大家好呀!我是reload。今天继续带大家学习华为HCCDA云技术认证,涵盖华为云最为核心的计算、存储、网络、数据库、安全、部署等服务。今天学习网络服务相关内容。

登录华为云官网:https://www.huaweicloud.com/ ,进入首页,在产品标题下可以查看所有与网络相关的云产品及服务。

如上图所圈,这次主要学习虚拟私有云VPC、弹性公网IP和NAT网关相关内容。

一、虚拟私有云VPC

1、VPC概述

虚拟私有云(Virtual Private Cloud,VPC)是用户在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境

2、VPC的组成

每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。

私有网段是用户创建虚拟私有云时指定的网段,必须是私网的网段。一般会创建一个比较大的网段,再进行子网划分分配给不同应用。而系统会自动生成默认路由表,作用是保证同一个虚拟私有云下的所有子网互通

当默认路由表中的路由策略无法满足应用时,可以通过创建自定义路由表来解决。

2.1 子网

VPC与子网之间是什么关系呢?

eg:假设VPC创建时申请了一段IP地址范围,有1万个IP地址,这些IP地址不会直接提供给服务器使用,而是需要用到子网把这些IP地址分散到不同子网内,然后用户就能把服务器如ECS、RDS等“扔”到相关的子网里,获得子网所在的网段(子网私有IP范围,即子网网段,是VPC的一个子集)。

=> 建议在创建子网时用业务的逻辑来设计子网,即把相似逻辑的节点放在相同子网内

eg:与前端相关的web server全部放在一个子网里,而与后端相关的应用服务器又全部放在另一个新的子网里;有点类似于前后端分离架构所体现的分而治之、职责分离的思想。

2.2 路由表

一个子网只能关联一个路由表 => 每个子网的出流量走向只能由一个路由表来控制。

3、VPC网络安全控制

3.1 概述

VPC支持的安全防护策略有网络ACL安全组,二者有啥区别?

=> 安全组是节点防火墙,进出节点的流量都要检查
=> 网络ACL是子网防火墙,只检查跨子网流量,不管子网内流量

3.2 安全组

安全组是一个逻辑上的分组。用户可以在安全组中定义访问规则,当实例加入该安全组后,即受到这些访问规则的保护。

安全组中包括入方向规则出方向规则,用来控制安全组内实例入方向和出方向的网络流量

上图安全组SGA的规则配置解读如下:

规则1 => 允许所有来源的ICMP流量进入安全组SGA内的实例(ICMP协议通常用于网络诊断工具,如Ping命令),这条规则确保了这些工具可以正常使用。

规则2 =>允许来自同一安全组SGA内的所有流量进入实例,这意味着安全组SGA内的实例之间可以互相通信,无论使用什么协议或端口。

规则3 => 允许安全组SGA内的实例向所有目的地址发送所有类型的流量,确保了实例可以与外部网络进行通信。

3.3 网络ACL

1)网络ACL是一个子网级别的可选安全层,类似于通过与子网关联的出方向/入方向规则控制出入子网的网络流量。
2)网络ACL默认拒绝所有出入子网的流量,直至添加放通规则
3)网络ACL可同时关联多个子网,但一个子网只能关联一个网络ACL

3.4 VPC应用场景-云端专属网络

场景描述:每个VPC代表一个私有网络,与其他VPC逻辑隔离。用户可以将业务系统部署在华为云上,构建云上私有网络环境。

eg:有多个业务系统,如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离,以构建云端专属网络。

二、云上网络的连通性

首先来思考一个问题:同一Region下,两台位于不同VPC的ECS能通过私有IP相互通信吗?

=> 可以,建立对等连接

1、对等连接(VPC Peering)

对等连接是两个VPC之间的网络连接,由于不同VPC之间网络不通,可使用对等连接实现不同VPC之间的云上内网通信。过程及示例见下图:

几点注意:

=> 对等连接不支持跨区域,即不能跨区域建立虚拟私有云之间的直接连接
=> 私有通信:虚拟私有云之间的通信是私有的,不会通过互联网进行,保证了安全性与隐私。

2、弹性公网IP(EIP)

除了私有通信,云上业务大多数需要访问互联网暴露服务,又该用什么方法呢?绑定弹性公网IP(EIP)

弹性公网IP(Elastic IP,EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。

3、NAT网关

1)概述
NAT网关提供网络地址转换服务,分为公网NAT网关和私网NAT网关。公网NAT网关可分为SNATDNAT。私网NAT网关主要用于私有网络之间的地址转换,通常用于不同虚拟私有云之间的通信或私有网络与本地数据中心之间的通信。

=> SNAT:使多个云主机共享弹性公网IP访问Internet
=> DNAT:使多个云主机共享弹性公网IP提供互联网服务

2)特性

=> 多个云主机共享使用弹性公网IP
=> 支持跨子网部署和跨可用区域部署
=> 多种网关规格可灵活选择

4、NAT网关-SNAT

源NAT(SNAT,Source Network Address Translation):在NAT转换时,仅对报文中的源地址进行转换,主要应用于私网用户访问公网的场景。

5、NAT网关-DNAT

目的NAT(DNAT,Source Network Address Translation):在NAT转换时,仅对报文中的目的地址和目的端口号进行转换,主要应用于公网用户访问私网服务的场景。

6、公网NAT配置总览

NAT网关充当虚拟私有云与互联网之间的桥梁,允许虚拟私有云内的资源发送和接收数据;而弹性公网IP使虚拟私有云资源能够与外部互联网进行通信。

7、华为云网络服务总结

将上面所学的知识整合串联起来,得到一个整体的网络服务模型,如下:

三、网络服务最佳实践

看懂如下图: