企业运维训练营之云上网络原理与实践 - 第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB（上）

企业运维训练营之云上网络原理与实践

第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB（上）

 

视频地址：

https://developer.aliyun.com/learning/course/991/detail/14977

 

课程目标：

• 了解云上网络典型的组网架构；
• 了解VPC，EIP，NAT，共享带宽等产品核心特点和使用场景；
• 学习综合使用各个VPC相关产品(综合实验)。

 

课程目录：

• VPC
• EIP（弹性公网IP）
• NAT网关
• 共享带宽
• 综合实验

 

正文：

 

一、  概述

 

1.  云上网络&数据中心产品

 

下图列举了云上网络&数据中心产品所涵盖的知识内容：

 

2.  阿里云网络场景全景图

 

 

云网络是由云厂家构建的遍布全球各个区域的网络，每个区域（region）有多个可用区（机房），每个可用区又包含多个服务器，用户所购买的资源会承载在某台服务器上，通过不同的网路进行通信，如用户网络、混合云网络、跨地域网络、云上网络等。

 

目前，阿里云在全球有90多个region，200多万台物理服务器。针对下层的用户网络，阿里云提供三种上云方式：专线、VPN网关、SAG。

 

• 专线：是独享的，不受公网的网络质量限制，其网络质量和稳定性有很好的表现，但成本相对高；
• VPN网关：在公网上建立专用网络，网络质量受公网的影响，成本比较低廉；
• SAG：智能接入网关，VPN的一种，阿里云提供硬件设备实现一站式上云，适用于线下小门店；

 

3.  云上云下融合的阿里云网络

 

 

二、VPC

 

1.  经典网络向专有网络的演进

 

 

a.  经典网络：

 

• 共享、不安全的网络地址空间；
• 网络由阿里云管理；
• 不支持自定义路由；
• 不支持混合云网络搭建；

 

b.  专有网络VPC：

 

• 独享、安全网络地址空间；
• 自定义网络；
• 支持自定义路由管理·支持混合云网络搭建；

 

2.  VPC定义&特征

 

a.  VPC定义

 

• 采用Overlay技术构建出一个隔离的网络环境，是用户在云上构建的一个免费私有的网络环境；
• 用户完全掌控的虚拟网络，包括选择自有IP地址范围、划分网段、配置路由表和网关等；
• 通过专线//VPN等连接方式将专有网络与传统数据中心组成一个按需定制的网络环境；

 

b.  VPC特征

 

VPC具有安全、隔离、私密、灵活、自定义、完全掌控、易扩展、按需定制、免费等特征。

 

• 安全隔离：不同VPC之间网络完全隔离；
• 可控：用户可以自主划分网段，自定义路由策略，部署网关以及连接外部网络构建混合云；
• 特性丰富：丰富的路由、安全、运维功能，助力用户搭建云上网络；
• 可拓展：用户可以在一个VPC内创建不同的子网，部署不同的业务，用户还可以将VPC和本地数据中心或其他VPC相连，扩展网络架构。

 

3.  VPC基本原理

 

• 专有网络(Virtual Private Cloud，简称VPC)是基于阿里云创建的自定义私有网络，不同的专有网络之间逻辑上彻底隔离；
• 在创建的专有网络内，可以创建和管理云资源，例如ECS、SLB和RDS等；
• 专有网络是用户自己独有的云上私有网络，用户可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等；
• 专有网络隔离了虚拟网络，每个VPC都有一个独立的隧道号（VXLAN技术），一个隧道号对应一个虚拟化网络；
• 可以将专有网络连接到其他专有网络或本地网络，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

 

 

4.  网络虚拟化

 

VPC引入Overlay技术（VXLAN技术）和SDN技术

 

a.  VM IP地址灵活分配：

 

• VM IP地址与物理网络拓扑解耦；
• VM的IP地址可以根据业务需要进行分配；

 

b.  VM IP地址从寻址功能变成标记：

 

• VM任意迁移，IP地址保持不变；
• VM迁移时，不需要配置物理交换机；

 

c.  多租户：

 

• 租户间可以相互隔离；
• 租户可以自行设置安全策略；

 

d.  转发逻辑由自学习变成集中控制：

 

• OVS由控制平面统一管理；
• 路由信息由控制器集中控制；

 

e.  消除大二层网络问题：

 

• 二层网络由实变虚，不再仅仅是Vlan；
• 消除ARP广播域，去除二层环路；
• 简化VM配置，减少网络故障。

 

5.  OVERLAY技术

 

a.  阿里云借鉴了成熟的OVERLAY技术来实现隔离；

 

b.  基于OVERLAY技术，海量的租户被隔离开，所有的租户都是运行在这个网络之上；

 

c.  网络实际被分为上下两层，上层是虚拟网络，下层是物理网络，用户只需要关注上层虚拟网络；

 

d.  网络上下层中间引入SDN技术，SDN的控制面和转发面相分离，通过软件的形式控制下层服务器中的交互，SDN提供灵活、高效、智能、持续迭代的管控方式。

 

 

 

6.  VXLAN协议

 

a.  网络虚拟化

 

• 基于OVERLAY技术在物理网络基础上构造虚拟网络；

 

b.  VPC间完全隔离

 

• VXLAN协议作用是将二层报文在三层范围进行扩展使用；
• VXLAN协议对每个VPC网络进行隔离，不同VPC之间保证安全隔离，无法进行通信；
• 每个VPC，一条隧道，隧道ID唯一，不同用户不同隧道，隧道之间无法直接通信；  

 

 

7.  VPC组成部分

 

每个VPC都由三部分虚拟组件组成，一个路由器、至少一个私网网段和至少一个交换机。

 

 

a.  私网网段

 

在VPC场景规划专有网络和交换机时，需要以CIDR地址块的形式指定专有网络使用的私网地址。网段可用私网IP数量(不包括系统保留地址)。

192.168.0.0/16      65,532

172.16.0.0/12       1,048,572

10.0.0.0/8          16,777,212

 

b.  路由器(VRouter)

 

路由器是专有网络的枢纽，作为专有网络中重要的功能组件，它可以连接VPC内的各个交换机，同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个路由器。一个VPC只有一台虚拟路由器。

 

c.  交换机(Vswitch)

 

交换机是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，用户可以通过创建交换机为专有网络划分一个或多个子网，同一专有网络内的不同交换机之间内网互通，用户可以将应用部署在不同可用区的交换机内，提高应用的可用性。

 

 

8.  VPC应用场景

 

【场景一】云上私网

 

• 专有网络（VPC）是完全隔离的网络环境，配置灵活，可满足不同的应用场景。
• 业务系统同时存在于本地机房和云上机房，基于阿里云VPC搭建不同的业务模块，构建完全隔离的云上环境，云上云下通过公网进行业务交互。
• 解决的问题：灵活配置，安全隔离。

 

【场景二】混合云架构

 

• 云上云下数据高速互联：基于阿里云VPC搭建云上数据中心，通过专线与云下内部数据中心打通，进行用户核心数据安全保障，完美应对业务激增及数据快速同步，实现混合云方案。
• 解决的问题：数据安全保障，应对业务激增，数据快速同步。

 

 

【场景三】对外提供服务

 

• 多业务共享公网带宽：基于阿里云VPC搭建多个应用，各应用都需要对外提供服务，且波峰时间点不一致，希望多IP共享带宽，尽量减小波峰波谷效应来降低成本。

 

• 解决的问题：对外提供服务，低成本，数据快速同步。

 

 

【场景四】主动访问公网

 

• 多VPC和ECS灵活访问公网：基于VPC构建云上互动模块，其他系统部署在多个云下IDC内，云上多台VPCECS需主动访问公网将其云上处理内容同步给云下IDC，为用户提供灵活、安全隔离的网络。
• 解决的问题：易配置，安全。

 

9.  VPC运维常见问题

 

Q：每个VPC可以有多个路由器吗?

A：每个VPC有且只有一个路由器，每个路由器可维护多张路由表。

 

Q：每张路由表可以建立多少条路由条目?

A：默认情况下，每张路由表最多可以新建200条路由条目。用户可以通过以下任意方式自助提升配额：

• 前往配额管理页面提升配额；
• 前往配额中心提升配额，参见创建配额提升申请。

 

Q：每个VPC能够容纳多少个交换机?

A：默认情况下，每个VPC最多可以新建150个交换机。用户可以通过以下任意方式自助提升配额：

• 前往配额管理页面提升配额；
• 前往配额中心提升配额，参见创建配额提升申请。

 

Q：同一VPC内不同交换机可以通信么?

A：只要安全组规则允许，同一VPC内的ECS实例均可以互相通信，无论交换机是否相同。

 

Q：不同VPC之间能否内网互通?

A：不同VPC之间逻辑上完全隔离，您可以使用高速通道、VPN网关、云企业网实现VPC内网互通。

 

Q：VPC可以访问公网服务么?

A：用户可以使用以下方法从VPC访问公网服务：

• 分配公网IP；
• 绑定弹性公网IP；
• 配置NAT网关。