开发者学堂课程【云计算工程师解析与实战-网络专家篇(体验版):云上网络-管理公网流量- EIP/BAT /共享宽带】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/767/detail/13484
云上网络-管理公网流量- EIP/BAT /共享宽带
内容介绍:
一、EIP
二、NAT 网关
三、共享带宽
四、小结
一、 EIP
1.简介
阿里云弹性公网 IP (以下简称 EIP )是可以独立持有的公网 IP 地址资源,可脱离计算资源单独进行购买, EIP 可灵活的与云服务器 ECS / NAT 网关/ SLB 产品/ EN 绑定和解绑,为云资源提供 Internet 访问的能力;也可动态解绑,满足灵活官理的需要。
右图展示的是阿里云目前可以提供的EIP带宽种类,包括常见的多线GO,anycast(一期亚太/欧洲/北美),专门针对回国线路的精品EIP等等这些产品
2.应用场景:
①多线 BGP :
覆盖全球的优质互联网线路
互联网行业用户,如社交/游戏/生活服务(购物/出行/外卖/娱乐媒体等可在云上部署应用或 web 服务,并通过 EIP 为其终端用户提供 Internet 访问服务。
在云上部署 web 服务需要提供多家运营商的接入能力,比如说客户来自于电信,移动,联通,传统的解决方案是为这些用户分别去解析不同的运营商提供的线路,例如为电信用户解析电信机房,联通解析联通机房。
这一块有管理的成本,需要管理多个 ip ,阿里云的 EIP 有一个能力就是只需要提供一个 ip 地址就可以就近的为用户接入到用户所在的运营商线路中,虽然访问的是EIP 但通过不同的运营商接入时会就近的去选择用户所在的运营商网络,可以提高用户访问 EIP 的官网运营质量。阿里云 ip 地址是目前为止全球排名第二仅次于AWS ,针对特殊的申请可以提供连续地址或者指定的 IP 地址,另外在 ENI 这个产品上可以提供不定的 EIP 绑定,也就是说 ENI 网卡里绑定多个 EIP,关于带宽的能力上限后续会讲解,EIP 所自带的带宽能力并不仅限于它本身,还可以通过其他扩展的产品来提供一个更高的带宽能力
②精品 EIP:
这个产品是近期阿里云针对在香港,新加坡两地需要有优质的回国线路的需求提出的产品,主要解决的问题是在香港,新加坡两地需要和中国大陆进行通信时线路优化的产品,使用了精品 EIP 后会通过特定的运营商的回国线路,比普通的公网质量高很多延迟统计下大概会降低 60%,抖动/丢包少相较于通常的 EIP 公网回国线路,另外就是不需要额外配置,购买后即可直接使用,购买时只需要选择是精品 BGP 线路就可以直接购买精品 EIP,对于业务甚至对于整个产品策略不需要做任何的更改,是一个透明的操作。
③单线带宽:
单线带宽 IP 归属运营商,用户将自己的 Web 等服务管理关联到电信运营商分配的 IP 地址上,由于是单运营商的公网线路,它运营商互访需要通过运营商间互联(非直连)线路互通,时延相对较大。相比多线 BGP 线路,故障收敛能力较弱,可靠性相对低,但可用性
不低于 99.5% ,适合对质量要求不高单价格教敏感的客尸。
之前提到的是 bgp 线路或者是做一些特定的回国线路,如果需要有一个单线特定单运营商的 EIP 也可以提供,只需要和电信有交互,不需要有其他运营商线路也可以提供单线 EIP,最大化的降低公网成本。
核心优势:
价格低: 成本较低,价格约为多线 BGP 的1/3;
覆盖全:在北京、上海、杭州、深圳、青岛、成都均有 Region 。且未来还将支持呼和浩特、西安,武汉,南京,大连的覆盖
连续 IP 段:支持连续 IP 段申请,满足特定场景下需要(如安
全管控)
更适用于对带宽有较高要求或者特定定制化要求的用户.
二、 NAT 网关
1. 推出 NAT 网关产品原因:
ecs 绑定了 EIP 有了访问功能的能力,EIP 需要单一的地址绑定在一台 ECS 上如果有上千台上万台需要一比一的上万个 EIP,对于管理上以及运维成本是非常高的,如果上万台 ECS 都需要访问公网的能力,带来的运营成本显而易见是非常高的。
若所有的 ECS 都有公网 EIP 的访问 link 非常容易遭受恶意攻击,如果自建 nat 网关带来的问题是在目前阿里云上自建 nat 网关的可靠性弹性扩展能力不足,运维成本高。针对以上问题推出了 NAT 网关产品
2.提供的能力:
SNAT DNNAT 网关 AT,本身会去维护 section 表,所有在 NAT 网关绑定的交换机,EPC 下的 ECS 想要访问官网通过 NAT 网关可以走到官网上,就不需要 ECS 绑定特定的 EIP,即便 ECS 没有绑定 EIP 只有处在的 EPC 有 NAT 网关一样可以去访问官网,反过来如果 ECS 上面的服务需要暴露在官网上依然可以通过 NAT 网关的 DNAT 能力将一个 EIP 的端口暴露在官网上,对内转发到 ECS 端口上,完成了没有官网的 ECS 对外暴露服务的能力 同时 DNAT 高可用高性能,通过对业务上不同的评估可以去购买不同规模的 NAT 网关实例,省成本,如果可以使用共享流量包或者共享带宽可以进一步的节省整个企业成本。这个部分在后面共享带宽是还会讲。
3.产品部署架构:
方式一: snat 方式共享
利用 NAT 网关 snat 能力让 NAT 网关绑定的 lpc 交换机下所有 ECS 可以通过 NAT网关的 snat 能力去上网
方式二:目的地址映射
可以在 ECS 里面将端口通过 NAT 网关 enat 规则暴露在公网上,比如在这里面写了一个 EIP1port180 端口,可以NAT网关映射到这台 ECS1 内的 80 端口也就完成了外部客户如果访问 EIP1 的 80 端口它的流量会直接打到这台 ECS1 80 端口也就完成了一个特定的端口的映射。如果想让某台 ECS 的所有端口全部端口映射在公网上也是可以提供这个能力的,将 EIP2 的所有端口映射到 ECS4 的所有端口上,在控制台上可以进行配置,这样变相的完成了一次 EIP 到 ECS 的操作,虽然通过NAT 网关,那是因为映射端口是全端口。
3.NAT 网关核心能力:
SNAT 公网访问:可以让没有公网 IP 地址的 ECS 去访问公网,同时 SNAT 的 EIP 支持地址池功能
DNNAT 端口映射:让 ECS 内部的服务可以暴露到公网上同时也支持 IP 对 IP 的全端口映射
高可用:在底层通过多可用区多机部署来避免单机故障或是单可用区的故障
高性能:提供了 10GB 级别的带宽能力同时也支持百万级别的并发访问
4.NAT 网关典型案例
背景:
ECS 访问公网的并发连接数最大只能到达 6.6 w,为了解决这个问题通过修改架构引入 NAT 网关去替代原来的 EIP 直接访问公网这个能力通常情况下,并绑定了五个EIP也就是之前提到的snat的EIP地址池,最终的 EPC 是可以让并发能力达到5*65535 个,通过很少的架构实现了超大并发,提高了并发的整体能力。
三、共享带宽:
1.产生背景:
前面提到的 EIP 和 NAT 网关都提到了共享带宽这个名词,如果 ECS NAT 网关 弹性网卡。
SLB 等等这些产品都需要访问公网,每个产品都需要维护带宽上限,同时这么多产品都有一个小公网带宽访问能力,整体的带宽上限都是在 1Gbps,其实对整体等我成本或者说带宽峰值是非常受限的水平,同时EIP带宽目前最高可以开到 1Gbps,如果想要更高的带宽通过 ECS 本身是没有办法提供的,所以就带来了共享带宽这个产品。
首先解决一个痛点是如果所有产品各有一个共享带宽,都是 1Gbps 峰值上限,如果用共享带宽可以在所有的公网出口共同的去使用这一份共享带宽,只要去购买一个 5Gbps 的共享带宽,这些产品可以共同使用共享带宽出口,同时可以让带宽峰值从 1 G 提升到 5 G 对于一些突发流量可以有更高的舍位。同时共享带宽也是一个非常灵活的部署方式,可以根据整个云上的架构特点去部署公网带宽的能力,这里提供了一个简单的架构图
首先是 ECS 使用的是公网 IP 这种方式,SLB 使用到的是公网实例的 EIP,ECS 直接绑定一个 EIP,本身可以提供共享带宽,最后的三块绑定 EIP,EIP 加入到共享带宽里,每个 EIP 就拥有了共享带宽的带宽上限还可以去共享带宽,通过业务的参与部署尽可能的降低成本。
四、小结:
eip 一般来说提供的是IP地址的能力虽然说它本身也有公网带宽但是更多的是作为一个 IP 地址能力的产品,共享带宽如名字所见入宫的是一个公网带宽的能力无论是给 EIP 或者是其他的产品,都是为绑定的产品提供公网带宽的能力。
NAT 网关一般来说认为它提供的是 section 记录的能力,但是作为 dnat 全端口映射策略上来说提供的就是完全的流量转发的能力,所以 NAT 网关第一提供 section 能力第二提供端口映射转发能力。
