阿里云网络

2. 阿里云网络

整体网络框架

VPC架构
阿里云网络_第1张图片

2.1 VPC

阿里云专有网络(Virtual Private Cloud,简称VPC)是您在云上创建的专用虚拟网络。专有网络类似您在自己的数据中心运营的传统网络,但附带了阿里云基础设施的其他优势,例如可扩展性、隔离性和安全性等。

- 一个VPC就是一个内部私有网段(如172.16.0.0/12),不同VPC之间无法之间访问(可通过VPC对等连接联通)
- 一个VPC可以包含多个交换机,一个交换机就是内部网络的子网络(如172.16.1.0/16、172.16.2.0/16)
- 不同交换机之间如果不通过路由器,是无法通讯的,所以一个路由器可以包含多个交换机,保证他们之间能够通讯
- 一个VPC只能有一个路由器

专有网络由以下部分组成:
私网网段
在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。
您可以使用下表中标准的私网网段及其子网作为专有网络的私网网段。详细信息,请参见网络规划。
网段 可用私网IP数量 (不包括系统保留地址)
192.168.0.0/16 65,532
172.16.0.0/12 1,048,572
10.0.0.0/8 16,777,212
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表
交换机
交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。同一个IP网段(子网掩码一样)使用交换机通讯

2.2 NAT网关

NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择。也就是内部ECS或者ECI用于访问公网(SNAT)或者被公网访问(DNAT)
SNAT
配置公网NAT网关的SNAT条目,实现无公网IP的ECS实例通过公网NAT网关访问互联网。
DNAT
配置公网NAT网关的DNAT功能,实现ECS实例对外提供公网访问服务
VPC NAT
VPC NAT网关可以实现私网IP地址转换功能,使您VPC内的ECS实例能够访问外部私网和为外部私网提供服务
VPC对等连接
VPC对等连接是两个VPC之间的网络连接,您可以通过VPC对等连接,实现两个VPC之间私网互通。您可以在您的VPC之间创建VPC对等连接,或者在您的VPC与其他阿里云账号的VPC之间创建VPC对等连接。建立VPC对等连接的VPC可以在同一个地域,也可以在不同地域。
DHCP
动态主机配置协议DHCP(Dynamic Host Configuration Protocol)是一种局域网的网络协议, 提供了将配置信息传递到TCP/IP网络服务器的标准。通过DHCP选项集功能,您可以为VPC中的ECS实例配置域名和DNS服务器IP地址。

2.3 访问控制

网络ACL
网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。控制交换机层面访问,一般用于控制服务访问端口和协议。
ECS安全组
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内一台或多台ECS实例的入流量和出流量。控制ECS层面访问,一般用于控制服务访问端口和协议。
RDS白名单
在VPC中使用云数据库RDS实例,需要将云服务器的IP地址加入到需要访问的RDS的白名单中,云服务器才能访问RDS实例,而其他IP地址将拒绝访问RDS实例。控制RDS层面访问,一般用于数据库访问控制。
SLB白名单
负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。您可以为负载均衡监听设置允许转发请求的IP地址,适用于只允许特定IP访问应用的场景。控制SLB层面访问,一般用于负载均衡控制

2.4 SLB

ALB
ALB:专门面向七层,提供超强的业务处理性能,例如HTTPS卸载能力。单实例每秒查询数QPS(Query Per Second)可达100万次。同时ALB提供基于内容的高级路由特性,例如基于HTTP报头、Cookie和查询字符串进行转发、重定向和重写等,是阿里云官方云原生Ingress网关一般用于:互联网应用七层高性能自动弹性场景、音视频应用大流量低时延场景、云原生应用金丝雀蓝绿发布场景等,支持弹性伸缩组配置弹性容器。
CLB
CLB:支持TCP、UDP、HTTP和HTTPS协议,具备强大的四层处理能力,以及基础的七层处理能力。一般用于:网站、系统四层流量分发高可靠场景、大并发高性能网络分流场景、同城灾备、跨地域容灾场景,支持配置service弹性容器(ACK/ASK等)。
阿里云当前提供四层和七层的负载均衡服务。

  • 四层采用开源软件LVS(Linux Virtual Server)+keepalived的方式实现负载均衡,并根据云计算需求对其进行了个性化定制。
  • 七层采用Tengine实现负载均衡。Tengine是由淘宝网发起的Web服务器项目,它在Nginx的基础上,针对有大访问量的网站需求,添加了很多高级功能和特性

2.5域名

阿里云域名服务是集域名注册、交易、监控和保护为一体的综合域名管理平台,联合阿里云备案、云解析DNS服务,为您提供全方位域名服务。

2.6 云解析DNS

管理识别的域名转换为计算机用于互连通信的数字IP地址,从而将用户的访问路由到相应的网站或应用服务器。

你可能感兴趣的:(阿里云,网络,阿里云,云计算)