华为云服务之网络服务

前言

面对日益增长的网上业务需求，企业网络面临系统上线时间长，运维成本高，安全风险大等诸多问题。虚拟私有云（VPC）是华为云网络的基础，基于安全的隧道网络技术，提供安全、隔离的网络环境。

---

---

一、虚拟私有云（VPC）

• 虚拟私有云（Virtual Private Cloud）是用户在华为云上申请的隔离的、私密的虚拟网络环境。为云服务器、云容器和云数据库等资源构建隔离的用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性、简化用户的网络部署。用户可以自由配置VPC内的IP地址段、VPN、子网、安全组和带宽等子服务，也可以申请弹性宽带和弹性IP搭建业务系统。通过VPC进行管理和配置自己的网络环境，也可以自定义安全组内与安全组件弹性云服务器的访问规则，加强弹性云服务器的安全保护。
• VPC由公有云管理、运行在公共资源上，但是保证每个用户之间的资源是隔离的，用户在使用的时候不会受到其他用户的影响。
• VPC使用网络虚拟化技术，通过链路冗余、分布式网关集群和多AZ部署等多种技术，保障网络的安全、稳定和高可用。

1.1 VPC与经典网络

传统的经典网络，公有云上所有用户共享公共网络资源池，用户之间未做逻辑隔离。用户的内网IP由系统统一分配，相同的内网IP无法分配给不同用户。因此，传统网络面临的最大的问题便是安全问题，只有加了特定的防火墙规则去拦截。二层网络内的所有设备默认是可以通信的，容易产生云主机被同网络的其他用户恶意攻击的问题。
VPC是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内，用户可以自由定义网段划分、IP地址和路由策略，安全可提供网络ACL及安全组的访问控制。即使受到网络攻击，一般也需要经过网关或VPN设备，在这些集中的设备上网络流量会更加的可控。因此，VPC有更高的灵活性和安全性。

对比可以看到，VPC优势明显，通过VPC，用户可以自由定义网段划分、IP地址和路由策略；安全方面，VPC可提供网络ACL及安全组的访问控制，VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中，符合金融、政企等行业的强监管，数据安全要求。

1.2 VPC产品架构

虚拟私有云VPC产品架构可以分为VPC的组成、安全、VPC连接。

• VPC组成部分，一个VPC由一个私网网段、路由表和至少一个子网组成。私网网段是用户在创建VPC时需要指定VPC使用的私网网段；云资源都必须部署在子网内，VPC创建完成后需要为VPC划分一个或多个子网，子网网段必须在私网网段内；路由表是创建VPC时，系统会自动生成默认路由表，路由表保证了同一个VPC下所有的子网互通，当路由表中的路由策略无法满足应用（未绑定弹性公网IP的云服务器需要访问外网）时，可以通过创建自定义路由表来解决。
• 安全，安全组和网络ACL用于保障VPC内部署的云资源的安全。安全组类似于虚拟防火墙，为同一个VPC内具有相同安全保护并相互信任的云资源提供访问策略。可以为具有相同网络流量控制的子网关联同一个网络ACL，通过设置出方向和入方向规则，对进出子网的流量进行精确的控制。
• VPC连接，华为云提供了多种VPC连接方案来满足用户不同场景下的诉求。通过VPC对等连接功能，可以实现同一区域内不同VPC下私网互通。通过EIP或NAT网关，可以使VPC内的云服务器与公网Internet互通。通过虚拟专用网络VPN、云连接、云专线及VPC二层连接网关功能，可以将VPC和数据中心互通。

• VPC之间通过隧道技术进行逻辑隔离，不同VPC之间默认不能通信，网络ACL对子网进行防护。
• VPC使用全动态BGP协议接入多个运营商。
• VPC使用网络ACL功能，对子网进行防护，控制进出子网的流量。
• VPC使用安全组功能，将VPC中的弹性云服务器划分成不同的安全域，并为每个安全域定义不同的访问控制规则。

1.3 VPC的相关概念

1.3.1 私有云网络

每个虚拟私有云VPC代表一个私有网络，与其他VPC逻辑隔离。如果有多个业务系统部署在同一个Region，生产环境和测试环境要严格进行隔离，则可以使用多个VPC进行业务隔离。当需要相互通信时，可以在两个VPC之间建立对等连接。

1.3.2 子网

子网是VPC下管理云资源的网络平面，所有的云资源都必须部署在子网内。可以提供IP地址管理、DNS服务。子网内的ECS服务器的IP地址都属于该子网，默认情况下同一个VPC的所有子网内的ECS都可以进行通信。

VPC具有管理子网的功能，例如创建新的子网、修改子网网络信息和删除子网的功能。在使用子网时会有如下约束：

• 同一VPC内相同子网内的云服务器可进行二层互通，不同子网三层互通。
• 子网创建完成之后，无法修改网段

1.3.3 路由表

路由表中定义了路由规则，路由规则用于将目标网段的流量路由至指定的目的地。当创建VPC时，系统会自动创建一张默认路由表，其路由规则保证了VPC内的所有子网互通。也可以添加自定义路由规则，将指定目标网段的流量路由至指定目的地。创建子网后，子网会自动管理默认路由表，可以在默认路由表中添加、删除和修改路由规则，但不能删除默认路由表。创建VPN、云专线和云连接服务时，默认路由表会自动下发路由，可以将子网关联到自定义路由表。

1.3.4 虚拟IP

虚拟IP是一个未分配给真实ECS网卡的IP地址，ECS除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以提供其中任意一个IP访问ECS。同时虚拟IP地址拥有私人IP地址同样的网络接入能力。虚拟IP主要用在ECS的主备切换，达到高可用性。当主服务器发生故障无法对外提供服务时，动态将虚拟IP切换到备服务器，继续对外提供服务，这些ECS对外表现为一个虚拟IP。使用虚拟IP时有如下约束：

• 一个虚拟IP地址最多可以绑定10个网卡IP，一个ECS的网卡最多可以绑定10个虚拟IP地址。
• 一个虚拟IP地址只支持绑定一个弹性IP

1.3.4 安全组

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的ECS提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当ECS加入该安全组后，即受到这些访问规则的保护。

默认安全组的规则是在出方向上的数据报文全部放行，入方向上访问受限。安全组内的云服务器不需要添加规则就可以互相访问。使用安全组的约束：

• 安全组是一个逻辑上的分组，相同项目内具有相同网络安全隔离需求的云服务器可以绑定同一个安全组。
• 安全组分为默认安全组和自定义安全组。
• 每个安全组默认包含四条规则：出方向上的数据报文全部放行，入方向上只放通默认安全组中的云服务器的端口IP。

1.3.5 网络ACL

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。

网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组只有“允许”策略，但网络ACL可以“拒绝”和“允许”，两者结合起来，可以实现更精细、更复杂的安全访问控制。VPC默认没有网络ACL，可以创建自定义的ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直到添加放通规则。网络ACL可以关联多个子网，但是同一个子网同一时间只能关联一个网络ACL。每个新创建的ACL，最初都为未激活的状态，直到关联到子网。如果多个网络ACL规则冲突，优先级高的规则优先生效。

1.3.6 弹性公网IP与共享带宽

弹性公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务，可以与云资源灵活绑定及解绑。

共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力，同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源。

1.3.7 Web应用或网站托管

在VPC中托管Web应用或网站，可以像使用普通网络一样使用VPC。通过弹性公网IP或NAT网关连接ECS与Internet，运行ECS上部署的Wen应用程序。同时结合弹性负载均衡ELB，将来自Internet的流量均衡分配到不同的ECS上。

注意：申请弹性公网IP并将其连接到ECS，ECS即可连接公网，实现主动访问公网或向公网提供服务。或者使用NAT网关来让多个ECS共享弹性公网IP连接公网。使用负载均衡将访问流量均衡分发到多个后端ECS上，通过绑定EIP支撑海量用户从公网访问ECS。

Web应用访问控制
将多层Web应用划分到不同的安全区域中，按需在各个安全域中设置访问控制策略，可以通过创建一个VPC将Web服务器和数据库服务器划分到不同的安全组中。Web服务器所在的子网实现互联网访问，而数据库服务器只能通过内网访问来保护数据的安全。

1.3.8 VPC连接

对于相同或者不同区域下的VPC需要互通连接时，可以使用对等连接、云连接、VPN实现。

• 对等连接是指两个同一区域VPC之间的网络连接，可以使用私有IP地址在两个VPC之间进行通信，如同两个VPC在同一网络中。不同区域间的VPC之间不能创建对等连接。
• 对等连接的VPC不能通过一端VPC的EIP访问另一端的资源。
• 对等连接建立后，需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。

1.3.9 混合云部署

对于自建本地数据中心（IDC）的用户，由于利旧和平滑演进的原因，并非索与的业务都能部署在云上，此时可以通过构建混合云实现云上VPC与云下IDC之间的互连。可以使用VPN实现低成本连接VPC与本地IDC，也可以使用云专线、铺设物理专线高质量的连接VPC与本地IDC，还可以使用云连接进行跨区域的VPC与IDC互联。

---

二、弹性负载均衡（ELB）

• 弹性负载均衡（Elastic Load Balance，ELB）是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。
• 多台云服务器通过网络设备相连组成一个服务器集群，每台服务器都提供相同或者相似的网络服务。云服务器前端部署弹性负载均衡服务，基于转发策略将用户的请求在服务器集群分发，为用户提供服务并对云服务器的可用性进行维护。

2.1 ELB的架构

ELB接受来自客户端的传入流量并将请求转发到一个或多个可用区中的后端服务器。

• 监听器：可以向您的弹性负载均衡器添加一个或多个监听器。监听器使用您配置的协议和端口检查来自客户端的连接请求，并根据您定义的分配策略将请求转发到一个后端服务器组里的后端服务器。
• 后端服务器组：每个后端服务器组使用您指定的协议和端口号将请求转发到一个或多个后端服务器。
• 开启健康检查功能，对每个后端服务器组配置运行状况检查。当后端某台服务器健康检查出现异常时，弹性负载均衡会自动将新的请求分发到其它健康检查正常的后端服务器上；而当该后端服务器恢复正常运行时，弹性负载均衡会将其自动恢复到弹性负载均衡服务中。
  

2.2 ELB的类型

2.2.1 经典型/共享型负载均衡

• 经典型负载均衡，适用于访问量较小，应用规模型简单的web业务。
• 共享型负载均衡，适用于访问量较大的web业务，提供基于域名和URL的路由均衡能力，实现更加灵活的业务转发。共享型负载均衡就是原增强型负载均衡。（最常用）

2.2.2 公网/私网负载均衡

• 公网负载均衡通过公网IP对外提供服务，将来自公网的客户端请求按照指定的负载均衡策略分发到后端云服务器进行处理。
• 私网负载均衡通过私网IP对外提供服务，将来自同一个VPC的客户端请求按照指定的负载均衡策略分发到后端进行处理。

2.2.3 四层/七层负载均衡

• 四层（传输层，TCP/UDP）负载均衡，支持TCP和UDP协议，监听器收到访问请求后，将请求直接转发给后端服务器。转发效率高，数据传输快。对四层的负载均衡实际上是基于IP和端口的方式进行请求的分发。
• 七层（应用层，HTTP/HTTPS）负载均衡，支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并提供HTTP/HTTPS协议报文头中的相关字段，进行数据的转发。转发效率不如四层负载均衡，但是支持加密传输，基于Cookie的会话保持等高级功能。另外在识别内容的特性可以让我们增加一些高级功能，例如访问一个网站的用户流量可以通过7层的方式，将对图片的请求转发到特定的图片服务器并可以使用缓存技术；将图片的文字类请求转发到特定的文字类服务器，并可以使用压缩技术。从技术原理上来说，这种方式可以对客户端请求和服务端响应进行任意意义上的修改，提升应用系统在网络层面上的灵活性。

2.3 ELB调度算法

2.4 ELB的应用场景

2.4.1 业务流量分发

• 业务流量分发，对于业务量访问较大的业务，可以通过设置相应的转发策略，将访问流量均匀的分到多个后端处理。例如大型门户网站，移动应用市场等。
• 同时可以开启会话保持功能，保证同一个请求转发到同一个后端，从而提升访问效率。
  

2.4.2 弹性流量分发

对于存在潮汐效应的业务，结合弹性伸缩服务，随着业务量的增长和收缩，弹性伸缩服务器自动增加或者减少的ECS实例，可以自动添加到ELB后端云服务器组或者从ELB的后端云服务器组中移除。负载均衡实例会根据流量分发、健康检查等策略灵活使用ECS实例资源，在资源弹性的基础上大大提高资源可用性。

2.4.3 消除单点故障

对于可靠性较高要求的业务，可以在负载均衡器上添加多个后端云服务器。负载均衡器会通过健康检查及时发现并屏蔽有故障的云服务器，并将流量转发到其他正常云下的后端云服务器，确保业务不中断。

2.4.4 业务容灾部署

对于可靠性和容灾有很高要求的业务，弹性负载均衡可将流量跨可用区进行分发，建立实时的业务容灾部署。即使出现某个可用区网络故障，负载均衡器仍可将流量转发到其他可用区的后端云服务器进行处理。

---

三、虚拟专用网（VPN）

虚拟专业网络（Virtual Private Network）用于在远端用户和虚拟私有云（VPC）之间建立一条安全的IPsec加密连接通信隧道。本质上是在运营商提供的公网之上构建一个安全的加密隧道，从而使两个私网能够借助公网的网络实现互相通信。默认情况下VPC中的ECS是无法与使用者自己的数据中心或者私有云进行网络通信的，但是可以使用VPN技术使云上与云下的数据中心进行资源以及能力的互通，另外还可以将两个云上的不同区的VPC进行互联（同区VPC之间使用对等连接即可）。总而言之，在不同区的不同VPC中通过部署VPN网关实现VPN的通信。

3.1 VPN的分类

3.1.1 按业务用途分类

• Access VPN，远程拨入VPN，可以提供员工出差时的远程VPN拨入服务
• Intranet VPN，VPN实现在公网上该企业的不同站点或办事处之间的私有通信
• Extranet VPN，实现企业内部网络与合作伙伴或授权机构之间的虚拟专用网络

3.1.2 按技术分类

• 二层VPN，二层的代表技术有L2TP和PPTP都可建立虚拟隧道，但是不提供加密与可靠性验证的功能
• 三层VPN，三层的代表技术有IPSec和GRE，二者均基于IP协议并且提供加密及认证的能力，实现在IP网络上建立虚拟隧道。换句话说就是在IP数据包外面再加一个IP头，将私有的数据加上一个外套，从而实现在公网上安全加密的传输私网地址及数据。

3.2 IPSec VPN

IPSec VPN（Internet Protocol Security VPN）指采用IPSec协议来实现远程接入的一种VPN技术，是由Internet Engineering Task Force（IETF）定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。

IPSec协议是一组基于网络层的应用密码学的安全通信协议族，不是具体的指某一个协议，而是一个开放的协议族。IPSec的工作模式主要有两种：传输模式，主要用于主机和主机之间端到端的通信和数据保护，其封装方式是不改变原有的IP报头，而是在原有的报头后面加入IPSec报头，仅封装我们的数据部分；隧道模式，主要用于私网与私网之间通过公网进行通信建立安全的VPN通道，其封装方式是增加新的IP头（公网或外网IP头），然后IPSec报头之后再将原来的整个数据包封装，基于IPSec协议族构建在IP层实现的安全虚拟专用网。

通过在数据包中插入一个预定义头部的方式来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、SMP和隧道的IP数据包。

3.3 VPN组成

VPN由VPN网关和VPN连接组成，VPN网关提供了虚拟私有云的公网出口，与用户本地数据中心侧的远端网关对应。VPN连接则通过公网加密技术，将VPN网关与远端网关互联，使本地数据中心与虚拟私有云通信，更快速、安全的构建混合云环境。

• VPN网关，其作用类似于防火墙，可进行IPSec协议的封装，提供了虚拟私有云的公网出口。远端网关是用户云下数据中心的公网出口，通常来说是一个防火墙设备，两个网关都是进行IPSec协议的封装与解封装。
• VPN连接，通过公网加密技术将VPN网关与远端网关关联。

3.3.1 VPN网关

• VPN网关是虚拟私有云中建立的出口网关设备，通过VPN网关可建立虚拟私有云和企业数据中心或其他区域VPC之间的安全可靠的加密通信。
• VPN网关需要与用户本地数据中心的远端网关配合使用，一个本地数据中心绑定一个远端网关，一个虚拟私有云绑定一个VPN网关。VPN支持点到点或点到多点连接，所以，VPN网关与远端网关一对多或一对多的关系。

3.3.2 VPN连接

• VPN连接是基于Internet的IPSec加密技术，可快速构建VPN网关和用户本地数据中心的远端网关之间的安全、可靠的加密通道。
• VPN连接是使用IKE和IPSec协议对传输数据进行加密，来保证数据安全可靠，并且VPN连接使用的是公网技术，更加节约成本。

3.4 VPN实战

使用VPN技术联通不同区的VPC，具体步骤如下：

• 1.分别创建两个不同区的VPC（A、B），注意VPC的网段需要和VPC中的子网网段保持一致，但是两端的子网网段不能重叠、本端的子网网段不能重叠；本端和对端的密钥和密码的策略需要完全相同。
• 2.分别将VPC（A）的VPN（A）网关地址写入到VPC（B）的VPN（B）网关中，及两端的网关参数需要对称。注意如果还是不能相连，可能是云服务器中的安全组ICMP出入规则未放通。
• 3.分别Ping两端VPC中的云服务器是否可以互通。

---

四、对等连接

---

创作于：2021年8月17日
更新于：