华为云Stack的学习(八)

九、华为云Stack网络服务介绍

1.网络服务概览

1.1 租户界面的网络服务

租户登入ManageOne运营面后,可在服务列表中查看到网络服务。用户使用网络服务前管理员需要在Service OM上提前创建好外部网络。

image.png

1.2 华为云Stack网络服务全景图

image.png

1.3 网络服务承载网元

image.png

2.虚拟私有云VPC

虚拟私有云(Vitual Private Cloud,VPC),是一套为云服务器(包括弹性云服务器和裸金属服务器)构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境,旨在提升用户资源的安全性,简化用户的网络部署。

image.png

用户可以在VPC中自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表网关等,方便地管理和配置网络,进行安全、快捷的网络变更。同时,通过自定义安全组内与组间云服务器的访问规则以及网络ACL等多种安全层,加强对子网中云服务器的访问控制。

2.1 VPC相关概念
a.子网

image.png

一个VPC下面可以有多个子网,通常情况下同种类型的主机在一个子网下面,子网可以用于进行网络隔离。

默认情况下,同一主机下的子网之间是互通的,可以通过设置安全组对子网之前的访问进行限制。

b.自定义路由

image.png

c.VPC-Peering

image.png

2.2 VPC逻辑架构

**业务呈现和运维层:**提供面向用户的业务界面。

**业务协同层:**实现存储、计算和网络资源的协同。

**网络控制层及资源池:**实现基于软件的vSwitch、vFW、vRouter等分布式虚拟网络功能。

image.png

2.3 VPC应用场景
a.安全隔离的网络环境

image.png

b.通用性Web应用

image.png

c.连接本地数据中心

将公司网络扩展到云中

image.png

3.安全组与网络ACL

3.1 安全组

安全组是一个逻辑上的愤怒,为同一个项目内具有相同安全保护需求并相互信任的云服务器提供访问策略,支持白名单(指允许策略)。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。

image.png

系统会为每个用户默认创建一个Sys-default安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。

**东西向防护:**安全组可提供基于虚拟机网卡的东西向安全防护。

3.2 网络CAL

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向ACL(Access Control List)规则控制出入子网的数据流,支持黑白名单(即允许和拒绝策略)。

image.png

**东西向防护:**网络ACL可提供基于子网的东西向安全防护。

**南北向防护:**VPC间流量入EIP、VPC互通流量,网络ACL可以为其提供防护。

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。支持与子网绑定,一个网络ACL支持和多个子网绑定,一个子网不能同时加入两个网络ACL。

3.3 网络ACL VS 安全组

image.png

4.弹性负载均衡ELB

ELB(Elastic Load Balance),即弹性负载均衡,是将访问流量根据转发策略分发到多台后端云服务器的流量分发控制服务。通过流量分发扩展应用系统对外的服务能力,实现更高水平的应用程序容错性能;通过监听器的健康检查消除单点故障以提高整个系统的可用性。

image.png

4.1 ELB相关概念

image.png

  • 负载均衡器

接收来自客户端的传入流量并将请求转发到一个或多个可用区中的后端云服务器。

  • 监听器

监听器使用用户配置的协议和端口检查来自客户端的连接请求,并根据已定义的分配策略将请求转发到后端服务器组里的后端云服务器。

可以向弹性负载均衡器添加一个或多个监听器。

  • 后端云服务器组

把具有相同特性的后端云服务器放在一个组,弹性负载均衡实例进行流量分发时,流量分配策略以后端云服务器组为单位生效。

每个监听器会绑定一个后端云服务器组,后端云服务器组中可以添加一个或多个后端云服务器。

4.2 ELB主要功能

**弹性伸缩:**与弹性伸缩服务无缝集成,根据业务量自动扩展负载分发和后端处理能力,保障业务可用。

**会话保持:**将一定时间内来自同一用户的访问请求,转发到同一后端云服务器处理,保证用户访问的连续性。

**多协议支持:**支持TCP、UDP、HTTP和HTTPS多种协议。满足高性能和大规模并发连接及灵活安全的业务诉求。

**健康检查:**定期检查后端云服务的运行状况,确保将流量转发到正常运行的后端云服务器以保证业务的高可用。

4.3 ELB应用场景

image.png

5.云内互通

5.1 同一VPC内互通

默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信。用户也可通过安全组或者网络ACL控制流量的进出。

image.png

5.2 同Region不同VPC互通
a.对等连接

对等连接是指两个VPC之间的网络连接。可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。

image.png

创建对等连接后,需要在两端VPC添加对等连接路由信息,才能使两个VPC互通。

b.VPC终端节点服务

VPC终端节点(VPC Endpoint,简称VPCEP)是一项扩展VPC能力的云服务,该服务建立在VPC内,能使用户将VPC私密地连接到终端节点服务,无需弹性IP,为用户提供性能强大、组网灵活、安全稳定的网络环境。

image.png

VPC终端节点由“终端节点服务”和“终端节点”两种资源组成,两种资源分别由服务提供方和服务使用方创建。

c.对等连接与VPC终端节点

image.png

image.png

5.3 不同Region不同VPC互通

云连接为用户提供一种能够快速构建跨区域VPC之间高速、优质、稳定的网络能力。

通过云连接将用户所需要实现互通的不同区域的网络实例加载到云连接实例中,这里的网络实例可以是同区域的VPC,也可以是不同区域经过授权的VPC,通过云连接服务,都可以实现私网互通。

image.png

当云上多个跨区域的VPC之间需要进行通信时,云连接可以根据网络规划,轻松实现多个跨区域VPC连通,提高网络拓扑的灵活性,并提供安全可靠的私网通信。

image.png

6.云内与外网互通

6.1 弹性IP服务EIP

弹性IP(Elastic IP,简称EIP),是基于云外网络(简称外网,云外网络一般是外网Internet也可以是企业内部局域网)上的静态IP地址,是可以通过外网直接访问的IP地址,通过NAT方式映射到被绑定的实例上。

image.png

  • EIP通过NAT的方式映射到云资源上。
  • 没有EIP,云资源不能和公网通信。
  • EIP带宽支持共享带宽独享带宽两种。
a.EIP相关概念

**共享带宽:**共享带宽是指可提供多个弹性IP共享的带宽,即多个弹性IP共同使用的一条带宽。

**虚拟IP:**虚拟IP地址(Virtual IP address,VIP)是私有IP地址的一种,拥有私有IP地址同样的网络接入能力2,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问云服务器。

b.EIP的功能
  • 弹性绑定外网IP

可以申请独立的外网IP地址,外网IP可以按需要绑定到弹性云服务器上,以满足云服务器连通外网的需求;

绑定和解绑操作都即时生效。

  • 配置带宽限速

申请外网IP时,可以设置弹性IP的带宽限速。

  • 单独购买单独持有

不需要与其他计算资源或存储资源绑定购买,并单独持有作为独立的资源存在。

  • 批量申请多个EIP

EIP支持批量申请,一次可申请多个EIP。

  • 指定EIP和系统自动分配

申请EIP时可以指定IP地址,如果指定的IP没有被分配出去,即可申请成功;

申请EIP时也可以让系统自动分配IP地址。

  • 指定申请时长

申请EIP时,可根据业务要求灵活设置EIP的有效时长,最小单位是天,也可以不限时长。

c.EIP应用场景
①单台云服务器访问外网

image.png

直接使用EIP实现云内云服务器访问外网,若VPC内的某一台云服务器需要访问外网,可通过直接为该云服务器绑定弹性IP的方式实现。

②多云台服务器访问外网

EIP配合NAT网关实现云内服务器访问外网

image.png

若VPC内的多台云服务器需要访问外网,可使用NAT网关配合弹性IP实现。

创建NAT网关后,通过创建SNAT规则,将弹性IP和子网配置到SNAT规则中,该子网下的云服务器就可以通过弹性IP访问外网。

6.2 NAT网关

NAT网关(NAT Gateway能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。NAT网关分为SNAYT和DNAT两个功能。

image.png

a.NAT网关的功能

image.png

**SNAT:**源网络地址转换,内部地址要访问公网上的服务时,内部地址会主动发起连接,将内部地址转换为公网IP。

**DNAT:**目标地址转换,内部需要对外提供服务时,外部主动发起连接,路由器或者防火墙的网络接收到这个连接,然后将连接转换到内部,此过程是由带公网ip的网关代替内部服务来接收外部的连接,然后在内部做地址转换。

b.NAT网关应用场景

NAT网关因其易运维管理、高安全、能有效降低节省IP资源等特点广泛被企业采纳使用。

image.png

互联网/电商/金融等企业,架构设计上考虑到安全因素,禁止虚拟机绑定EIP,使用NAT网关作为一层安全隔离机制。

游戏/视频等企业,需要面向公网开放服务,使用DNAT充分利用EIP端口资源。

7.云内与本地IDC互通

7.1 虚拟专用网络VPN

虚拟专用网络(Virtual Private Network,VPN),提供端到端的私有访问通道。IPSec VPN业务用于在公用网络上,为远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过IPSec VPN直接访问VPC中路由网络内的业务资源。

image.png

a.VPN 的功能

若将VPC中的弹性云服务器和本地数据中心或私有网络连通,可以启用VPN功能。

  • 数据中心扩展到云上
  • 应用扩展到云上
  • 开通管理简洁

关键技术

  • **加密算法:**AES-128、AES-192、AES-256、3DES
  • **认证算法:**SHA2-256、SHA2-384、SHA2-512、SHA1
  • **传输协议:**ESP、AH、AH-ESP
  • **版本:**V1、V2
b.VPN应用场景
①单站点混合云部署

通过VPN在传统数据中心与VPC之间建立通信隧道,用户可以方便地使用云平台的云服务器、块存储等资源。应用程序转移到云中、启动额外的Wbe服务器、增加网络的计算容量,从而实现企业的混合云架构,既降低了企业IT运维成本,又不用担心企业核心数据的扩散。

image.png

②多站点混合云部署

通过VPN能够在多个传统数据中心与VPC之间建立通信隧道,用户可方便地使用云平台的云服务、块存储等资源。建立多站点VPN连接要求各个站点之间的子网网段不能冲突。

image.png

③跨区域VPC互联

通过VPN在不同区域的两个VPC之间建立通信隧道,实现用户不同区域VPC的互通的需求。

image.png

7.2 云专线DC

云专线(Direct Connect)是搭建在用户本地数据中心与云上虚拟私有云(Virtual Private Cloud,VPC)之间的高安全、低延迟、稳定可靠的专属连接通道。

image.png

a.云专线分类

**基础型云专线:**不依赖硬件设备,部署灵活,易于扩展。

使用基础型云专线时,专线的流量会压到网络节点上,所有网元的业务流量都共用一张业务网卡,从而会出现不同流量如VPC互通、EIP、ELB、基础型云专线之间互相挤兑的情况

增强型云专线:使用硬件交换机作为专线网关,提供更高的转发性能。支持静态路由和动态路由部署方式,部署简化。

增强型云专线不需要经过SDN网络节点,不会出现与其他业务流量抢占带宽的场景。

b.DC应用场景
①云服务器与本地数据中心高速专线互联

image.png

用户可以通过云专线将用户侧的网络、数据中心、主机托管区连接至虚拟私有云,享受高性能、低延迟、安全专用的数据网络。

②多站点部署

image.png

用户可以通过云专线打通多地域VPC计算资源,享受高性能、低延迟、安全专用的数据网络。

③跨区域互联

image.png

通过云专线服务在不同区域的两个VPC之间专线连接,实现不同区域VPC的互通的需求。

7.3 二层桥接

二层桥接(L2 Bridge)是高速、低延迟、稳定安全的专属二层连接通道,用于实现在数据中心部署过程中,将物理服务器功能迁移到虚拟机中,但是由于某些特殊功能无法迁移到虚拟机中,需要在数据中心的虚拟私有云(Virtual Privase Cloud,VPC)和传统VLAN网络的之间实现二层互通的场景。同时可扩展支持组播能力,满足城轨云、媒体云等有组播需求的场景。

image.png

8.增值服务

8.1 云解析服务

云解析服务(Domain Name Service)提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上。

image.png

a.DNS功能

**内网域名解析:**云解析服务将在VPC内生效的内网域名与私网IP相关联,为云上资源提供VPC内的域名解析服务。

  • 关联VPC
  • 解关联VPC
  • 支持对内网DNS查看、修改和删除,管理解析记录。

image.png

b.DNS的应用场景

云解析服务提供的PVC内的内网域名解析服务,可以应用于云服务器主机名管理、云服务器切换和云服务器访问云上资源等场景。

  • **云服务器主机名管理:**企业内部的开发、测试、生产等场景。
  • **云服务器切换:**部署网站应用。
  • **云服务器访问云上资源:**云服务器访问SMN、OBS等云上内部服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/87771.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Tuxera NTFS 2022 for Mac破解版百度网盘免费下载安装激活教程

Mac打不开移动硬盘”有多种原因,解决办法也不尽相同。它可能是安装的NTFS for Mac读写软件版本和当前macOS系统的兼容问题、或者是Mac没有正常连接硬盘等等。本篇文章就将为您罗列出导致“Mac打不开移动硬盘”的原因和解决办法。 为此不得不使用著名的Tuxera NTFS …

最快的包管理器--pnpm创建vue项目完整步骤

1.用npm全局安装pnpm npm install -g pnpm 2.在要创建vue项目的包下进入cmd,输入: pnpm create vue 3.输入项目名字,选择Router,Pinia,ESLint,Prettier之后点确定 4.cd到创建好的项目 ,安装依赖 cd .\刚创建好的项目名称\ p…

云原生Kubernetes:K8S配置资源管理

目录 一、理论 1.Secret 2.Secret创建 3.Secret使用 4.Configmap 5.Configmap创建 6.Configmap使用 二、实验 1.Secret创建 2.Secret使用 3.Configmap创建 4.Configmap使用 三、问题 1.变量引用生成资源报错 2.查看pod日志失败 3.创建configmap报错 4.YAML创建…

网络编程-UDP协议(发送数据和接收数据)

需要了解TCP协议的,可以看往期文章 https://blog.csdn.net/weixin_43860634/article/details/133274701 TCP/IP参考模型 通过此图,可以了解UDP所在哪一层级中 代码案例 发送数据 package com.hidata.devops.paas.udp;import java.io.IOException; …

ElementUI之登陆+注册->饿了吗完成用户登录界面搭建,axios之get请求,axios之post请求,跨域,注册界面

饿了吗完成用户注册登录界面搭建axios之get请求axios之post请求跨域注册界面 1.饿了吗完成用户注册登录界面搭建 将端口号8080改为8081 导入依赖,在项目根目录使用命令npm install element-ui -S,添加Element-UI模块 -g:将依赖下载node_glod…

配置OSPFv3引入外部路由及路由过滤 华为实验

1.1 实验介绍 1.1.1 关于本实验 在大型园区网络中,往往使用不同的路由协议进行组网,实现全网的网络互通。不同的协议间通信,除了路由协议本身,还需要引入外部路由及路由信息过滤等技术。 本章内容主要介绍OSPFv3路由过滤及引入外…

win使用git(保姆级教程)

序言 上学期间用的git并不多,但是从研三实习以及后面工作来看,git是一项必备技能,所以在此来学习一下。 下载git安装包 打开网站,根据需求来下载;一般按照如下方式进行下载: 然后安装的时候记得按下图勾…

论文笔记:ViTGAN: Training GANs with Vision Transformers

2021 1 intro 论文研究的问题是:ViT是否可以在不使用卷积或池化的情况下完成图像生成任务 即不用CNN,而使用ViT来完成图像生成任务将ViT架构集成到GAN中,发现现有的GAN正则化方法与self-attention机制的交互很差,导致训练过程中…

《优化接口设计的思路》系列:第四篇—接口的权限控制

系列文章导航 《优化接口设计的思路》系列:第一篇—接口参数的一些弯弯绕绕 《优化接口设计的思路》系列:第二篇—接口用户上下文的设计与实现 《优化接口设计的思路》系列:第三篇—留下用户调用接口的痕迹 《优化接口设计的思路》系列&#…

知识库搭建保姆级教程,如何从0到1完成知识库搭建

在这个信息爆炸的时代,如何获取、整理和应用知识成为了我们个体价值和企业核心竞争力打造的重要表现,搭建一个高效的知识库可以提升我们企业的竞争力,必要时还能快速切换赛道,开展一个新的领域。 今天我们将结合HelpLook 来与你一…

C++之互斥锁、读写锁、互斥量、 信号量、原子锁机制总结(二百二十五)

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长! 优质专栏:Audio工程师进阶系列【原创干货持续更新中……】🚀 人生格言: 人生…

MAC word 如何并列排列两张图片

系统:MAC os 参考博客 https://baijiahao.baidu.com/s?id1700824516945958911&wfrspider&forpc 步骤1 新建一个word文档和表格 修改表格属性 去掉自动重调尺寸以适应内容 插入图片 在表格的位置插入对应的图片如下 去除边框 最终结果如下

UE5 ChaosVehicles载具研究

一、基本组成 载具Actor类名称:WheeledVehiclePawn Actor最原始的结构 官方增加了两个摇臂相机,可以像驾驶游戏那样切换多机位、旋转观察 选择骨骼网格体、动画蓝图类、开启物理模拟 二、SportsCar_Pawn 角阻尼:物体旋转的阻力。数值越大…

云原生技术盛会KubeCon即将召开!亚马逊云科技作为钻石赞助商参会

KubeCon2023将于9月26-28日在上海跨国采购会展中心隆重召开。作为云原生领域最负盛名的技术大会之一,KubeConCloudNativeCon是连接全球开发者与云原生社区的最佳平台,此次还新增Open Source Summit环节,吸引了全球顶尖的云原生专家们汇聚其中…

数据链路层协议

文章目录 数据链路层协议0. 数据链路层解决的问题1. 以太网协议(1) 认识以太网(2) 以太网帧格式<1> 两个核心问题 (3) 认识MAC地址(4) 局域网通信原理(5) MTU<1> 认识MTU<2> MTU对IP协议的影响<3> MTU对UDP协议的影响<4> MTU对TCP协议的影响<…

Python开发与应用实验2 | Python基础语法应用

*本文是博主对学校专业课Python各种实验的再整理与详解&#xff0c;除了代码部分和解析部分&#xff0c;一些题目还增加了拓展部分&#xff08;⭐&#xff09;。拓展部分不是实验报告中原有的内容&#xff0c;而是博主本人自己的补充&#xff0c;以方便大家额外学习、参考。 &a…

安装Python3.x--Windows

1 下载安装包 确定安装是干什么&#xff0c;要下哪个版本&#xff08;如果是配置项目环境&#xff0c;最好按项目需求的版本来装&#xff09; 1.1 官网链接 https://www.python.org 最新版本 指定版本 2 安装说明 点击下载exe&#xff0c;运行自定义安装路径&#xff0c;下…

TS编译选项——不允许使用隐式any类型、不明确类型的this、严格检查空值、编译后文件自动设置严格模式

一、不允许使用隐式any类型 在tsconfig.js文件中配置noImplicitAny属性 {"compilerOptions": {// 不允许使用隐式any类型"noImplicitAny": true} } 开启后即可禁止使用隐式的any类型 注意&#xff1a;显式的any类型并不会被禁止 二、不允许使用不明确类…

腾讯mini项目-【指标监控服务重构】2023-08-26

今日已办 Venus 的 Trace 无感化 定义 handler 函数 fiber.Handler 的主要处理逻辑返回处理中出现的 error返回处理中响应 json 的函数 // handler // Description: // Author xzx 2023-08-26 18:00:03 // Param c // Return error // Return func() error : function for …

和 Node.js 说拜拜,Deno零配置解决方案

不知道大家注意没有&#xff0c;在我们启动各种类型的 Node repo 时&#xff0c;root 目录很快就会被配置文件塞满。例如&#xff0c;在最新版本的 Next.js 中&#xff0c;我们就有 next.config.js、eslintrc.json、tsconfig.json 和 package.json。而在样式那边&#xff0c;还…