笔记 - Ali Cloud网络(VPC, SLB) 简介
VPC的概念
VPC 全稱 Virtual Private Cloud 虛擬私有云。
是基于Ali Cloud構(gòu)建的1個(gè)隔離帶網(wǎng)絡(luò)環(huán)境, 專有網(wǎng)絡(luò)之間邏輯上徹底隔離。
VPC 主要提供兩個(gè)能力:
用戶可以自定義網(wǎng)絡(luò)拓?fù)?#xff0c; 包括自有ip地址范圍, 劃分網(wǎng)段, 配置路由表和網(wǎng)關(guān)等;
通過專線或VPN與原有數(shù)據(jù)中心連接, 云上和云下的資源使用同1個(gè)網(wǎng)絡(luò)地址規(guī)劃, 實(shí)現(xiàn)應(yīng)用的平滑遷移上云。
兩個(gè)VPC 之間正常是隔離的, 無法相互通信。可以限制用于彼此互聯(lián)。
VPC的組成
路由器:實(shí)現(xiàn)不同網(wǎng)絡(luò)的互通, 是專有網(wǎng)絡(luò)的樞紐, 在VPC中有且只有1個(gè)。
交換機(jī):VSwitch 是VPC的基礎(chǔ)網(wǎng)絡(luò)設(shè)備, 用來連接不同的云資源, 相當(dāng)于實(shí)現(xiàn)局域網(wǎng)的設(shè)備。在 Ali Cloud 中交換機(jī)是虛擬交換機(jī)。每一臺交換機(jī)對應(yīng)1個(gè)私有網(wǎng)段。
私有網(wǎng)段: 在創(chuàng)建VPC和其交換機(jī)時(shí), 你需要以CIDR地址塊的形式指定專用網(wǎng)絡(luò)使用的私有網(wǎng)段。
192.168.0.0/16 代表16位子網(wǎng)掩碼, 192.168 是網(wǎng)絡(luò)代碼, 后面是主機(jī)代碼
192.168.0.0/24 代表24位子網(wǎng)掩碼, 192.168,x 是子網(wǎng)絡(luò)代碼, 后面是主機(jī)代碼
上面的圖代表1個(gè)大的網(wǎng)絡(luò)網(wǎng)段中包括若干個(gè)小的24位網(wǎng)絡(luò)
公網(wǎng)連接技術(shù)
公網(wǎng)IP: 最好用,成本高
EIP(彈性公網(wǎng)IP): 公網(wǎng)IP可能會變化, 1個(gè)EIP可以與多臺主機(jī)綁定和解綁
上網(wǎng)兩種有點(diǎn)浪費(fèi)ip地址
NAT網(wǎng)關(guān): 支持多臺 VPC ESC實(shí)例訪問公網(wǎng)(SNAT)和被公網(wǎng)訪問(DNAT)。 平時(shí)內(nèi)部通信用私有ip通信, 共享1個(gè)ip公網(wǎng)上網(wǎng)。 大大緩解ip地址不夠用的問題。
SNAT: 源地址轉(zhuǎn)換, 使NAT網(wǎng)關(guān)中任何主機(jī)都可以用1個(gè)公網(wǎng)ip訪問互聯(lián)網(wǎng)
DNAT: 把NAT網(wǎng)關(guān)中其中一臺機(jī)暴露出去, 類似于家用路由器的端口映射
負(fù)載均衡: 讓公網(wǎng)訪問內(nèi)部ECS主機(jī)時(shí)(DNAT)使用SLB 實(shí)現(xiàn)load balance.
VPC之間的互通
云企業(yè)網(wǎng): 類似多一VPC中加入1個(gè)大路由來實(shí)現(xiàn)互通
VPN網(wǎng)關(guān): 用于兩個(gè)VPC之間的加密專線。
本地IDC上云 (把私有云加入共有云)
IDC: Internet Data Center
高速通道: 物理專線, 成本最高,效率最好, 延遲最低, 更安全可靠
VPN網(wǎng)關(guān): IPsec -VPN, 把IDC 網(wǎng)絡(luò)和云上VPC連接起來
SSL-VPN, 將本地客戶端遠(yuǎn)程接入VPC( WFH就是1個(gè)例子)
智能接入網(wǎng)關(guān):會收到1個(gè)硬件設(shè)備, 這個(gè)設(shè)備就叫只能接入網(wǎng)關(guān), 大大減少配置復(fù)雜度, 可以實(shí)現(xiàn)線下機(jī)構(gòu)(門店,分支機(jī)構(gòu))等輕松構(gòu)建混合云。可實(shí)現(xiàn)線下機(jī)構(gòu)之間的胡同。
云企業(yè)網(wǎng):多個(gè)IDC 通過高速專線or VPN 網(wǎng)關(guān)接入云企業(yè)網(wǎng)來管理。 實(shí)現(xiàn)互通。
VPC的邏輯架構(gòu)
基于隧道技術(shù)和軟件定義網(wǎng)絡(luò)(Software Defined Network, 簡稱SDN)技術(shù), 阿里云的研發(fā)在硬件網(wǎng)關(guān)和自研交換及設(shè)備的基礎(chǔ)上實(shí)現(xiàn)了VPC
VPC 包含 交換機(jī), 網(wǎng)關(guān) 和控制器三個(gè)重要的組件。 交換機(jī)和網(wǎng)關(guān)組成了數(shù)據(jù)通路的關(guān)鍵路徑, 控制器是以哦那個(gè)自研的協(xié)議下發(fā)轉(zhuǎn)發(fā)表到網(wǎng)關(guān)和交換機(jī), 完成了配置通路的關(guān)鍵路徑。
網(wǎng)絡(luò):
1個(gè)VPC只能在1個(gè)地域。
所以如果1間公司在兩個(gè)城市都有分公司, 則必須使用多個(gè)VPC。
即使1個(gè)VPC, 也建議至少創(chuàng)建兩個(gè)交換機(jī), 分布在兩個(gè)不同的可用區(qū), 這樣可以實(shí)現(xiàn)跨可用區(qū)容災(zāi)。
網(wǎng)段的規(guī)劃:
交換機(jī)的網(wǎng)段必須是其所屬VPC網(wǎng)段的子集。
所以要盡量避免多個(gè)VPC使用相同的網(wǎng)段。不要重疊, 否則多VPC互聯(lián)的話會出現(xiàn)路由沖突。
如果實(shí)在不能避免重復(fù), 那么重復(fù)的那幾臺節(jié)點(diǎn)連接到云企業(yè)網(wǎng)。
SLB的概念
SLB - Server Load Balancer 是將訪問流量過呢?fù)?jù)轉(zhuǎn)發(fā)策略分發(fā)到后端多臺云服務(wù)器(ECS 實(shí)例)的流量分發(fā) 控制服務(wù)。 負(fù)載均衡擴(kuò)展了應(yīng)用的服務(wù)能力, 增強(qiáng)了應(yīng)用的可用性。
* 通過設(shè)置虛擬服務(wù)地址, 將添加的同一地域的多臺ECS實(shí)力虛擬成1個(gè)高性能, 高可用的后端服務(wù)池, 并根據(jù)轉(zhuǎn)發(fā)規(guī)則, 將來自客戶端的請求分發(fā)給后端服務(wù)器池的ECS實(shí)例。* 默認(rèn)檢查云服務(wù)器池中的ECS實(shí)例的健康狀態(tài), 自動隔離異常狀態(tài)的ECS實(shí)例, 消除了單臺ECS實(shí)例的單點(diǎn)故障, 提高了應(yīng)用的整體服務(wù)能力。此外, 負(fù)載均衡還具備抗DDos攻擊的能力, 增強(qiáng)了應(yīng)用服務(wù)器的防護(hù)能力。SLB 的組成部分
關(guān)鍵在于listeners,除了轉(zhuǎn)發(fā)請求的功能外, 它還有檢查后端服務(wù)器健康的功能。
SLB的產(chǎn)品優(yōu)勢
SLB的基礎(chǔ)架構(gòu)
七層的話采用Tengine實(shí)現(xiàn)SLB
四層的話采用 LVS + Keepalived 來實(shí)現(xiàn)
SLB中提供的功能
調(diào)度算法: 支持輪詢, 加權(quán)輪詢(強(qiáng)-弱服務(wù)器), 加權(quán)最小連接數(shù)(WLC), 和一致性哈希(CH)調(diào)度算法。
* 一致性哈希, 盡量把同1個(gè)地方/類別的請求轉(zhuǎn)發(fā)給同一臺服務(wù)器, 避免初始化的浪費(fèi)
健康檢查: 若檢查不通過, 則不轉(zhuǎn)發(fā)請求到該服務(wù)器
會話保持: 在會話的生命周期內(nèi), 可以將同1個(gè)客戶端的請求轉(zhuǎn)發(fā)到同1個(gè)臺服務(wù)器上
訪問控制: 黑名單/白名單
高可用:
安全防護(hù): 結(jié)合云盾, 可以提供5Gbps的防DDos攻擊能力。
SLB的配置
SLB 必須與后端ECS 在同一個(gè)地域!
總結(jié)
以上是生活随笔為你收集整理的笔记 - Ali Cloud网络(VPC, SLB) 简介的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 笔记 - Ali Cloud 块存储简介
- 下一篇: 笔记 - AliCloud Auto S