一种就是流量的分发,这种横向的扩展,那么需求场景首先这种需要大量的服务器,而且它的业务的波峰波谷比较明显,需要弹性调度,同时它流量峰值比较高是吧?你需要构建低成本的架构,也就是说流量高的时候你需要有保障服务,但流量低的时候你需要把这些服务服务器给释放掉,避免它产生一些不必要的成本,主要的有些什么电商的促销,比如双11平时流量很少,但是双11的时候一下子会成百倍的流量,这个时候还有一些金融系统还有游戏服务的对吧?可能晚上对吧?没有人去做业务,他的流量会很低,但是白天比如说10:00业务高峰期服务响应后端资源要求就很高。
这个时候我们的方案其实就是负载均衡加上弹性伸缩,平时的时候我通过负载均衡把流量分发到这些正常的处理集群去,那么如果出现流量峰值增加的时候,我通过弹性增速我不断增加更多的节点加入,能够立即提供服务。峰值过去之后,我还可以用弹性伸缩再把这些多余的节点给释放掉,就可以达到业务支持和成本的一个最佳的均衡。而且这里说一下我们这里用的是横向扩展,节点的扩展有两种形式,一种叫纵向扩展,一种叫横向拓展。
纵向扩展就是说当我处理能力不够的时候,我给这个节点增加CPU,增加它的内存,就是提升这个节点的规格,增加它的处理能力,这个叫纵向扩展。
横向扩展就是我不改节点,但是我增加更多的节点。一个节点处理增加两两个步骤。第三个就是横向扩展,这叫增加节点,那么重点发展是增加规格,所以可以看到横向扩展实际上更容易调度和分发。所以我们在社区里面用的是横向扩展。
第二个场景叫业务访问的分离,就是我们前面说到负载均衡是支持基于内容的转发,就是基于域名基于 url路径来转发,所以你会看到像这种场景,我们首先在负载群返回主页的时候,提供一个统一的访问的域名和IP地址,还有同类的域名,但是到后端的话,我用不同的域名把它分配到不同的集群去,
比如说视频我到video集群,然后图片我到image这个集群,然后文本我到txt这个集群。
那这样子的好处就是因为我不同的文件,比如视频文件、图像文件或者文档,它的存取和访问的方式其实是不一样的,如果我把它们混在一起的话,我就很难去兼顾三种类型的这种要求,如果要兼顾可能成本也比较高,所以我把它分开之后,我就可以针对视频图片进行相应的优化,这样子可以保证我的性能会达到最优,而且我的成本也是达到一个比较好的控制。
下一类是就是说出入流量的分离,我们可以看到对于内网来说,我们有两类的这种访问请求,第一是我内部主机,我需要去访问外部的网络,去访问外部网站,第二是外部的用户他需要去访问我内部提供的服务。这两类请求如果你把它两类流量放在一起的话,首先它会互相干扰,第二个它的安全性保障也不足,互相可能会出现一些攻击。所以我们会通过负载均衡和net网站这两种流量进行一个分离。
首先我主动发起的,那么我会把我的访问发到我的nat网关,做完地址转换之后,在访问的互联网上去。同样如果互联网上有用户要访问我内部的服务,那么首先我让他访问我的负载均衡的VIP,通过 VIP做一个转换,再到的内部的服务器,
通过这两个东西可以实现后端被屏蔽掉,与外部网络没有直接连接,这样子对我提升我的安全性也有很大的保障。
最后一个应用场景就是混合云,我们可以看到当企业连接数据中心的时候,他一部分的数据中心一部分在公有云上,但是我又不想把两部分流量分离怎么办?我就在前面给大家一道负载均衡,那么基于负载均衡流量来的时候,首先我会去转化规则,一部分我转到企业的数据中心里面去,另一部分我转到云上去对吧?就是执行一个正常情况,两个的同时提供服务,如果某一个地方出现故障,比如说传统数据中心出现故障之后,我可以充分的去把所有的流量都转化到云上去,这样也实现了一个容载备份,所以就是负载均衡容载备份可以同时用。
腾讯云负载均衡有哪几种分发算法?A.加权轮询B.加权最小连接数C.源地址散列D.普通轮询
ABC
腾讯云负载均衡的哪种算法可以实现固定分派,保持会话?A.加权轮询B.加权最小连接数C.源地址散列D.普通轮询
C
假设您现在拥有3台配置相同(CPU / 内存)的后端服务器,在负载均衡属性中,3台机器的权重都设置为10。由于业务访问量大,此时新增 1 台后端服务器,请问如何配置负载均衡中的流量分发方式才能快速的让第四台后端服务器的负载提升,降低另外 3 台后端服务器的压力?A.加权轮询算法B.加权最小连接数算法C.源地址散列调度算法D.无法快速让第四台机器的负载提升
B
我们会看到这张图上它出和入不走同一条路,我们再看一下这样的一个拓扑图,一个是主动向外网发送请求,那么一个是入流量,可以看到云服务器是有两台的cvm1和cvm2,那么它部署在我们的region VPC中,他没有公网IP,注意没有他是个private IP,他没有公网IP,所以他不可以去和互联网访问。当互联网上的一些资源去访问我们云服务器上的服务的时候,比如说我们主动的要去访问互联网上去访问我们的CVM,那么这个时候我们必须去通过统一的负载均衡的VIP,我们会看到这个地方是115.159点多少,那么大家是先通过负载均衡,将负责把所有的请求使用一定的均衡策略去分发到后端的服务器上。
那么互联网对这样一些后端的服务器的集群是完全无感知的,因为他只知道那么是一个115.159IP去处理我的请求,那么回报的流量,也就是说我们的这样的一些cvm会看到cvm2它的一个出流量,他其实也是去通过负载均衡,然后回给客户端去做到了后端服务器的有效的隐藏。但是当我们的云服务器的集群是有主动的去访问公网的时候,那么它就不经过负载均衡了。我们通过去配置我们的路由表,通过一个互联网的网关去进行互联网的转发。比如说在这里我们使用了MAC,公网的网关,
那么NAT网关那么在这里的话我们可以看 cvm1和cvm2,然后去尝试访问外都会把流量的去转发给内网关,然后我们NAT网关就带你去上,是这样一个路。我们再次去提升了后端服务器的安全性,因为再次去隐藏了后端服务器的消息。腾讯云的网络产品像负载均衡产品,它主要是用于咱们的流量的分发,然后通过横向的去扩展应用系统的一个服务能力,然后**他去适用于各种的像外部server,APP server,**通过负载均衡实力能够实现咱们的业务的分离层,并且说我们整个vpc里边其实还可以去应用于托管咱们简单的外部网站,多层的网站以及腾讯的混合云部署。
我们先看流量分发的网络,我们先看一下这张图客户端,负载均衡,外部服务器数据库,这是一个非常典型的结构。对于我们来说,我们作为管理员,我们需要在平台上去部署我们对外访问的一个网站,那么这个网站在部署的过程中是需要用到数据库,那么这个是在我们的云上,那么对用户来说也就是对客户端来说,那么他要去访问你,而你的外部服务又是通过向弹性伸缩这样的一些动态规模管理,他不知道你的IP会是多少,所以你必须得有一个负载均衡,或者说流量很大的时候,你也必须拥有一个负载均衡,那么客户是需要有一个很好的体验,所以在这里的话我们需要去开启会话保持和健康检查这样的一些功能。
再有就是我们的横向扩展能力了,对于负载均衡来说,横向扩展能力那么是一个非常重要的一点。比如说我们刚才谈到我们的弹性伸缩服务,弹性伸缩服务。横向的去扩充我们的服务器,去使得咱们有更多的服务器去承载用户压力。但在这张图上我们会看到,
我们的服务器规模其实就是一个水平扩展,但是我们每扩展出服务器来都会自动的去下挂到我们的云负载均衡下,那么云负载均衡就会时时知道后端服务器,那么它的一个规模,它的IP是多少,对客户端来说就非常轻松的去把流量分发给新的服务器。
那么对于管理员来说,通过这样一些方式,可以去随着过往的一些访问压力,慢慢的把腹泻变多。当然了我们说用户不再需要这些服务器的时候,他还去自动的去回收,这个就叫做弹性非常有用。
什么叫做业务分离的网络?我们来看一下这张,那么对于下面来说,我们有视频集群,集群和文本集群。我们对用户来说,我就是要通过一个三w.uQQ.com,然后去访问你的网站,比如说我们去访问腾讯视频,但其实我们知道腾讯视频的网站上其实除了视频还有图片,还有文字,服务器的性能来说,文字、图片、视频它其实没有必要把服务器配置成一样,那么应该各有长处。所以这些视频文字图片它应该存储在不同的服务器集群上。那么通过去检测你的url访问到底是什么内容,来去把咱们的一些内容去给你展示。那么也就是说像在大型的网站上通常都是这样有上百个业务的子模块,那么使用负载均衡以及我们的DNS的解析,对外的门户的首页门户网址的通常是固定的,它可以收敛为我们的负载均衡的公网IP,或者说一个自有域名便于说我们的客户端去访问,其实后端其实是有像我们在这里图片显示有不同的集群去构成。
再一个就是我们什么叫托管简单的网站,像我们可以像在使用普通网络一样去使用我们的VPc,然后去部署一个简单的外部服务器,像我们前面看到的这是前面的是一个网站,后面对接我们的数据库,然后中间我们有咱们的安全组合,ACL去保证安全,通过负载均衡出站和入站。那么这个的话就是一个托管简单的网站这一块,在这里我们可以做一些博客网站,日志系统都可以通过安全组ACL等防火墙,我们其实也可以去使用外部应用去响应APP请求。
那么我们再看什么叫托管多层的,我们其实在这里可以看到我们在vpc里面去创建了不同的子网,那么整个web层的是放在一个子网,
通过去配置弹性IP,公安网关、NAT网关对外通信
,逻辑层单独放在一个子网里,只能和web层以及数据库层去通信,那么数据层又放在一个子网里,只能跟逻辑层去通信。那么子网和子网之间的流量通过我们的网络ACL进行控制,腾讯云的私有网络可以再比如说咱们的一些外部应用提供互联网访问能力的同时,又能够去保障咱们数据库服务的。像我们在这里用户的访问都是通过右上角的internet,然后进行这样一个访问,然后其实用户是没有必要直接去访问到数据库层,大多都是通过一些网站,那么这里的用户就够了。
所以说我们的数据库层是没必要直面互联网,那么就通过这样一些多层的外部应用去实现咱们的一些安全的互联网访问。
那么再有就是我们的弹性混合云部署,弹性混合部署在这里的话,我们会了解到这样的一些图,一个是我们的弹性的云,一个是我们的私有云,就是我们的企业vpc,在这我们可以使用咱们的一些高效稳定的IP-sec,这样一些也可以使用咱们的物理专线。在这里的话,其实我们主要要明白的是混合云部署上我们到底应该选择云平台专线,如果说我们需要及时的通信,我们肯定是要选择,因为前面我们谈到时效性是特别高的,我们只要配置好立刻就可以生效。那么对专线来说,这个是需要提供有时延的,平均来说运营商是需要20个工作日才能够为咱们提供这样一些物理专线铺设。但是专线的稳定性和可靠性就会比我们的要高很多。因为这个是走公网的,你的延迟抖动都相比我们的专线来说会弱一些。
有腾讯云负载均衡参与的云网络应用场景有哪些?A.混合云架构B.出入流量分离C.业务访问分离D.流量分发扩展
ABCD
在托管简单网站场景中,保护云主机的基本安全策略是哪一项?A.网络ACLB.安全组C.私有网络VPCD.负载均衡
B(为什么不是A?
在弹性混合云架构中,公有云网络中部署了应用程序,企业数据中部署了数据库服务器,需要高质量的网络连接,因此最好选择哪种连接方式?A.公网网关B.专线接入C.VPN连接D.弹性IP
B
制作不易,既然看到这里了,不妨点个赞评论一下吧 ^ ^ !
你的支持是对作者创作最大的动力。