企业运维训练营之云上网络原理与实践 - 第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB（下）

企业运维训练营之云上网络原理与实践

第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB（下）

 

视频地址：

https://developer.aliyun.com/learning/course/991/detail/14978

 

 

三、EIP

 

1.  产品介绍

 

EIP是可以独立购买和持有的公网IP地址资源，可绑定ECS/NAT/SLB/ENI，让ECS具备互联网访问能力。

 

EIP产品特性：

 

• 独立持有的公网IP地址资源，可以灵活的绑定和解绑；
• 支持绑定多种云资源(ECS/NAT/SLB/ENI)；
• 可加入共享带宽，支持超大弹性(单共享带宽实例最大500Gbps；
• 免费DDoS防护(大部分地域可达5Gbps)；
• 丰富的高级功能(连续IP/指定IP/网卡可见模式/秒级监控等)；

 

 

2.  精品EIP

 

精品EIP只支持香港地域。与普通EIP BGP多线的区别在于，精品EIP通过底层网络直接连回国内，无需绕行国际运营商出口，网络时延降低60%+，抖动/丢包减少。

 

产品优势：

 

• 独立购买与持有

用户可以单独持有一个EIP，作为账号下一个独立的资源存在，无需与其它计算资源或存储资源绑定购买；

 

• 弹性绑定

您可以在需要时将EIP绑走到指定的资源上，在不需要时将EIP解绑并释放，避免不必要的计费；

 

• 灵活配置的网络能力

您可以根据业务需求随时调整EIP的带宽峰值，带宽峰值的修改即时生效；

 

• 计费灵活、成本低

多种计跑策略，支持包年包月，按固定带宽和按使用流量计赛，EIP加入共享带赛后可以降低带案成本。

 

 

3.  Anycast EIP

 

• 任播弹性公网IP(Anycast Elastic IP Address，简称Anycast EIP)是一款覆盖全球多个地域的公网可用性提升产品，依托阿里云优质的BGP带宽和全球传输网络，实现全球多个地域的网络入口就近接入，提升公网访问质量。

 

• Anycast EIP是可以独立购买和持有的公网IP地址资源。每一个Anycast EIP实例会被分配一个可访问公网的IP地址此IP地址可在整个接入区域内发布，不受地域限制。

 

• 在将此IP地址与后端资源进行绑定后，接入区域内的用户流量将通过该IP地址从就近接入点进入阿里云网络。

 

• 进入阿里云网络后，Anycast EIP可以智能选择路由并自动完成网络调度，将用户的网络访问请求送达至后端资源节点，提升用户的公网访问体验。

 

• Anycast EIP主要针对除中国内地以外区域的公网可用性提升，暂不支持中国内地接入点。Anycast EIP具有易使用、高安全，稳定可靠、低抖动的优势。

 

4.  多线BGP

 

互联网行业用户，如社交/游戏/生活服务（购物/出行/外卖）/娱乐媒体等可以在云上部署应用或web服务，并通过EIP为其终端用户提供Internet访问服务。

 

核心优势：

 

• 线路丰富：

全球多达89条覆盖的优质BGP线路，中国大陆公网质量最优，各地域均提供电信/联通/移动等至少8条线路直连覆盖；

 

• IP充足

• 公网IP数量全球排名第二，仅次于AWS；
• 可提供连续IP地址段分配；
• 可提供指定IP地址申请；
• 支持ENI网卡绑定，可通过单服务器多网卡提升服务器利用率，快速扩容，降低成本；

 

• 节省成本

• 唯一一个支持共享带宽的产品，通过多IP共享一份带宽，可节省至少20%+成本；
• 计费灵活，提供按带宽/按流量的预/后付费方式，满足企业规划弹性需要；

 

 

5.  EIP运维常见问题

 

Q：EIP可以绑定到哪些云资源?

A：目前，EIP支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。

 

Q：新申请的EIP的分配策略是什么?

A：默认是随机分配EIP，但对于频繁申请又释放的用户，会优先分配之前使用过的EIP。

 

Q：为什么无法访问EIP?

A：无法访问EIP的可能有以下原因:

• EIP没有绑定到云资源；
• ECS实例配置了安全策略，例如ECS实例所在的安全组策略禁止80端口的访问，则无法访问该EIP的80端口；
• IP已经欠费。

 

Q：一个EIP同时能绑定多个云资源吗?

A：不能，一个EIP同时只能绑定一个云资源。

 

Q：EIP是否支持跨区域绑定?

A：不支持。EIP和要绑定的云资源必须在同一个地域，例如华北2(北京)的EIP不能绑定到华东1(杭州)的云资源上。

 

Q：EIP是否支持跨可用区绑定?

A：支持。EIP没有可用区属性，云资源只要和EIP属于同一个地域，EIP都可以绑定该云资源。

 

四、NAT网关

 

1.  NAT网关产品概述

 

a.  行业痛点：

 

• ECS无公网地址无法访问公网

• 大量无公网地址ECS有公网访问的需求；
• 不想为所有的ECS申请绑定EIP；

 

• 直接暴露ECS容易被攻击

• 暴露ECS绑定EIP的方式容易被攻击；
• 不希望公网的出口被公网访问；

 

• 公网出口不统一

• 对外暴露统一的公网出口（ACL场景）；
• 运维管理少量的对公网地址；

 

• 自建NAT网关的问题

• 自建NAT网关的弹性扩展能力不足；
• 运维管理成本高

 

b.  什么是NAT网关

 

NAT网关(NATGateway)是一款企业级的VPC公网网关，提供NAT代理(SNATDNAT)、跨可用区的容灾能力。NAT网关与共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级网关。

 

c.  NAT网关总体架构

 

NAT网关需要绑定EIP，为了应对不同EIP的高峰期，合理规划资源，会运用共享带宽，以降低成本。

 

 

d.  NAT网关核心优势

 

NAT网关(NAT Gateway)是一款企业级的VPC公网网关，提供SNAT和DNAT功能，支持绑定多IP，具备Tbps级别的集群转发能力和region级别的高可用性。NAT网关与EIP需要配合使用，组合成高性能、配置灵活的企业级网关。

 

• 简单易用&便捷开通

作为企业级VPC公网网关，NAT网关提供SNAT和 DNAT功能。无需用户基于云服务器自己搭建，功能灵活、简单易用、稳定可靠；

 

• 高可用

NAT网关跨可用区部署，可用性高。单个可用区的任何故障都不会影响NAT网关的业务连续性；

 

• 高性能

基于阿里云自研分布式网关，使用SDN技术虚拟化推出的一款虚拟网络硬件。NAT网关支持Tbs级别的转发能力，为大规模公网应用提供支撑。百万级别的并发访问；

 

• 共享带宽&省成本

支持绑定多个EIP，EIP可加入一份共享带宽中，对于应用存在流量错峰效应的业务，可有效降低带宽成本。

 

e.   NAT网关应用场景

 

【场景一】搭建访问公网服务的SNAT网关

 

• 如果云上网络只希望主动访问公网上的业务，而不希望云上的业务直接暴露在公网导致被攻击的风险，用户可以选用公网NAT网关为业务提供安全防护能力。
• 如果业务具有突增的访问公网的流量需求，可以选用公网NAT网关提供灵活和弹性生的扩容能力，并且只需要按使用量付费，节省企业成本。
• 如果有大量访问公网的机器，可以通过公网NAT网关统一公网出口，并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

 

解决方案

 

• 创建公网NAT网关，并为其绑定EIP，然后通过公网NAT网关的SNAT功能，实现VPC内的多个ECS实例共享EIP上网，节省公网IP资源。

 

具体操作参见《使用公网NAT网关SNAT功能访问互联网》，网址：https://help.aliyun.com/document_detail/181972.html

 

• 为公网NAT网关绑定多个EIP，绑定成功后，ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时，ECS实例可以随机使用其他EIP访问公网，最大程度保障业务的正常运行，避免出现在单EIP场景下，EIP故障导致的全业务中断；

 

 

说明：指定多个EIP配置至SNAT IP地址池时，业务连接会通过哈希算法分配到多个EIP，由于每个连接的流量不同，可能会出现多EIP业务流量不均匀的情况，建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作，请参见加入与移出共享带宽，https://help.aliyun.com/document_detail/65205.html

 

【场景二】搭建提供公网服务的DNAT网关

 

创建公网NAT网关，并为其绑定EIP，然后配置公网NAT网关的DNAT功能。配置成功后，VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。

 

具体操作，请参见《通过公网NAT网关DNAT功能实现ECS对外提供服务》，https://help.aliyun.com/document_detail/181973.html

 

 

说明：

• 端口映射：公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上；
• IP映射：公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上，目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式，又配置了SNAT条目，则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

 

【场景三】共享公网带宽

 

如果部署在ECS实例的应用需要面向公网提供服务，需要为该应用购买公网带宽。为了应对业务流量可能发生的变化，在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时，为每个应用购买冗余带宽会造成资源和成本的浪费。

 

创建公网NAT网关，并为公网NAT网关绑定EIP，然后将绑定到公网NAT网关的EIP加入到同一共享带宽中，不仅可以统一管理和监控公网流量，还可以降低公网带宽使用成本。

 

 

2.  产品部署流程

 

 

3.  典型案例：通过NATGW实现超大并发

 

背景：

用户出云访问高并发业务，需要从ECS发起大量长连接，如果使用ECS的公网访问能力，用户ECS的并发连接数最大达到6.6w，但是绑定单个EIP最大连接数仅为5.5w，无法达到要求。

 

解决方案：

用户开始使用NAT网关做公网出口，并绑定了5个EIP，通过建立SNAT规则的时候选择使用多个公网地址的的功能(IP pool)最终用户VPC的并发能力可以达到5*55000个，并且这个统一的公网出口的并发能力，还可以随着绑定的EIP的数量增多线性的扩容。

 

4.  VPC NAT

 

• VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务，使多个ECS实例可以通过中转私网地址（即NAT IP地址）访问您的本地数据中心IDC或其他VPC。
• ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。

 

a.  应用场景

 

【场景一】混合云使用指定地址互访场景

 

• 问题：

随着金融证券行业云上业务规模的扩大，多网络间进行私网互通时，会遇到被监控机构要求使用固定私网地址访问的场景。

 

• 解决方案：

使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。

 

 

【场景二】VPC互访地址冲突

 

• 问题：

由于早期网络规划单一或后期的业务合并，云上可能存在需要互通的两个业务VPC地址冲突的情况。

 

• 解决方案：

为两个业务VPC各配置一个VPC NAT网关，并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能，将源地址转换为VPC NAT网关的中转地址，被访问的业务VPC通过DNAT功能，使用VPC NAT网关的中转私网地址对外提供私网服务，从而实现地址冲突的两个业务VPC互访。

 

5.  NAT运维-常见问题

 

Q：ECS实例分配了固定公网IP且创建了SNAT条目，如何实现ECS实例优先通过SNAT的公网IP访问互联网?

A：可以为ECS实例单独分配一块弹性网卡，并将固定公网IP转为EIP，然后将EIP绑定到弹性网卡，以实现ECS实例优先通过SNAT的公网IP访问互联网，互联网通过弹性网卡主动访问ECS实例。

详细信息，请参见《为已分配固定公网IP的ECS实例统一公网出口IP》，网址：https://help.aliyun.com/document_detail/122217.html

 

Q：EIP支持创建SNAT IP地址池吗?

A：支持。目前仅支持通过API创建SNAT IP地址池。详细信息，请参见创建SNAT IP地址池，https://help.aliyun.com/document_detail/118491.html。

 

Q：NAT网关绑定EIP，为什么流量达不到带宽峰值?

A：NAT网关绑定的EIP数限制NAT网关的最大并发数，绑定单个EIP最大连接数为55000，当ECS通过NAT网关访问公网上同一个目的IP和端口的带宽大于2Gbps时，建议您为NAT网关绑定4~8个EIP并构建SNATIP地址池，避免单个EIP的端口数量限制可能产生的丢包。

 

Q：当多条SNAT条目的源网段重叠时，如何匹配SNAT条目的优先级?

A：系统会根据最长掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。使用ECS粒度配置的SNAT条目中，源网段的子网掩码为/32，长度最长，优先级最高，优先匹配；使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配，长度越长，优先级越高，越先匹配。

 

Q：同时有PublicIP/EIP和NAT网关对接公网的优先级是什么？

A：PublicIP/EIP优先。如果需要使用NAT网关，需要先解绑PublicIP/EIP，PublicIP不可用直接解绑，需要先转换成EIP。

 

三、共享带宽

 

1.  产品概述

 

a.  共享带宽面临的核心痛点

 

• 多个公网出口，维护复杂；
• 买多份小公网带宽，带宽峰值受限；
• 自行构建统一公网出口，可靠性差；

 

b.  不使用共享带宽Vs使用共享带宽

 

• 不使用共享带宽：每台服务器单独购买公网带宽；
• 使用共享带宽：同地域下多个弹性公网IP共享宽带，进而让绑定弹性公网IP的云服务共享。

 

c.  共享带宽产品特点

 

多个EIP加入共享带宽后即可实现同地域内多个ECS、NAT、SLB的带宽共享。

 

 

2.  部署方式

 

详见下节综合实验部分。

 

3.  添加EIP的前提条件和注意事项

 

a.  前提条件：

 

已经创建EIP，且EIP满足以下条件：

 

• EIP的计费方式需为按量计费；
• EIP的地域与要加入的共享带宽的地域相同；
• EIP的线路类型与要加入的共享带宽的线路类型一致；

 

b.  背景信息：

 

EIP添加到共享带宽实例后：

 

• EIP绑定的ECS实例、SLB实例和NAT网关共享已购买的共享带宽；
• EIP原本的带宽峰值无效，与共享带宽实例的带宽峰值相同；
• EIP原本的计费方式无效，EIP变为一个公网IP，不额外收取EIP的流量费和带宽费；
• EIP的实例费与其是否加入共享带宽无关；
• 当EIP绑定至专有网络类型ECS实例时，将免除EIP实例费；
• 当EIP绑定至NAT网关、SLB实例、辅助弹性网卡和高可用虚拟IP时，仍正常收取EIP实例费。

 

说明：

如果EIP已经绑定了NAT网关，将该EIP添加到共享带宽实例中，会造成EIP的流量闪断，请谨慎操作；

单个共享带宽实例最多可添加100个EIP。如需添加更多EIP，请在控制面板申请配额。

 

内容小结