鲲鹏云服务技术之网络类云服务(学习笔记一)
文章目录
-
-
- 2.3.1 虚拟私有云 VPC
-
- 1.VPC简介
- 3.VPC场景
- 2.VPC概念
- 4.VPC常用管理
- 5.VPC与其他云服务的关系
- 2.3.2 弹性公网IP EIP
-
- 1.EIP简介
- 2.应用场景
- 3.EIP常用管理
- 2.3.3 网关 NAT
-
-
- 1.NAT网关简介
- 2.NAT网关应用场景
- 3.NAT与其他云服务关系
-
- 2.3.4 虚拟专用网络 VPN
-
- 1.VPN简介
- 2.VPN的应用场景
- 3.VPN的常用管理
- 4.VPN使用约束
- 5.VPN与其他云服务的关系
- 2.3.5 云专线 DC
-
-
- 1.云专线简介
- 2.云专线开通
-
-
2.3.1 虚拟私有云 VPC
1.VPC简介
- 华为虚拟私有云(VPC)是华为云网络的基础,它基于安全的隧道网络技术,为您提供安全、隔离的网络环境。
您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护.
VPC产品架构
虚拟私有云:用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。
可以完全掌控自己的虚拟网络,包括创建子网、配置DHCP等;
可以通过安全组的功能,按需配置安全域的访问规则,提高ECS安全性;
可以通过网络ACL的功能,按需配置子网的访问规则,提供子网安全性; 可以通过在VPC中申请弹性公网IP,通过NAT网关将弹性云服务器连接到公网;
可以使用VPN、云专线将VPC与传统数据中心互联,实现应用向云上的平滑迁移。 可以使用对等连接,将同一区域的两个VPC互联。
VPC产品优势
- 安全可靠:云上私有网络,租户之间100%隔 离,VPC能够支持跨AZ部署ECS实例.
- 高速访问:全动态BGP高速接入华为云,云上业务访问更流畅.
- 互边互通:华为云在安全隔离基础上,支持客户灵活配置VPC之间互联互通.
- 灵活配置:网络规划自主管理,操作简单,轻松自定义网络部署.
3.VPC场景
2.VPC概念
- 子网:子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DHCP访问、DNS服务,子网内的弹性云服务器IP地址都属于该子网。默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。
- 弹性公网IP:弹性公网IP是基于互联网上的静态IP地址,将弹性IP地址和子网中关联的弹性云服务器绑定和解绑,可以实现VPC通过固定的公网IP地址与互联网互通。
- 带宽:带宽是指弹性云服务器通过弹性IP访问公网时使用的带宽。
- 安全组:安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入安全组后,即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行,安全组内的云服务器无需添加规则即可互相访问。
- VPN:VPN即虚拟专用网络,用于在远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过VPN直接使用VPC中的业务资源。默认情况下,VPC中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。
- 远端网关:隧道对端物理设备上的公网IP,当前不同IPSec VPN的远端网关不能重复。
- 远端子网:通过隧道可达的目标网络地址,所有去往这个网络的IP包都会通过IPSec VPN隧道发送,可以配置多个远端子网。但是远端子网不能和VPN所在的VPC下的子网冲突。
4.VPC常用管理
常用操作
- VPC常用操作
- 创建虚拟私有云基本信息及默认子网
- 修改虚拟私有云基本信息
- 为虚拟私有云创建新的子网
- 修改子网网络信息
- 删除虚拟私有云
- 安全组常用操作
- 创建安全组基本信息
- 为安全组添加安全组规则
- 删除安全组规则
- 删除安全组
- 弹性公网IP常用操作
- 为弹性云服务器申请和绑定弹性公网IP
- 查询和修改带宽
5.VPC与其他云服务的关系
弹性云服务器
VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境。提供多种方式连接弹性云服务器与Internet。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护.
弹性负载均衡
弹性负载均衡需要使用虚拟私有云服务创建的弹性公网IP、带宽.
云监控
当用户开通了虚拟私有云服务后,无需额外安装其他插件,即可在云监控查看对应服务的实例状态.
云审计
通过云审计,您可以记录与虚拟私有云相关的操作事件,便于日后的查询、审计和回溯.
- 华为公有云VPC提供哪些网络功能( )? (ABCD)
A. 自定义网段划分
B. 自定义控制访问策略
C. 支持EIP接入公网
D. 支持VPN/云专线接入本地数据中心 - 弹性云服务器可以在线切换虚拟私有云( )? (True)
A.False
B. True
2.3.2 弹性公网IP EIP
1.EIP简介
- 弹性公网IP(Elastic IP,简称EIP)基于互联网上的静态IP地址,将弹性IP地址和子网中关联的弹性云主机绑定和解绑,可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通.
弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式,可以满足各种业务场景的需要.
一个弹性公网IP只能绑定一个云资源使用.
EIP优势:
- 灵活配置: 自定义虚拟私有网络,按需划分子网,配置IP地址段,DHCP、路由表等服务.支持跨可用区部署弹性云服务器.
- 安全可靠: VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信.网络ACL对子网进行防护,安全组对弹性云服务器进行防护,多重防护您的网络更安全.
- 互联互通: 默认情况下,VPC与公网是不能通信访问的,我们提供了弹性公网IP、弹性负载均衡、NAT网关、虚拟专用网络、云专线等多种方式连接公网. 默认情况下,两个VPC之间也是不能通信访问的,我们提供对等连接的方式,使用私有IP地址在两个VPC之间进行通信. 提供多种连接选择,满足企业云上多业务需求,让您轻松部署企业应用,降低企业IT运维成本.
- 高速访问: 使用全动态BGP协议接入多个运营商,支持多达21条线路.可以根据设定的寻路协议实时自动故障切换,保证网络稳定,网络时延低,云上业务访问更流畅.
2.应用场景
每个虚拟私有云VPC代表一个私有网络,与其他VPC逻辑隔离,您可以将业务系统部署在华为云上,构建云上私有网络环境。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以在两个VPC之间建立对等连接.
在VPC中托管Web应用或网站,可以像使用普通网络一样使用VPC.通过弹性公网IP或NAT网关连接弹性云服务器与Internet,运行弹性云服务器上部署的Web应用程序。同时结合弹性负载均衡ELB服务,您可以将来自Internet的流量均衡分配到不同的弹性云服务器上.
3.EIP常用管理
- 购买弹性公网IP
- 绑定弹性公网IP到ECS
- 以下哪些属于EIP产品优势( )? (ABCD)
A. 共享带宽
B. 多种计费模式
C. 弹性灵活
D. 即开即用 - 一个弹性公网IP可以绑定多个云资源( )?(False)
A. False
B. True
2.3.3 网关 NAT
1.NAT网关简介
NAT网关概念
- NAT网关(NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器、云桌面)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供最高10Gbit/s能力的网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务.
NAT网关分类
- SNIT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内跨可用区的多个云主机共享弹性公网IP,安全,高效的访问互联网.
- DNAT功能绑定弹性公网IP,可通过IP映射或端口映射两种方式,实现VPC内跨可用区的多个云主机共享弹性公网IP,为互联网提供服务.
NAT网关产品优势
- 灵活部署
支持跨子网部署和跨可用区域部署。NAT网关支持跨可用区部署,可用性高,单个可用区的任何故障都不会影响NAT网关的业务连续性。NAT网关的规格、公网IP,均可以随时调整. - 多样易用
多种网关规格可灵活选择。对NAT网关进行简单配置后,即可使用,运维简单,快速发放,即开即用,运行稳定可靠. - 降低成本
多个云主机共享使用弹性公网IP.即能使云主机外对提供服务,也能使云主机访问外.
2.NAT网关应用场景
当VPC内的云主机需要访问公网,请求量大时,为了节省弹性公网IP资源并且避免云主机IP直接暴露在公网上,您可以使用NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则,一条SNAT规则配置一个弹性公网IP。NAT网关为您提供不同规格的连接数,根据业务规划,您可以通过创建多条SNAT规则,来实现共享弹性公网IP资源.
DNAT功能绑定弹性公网IP,可通过端口映射方式,NAT网关会将以指定的协议和端口访问该弹性公网IP的请求转发到目标云主机实例的指定端口上。也可通过IP映射方式,为云主机配置了一个弹性公网IP,任何访问该弹性公网IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性公网IP和带宽,精确的控制带宽资源.
一个云主机配置一条DNAT规则,如果有多个云主机需要为公网提供服务,可以通过配置多条DNAT规则来共享一个或多个弹性公网IP资源.
用户线下私有云或跨区域使用云专线/VPN接入虚拟私有云的用户,若有大量的服务器需要实现安全,可靠,高速的访问互联网,或者为互联网提供服务,可通过NAT网关的SNAT功能或DNAT功能来实现.例如各类互联网、游戏、电商、金融等企业的跨云场景.
在IT系统中,往往存在绑定的弹性公网IP被攻击封堵的可能性.如果您想提高系统的高可靠性,可以在配置SNAT规则时,添加多个弹性公网IP,当其中一个弹性公网IP被攻击封堵时,可以最大程度保障使用其他弹性公网IP的业务正常运行. 每条SNAT规则支持添加20个弹性公网IP,当SNAT规则中添加的弹性公网IP被攻击封堵或不可用时,需要手动从EIP池中删除.
3.NAT与其他云服务关系
云专线: 通过云专线接入VPC的本地服务器,可以通过NAT网关访问公网或为公网提供服务.
VPN: 通过VPN接入VPC的本地服务器,可以通过NAT网关访问公网或为公网提供服务.
弹性云服务器,裸金属服务器,云桌面: NAT网关可以为其他云服务提供访问公网或者为公网提供服务的能力.
- 以下哪些属于NAT网关应用场景( )? (AC)
A. 让弹性云服务器访问互联网
B. 不让弹性云服务器访问互联网
C. 让互联网用户访问弹性云服务器
D. 不让互联网用户访问弹性云服务器 - 购买NAT网关只能按年收费( )? (A)
A. False
B. True
2.3.4 虚拟专用网络 VPN
1.VPN简介
VPC基本概念
- 虚拟专用网络即VPN(Virtual Private Network),用于在远端用户和虚拟私有云(VPC)之间建立一条安全加密的通信隧道.当您作为远端用户需要访问VPC的业务资源时,您可以通过VPN连通VPC.
VPN连接是一种基于Internet隧道技术,可帮您快速构建VPN网关和用户网关之间的安全、可靠的加密通道。当前VPN连接支持IPsec VPN协议.
- VPN 连接分为如下组成部分:
- VPN 网关:创建的私有网络 IPsec VPN 网关.
- 对端网关: 记录 IDC 端 IPsec VPN 网关公网 IP 地址的逻辑对象(IDC 端必须有固定公网 IP).
- VPN 通道:加密的 IPsec VPN 通道.
VPC分类
按组网类型分类
- 网关与网关之间的VPN链路
- 主机与网关之间的VPN链路
- 主机与主机之间的VPN链路
按实现层次分类
- L2VPN
- L3VPN
VPN产品优势
绝对安全: 基于IPSec数据加密.
无缝扩展: 将用户本地数据中心与云上VPN互联,业务快速扩展上云,实现混合云部署.
成本较低: 利用公网构建VPN网络,使用费用相对云上专线服务更便宜.
即开即用: 随开随用,部署快速,实时生效,在用户数据中心的VPN设备进行简单配置即可完成对接.
2.VPN的应用场景
可以通过建立VPN将本地数据中心和VPC快速连接起来,构建混合云.
可以通过建立VPN将多个本地数据中心和VPC快速连接起来,构建混合云. 建立多站点VPN连接要求各个站点之间的子网网段不能冲突.
3.VPN的常用管理
- 购买VPN网关
- 修改已购买的VPN网关
- 删除VPN网关
- 查看已购买的VPN连接
- 修改已购买的VPN连接
- 删除VPN连接
4.VPN使用约束
- 关于VPN的使用,需要以下几点问题:
- 每个账号默认可以创建2个网关.
- 每个账号默认可以创建12个VPN连接.
如需求超额需提交工单申请扩容
5.VPN与其他云服务的关系
VPC: 通过VPC服务,创建VPC,本地数据中心才可以通过VPN上云.
云连接: 通过云连接服务,可以实现本地数据中心和跨境VPC之间的稳定网络联通.
NAT网关: 通过NAT网关服务,可以实现本地数据中心服务器访问公网或为公网提供服务.
- 以下哪些是华为云VPN产品优势( )? (ABCD)
A. 高安全
B. 无缝扩展资
C. 成本较低
D. 即开即用 - 华为云VPN产品所有VPN类型都支持( )? (A)
A. False
B. True
2.3.5 云专线 DC
1.云专线简介
- 云专线服务是一个建立连接本地数据中心和公有云的专线网络服务。您可以利用云专线建立公有云与数据中心、办公室或主机托管区域的专线连接,降低网络时延,获得比Internet线路更好的网络体验.
- 目前云专线仅支持MPLS VPN类型专线.
- 自助方式开通的云专线需要用户在控制台完成物理专线的购买,虚拟网关和虚拟接口的创建。开通更快捷,管理更灵活
云专线产品架构
- 云专线(Direct Connect)为用户搭建本地数据中心与云上VPC之间的专属连接通道,实现安全可靠的混合云部署.
企业数据中心混合云架构:对于银行、国企来说,由于安全和控制原因,并非所有的企业信息都能放置在公有云上,这种情况下使用混合云架构,将关键数据保留在本地数据中心,其他数据放到云端。
异地容灾:在不同地点建立备份系统,通过专线服务进行连接,在灾难发生的时候,可以使系统更可靠快速地恢复正常。
多区域业务互联:很多公司会基于用户分布等因素,将IT系统部署在不同的区域,通过专线服务,将不同区域打通,以快速、高效、安全的形式实现业务同步。
云专线使用场景
- 用户可以通过云专线将用户侧的用户网络、数据中心、主机托管区连接至公有云Region的虚拟私有云专线连接,享受高性能、低延迟、安全专用的数据网络.
云专线服务主要包括物理连接、虚拟网关、虚拟接口三个组成部分.
物理连接:
物理连接是用户本地数据中心与接入点的运营商物理网络的专线连接. 普通用户可以申请标准物理专线和托管物理专线。
标准物理专线是端口带宽资源被用户独占的物理专线,此种类型的只允许用户创建一个虚拟接口.
托管物理专线即租户物理专线,是多个用户共享端口资源的物理专线。此种类型的物理专线允许用户创建多个虚拟接口接入用户的多个VPC.
虚拟网关:
虚拟网关是实现专线连接访问VPC的逻辑接入网关,虚拟网关会关联用户访问的VPC,一个VPC只能创建一个虚拟网关,多条物理连接访问同一个VPC,通过同一个虚拟网关实现专线接入.
虚拟接口:
虚拟接口是用户本地数据中心通过专线访问VPC的入口,用户创建虚拟接口关联物理连接和虚拟网关,连通用户网关和虚拟网关,实现云下数据中心和云上VPC的互访.
物理专线简介
- 物理专线是对接入点和本地数据中心之间建立的网络线路的抽象,以方便对线路进行管理。物理专线是您本地数据中心上云的专属通道,与传统公网相比,更稳定可靠,安全隔离,并且提供最大10Gbps的高性能传输速率.
- 运营商可以购买运营物理专线和租户物理专线.
- 租户物理专线是运营商为普通用户创建的物理专线,租户物理专线需要托管于运营物理专线.
- 运营物理专线是运营商购买的物理专线,普通用户通过租用运营商的物理专线将本地数据中心连接到接入点,建立专线连接.
冗余物理专线简介
- 物理专线支持冗余专线配置,当两条专线接入同区域的不同接入点时,则两条物理专线互为冗余物理专线。冗余专线互为主备专线,当一条物理专线出现故障时,可自动切换到另外一条物理专线,保证业务正常平稳运行.
2.云专线开通
- 开通云专线的基本流程
- 购买物理专线
- 创建虚拟网关
- 创建虚拟接口
购买物理专线
- 普通用户可通过合作伙伴购买和自助购买两种方式开通云专线.
- 如果您要创建标准物理专线,可以选择自助购买或合作伙伴购买。如果您要创建托管专线,则只能选择合作伙伴购买方式.
- 合作伙伴购买可以为您提供一站式服务,无需自己联系运营商接入专线网络。自助购买物理专线后需要联系运营商,为您接入专线网络.
- 自助购买前建议您先和运营商咨询接入方案和定价方案.
以上均为上华为培训课程学习笔记,仅供学习交流。