专有网络VPC.1
网络演进过程
在云计算环境中,涉及到的虚拟化包括计算虚拟化,存储虚拟化和网络虚拟化。计算虚拟化介绍了ECS,存储虚拟化介绍了块存储和对象存储,这里介绍一下网络虚拟化。
网络隔离
实现网络隔离有两种方式:物理隔离和逻辑隔离
- 物理隔离:分别连接到两个不同的交换机,安全性高,成本也高
- 逻辑隔离:连接到同一个交换机,但是在交换机中做属性配置,使两个主机分别属于不同的网络,网络彼此之间不互联不互通
传统网络:
传统网络就是把主机/服务器接到交换机上,然后通过路由器把交换机连接起来。传统网络还在使用当中,比如机房里面
网络虚拟化
传统网络不可能用在云端环境,因为云端计算资源、存储资源等太多,不方面用传统网络。云端的每个账号之间是需要隔离的,而且云端环境和简单的物理隔离/逻辑隔离还不太一样。因为云端很多主机,会有很多人注册账号,为每个
主机和账号都配置一套网络很麻烦,也不实际,这时呢,就需要用到网络虚拟化。
类似于计算虚拟化技术(虚拟机),如果一台服务器的性能很高,用不完,就可以在这台服务器上虚拟出多个虚拟机。网络虚拟化就是在一个网络当中,按照需求,虚拟出多个网络来,这些被虚拟出的网络彼此之间是逻辑隔离的。SDN
SDN software definition network 软件定义网络,通过软件定义出需要的网络属性。SDN的云计算中网络的灵魂。
网络产品
Ali网络应用产品包括:专有网络VPC,负载均衡SLB,NAT网关,弹性公网EIP,VPN网关,共享带段,共享流量包,高速通道,云托付,全球加速。这些产品应该可以满足用户使用网络时的需求。
VPC的概念
专有网络VPC
专有网络VPC(Virtual Private Cloud ) 是阿里云中的一个网络产品,是基于阿里云构建的一个隔离的网络环境。专有网络VPC之间逻辑上是彻底隔离的,也就是说不同VPC默认是无法实现通信。VPC主要提供了两个能力:
- 规划网络信息:用户可以自定义网络拓扑,包括选择自有IP地址范围,划分网段,配置路由表和网关等
- 构建混合云:通过物理专线或VPN网关与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云。(混合云,重要的隐私的数据在公司内部专有云,不重要的数据放在共有云)
VPC基础使用场景
- 不同VPC:按照部门创建云中资源时,就可以拿VPC做隔离,为不同的部分创建不同的VPC,来限制部门之间的访问。
- 相同VPC:如果是希望资源之间可以访问或者不受限制的访问,就可以把它们加入到同一个VPC。
通过VPC划分网络资源!!!先规划创建好VPC,再在阿里云中创建其它资源!!!
VPC的原理
网络虚拟化技术
VPC是通过网络虚拟化技术来实现的,引入了Overlay技术&引入SDN技术
VM IP地址灵活分配
- VM IP地址和物理网络拓扑解耦
- VM的IP地址可以根据业务需要进行分配
VM IP地址从寻址功能变成标记:
- VM任意迁移,IP地址保持不变;
- VM迁移时,不需要配置物理交换机
多租户:
- 租户间可以相互隔离;
- 租户可以自行设置安全策略
转发逻辑由自学习变成集中控制:以前由数据层面和控制层面,现在把数据层面和控制层面集中在一起
- OVS由控制平面统一管理;
- 路由信息由控制器集中控制
消除大二层网络问题:改变路由器/节点时,甚至不用更换IP地址
- 二层网络由实变虚,不再仅仅是Vlan;
- 消除ARP广播域,去除二层环路;
- 简化VM配置,减少网络故障
- 减轻网络设备压力,减少网络上非业务报文
OVERLAY技术
隔离永远是网络的第一步!阿里云借鉴了成熟的OVERLAY技术来实现网络隔离;基于Overlay技术,海量的租户被隔离开,所有的租户都是运行在这个网络之上;网络实际被分为上下两层,上层是虚拟网络,下层是物理网络
VXLAN协议
网络虚拟化:
- 基于OVERLAY技术在物理网络基础上构造虚拟系统
VPC之间完全隔离:VXLAN最大的特点是可以在网络环境中传输二层数据
- VXLAN协议作用是将二层报文在三层范围进行扩展,使用VXLAN协议对每个VPC网络进行隔离,不同VPC之间保证安全隔离,无法进行通信
- 每个VPC,一条隧道,隧道ID唯一,不同用户不同隧道,隧道之间无法直接通信。
二层和三层:
- 三层:网络层,基于IP地址转发。IP地址做转发,不同地址代表不同网段,同一个网络不用过路由器。跨路由器之间的转发,包括保留之前的数据。
- 二层:交换机层,MAC地址做转发
VPC的组成
每个VPC都由一个路由器, 至少一个私网网段、和至少一个交换机组成。
私网网段
在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段
- 每一个交换机对应一个网段,在创建VPC和交换机时,需要为它指定一个私网网段
- 在创建一个VPC时,要创建一个大的私网网段
- 创建交换机时,创建的私网网段时分配给资源用的,这个交换机的网段要属于VPC的网段
同一个VPC中,不同的交换机之间,默认通过路由器实现互通,通过路由表来转发;但是通信效率最高的是在同一个交换机下
创建VPC,会自动创建路由器,可以自己调整路由表;在VPC下创建交换机;创建资源时,需要选择交换机;
一个VPC中至少有一个交换机,不同交换机代表不同网络,一个交换机下可以连接很多云资源SLB、ECS等,同一个交换机下彼此互通,不同交换机互通需要借助路由器。
路由器来实现VPC内部的不同网络之间的互通,和VPC对外部的连接。
交换机VSwitch
交换机是一个局域网的设备,是电脑联网用的,连接在同一交换机的设备隶属于同一个网段,这些设备是可以直接互相访问的。现实IT中,交换机是一台物理设备:公司买台交换机,员工都把电脑接上去,彼此间之间就可以互通了。阿里云中也有交换机设备,在创建阿里云资源(ECS或者SLB)时,需要选在VPC下的某个交换机,也就是说创建云资源时需要选择VPC和VPC下的交换机。
交换机是同一个网络,不同交换机默认是代表不同网络的,不同交换机代表不同网段。交换机VSwitch是组成专有网络的基础网络设备,用来连接不同的云资源
- 用户基于专有网络内自定义私有网络
- 交换机是组成专有网络的基础网络设备
- 交换机一般是基于可用区,绑定可用区可以保持云产品的高可用性
路由器VRouter
传统IT中,路由器是用来连接不同网络的,实现多个不同网络之间的互通互连。阿里云中,路由器的功能也是实现多个不同网路的互通,包括其它VPC接入,包括线下接入阿里云,都要接入到路由器中。路由器VRouter用来实现两个不同网段之间的通信!!路由器可以理解为十字路口,最大的功能:指路
- 路由器VRouter是专有网络的网络枢纽
- 作为专有网络VPC最重要的功能组件,连接专有网络VPC内的各个交换机,也可以连接专有网络VPC与其它网络的网关设备
- 维护专有网络内路由转发的路由表,路由表为路由器服务,是路由器转发路由的依据,我们可以在阿里云的VPC中调整路由表
- 创建专有网络VPC时,默认自动创建路由器VRouter
路由表
路由表是在路由器中配置的一份VPC用来转发路由的依据
用户需求:VSwitch之间通信怎么配置?专有网络与其它网络设备怎么通信?专有网络内云服务器代理路由怎么引流?
- 管理路由条目的列表
- 控制着专有网络报文转发策略
安全组
安全组的功能是用来控制内部通信的,用来限制访问,哪里可以访问,哪里不能访问等
用户需求:怎么控制访问专有网络VPC内产品的网络协议?怎么控制专有网络VPC内云产品端口?怎么控制同一专有网络内不同产品的访问隔离?
产品介绍:安全组又可以称为虚拟防火墙,用于设置单个或多个ECS实例的网络访问控制;安全组以安全组规则组成,对该安全组下的所有ECS实例的出方向和入方向进行网络控制
VPC连接(组件)
VPC的连接包括3种连接:阿里云资源(ECS)连接互联网;VPC之间的互通互联;构建混合云,也就是把线下连接到阿里云中。这里介绍以下VPC连接用到的一些VPC组件。这些VPC组件包括:弹性公网IP,云企业网,VPN网关,NAT网关等
公网连接技术
公网连接技术可以实现共同上网,将专有网络和公网(Internet)打通,实现阿里云资源(比如ECS连接互联网)。比如:你创建了ECS,它想连接互联网,这时就会用到公网连接技术。公网连接技术有以下4个产品或功能
1.ECS固定公网IP
- 功能:创建专有网络类型的ECS实例时,可以选择分配公网IPv4地址,系统就会自动分配一个支持访问公网和被公网访问的IP地址。这个公网IP是上互联网用的,互联网也可以通过这个公网IP地址来连接这台ECS
- 优势:支持使用共享流量包,将公网IP转换为EIP后也可以使用共享带宽
- 这是最简单的上网方式
2.弹性公网IP(EIP)
EIP是一个公网连接产品,服务器拥有EIP,就相当于在网络中拥有了一个合法身份,可以连接互联网,在互联网中访问别人和被别人访问。
- 可独立持有的公网IP,一个网络IP全球可达
- 功能:EIP(Elastic IP Address)能够动态和VPC ECS实例绑定和解绑,支持VPC ECS实例访问公网(SNAT) 和被公网访问(DNAT)
- 优势:EIP可以随时和ECS实例解绑和绑定;可以使用共享带宽和共享流量包,降低公网成本(公网连接是要收费的)
- 可以移动的IP地址,在多个实例之间解绑和绑定
固定公网IP和弹性公网IP的区别
- 相同点:实现上网,也就是访问互联网SNAT和被互联网访问DNAT
- 固定公网IP是和某台ECS绑定在一起的;弹性公网IP不和某一台主机绑定,能够动态和VPC ECS实例绑定和解绑
用公网IP上网的缺点:浪费IP,IP是一对一的,有IP就能上网,没有IP就不能上网;
3.NAT网关
虽然用EIP也可以上网而且可以动态绑定和解绑,但是成本会比较高,因为一个EIP在同一时间内只能给一台服务器用。
NAT网关(网络地址转换网关)支持多人使用同一个IP来连接互联网 ,是一种实现共享上网的方式。网络地址转换(NAT网关)支持多台VPC ECS实例访问公网(SNAT)和被公网访问(DNAT);
目前IPv4绝大多是都是用NAT网关方式来上网的,平时内部通信用私网IP通信,当需要上公网(互联网)的时候,把私网地址转换成公网地址,拿公网地址出去,再拿公网地址回来,回来之后内部再用私用地址来认,好多人使用同一个IP来连接互联网,目前IPv4面临地址短期问题,NAT就可以大大缓解IP地址不够用的问题。NAT网关分为主用NAT和备用NAT
NAT:网络地址转换,一种共享上网的方式;目前IPv4绝大多是都是用NAT方式来上网的,平时内部通信用私网IP通信,当需要上公网(互联网)的时候,把私网地址转换成公网地址,拿公网地址出去,再拿公网地址回来,回来之后内部再用私用地址来认,好多人使用同一个IP来连接互联网,目前IPv4面临地址短期问题,NAT就可以大大缓解IP地址不够用的问题
功能:NAT网络地址转换支持多台VPC ECS实例访问公网(SNAT)和被公网访问(DNAT);NAT支持多人使用同一个IP来连接互联网
NAT网关根据方向可以分为SNAT和DNAT:
- SNAT:源地址转换,上网用的
- DNAT:目的地址转换,把公司服务器宣布出去
NAT网关和EIP的核心区别
- NAT网关可用于多台VPC ECS实例和公网通信,而EIP只能用于一台VPC ECS实例和公网通信
4.负载均衡
- 基于端口提供四层和七层负载均衡功能,支持用户从公网通过负载均衡(SLB)访问ECS;负载均衡也能实现公网连接技术,但是负载均衡只能实现DNAT
- 在DNAT方面,负载均衡是基于端口的负载均衡,即一个负载均衡的一个端口可以对应多台ECS。负载均衡通过对多台ECS进行流量分发,可以扩展应用系统对外的服务能力,并通过消除单点故障提升应用系统的可用性。
- 绑定EIP后,支持使用共享带宽和共享流量包,降低公网成本
ECS如果需要连接互联网,可以采用的产品是?
- 固定公网IP 可以
- 弹性公网IP(EIP) 可以
- NAT网关 可以
- 负载均衡 不可以:外部的人通过负载均衡来访问内部的应用,不能实现共同上网,是做DNAT访问的!
VPC之间的互通互联
VPC可以有效地实现网络地隔离,不同VPC代表的是不同的隔离网络,不同的隔离网络是没法连接的,那么怎么实现VPC之间的互联呢?有2种方式
1.云企业网(建议)
云企业网CEN(Cloud Enterprise Network)是阿里云的一个网络连接产品,提供一种快速构建混合云和分布式业务系统的全球网络,协助用户打造一张具有企业级规模和通信能力的云上网络。主要是用来搭建混合云和实现云内资源互通的产品。
- 使用方式:类似交换技术,用户创建一个云企业网,把多个VPC加进来,加进来之后,这些VPC就可以互通了;而且不仅可以把VPC加入进来,也可以把VPN网关,智能接入网关,专线等接入进来构成一个统一网络,云企业网中的所有产品可以互通。
- 支持将多个不同地域,不同账号的VPC连接起来,构建互联网络;不同地域的VPC通过云企业网互通要收费,相同地域不收费,因为跨地域需要公网
- 优势:一网通天下;低延迟高速率;就近接入和最短链路互通;链路冗余和容灾;系统化图形化管理
- 再重申:云企业网构建跨地域的VPC互通需要收取流量费用,因为要访问公网
2.VPN网关
VPN网关是一款基于Internet,通过加密通道将企业数据中心,企业办公网络,或internet终端和阿里云专有网络VPC安全可靠连接起来的服务,也是用来构建混合云,成本比较低。
- VPN网关 可以实现不同VPC之间的互联,使用方式是:通过在两个VPC之间建立IPsec连接,建立加密通信通道
- 缺点:比云企业网配置复杂,而且是点对点通信
- 更多使用场景:虽然VPN网关可以实现两个VPC之间的互联互通,但是更多时候,VPN网关是在公司拨入连接到阿里云,构建混合云用的
- 优势:安全;高可用;低成本;相比其它配置,配置简单
本地IDC上云(构建混合云)
本地IDC上云场景:把公司接入到云中,直接访问云中服务器;或者搭建了一个私有云,想使用公有云的资源。可以使用以下4个产品或功能,将本地IDC和云上专有网络大同,构建混合云结构
1.高速通道/物理专线
- 功能:通过物理专线接入使VPC与本地IDC网络互通
- 优势:基于骨干网络,延迟低;专有连接更加安全,可靠
- 可靠性,稳定性,带宽最理想;成本最高
2.VPN网关
VPN网关除了可以实现两个VPC之间互通,还实现线下和线上的互联。VPN网关分为两种:
- IPsec-VPN:提供站点到站点的VPN连接,是实现站点和站点之间互联,比如两个VPC之间,本地IDC网络和云上VPC连接;适合企业连接云,个人不要做配置,企业配置就可以了
- SSL-VPN:提供点到站点的VPN连接,不需要客户VPN网关,终端直接接入。将本地客户端远程接入VPC;不是整个公司要和云端连接,是公司的某些人要和云端连接,比如管理员或者出差人员;适合个人完成SSL-VPN配置,然后拨号连接到VPN网关
3.智能接入网关
高速通道,VPN网关都是逻辑概念,智能接入网关有一个物理设备。 买智能接入网关产品,客户会收到一个物理设备,这个设备可以大大减轻接入上云的复杂性
- 用户在这个设备上进行配置(账号,网络),公司通过互联网和该设备连接之后,设备就会尝试连接到阿里云中,连接成功后,本地IDC就可以访问阿里云
- 适合线下机构(IDC/分支机构/门店等)接入阿里云数据中心,轻松构建混合云
4.云企业网
云企业网不属于客户连接上云的工具,它是提供云内之间的互联,在构建混合云时,它是说企业连接云端时连到哪里去。阿里云种的资源使用云企业网构建起来的,客户连接上云时,不管是采用高速通道还是VPN网关还是智能接入网关,都需要连接到云企业网。也就是说,把本地IDC通过高速通道/VPN网关/智能接入网关的方式连接到到云企业网,由云企业网实现本地IDC和阿里云中网络资源的互通
- 与本地IDC互通 支持 将要互通的本地IDC关联的边界路由器(VBR)加载到已创建的云企业网实例,构建互联网络
- 多VPC与IDC互通 支持 将要互通的多个网络实例(VPC和VBR)加载到已创建的云企业网实例,构建企业级互联网络
本地IDC连接上云选择产品
- 高速通道:安全稳定可靠高效,贵!
- 智能接入网关:硬件产品;适合访问量不太大的场景;连接安全可靠性不如高速通道
- VPN网关:软件产品,最便宜;适合访问量不大,希望节省成本
VPC架构
VPC逻辑架构
阿里云VPC基于隧道技术和软件定义网络(Software Defined NetNork SDN)技术,阿里云的研发在硬件网关和自研交换机设备的基础上实现了VPC产品。
- 底层还是用的SDN技术
- 基于云架构,做了硬件和软件的自研,提供了性能
VPC的基础架构(VPC的构成)
VPC包含交换机,网关(路由器)和控制器三个重要组件。交换机和网关组成了数据通路的关键路径,控制器使用自研的协议下发转发表到网关和交换机,完成了配置通路的关键路径。
- 交换机:实现云内资源的互联,云内资源比如创建的ECS,SLB等
- 网关(路由器),通过路由表实现不同交换机之间的互联,和其它VPC之间的互联
- 控制器:相当于在阿里云VPC里的大脑来控制各个部分,控制网关(把路由表下发给网关),控制交换机(把私网网段下发给交换机)
用户连接到控制台,在控制台通过AIP连接到控制器,控制器把路由表下发给网关路由器,把私网网段下发给交换机
总结
目标-ACA
- 理解阿里云专有网络VPC的概念
- 了解VPC的架构
- 掌握VPC的使用
- 了解阿里云专有网络VPC的概念
- 了解VPC的架构
- 掌握VPC的使用
目标-ACP
- 了解VPC的产生背景以及优势
- 了解VPC及相关组件的概念和使用方法
- 掌握VPC的使用场景和最佳实践
总结-ACP
- VPC网络的概念
- VPC网络的基本原理
- VPC网络的相关组件
- VPC网络的产品组件:弹性公网IP,NAT网关,云企业网,VPN网关
思考题:
- VPC网络由哪些组件组成?虚拟交换机,虚拟路由器,路由表
- VPC中路由表有什么作用?为了实现数据包转发依据
- ECS如果需要连接互联网,可以采用的产品是? 固定公网IP ,弹性公网IP(EIP) 和 NAT网关 可以。负载均衡 不可以:外部的人通过负载均衡来访问内部的应用,不能实现共同上网,是做DNAT访问的!
- 可以提供阿里云中资源访问Internet的网络产品有哪些?EIP和NAT网关