华为云Stack的学习(八)

news2024/12/23 8:57:57

九、华为云Stack网络服务介绍

1.网络服务概览

1.1 租户界面的网络服务

租户登入ManageOne运营面后,可在服务列表中查看到网络服务。用户使用网络服务前管理员需要在Service OM上提前创建好外部网络。

image.png

1.2 华为云Stack网络服务全景图

image.png

1.3 网络服务承载网元

image.png

2.虚拟私有云VPC

虚拟私有云(Vitual Private Cloud,VPC),是一套为云服务器(包括弹性云服务器和裸金属服务器)构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境,旨在提升用户资源的安全性,简化用户的网络部署。

image.png

用户可以在VPC中自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表网关等,方便地管理和配置网络,进行安全、快捷的网络变更。同时,通过自定义安全组内与组间云服务器的访问规则以及网络ACL等多种安全层,加强对子网中云服务器的访问控制。

2.1 VPC相关概念
a.子网

image.png

一个VPC下面可以有多个子网,通常情况下同种类型的主机在一个子网下面,子网可以用于进行网络隔离。

默认情况下,同一主机下的子网之间是互通的,可以通过设置安全组对子网之前的访问进行限制。

b.自定义路由

image.png

c.VPC-Peering

image.png

2.2 VPC逻辑架构

**业务呈现和运维层:**提供面向用户的业务界面。

**业务协同层:**实现存储、计算和网络资源的协同。

**网络控制层及资源池:**实现基于软件的vSwitch、vFW、vRouter等分布式虚拟网络功能。

image.png

2.3 VPC应用场景
a.安全隔离的网络环境

image.png

b.通用性Web应用

image.png

c.连接本地数据中心

将公司网络扩展到云中

image.png

3.安全组与网络ACL

3.1 安全组

安全组是一个逻辑上的愤怒,为同一个项目内具有相同安全保护需求并相互信任的云服务器提供访问策略,支持白名单(指允许策略)。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。

image.png

系统会为每个用户默认创建一个Sys-default安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。

**东西向防护:**安全组可提供基于虚拟机网卡的东西向安全防护。

3.2 网络CAL

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向ACL(Access Control List)规则控制出入子网的数据流,支持黑白名单(即允许和拒绝策略)。

image.png

**东西向防护:**网络ACL可提供基于子网的东西向安全防护。

**南北向防护:**VPC间流量入EIP、VPC互通流量,网络ACL可以为其提供防护。

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。支持与子网绑定,一个网络ACL支持和多个子网绑定,一个子网不能同时加入两个网络ACL。

3.3 网络ACL VS 安全组

image.png

4.弹性负载均衡ELB

ELB(Elastic Load Balance),即弹性负载均衡,是将访问流量根据转发策略分发到多台后端云服务器的流量分发控制服务。通过流量分发扩展应用系统对外的服务能力,实现更高水平的应用程序容错性能;通过监听器的健康检查消除单点故障以提高整个系统的可用性。

image.png

4.1 ELB相关概念

image.png

  • 负载均衡器

接收来自客户端的传入流量并将请求转发到一个或多个可用区中的后端云服务器。

  • 监听器

监听器使用用户配置的协议和端口检查来自客户端的连接请求,并根据已定义的分配策略将请求转发到后端服务器组里的后端云服务器。

可以向弹性负载均衡器添加一个或多个监听器。

  • 后端云服务器组

把具有相同特性的后端云服务器放在一个组,弹性负载均衡实例进行流量分发时,流量分配策略以后端云服务器组为单位生效。

每个监听器会绑定一个后端云服务器组,后端云服务器组中可以添加一个或多个后端云服务器。

4.2 ELB主要功能

**弹性伸缩:**与弹性伸缩服务无缝集成,根据业务量自动扩展负载分发和后端处理能力,保障业务可用。

**会话保持:**将一定时间内来自同一用户的访问请求,转发到同一后端云服务器处理,保证用户访问的连续性。

**多协议支持:**支持TCP、UDP、HTTP和HTTPS多种协议。满足高性能和大规模并发连接及灵活安全的业务诉求。

**健康检查:**定期检查后端云服务的运行状况,确保将流量转发到正常运行的后端云服务器以保证业务的高可用。

4.3 ELB应用场景

image.png

5.云内互通

5.1 同一VPC内互通

默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信。用户也可通过安全组或者网络ACL控制流量的进出。

image.png

5.2 同Region不同VPC互通
a.对等连接

对等连接是指两个VPC之间的网络连接。可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。

image.png

创建对等连接后,需要在两端VPC添加对等连接路由信息,才能使两个VPC互通。

b.VPC终端节点服务

VPC终端节点(VPC Endpoint,简称VPCEP)是一项扩展VPC能力的云服务,该服务建立在VPC内,能使用户将VPC私密地连接到终端节点服务,无需弹性IP,为用户提供性能强大、组网灵活、安全稳定的网络环境。

image.png

VPC终端节点由“终端节点服务”和“终端节点”两种资源组成,两种资源分别由服务提供方和服务使用方创建。

c.对等连接与VPC终端节点

image.png

image.png

5.3 不同Region不同VPC互通

云连接为用户提供一种能够快速构建跨区域VPC之间高速、优质、稳定的网络能力。

通过云连接将用户所需要实现互通的不同区域的网络实例加载到云连接实例中,这里的网络实例可以是同区域的VPC,也可以是不同区域经过授权的VPC,通过云连接服务,都可以实现私网互通。

image.png

当云上多个跨区域的VPC之间需要进行通信时,云连接可以根据网络规划,轻松实现多个跨区域VPC连通,提高网络拓扑的灵活性,并提供安全可靠的私网通信。

image.png

6.云内与外网互通

6.1 弹性IP服务EIP

弹性IP(Elastic IP,简称EIP),是基于云外网络(简称外网,云外网络一般是外网Internet也可以是企业内部局域网)上的静态IP地址,是可以通过外网直接访问的IP地址,通过NAT方式映射到被绑定的实例上。

image.png

  • EIP通过NAT的方式映射到云资源上。
  • 没有EIP,云资源不能和公网通信。
  • EIP带宽支持共享带宽独享带宽两种。
a.EIP相关概念

**共享带宽:**共享带宽是指可提供多个弹性IP共享的带宽,即多个弹性IP共同使用的一条带宽。

**虚拟IP:**虚拟IP地址(Virtual IP address,VIP)是私有IP地址的一种,拥有私有IP地址同样的网络接入能力2,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问云服务器。

b.EIP的功能
  • 弹性绑定外网IP

可以申请独立的外网IP地址,外网IP可以按需要绑定到弹性云服务器上,以满足云服务器连通外网的需求;

绑定和解绑操作都即时生效。

  • 配置带宽限速

申请外网IP时,可以设置弹性IP的带宽限速。

  • 单独购买单独持有

不需要与其他计算资源或存储资源绑定购买,并单独持有作为独立的资源存在。

  • 批量申请多个EIP

EIP支持批量申请,一次可申请多个EIP。

  • 指定EIP和系统自动分配

申请EIP时可以指定IP地址,如果指定的IP没有被分配出去,即可申请成功;

申请EIP时也可以让系统自动分配IP地址。

  • 指定申请时长

申请EIP时,可根据业务要求灵活设置EIP的有效时长,最小单位是天,也可以不限时长。

c.EIP应用场景
①单台云服务器访问外网

image.png

直接使用EIP实现云内云服务器访问外网,若VPC内的某一台云服务器需要访问外网,可通过直接为该云服务器绑定弹性IP的方式实现。

②多云台服务器访问外网

EIP配合NAT网关实现云内服务器访问外网

image.png

若VPC内的多台云服务器需要访问外网,可使用NAT网关配合弹性IP实现。

创建NAT网关后,通过创建SNAT规则,将弹性IP和子网配置到SNAT规则中,该子网下的云服务器就可以通过弹性IP访问外网。

6.2 NAT网关

NAT网关(NAT Gateway能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。NAT网关分为SNAYT和DNAT两个功能。

image.png

a.NAT网关的功能

image.png

**SNAT:**源网络地址转换,内部地址要访问公网上的服务时,内部地址会主动发起连接,将内部地址转换为公网IP。

**DNAT:**目标地址转换,内部需要对外提供服务时,外部主动发起连接,路由器或者防火墙的网络接收到这个连接,然后将连接转换到内部,此过程是由带公网ip的网关代替内部服务来接收外部的连接,然后在内部做地址转换。

b.NAT网关应用场景

NAT网关因其易运维管理、高安全、能有效降低节省IP资源等特点广泛被企业采纳使用。

image.png

互联网/电商/金融等企业,架构设计上考虑到安全因素,禁止虚拟机绑定EIP,使用NAT网关作为一层安全隔离机制。

游戏/视频等企业,需要面向公网开放服务,使用DNAT充分利用EIP端口资源。

7.云内与本地IDC互通

7.1 虚拟专用网络VPN

虚拟专用网络(Virtual Private Network,VPN),提供端到端的私有访问通道。IPSec VPN业务用于在公用网络上,为远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过IPSec VPN直接访问VPC中路由网络内的业务资源。

image.png

a.VPN 的功能

若将VPC中的弹性云服务器和本地数据中心或私有网络连通,可以启用VPN功能。

  • 数据中心扩展到云上
  • 应用扩展到云上
  • 开通管理简洁

关键技术

  • **加密算法:**AES-128、AES-192、AES-256、3DES
  • **认证算法:**SHA2-256、SHA2-384、SHA2-512、SHA1
  • **传输协议:**ESP、AH、AH-ESP
  • **版本:**V1、V2
b.VPN应用场景
①单站点混合云部署

通过VPN在传统数据中心与VPC之间建立通信隧道,用户可以方便地使用云平台的云服务器、块存储等资源。应用程序转移到云中、启动额外的Wbe服务器、增加网络的计算容量,从而实现企业的混合云架构,既降低了企业IT运维成本,又不用担心企业核心数据的扩散。

image.png

②多站点混合云部署

通过VPN能够在多个传统数据中心与VPC之间建立通信隧道,用户可方便地使用云平台的云服务、块存储等资源。建立多站点VPN连接要求各个站点之间的子网网段不能冲突。

image.png

③跨区域VPC互联

通过VPN在不同区域的两个VPC之间建立通信隧道,实现用户不同区域VPC的互通的需求。

image.png

7.2 云专线DC

云专线(Direct Connect)是搭建在用户本地数据中心与云上虚拟私有云(Virtual Private Cloud,VPC)之间的高安全、低延迟、稳定可靠的专属连接通道。

image.png

a.云专线分类

**基础型云专线:**不依赖硬件设备,部署灵活,易于扩展。

使用基础型云专线时,专线的流量会压到网络节点上,所有网元的业务流量都共用一张业务网卡,从而会出现不同流量如VPC互通、EIP、ELB、基础型云专线之间互相挤兑的情况

增强型云专线:使用硬件交换机作为专线网关,提供更高的转发性能。支持静态路由和动态路由部署方式,部署简化。

增强型云专线不需要经过SDN网络节点,不会出现与其他业务流量抢占带宽的场景。

b.DC应用场景
①云服务器与本地数据中心高速专线互联

image.png

用户可以通过云专线将用户侧的网络、数据中心、主机托管区连接至虚拟私有云,享受高性能、低延迟、安全专用的数据网络。

②多站点部署

image.png

用户可以通过云专线打通多地域VPC计算资源,享受高性能、低延迟、安全专用的数据网络。

③跨区域互联

image.png

通过云专线服务在不同区域的两个VPC之间专线连接,实现不同区域VPC的互通的需求。

7.3 二层桥接

二层桥接(L2 Bridge)是高速、低延迟、稳定安全的专属二层连接通道,用于实现在数据中心部署过程中,将物理服务器功能迁移到虚拟机中,但是由于某些特殊功能无法迁移到虚拟机中,需要在数据中心的虚拟私有云(Virtual Privase Cloud,VPC)和传统VLAN网络的之间实现二层互通的场景。同时可扩展支持组播能力,满足城轨云、媒体云等有组播需求的场景。

image.png

8.增值服务

8.1 云解析服务

云解析服务(Domain Name Service)提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上。

image.png

a.DNS功能

**内网域名解析:**云解析服务将在VPC内生效的内网域名与私网IP相关联,为云上资源提供VPC内的域名解析服务。

  • 关联VPC
  • 解关联VPC
  • 支持对内网DNS查看、修改和删除,管理解析记录。

image.png

b.DNS的应用场景

云解析服务提供的PVC内的内网域名解析服务,可以应用于云服务器主机名管理、云服务器切换和云服务器访问云上资源等场景。

  • **云服务器主机名管理:**企业内部的开发、测试、生产等场景。
  • **云服务器切换:**部署网站应用。
  • **云服务器访问云上资源:**云服务器访问SMN、OBS等云上内部服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1041332.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringMVC 学习(七)JSON

9. JSON 9.1 简介 JSON(JavaScript Object Notation,JS 对象标记)是一种轻量级数据交换格式,采用独立于编程语言的文本格式储存和表示数据,易于机器解析和生成,提升网络传输效率。 任何 JavaScript 支持…

IntelliJ IDEA 上 使用git 合并其他分支,合并某一个提交

git 合并其他分支 找到git——>merge… 选择需要合并的分支,不能选和当前分支一样噢 合并,推送即可 合并某个提交到其他分支 点击左下角git——>右键切换分支——>选择需要合并的分支——>选择需要合并的代码——>ch 推送即可

一篇文章彻底搞懂熵、信息熵、KL散度、交叉熵、Softmax和交叉熵损失函数

文章目录 一、熵和信息熵1.1 概念1.2 信息熵公式 二、KL散度和交叉熵2.1 KL散度(相对熵)2.2 交叉熵 三、Softmax和交叉熵损失函数3.1 Softmax3.2 交叉熵损失函数 一、熵和信息熵 1.1 概念 1. 熵是一个物理学概念,它表示一个系统的不确定性程度,或者说是…

redis(3)-hiredis-API函数的调用

1.API函数查询 http://github.com.redis/hiredis 2.直接在hiredis目录下新建 test_redis.c 2.1创建文件: 目录下有hiredis 2.2编译 添加环境变量 2.3运行 ./a.out 直接运行 redis-cli get itc…

算法-贪心+优先级队列-IPO

算法-贪心优先级队列-IPO 1 题目概述 1.1 题目出处 https://leetcode.cn/problems/ipo/description/?envTypestudy-plan-v2&envIdtop-interview-150 1.2 题目描述 2 回溯法 2.1 思路 2.2 代码 class Solution {int result 0;public int findMaximizedCapital(int …

基于ARM+FPGA的ISA总线/MMи总线接口转换设计在轨道交通的应用

总线广泛应用于计算机、工业生产及各种测试设备。ISA总线为IBM公司推出的基于80286CPU的PC/AT微型计算机用扩展总线标准,MMи总线是俄罗斯国内自行设计的专用测试总线,主要用于程控单元模块与MMи总线之间数据及控制信息的交换。在某型导弹测…

竞赛 基于深度学习的视频多目标跟踪实现

文章目录 1 前言2 先上成果3 多目标跟踪的两种方法3.1 方法13.2 方法2 4 Tracking By Detecting的跟踪过程4.1 存在的问题4.2 基于轨迹预测的跟踪方式 5 训练代码6 最后 1 前言 🔥 优质竞赛项目系列,今天要分享的是 基于深度学习的视频多目标跟踪实现 …

HBase基础架构及存储原理

一、HBase介绍 HBase是Hadoop生态系统中的一个分布式、面向列的开源数据库,具有高可伸缩性、高性能和强大的数据处理能力。广泛应用于处理大规模数据集。 HBase是一种稀疏的、分布式、持久的多维排序map 稀疏:对比关系型数据库和非关系型数据库&#xf…

ubuntu下网卡插入网线后仍然不连接

网卡驱动已经安装,在settings里可以看到该网卡设备,但是插入网线后仍然不会连接: 鼠标点击也无效。 可尝试: 1. ifconfig找到该网卡,比如我的网卡是 enx0826ae3e81aa 2. sudo ifconfig enx0826ae3e81aa down sud…

OpenCV两张图片实现稀疏点云的生成

1 E矩阵 1.1 由F到E E K T ∗ F ∗ K E K^T * F * K EKT∗F∗K E 矩阵可以直接通过之前算好的 F 矩阵与相机内参 K 矩阵获得 Mat E K.t() * F * K;相机内参获得的方式是一个较为复杂的方式,需要使用棋盘进行定位获得,我们这里直接使用了 OpenMVG 提…

C语言学习(1)—— 环境安装和配置

运行C语言和C程序需要安装MinGW和VSCode。 一. 安装MinGW 1、进入官网下载MinGW:https://sourceforge.net/projects/mingw-w64/files/ 2、解压缩 3、配置环境变量 4、检查是否安装成功 二. 安装VSCode 1、进入官网下载VSCode:https://code.visualstud…

中国制造让苹果跪服,将再增加一家中国高科技供应商

日前产业链人士指出由于京东方的OLED面板有力地制衡韩国面板厂商三星和LGD,促使他们降价,而且技术也不错,因此正计划再引入一家中国OLED面板厂商,以进一步促进OLED面板的竞争。 早期苹果的OLED面板完全由三星供应,由此…

SR800-D 5G工业路由器:将无人驾驶汽车的通信能力提升到极限

​大家好!欢迎来到今天星创易联的课堂,我是你们的通信老师,今天我们将讨论无人驾驶解决方案,其中包括SR800-D 5G工业路由器的运用。 首先,让我们聚焦于无人驾驶技术的重要性。无人驾驶汽车正在迅速崛起,这种…

【服务端 | Redis】如何使用redis 有序集合实现股票交易的订单表(价格优先、时间优先)

前两天倒腾redis的有序集合时,自己发现了一个问题,redis的有序集合在score相同的情况 下是如何排序的? 通过谷歌搜索,发现了一些线索,在score相同的情况下,redis使用字典排序,不过不是太明白什…

【红帽】跟着学习如何使用桌面访问命令行

今天我们分享一些红帽Linux的知识,记得关注,会一直更新~ ▶1、以student用户身份并使用student作为密码登录workstation 1.1.在workstation上,从GNOME登录屏幕中单击student用户帐户。系统提示输入密码时,请输入student。 1.2.…

Tuxera NTFS 2022 for Mac破解版百度网盘免费下载安装激活教程

Mac打不开移动硬盘”有多种原因,解决办法也不尽相同。它可能是安装的NTFS for Mac读写软件版本和当前macOS系统的兼容问题、或者是Mac没有正常连接硬盘等等。本篇文章就将为您罗列出导致“Mac打不开移动硬盘”的原因和解决办法。 为此不得不使用著名的Tuxera NTFS …

深入理解传输层协议:TCP与UDP的比较与应用

目录 前言什么是TCP/UDPTCP/UDP应用TCP和UDP的对比总结 前言 传输层是TCP/IP协议栈中的第四层,它为应用程序提供服务,定义了主机应用程序之间端到端的连通性。在本文章,我们将深入探讨传输层协议,特别是TCP和UDP协议的原理和区别…

【PHP手麻系统源码】手术麻醉相关的各项数据的记录、管理和应用

手术室麻醉信息管理系统是定位于手术室和麻醉科的科室级临床信息管理系统,主要用于与手术麻醉相关的各项数据的记录、管理和应用,实现医疗信息的共享及再利用,提高科室的整体信息化水平。   该系统将手术室内的各种设备(如呼吸机…

云原生Kubernetes:K8S配置资源管理

目录 一、理论 1.Secret 2.Secret创建 3.Secret使用 4.Configmap 5.Configmap创建 6.Configmap使用 二、实验 1.Secret创建 2.Secret使用 3.Configmap创建 4.Configmap使用 三、问题 1.变量引用生成资源报错 2.查看pod日志失败 3.创建configmap报错 4.YAML创建…

【Redis】Redis做为缓存,MySQL如何与Redis保持数据一致

Redis的作用 一般情况下Redis是用来实现应用和数据库之间的一个读操作的缓存层,主要目的是减少数据库的io,还可以提升数据库io性能 方法一: 先更新MySQL数据库,再删除缓存,再从数据库查询到的最新的数据同步到redis…