华为云Stack的学习（八）

九、华为云Stack网络服务介绍

1.网络服务概览

1.1 租户界面的网络服务

租户登入ManageOne运营面后，可在服务列表中查看到网络服务。用户使用网络服务前管理员需要在Service OM上提前创建好外部网络。

1.2 华为云Stack网络服务全景图

1.3 网络服务承载网元

2.虚拟私有云VPC

虚拟私有云（Vitual Private Cloud，VPC），是一套为云服务器（包括弹性云服务器和裸金属服务器）构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境，旨在提升用户资源的安全性，简化用户的网络部署。

用户可以在VPC中自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表和网关等，方便地管理和配置网络，进行安全、快捷的网络变更。同时，通过自定义安全组内与组间云服务器的访问规则以及网络ACL等多种安全层，加强对子网中云服务器的访问控制。

2.1 VPC相关概念

a.子网

一个VPC下面可以有多个子网，通常情况下同种类型的主机在一个子网下面，子网可以用于进行网络隔离。

默认情况下，同一主机下的子网之间是互通的，可以通过设置安全组对子网之前的访问进行限制。

b.自定义路由

c.VPC-Peering

2.2 VPC逻辑架构

**业务呈现和运维层：**提供面向用户的业务界面。

**业务协同层：**实现存储、计算和网络资源的协同。

**网络控制层及资源池：**实现基于软件的vSwitch、vFW、vRouter等分布式虚拟网络功能。

2.3 VPC应用场景

a.安全隔离的网络环境

b.通用性Web应用

c.连接本地数据中心

将公司网络扩展到云中

3.安全组与网络ACL

3.1 安全组

安全组是一个逻辑上的愤怒，为同一个项目内具有相同安全保护需求并相互信任的云服务器提供访问策略，支持白名单（指允许策略）。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

系统会为每个用户默认创建一个Sys-default安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。

**东西向防护：**安全组可提供基于虚拟机网卡的东西向安全防护。

3.2 网络CAL

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向ACL（Access Control List）规则控制出入子网的数据流，支持黑白名单（即允许和拒绝策略）。

**东西向防护：**网络ACL可提供基于子网的东西向安全防护。

**南北向防护：**VPC间流量入EIP、VPC互通流量，网络ACL可以为其提供防护。

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。支持与子网绑定，一个网络ACL支持和多个子网绑定，一个子网不能同时加入两个网络ACL。

3.3 网络ACL VS 安全组

4.弹性负载均衡ELB

ELB（Elastic Load Balance），即弹性负载均衡，是将访问流量根据转发策略分发到多台后端云服务器的流量分发控制服务。通过流量分发扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能；通过监听器的健康检查消除单点故障以提高整个系统的可用性。

4.1 ELB相关概念

负载均衡器

接收来自客户端的传入流量并将请求转发到一个或多个可用区中的后端云服务器。

监听器

监听器使用用户配置的协议和端口检查来自客户端的连接请求，并根据已定义的分配策略将请求转发到后端服务器组里的后端云服务器。

可以向弹性负载均衡器添加一个或多个监听器。

后端云服务器组

把具有相同特性的后端云服务器放在一个组，弹性负载均衡实例进行流量分发时，流量分配策略以后端云服务器组为单位生效。

每个监听器会绑定一个后端云服务器组，后端云服务器组中可以添加一个或多个后端云服务器。

4.2 ELB主要功能

**弹性伸缩：**与弹性伸缩服务无缝集成，根据业务量自动扩展负载分发和后端处理能力，保障业务可用。

**会话保持：**将一定时间内来自同一用户的访问请求，转发到同一后端云服务器处理，保证用户访问的连续性。

**多协议支持：**支持TCP、UDP、HTTP和HTTPS多种协议。满足高性能和大规模并发连接及灵活安全的业务诉求。

**健康检查：**定期检查后端云服务的运行状况，确保将流量转发到正常运行的后端云服务器以保证业务的高可用。

4.3 ELB应用场景

5.云内互通

5.1 同一VPC内互通

默认情况下，同一个VPC的所有子网内的弹性云服务器均可以进行通信。用户也可通过安全组或者网络ACL控制流量的进出。

5.2 同Region不同VPC互通

a.对等连接

对等连接是指两个VPC之间的网络连接。可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。

创建对等连接后，需要在两端VPC添加对等连接路由信息，才能使两个VPC互通。

b.VPC终端节点服务

VPC终端节点（VPC Endpoint，简称VPCEP）是一项扩展VPC能力的云服务，该服务建立在VPC内，能使用户将VPC私密地连接到终端节点服务，无需弹性IP，为用户提供性能强大、组网灵活、安全稳定的网络环境。

VPC终端节点由“终端节点服务”和“终端节点”两种资源组成，两种资源分别由服务提供方和服务使用方创建。

c.对等连接与VPC终端节点

5.3 不同Region不同VPC互通

云连接为用户提供一种能够快速构建跨区域VPC之间高速、优质、稳定的网络能力。

通过云连接将用户所需要实现互通的不同区域的网络实例加载到云连接实例中，这里的网络实例可以是同区域的VPC，也可以是不同区域经过授权的VPC，通过云连接服务，都可以实现私网互通。

当云上多个跨区域的VPC之间需要进行通信时，云连接可以根据网络规划，轻松实现多个跨区域VPC连通，提高网络拓扑的灵活性，并提供安全可靠的私网通信。

6.云内与外网互通

6.1 弹性IP服务EIP

弹性IP（Elastic IP，简称EIP），是基于云外网络（简称外网，云外网络一般是外网Internet也可以是企业内部局域网）上的静态IP地址，是可以通过外网直接访问的IP地址，通过NAT方式映射到被绑定的实例上。

EIP通过NAT的方式映射到云资源上。
没有EIP，云资源不能和公网通信。
EIP带宽支持共享带宽和独享带宽两种。

a.EIP相关概念

**共享带宽：**共享带宽是指可提供多个弹性IP共享的带宽，即多个弹性IP共同使用的一条带宽。

**虚拟IP：**虚拟IP地址（Virtual IP address，VIP）是私有IP地址的一种，拥有私有IP地址同样的网络接入能力2，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问云服务器。

b.EIP的功能

弹性绑定外网IP

可以申请独立的外网IP地址，外网IP可以按需要绑定到弹性云服务器上，以满足云服务器连通外网的需求；

绑定和解绑操作都即时生效。

配置带宽限速

申请外网IP时，可以设置弹性IP的带宽限速。

单独购买单独持有

不需要与其他计算资源或存储资源绑定购买，并单独持有作为独立的资源存在。

批量申请多个EIP

EIP支持批量申请，一次可申请多个EIP。

指定EIP和系统自动分配

申请EIP时可以指定IP地址，如果指定的IP没有被分配出去，即可申请成功；

申请EIP时也可以让系统自动分配IP地址。

指定申请时长

申请EIP时，可根据业务要求灵活设置EIP的有效时长，最小单位是天，也可以不限时长。

c.EIP应用场景

①单台云服务器访问外网

直接使用EIP实现云内云服务器访问外网，若VPC内的某一台云服务器需要访问外网，可通过直接为该云服务器绑定弹性IP的方式实现。

②多云台服务器访问外网

EIP配合NAT网关实现云内服务器访问外网

若VPC内的多台云服务器需要访问外网，可使用NAT网关配合弹性IP实现。

创建NAT网关后，通过创建SNAT规则，将弹性IP和子网配置到SNAT规则中，该子网下的云服务器就可以通过弹性IP访问外网。

6.2 NAT网关

NAT网关（NAT Gateway能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器）提供网络地址转换服务，使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。NAT网关分为SNAYT和DNAT两个功能。

a.NAT网关的功能

**SNAT：**源网络地址转换，内部地址要访问公网上的服务时，内部地址会主动发起连接，将内部地址转换为公网IP。

**DNAT：**目标地址转换，内部需要对外提供服务时，外部主动发起连接，路由器或者防火墙的网络接收到这个连接，然后将连接转换到内部，此过程是由带公网ip的网关代替内部服务来接收外部的连接，然后在内部做地址转换。

b.NAT网关应用场景

NAT网关因其易运维管理、高安全、能有效降低节省IP资源等特点广泛被企业采纳使用。

互联网/电商/金融等企业，架构设计上考虑到安全因素，禁止虚拟机绑定EIP，使用NAT网关作为一层安全隔离机制。

游戏/视频等企业，需要面向公网开放服务，使用DNAT充分利用EIP端口资源。

7.云内与本地IDC互通

7.1 虚拟专用网络VPN

虚拟专用网络（Virtual Private Network，VPN），提供端到端的私有访问通道。IPSec VPN业务用于在公用网络上，为远端用户和VPC之间建立一条安全加密的通信隧道，使远端用户通过IPSec VPN直接访问VPC中路由网络内的业务资源。

a.VPN 的功能

若将VPC中的弹性云服务器和本地数据中心或私有网络连通，可以启用VPN功能。

数据中心扩展到云上
应用扩展到云上
开通管理简洁

关键技术

**加密算法：**AES-128、AES-192、AES-256、3DES
**认证算法：**SHA2-256、SHA2-384、SHA2-512、SHA1
**传输协议：**ESP、AH、AH-ESP
**版本：**V1、V2

b.VPN应用场景

①单站点混合云部署

通过VPN在传统数据中心与VPC之间建立通信隧道，用户可以方便地使用云平台的云服务器、块存储等资源。应用程序转移到云中、启动额外的Wbe服务器、增加网络的计算容量，从而实现企业的混合云架构，既降低了企业IT运维成本，又不用担心企业核心数据的扩散。

②多站点混合云部署

通过VPN能够在多个传统数据中心与VPC之间建立通信隧道，用户可方便地使用云平台的云服务、块存储等资源。建立多站点VPN连接要求各个站点之间的子网网段不能冲突。

③跨区域VPC互联

通过VPN在不同区域的两个VPC之间建立通信隧道，实现用户不同区域VPC的互通的需求。

7.2 云专线DC

云专线（Direct Connect）是搭建在用户本地数据中心与云上虚拟私有云（Virtual Private Cloud，VPC）之间的高安全、低延迟、稳定可靠的专属连接通道。

a.云专线分类

**基础型云专线：**不依赖硬件设备，部署灵活，易于扩展。

使用基础型云专线时，专线的流量会压到网络节点上，所有网元的业务流量都共用一张业务网卡，从而会出现不同流量如VPC互通、EIP、ELB、基础型云专线之间互相挤兑的情况

增强型云专线：使用硬件交换机作为专线网关，提供更高的转发性能。支持静态路由和动态路由部署方式，部署简化。

增强型云专线不需要经过SDN网络节点，不会出现与其他业务流量抢占带宽的场景。

b.DC应用场景

①云服务器与本地数据中心高速专线互联

用户可以通过云专线将用户侧的网络、数据中心、主机托管区连接至虚拟私有云，享受高性能、低延迟、安全专用的数据网络。

②多站点部署

用户可以通过云专线打通多地域VPC计算资源，享受高性能、低延迟、安全专用的数据网络。

③跨区域互联

通过云专线服务在不同区域的两个VPC之间专线连接，实现不同区域VPC的互通的需求。

7.3 二层桥接

二层桥接（L2 Bridge）是高速、低延迟、稳定安全的专属二层连接通道，用于实现在数据中心部署过程中，将物理服务器功能迁移到虚拟机中，但是由于某些特殊功能无法迁移到虚拟机中，需要在数据中心的虚拟私有云（Virtual Privase Cloud，VPC）和传统VLAN网络的之间实现二层互通的场景。同时可扩展支持组播能力，满足城轨云、媒体云等有组播需求的场景。