团队介绍
我们是光大科技有限公司智能云计算部云计算团队集团云项目组,致力于光大集团IaaS平台建设与维护工作,面向集团本部及子公司提供弹性、可扩展的IaaS平台服务。我团队在云计算、虚拟化、存储领域拥有多名经验丰富的技术专家,将不定期与大家分享原创技术文章和相关实践经验,期待与大家共同探讨和进步。
引言
随着云计算技术的发展,云计算解决方案的“落地”变得更为安全可靠,“企业上云”也逐渐成了热门话题。大家可能会好奇,业务上云以后,如何进行网络的规划与管理呢?这个时候虚拟私有云(Virtual Private Cloud,VPC)应运而生,由于章节有限,本次主要为大家介绍虚拟私有云下各种网络服务的概念与原理以及它们之间的关系。
虚拟私有云
虚拟私有云(Virtual Private Cloud,VPC),是一套为云服务器(包括弹性云服务器和裸金属服务器)构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境,旨在提升用户资源的安全性,简化用户的网络部署。
VPC中可以自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表和网关等,方便地管理和配置网络,进行安全、快捷的网络变更。同时,通过自定义安全组内与组间云服务器的访问规则以及防火墙等多种安全层,加强对子网中云服务器的访问控制。
小知识
弹性云服务器(Elastic Cloud Server),是由CPU、内存、磁盘等组成的随时可获取、弹性可扩展、按需使用的虚拟的计算服务器。
裸金属服务器(Bare Metal Server),为租户提供专属的物理服务器,拥有卓越的计算性能,能够同时满足核心应用场景对高性能及稳定性的需求,并且可以和虚拟私有云等其他云服务灵活的结合使用,综合了传统托管主机的稳定性与云上资源高度弹性的优势。
重点来喽(手动敲黑板),下图是云上VPC的基本架构。为方便管理,租户可根据业务类型划分多个VPC,一个VPC可以由多个子网构成,子网之间的网络访问控制由虚拟防火墙进行限制。每个子网下可以创建多个云服务器,云服务器可以绑定不同的安全组规则,在同一安全组内的云服务器可以相互访问。
下面带大家认识图中涉及到的一些基本概念。
子网
子网是VPC中的一个网段,属于三层网络。一个VPC可以创建多个子网,用来分类管理有不同业务需求的云服务器,包括为云服务器提供IP地址管理、DNS服务等。
默认情况下,同一个VPC的所有子网内的云服务器均可以进行通信,不同VPC的云服务器不能进行通信。
安全组
安全组是一个逻辑上的分组,为同一个项目内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。默认安全组中的默认规则是在出方向上的数据报文全部放行,安全组内的云服务器无需添加规则即可互相访问。一个云服务器可以加入多个安全组,且与每个安全组内的云服务器都可以互相访问。安全组、子网与云服务器的关系如下表所示:
所在子网 |
所在安全组 |
连通性 |
相同 |
相同 |
连通 |
相同 |
不同 |
不连通 |
不同 |
相同 |
连通 |
不同 |
不同 |
不连通 |
虚拟防火墙
虚拟防火墙是VPC子网级别和VPC级别安全服务,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。虚拟防火墙与安全组工作的层面不同,虚拟防火墙用来防护进出子网的流量。安全组则工作于云服务器端口,对指定云服务器的数据流进行控制。
弹性IP
如果用户有访问公网的需求,那就需要弹性IP了。弹性IP是基于互联网上的公有IP地址,将弹性IP地址和子网中关联的实例(也就是弹性云服务器)绑定,即可实现VPC中的实例与互联网互通。
VPC如何实现互通
由最上面的图可以看出,VPC间是逻辑隔离的。但某些业务场景下需要实现VPC间互通,这个是通过什么方式来实现的呢?答案大家并不陌生,是对等连接(peer-to-peer,简写为 P2P),对等连接是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样,操作也十分简单,在创建好对等连接之后添加相应的本段和对端路由即可。
安全组与虚拟防火墙的区别
这里为大家介绍一下虚拟防火墙与安全组的区别,大致可以从作用范围、配置策略、优先级和应用操作这四个方面进行区分:
对比项 |
安全组 |
虚拟防火墙 |
作用 范围 |
云服务器网卡 |
VPC子网或整个VPC |
配置 策略 |
仅支持允许策略 |
支持允许、拒绝和驳回策略 |
优先级 |
多个安全组规则冲突、取并集生效 |
谁靠前优先级越高 |
应用 操作 |
创建云服务器默认必须选择安全组,默认安全组自动应用到服务器 |
必须通过创建虚拟防火墙、将子网与虚拟防火墙关联并添加防火墙规则等操作,才能应用到相应的云服务器 |
从作用范围看:安全组为云服务器网卡级别,创建的安全组规则需绑定到云服务器的网卡上才可以生效;虚拟防火墙为子网级别,在创建虚拟防火墙出入方向规则之前需进行关联子网操作。
从配置策略看:安全组仅支持允许策略,因为安全组中包含了一系列的访问控制规则,属于白名单机制,只有在白名单中的数据才允许通过;而虚拟防火墙则可以配置允许、拒绝和驳回策略。
从优先级看:一个虚拟机的网卡可以加入多个安全组,安全组的规则会合并在一起并应用到该网卡上,也就是说,作用到虚拟机网卡上的规则是所有安全组的并集;而虚拟防火墙为谁靠前优先级越高。
从应用操作看:创建云服务器默认必须选择安全组,所以在创建VPC时就会创建一个出入方向全部放通的默认安全组,后续再根据需求自行设置其他规则;但是在应用虚拟防火墙时,必须通过创建虚拟防火墙、将子网与虚拟防火墙关联并添加防火墙规则等操作,才能应用到相应的云服务器。
虚拟私有云的特点
灵活配置
自定义虚拟私有网络,按需划分子网,配置IP地址段、路由表等服务。支持跨AZ部署弹性云服务器。
安全可靠
VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对弹性云服务器进行防护,使网络更加安全。
互联互通
默认情况下,VPC与公网是不能通信访问的,这个时候可以通过弹性公网IP、云专线等方式连接公网。
默认情况下,两个VPC之间也是不能通信访问的,这个时候可以使用对等连接的方式,使用私有IP地址在两个VPC之间进行通信。
提供多种连接选择,满足企业云上多业务需求,降低企业IT运维成本。
高速访问
使用全动态BGP协议接入多个运营商,支持多条线路。可以根据设定的寻路协议实时自动故障切换,保证网络稳定,网络时延低,云上业务访问更流畅。
总结
本篇文章主要介绍了云上VPC的常见概念及原理。用户可以通过对VPC内网络资源的合理规划,在企业业务上云后,实现对网络的便捷管理。
原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/33102.html