- 虚拟私有云(Virtual Private Cloud)是用户在华为云上申请的隔离的、私密的虚拟网络环境。为云服务器、云容器和云数据库等资源构建隔离的用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性、简化用户的网络部署。用户可以自由配置VPC内的IP地址段、VPN、子网、安全组和带宽等子服务,也可以申请弹性宽带和弹性IP搭建业务系统。通过VPC进行管理和配置自己的网络环境,也可以自定义安全组内与安全组件弹性云服务器的访问规则,加强弹性云服务器的安全保护。
- VPC由公有云管理、运行在公共资源上,但是保证每个用户之间的资源是隔离的,用户在使用的时候不会受到其他用户的影响。
- VPC使用网络虚拟化技术,通过链路冗余、分布式网关集群和多AZ部署等多种技术,保障网络的安全、稳定和高可用。
传统的经典网络,公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。因此,传统网络面临的最大的问题便是安全问题,只有加了特定的防火墙规则去拦截。二层网络内的所有设备默认是可以通信的,容易产生云主机被同网络的其他用户恶意攻击的问题。
VPC是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户可以自由定义网段划分、IP地址和路由策略,安全可提供网络ACL及安全组的访问控制。即使受到网络攻击,一般也需要经过网关或VPN设备,在这些集中的设备上网络流量会更加的可控。因此,VPC有更高的灵活性和安全性。
对比可以看到,VPC优势明显,通过VPC,用户可以自由定义网段划分、IP地址和路由策略;安全方面,VPC可提供网络ACL及安全组的访问控制,VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中,符合金融、政企等行业的强监管,数据安全要求。
虚拟私有云VPC产品架构可以分为VPC的组成、安全、VPC连接。
- VPC之间通过隧道技术进行逻辑隔离,不同VPC之间默认不能通信,网络ACL对子网进行防护。
- VPC使用全动态BGP协议接入多个运营商。
- VPC使用网络ACL功能,对子网进行防护,控制进出子网的流量。
- VPC使用安全组功能,将VPC中的弹性云服务器划分成不同的安全域,并为每个安全域定义不同的访问控制规则。
每个虚拟私有云VPC代表一个私有网络,与其他VPC逻辑隔离。如果有多个业务系统部署在同一个Region,生产环境和测试环境要严格进行隔离,则可以使用多个VPC进行业务隔离。当需要相互通信时,可以在两个VPC之间建立对等连接。
子网是VPC下管理云资源的网络平面,所有的云资源都必须部署在子网内。可以提供IP地址管理、DNS服务。子网内的ECS服务器的IP地址都属于该子网,默认情况下同一个VPC的所有子网内的ECS都可以进行通信。
VPC具有管理子网的功能,例如创建新的子网、修改子网网络信息和删除子网的功能。在使用子网时会有如下约束:
路由表中定义了路由规则,路由规则用于将目标网段的流量路由至指定的目的地。当创建VPC时,系统会自动创建一张默认路由表,其路由规则保证了VPC内的所有子网互通。也可以添加自定义路由规则,将指定目标网段的流量路由至指定目的地。创建子网后,子网会自动管理默认路由表,可以在默认路由表中添加、删除和修改路由规则,但不能删除默认路由表。创建VPN、云专线和云连接服务时,默认路由表会自动下发路由,可以将子网关联到自定义路由表。
虚拟IP是一个未分配给真实ECS网卡的IP地址,ECS除了拥有私有IP地址外,还可以拥有虚拟IP地址,用户可以提供其中任意一个IP访问ECS。同时虚拟IP地址拥有私人IP地址同样的网络接入能力。虚拟IP主要用在ECS的主备切换,达到高可用性。当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务,这些ECS对外表现为一个虚拟IP。使用虚拟IP时有如下约束:
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的ECS提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
默认安全组的规则是在出方向上的数据报文全部放行,入方向上访问受限。安全组内的云服务器不需要添加规则就可以互相访问。使用安全组的约束:
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。
网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL。安全组只有“允许”策略,但网络ACL可以“拒绝”和“允许”,两者结合起来,可以实现更精细、更复杂的安全访问控制。VPC默认没有网络ACL,可以创建自定义的ACL并将其与子网关联。关联子网后,网络ACL默认拒绝所有出入子网的流量,直到添加放通规则。网络ACL可以关联多个子网,但是同一个子网同一时间只能关联一个网络ACL。每个新创建的ACL,最初都为未激活的状态,直到关联到子网。如果多个网络ACL规则冲突,优先级高的规则优先生效。
弹性公网IP提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务,可以与云资源灵活绑定及解绑。
共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力,同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源。
在VPC中托管Web应用或网站,可以像使用普通网络一样使用VPC。通过弹性公网IP或NAT网关连接ECS与Internet,运行ECS上部署的Wen应用程序。同时结合弹性负载均衡ELB,将来自Internet的流量均衡分配到不同的ECS上。
注意:申请弹性公网IP并将其连接到ECS,ECS即可连接公网,实现主动访问公网或向公网提供服务。或者使用NAT网关来让多个ECS共享弹性公网IP连接公网。使用负载均衡将访问流量均衡分发到多个后端ECS上,通过绑定EIP支撑海量用户从公网访问ECS。
Web应用访问控制
将多层Web应用划分到不同的安全区域中,按需在各个安全域中设置访问控制策略,可以通过创建一个VPC将Web服务器和数据库服务器划分到不同的安全组中。Web服务器所在的子网实现互联网访问,而数据库服务器只能通过内网访问来保护数据的安全。
对于相同或者不同区域下的VPC需要互通连接时,可以使用对等连接、云连接、VPN实现。
对于自建本地数据中心(IDC)的用户,由于利旧和平滑演进的原因,并非索与的业务都能部署在云上,此时可以通过构建混合云实现云上VPC与云下IDC之间的互连。可以使用VPN实现低成本连接VPC与本地IDC,也可以使用云专线、铺设物理专线高质量的连接VPC与本地IDC,还可以使用云连接进行跨区域的VPC与IDC互联。
- 弹性负载均衡(Elastic Load Balance,ELB)是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。
- 多台云服务器通过网络设备相连组成一个服务器集群,每台服务器都提供相同或者相似的网络服务。云服务器前端部署弹性负载均衡服务,基于转发策略将用户的请求在服务器集群分发,为用户提供服务并对云服务器的可用性进行维护。
ELB接受来自客户端的传入流量并将请求转发到一个或多个可用区中的后端服务器。
对于存在潮汐效应的业务,结合弹性伸缩服务,随着业务量的增长和收缩,弹性伸缩服务器自动增加或者减少的ECS实例,可以自动添加到ELB后端云服务器组或者从ELB的后端云服务器组中移除。负载均衡实例会根据流量分发、健康检查等策略灵活使用ECS实例资源,在资源弹性的基础上大大提高资源可用性。
对于可靠性较高要求的业务,可以在负载均衡器上添加多个后端云服务器。负载均衡器会通过健康检查及时发现并屏蔽有故障的云服务器,并将流量转发到其他正常云下的后端云服务器,确保业务不中断。
对于可靠性和容灾有很高要求的业务,弹性负载均衡可将流量跨可用区进行分发,建立实时的业务容灾部署。即使出现某个可用区网络故障,负载均衡器仍可将流量转发到其他可用区的后端云服务器进行处理。
虚拟专业网络(Virtual Private Network)用于在远端用户和虚拟私有云(VPC)之间建立一条安全的IPsec加密连接通信隧道。本质上是在运营商提供的公网之上构建一个安全的加密隧道,从而使两个私网能够借助公网的网络实现互相通信。默认情况下VPC中的ECS是无法与使用者自己的数据中心或者私有云进行网络通信的,但是可以使用VPN技术使云上与云下的数据中心进行资源以及能力的互通,另外还可以将两个云上的不同区的VPC进行互联(同区VPC之间使用对等连接即可)。总而言之,在不同区的不同VPC中通过部署VPN网关实现VPN的通信。
IPSec VPN(Internet Protocol Security VPN)指采用IPSec协议来实现远程接入的一种VPN技术,是由Internet Engineering Task Force(IETF)定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。
IPSec协议是一组基于网络层的应用密码学的安全通信协议族,不是具体的指某一个协议,而是一个开放的协议族。IPSec的工作模式主要有两种:传输模式,主要用于主机和主机之间端到端的通信和数据保护,其封装方式是不改变原有的IP报头,而是在原有的报头后面加入IPSec报头,仅封装我们的数据部分;隧道模式,主要用于私网与私网之间通过公网进行通信建立安全的VPN通道,其封装方式是增加新的IP头(公网或外网IP头),然后IPSec报头之后再将原来的整个数据包封装,基于IPSec协议族构建在IP层实现的安全虚拟专用网。
通过在数据包中插入一个预定义头部的方式来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、SMP和隧道的IP数据包。
VPN由VPN网关和VPN连接组成,VPN网关提供了虚拟私有云的公网出口,与用户本地数据中心侧的远端网关对应。VPN连接则通过公网加密技术,将VPN网关与远端网关互联,使本地数据中心与虚拟私有云通信,更快速、安全的构建混合云环境。
使用VPN技术联通不同区的VPC,具体步骤如下: