开发者学堂课程【高校精品课-华东师范大学 - Python 数据科学基础与实践:【视频】阿里云云计算 ACP 认证(5)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1006/detail/15121
【视频】阿里云云计算 ACP 认证(5)
连接方式和应用场景
连接VPC主要有三个部分。
前面列弹性公网IP其实就是想要列出VPC连接公网。首先讲解VPC怎么连接公网。
1.VPC连接公网
1)ecs的public IP
创建ecs的时候可以直接分配公网IP,公网IP不是弹性IP,它是一个固定的IP, ecs的public IP是创建ecs的时候指定的,不能更换,除非把它转换成EIP,转换成EIP之后是可以解绑的。把分配公网IP勾上以后,系统创建的是固定的。
2)弹性公网IP
弹性公网IP就是所谓的EIP,EIP是可以动态的绑定跟解绑的。
3)NAT网关
NAT网关可以绑定若干个EIP,相当于通过NAT网关把IP跟NAT网关注绑定,VPC内的资源通过NAT网关去建立的nat规则从而通过NAT网关实现公网通讯。
4)CLB/ALB
可以通过CLB/ALB实现四层的跟七层的负载均衡,SLB分为公网类型和私网类型。
下面主要列了几点VPC互联互通的一些场景。
2.两个VPC互联:
第一种方式:云企业网。把多个不同地域不同账号的VPC连接起来,来构建一个互联网络,云企业网很方便,通过向导点一下就能够实现互联互通。
第二个方式:VPN网关。能够获得比较好的连接品质,它的延时比较低,效率比较高。云企业网本身链路是有冗余的,网络的稳定性可以得到比较好的保障。可以租用阿里云的VPN网关,或者用一些软件自己去搭建ipsec的连接,建立加密的通信通道。这种方式费用比较低廉,要是自己开源搭建,就属于零费用,但是配置上会稍微复杂一些。如果用阿里云的VPN网关,因为也是自带高可用的,本质上是ECS上面去部署阿里云的VPN网关软件,费用也不高,是ECS加上软件的license费用,加上带宽的费用。更安全可用,配置会更简单一些。自己搭建其实也可以,
第三个方式:VPC的对等连接。原来的高速通道的对等连接现在移到VPC里面来,VPC跟VPC之间私网互通,只能存在于同地域内。
3.VPC连接本地IDC
常见的有四种方式。
1) 高速通道。通过物理专线来接入使VPC与本地的IDC网络互通。
这种需要找ISP或专门做专线接入的厂商来提供的。专线唯一的缺点就是贵。
2) VPN网关。用于把IDC跟VPC进行相连,有两种场景。Ipsec
通道,主要是网络跟网络相连。本地的客户端要连入VPC,需要通过SSL隧道相连。用比如open vpn客户端就能够连起来。
3) 云企业网。主要支持两种情况,一种是VPC与本地IDC互通,
把要互通的的本地IDC的边界路由器加载到云企业网里面,如果是多个VPC互通就把多个VBR加载进来。
4) 智能接入网关。盒子里内置着与阿里云网络相连的一些配置,
可以扔到线下机构IDC或分支门店,比如盒马。智能接入网关是免配的,可以在云上直接去配置,因为不可能要求门店里面总是有人懂怎么配这个网络。智能接入网关来到网点以后,只要有网线接进来即可。这就是比较方便的一种做法。它的配置非常的简单,即插即用,当网络的拓朴有变化时它也会自己去适应。盒马这种分支门店比较多或各种加油站或新零售相关的一些门店比较多、分支比较多的地方比较方便,它的成本比专线要低非常多,品质大概是专线的百分之七八十,价廉物美。
VPC的网络规划
网络规划是使用VPC的时候遇到的第一个问题,这个问题细分下来大概有四个层面。
第一个是应该使用几个VPC。
第二个是应该使用几个交换机。
第三个是应该使用什么网段。
第四个是如果是一个复杂的业务系统,存在多个VPC且需要跟云下IDC互通的时候,要怎么来规划网段。
第一个问题,应该考虑自己的系统需不需要隔离,需不需要多地域部署,如果多地域必然是多个VPC;如果是同地域,要看系统和系统之间需不需要墙隔离,需要墙隔离就多个VPC;不需要墙隔离,一个VPC内通过交换机配置一些acl权限去隔离。不用担心一个VPC里面交换机的口数不够,一个VPC里面最多能够容纳15000个节点,怎么样都是够用的。有的客户在一个VPC里面跑了5 6000个ECS都是没有问题的。
第二个问题,即使用一个VPC也推荐用两个交换机,最好是两个交换机在不同的可用区。因为要考虑容灾问题,同地域的不同区之间的延迟很低,为了做到容灾至少是同城容灾,所以至少有两个交换机,让ecs再分别布在两个交换机,RBS主备在两个交换机,在SLB的主备两个交换机在不增加费用的前提下,尽可能的提高系统的可用性。
第三个问题,在什么时候会用到网段呢?一个是创建VPC的时候,一个是创建交换机的时候。创建VPC的时候使用的网段在公有云上是不做限制的,像ABC3类段、10段、172段,192段都是可以去使用的。创建交换机需要这个网站是VPC网段的子网。
第四个问题,在一个大的网段里各自的子网段不能冲突。如果要做一个统一的规划,从业务角度出发,假设要多个VPC,最好是在规划的时候不同VPC的网段让它先不相同,如果VPC的网段做不到互不相同,那至少要保证在交换机内的网段互不相同来更好的进行网络规划。现在已经提供了网段修改的功能,所以遇到问题也是可以修改的。
VPC的访问控制
VPC提供了一些网络访问控制的功能,比如自带的acl权限,这个是比较新的功能。在VPC没有acl权限之前,三层的隔离主要是通过安全组实现的。现在因为VPC已经有独立的网络访问控制策略,所以也可以直接在VPC内进行设置,设置的方式跟安全组差不多,分方向、协议、端口、范围、策略和类型。
有两个白名单要注意。资源在VPC里,RDS和SLB白名单要特别的注意。比如RDS在公有云上默认开启里强白名单策略,所以创建一个RDS如果不去设置白名单,只有127.0.0.1能用,其他的都用不了。所以第一步就是设置白名单,如果ecs要去访问RDS,需要auto scaling在创建伸缩组的时候要指定创建出来的ECS把它自动的加到RDS的白名单里。同样的,要指定伸缩组里面的ecs是躲在某个SLB后面的,也要指定应该躲在哪个SLB后面。
因此SLB 也是需要设置白名单的,如果不设置,默认就是全开放。白名单加上网络ACL和ECS里面的的安全组,这几个维度组合下来对于网络可以做到一个比较好的控制。
VPC的路由表和路由条目
l 路由表现在可以支持比较多的路由条目的设置,最早的时候只有
48条,现在把用户路由表和系统路由表进行分离了,所以现在其实是有比较丰富的手段来进行设置的。但是现在在路由表里,虚拟的路由表暂时只支持静态路由不支持动态路由,在上面只能编辑下一跳是什么类型,跳到什么地方去好。
l VPC的互连有VPC的对等连接,或者云企业网或者VPN网关连
接两个VPC。
l 连接本地网络有物理专线,有VPN网关,有云企业网或者SD Wan
来实现。
一. 阿里云安全简介
云安全在整个的阿里云的知识体系里面是比较重要的,有一个独立的云安全的考试难度跟范围更大。云计算APP里面是把云安全相关的一些比较基础的的东西大概10%左右的比例进行一些考察,难度都不高,仅限于大家对这个东西的理解,知道它的作用、应用场景是什么即可。还有通用基础的一些安全知识,需要知道一些通讯路由或者是一些常规的OS的一些攻击的形态,比如circle注入的方式可以用哪个产品来防,比如文件包含这种方式用什么方式来防类似这样的一些题目。
阿里云为客户提供安全的云计算基础服务
阿里云的云安全经过多年的打磨已经成为提供云计算基础服务的最主要基础设施,同时是全亚洲获得相关安全资质最全的云厂商,也是全国首个通过公安部等保四级测评的云服务平台。所以阿里云的云安全为用户来提供了非常重要、非常全面的、基本的一些云上的安全能力。
云上安全责任共担
云上的安全责任共担的这个模型是阿里云提供的安全产品跟云上的用户使用这些安全产品或者产品相关的一些安全的能力的边界要划清楚,来共同来承担云上的安全责任。平台有平台的权利和义务,用户有用户的权利和义务。
由上图可知,阿里云上的客户应用安全责任是双方共同完成的,阿里云主要保障平台自身的安全,并且提供了足够的安全产品和能力给用户,武装用户,用户需要去负责基于阿里云的这些服务构建自己应用系统的安全。
阿里云所负责的基础设施的安全、平台安全主要包括基础设施、跨地域多可用区所部署的数据中心、像阿里巴巴官网、ABTN,还有一些物理资源包括计算存储网络设备的物理安全,硬件本身的安全,还要负责在机房所运行的飞天分布式操作系统之上的各种资源的虚拟化层与云产品层之间的安全,还要负责用户的租户隔离身份控制、访问控制、管理监督。上面跑的一些比如使用CDN为什么要有审核,不能跑国家法律法规不允许的业务。
客户侧主要负责以安全的方式去配置和使用云上的各种产品,不只是ECS,各种云产品都可以。基于这些云产品的能力,以安全可控的方式构建应用系统来保障业务用户的业务和数据的安全。分两个层次来理解,首先是阿里提供了一些基础的安全能力,这些安全能力要去用起来,比如提供的自动快照、安全组等一些设置如果不去用,系统也是形同虚设,黑客可以长驱而入,对于数据资产的安全起不到保护的作用。如果为了过一些担保二级三级的测评,需要有一些增强的安全能力,云上也提供了各种安全的能力来保证用户可以在云平台放心的专注于自己的核心业务的发展。
