概念解释
最近更新时间: 2023-03-20 16:56:39
• 私有网络
虚拟私有网络(Virtual Private Cloud)能帮助您在建行云上构建出独立的网络空间,可以配合云主机、负载均衡等云服务一起使用。建行云虚拟私有网络为您提供以下功能:
1) 通过控制台自定义网段划分、IP地址、路由策略等
2) 通过弹性 IP 、NAT 网关等灵活访问 Internet
3) 通过 VPN 和专线接入将私有网络与您的数据中心连通
4) 通过对等连接服务可实现云上资源互通
通过安全组和网络ACL可以多维度、全方位的满足您的网络安全需求。
用户在创建 VPC 时,需要以无类域间路由(CIDR)块(例如 10.0.0.0/16)的形式为 VPC 指定 IP 地址组。私有网络有地域属性,比如VPC A 处于武汉,用户无法跨地域创建 VPC 。建行云暂时仅提供“武汉”地域,后续将持续增加地域。
• 子网
子网是 VPC 内的 IP 地址块,私有网络中的所有云资源都必须部署在子网内。子网具有可用区属性,如下图所示,在创建 VPC后,您可以在私有网络所属地域下的每个可用区中添加子网。可用区设计目的是隔离其他可用区的故障,通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响。建行云暂时仅提供一个可用区,后续将持续增加可用区。
• 私有网络的IP地址
您可以通过指定CIDR(无类别域间路由)实现对私有网络和子网整体 IP 划分,建行云虚拟私有网络中使用的IP地址分为三类:
内网IP地址,是 VPC 内的实例必须指配的IP地址,用于 VPC 中实例之间的通信,无法用于 Internet 通信。
公网IP地址,是用于 Internet 访问的 IP 地址,并可用于实例与 Internet 之间的通信。
弹性IP(EIP),是可以独立申请的公网 IP 地址,支持与 NAT 网关实例的动态绑定和解绑。
• CIDR
CIDR(无类别域间路由,Classless Inter-Domain Routing)是由用户指定的独立网络空间地址块,通过IP和掩码结合,实现对网络的整体划分。以 10.1.0.0/16 为例,斜杠左边为网络块的IP,斜杠右边为网络块的掩码。通过设定掩码的大小就可以调整网络块的大小。网络块包括的IP数 = 2^(32-掩码),因而 10.1.0.0/16 网络块最多包含65536个IP地址。目前私有网络支持三个网段内网IP:
10.0.0.0 - 10.255.255.255 (10/8 前缀)
172.16.0.0 - 172.31.255.255 (172.16/12 前缀)
192.168.0.0 - 192.168.255.255 (192.168/16 前缀)
掩码范围:允许最小为/16掩码,最大为/28掩码
在规划CIDR时需要注意:
1) 私有网络在创建时候必须指定 CIDR,创建后不可修改。
2) 子网的 CIDR 必须是所在私有网络 CIDR 的一部分。
3) 建立对等连接的私有网络之间的CIDR不能重叠。
4) VPN连接中每条SPD策略对应一个本端网段(私有网络网段)和对端网段(您的IDC网段),本段网段和对端网段不能重叠。
• 广播和组播
仅支持子网内组播和广播。
• 地域(Region)
建行云机房分布在北京武汉,这些节点都由地域(region)和可用区(zone)构成。创建私有网络时需要选择地域,创建子网时需要选择可用区,且子网必须选择在私有网络所在地域内的可用区;
申请云服务时建议选择最靠近您客户的地域,可降低访问时延。
1) 处在同一地域的云服务产品之间通过内网互通(不同用户间的云资源默认隔离)。
2) 处在不同地域的云服务产品之间内网默认不能互通。
3) 负载均衡服务绑定服务器时,只能选择绑定本地域的云服务器。
• 可用区(Zone)
可用区是同一地域下电力和网络互相独立的物理区域(一般是一个物理机房),命名采用【城市+编号】的结构。
可用区的设计目标是保证不同可用区间故障相互隔离(大型灾害或者大型电力故障除外),不出现故障扩散,使得用户的业务持续在线服务。对于大型应用而言容灾是业务可用性的重要保障,多机房部署是容灾的通用做法;对于普通用户而言,多机房部署本是奢侈的投资,但建行云的多可用区设计让每个客户在不增加额外成本、运维复杂度的同时实现业务多机房容灾部署。
• 容灾型架构:当您的业务需要更高可用性时,跨可用区的多机房部署在保证低延时的同时为用户提供了高容灾保障。例如:可以分别在自用北京一区和自用北京二区申请云服务器,单可用区故障不会影响其他可用区云服务的正常运行。
• 低延时架构:若应用内部更注重低网络时延,则可以将业务部署在同一个可用区中。
关于可用区您需要注意的是:
在同一地域内可用区与可用区之间内网互通,同一可用区内网络延时更小。
已申请的云服务资源和网络不支持可用区的更换。
• 路由表
路由表由一系列路由规则组成,用于控制私有网络(VPC)内子网的出流量走向。如下图所示,云上的路由表有两种类型:默认路由表和自定义路由表。每个子网都必须关联一个路由表,每个路由表可以关联多个子网。
路由表由一系列路由策略组成,路由策略包括路由目的端、下一跳类型和下一跳组成,下一跳的类型可以是下图中的所有组件。
• 默认路由表
用户创建私有网络时,系统会自动为其生成一个默认路由表。在之后创建子网的过程中,如果用户没有选择自定义路由表则子网会自动关联该默认路由表。可以在默认路由表中添加、删除和修改路由规则,但无法删除该默认路由表。
• 自定义路由表
除了默认路由表之外,还可以在 VPC 中创建其他自定义路由表,自定义路由表可以被删除。用户可以为具有相同路由策略的子网建立一个自定义路由表,并将路由表和需要遵循其中路由策略的所有子网关联。您可以在 创建子网时绑定路由表或子网创建后更换路由表。
• 关联路由表
每个路由表可以关联同一个私有网络中的多个子网,但每个子网有且只能关联一个路由表。您可以在子网中更改关联路由表,但不能在路由表中更改或删除关联子网。
• 路由规则
路由规则用来控制数据包的路由途径。有默认路由规则和自定义路由规则两种类型,其中每条路由规则包含了三个参数:
目的端:目的网段描述(仅支持网段格式,如果希望目的端为单个 IP,可设置掩码为32(如: 172.16.1.1/32),目的端 不可以是路由表所在私有网络内的IP段。
下一跳类型:私有网络的数据包出口。私有网络下一跳类型支持“VPN网关”、“专线网关”等类型。
下一跳:指定具体跳转至哪个下一跳实例(使用下一跳 ID 标识)。
注意:
所有路由表均包含一条默认 local 路由规则,含义为私有网络内网互通。其路由规则为 [ Local,Local,Local ],该路由规则不能被删除和修改。
• 路由规则优先级
当路由表中存在多条路由规则时,路由优先级由高至低分别为:
1) 私有网络内流量:私有网络内流量最优先匹配。
2) 最精确路由:非私有网络内流量根据最精确路由规则匹配。
内网 IPv4 地址
内网 IPv4 地址是建行云 IPv4 内网服务的实现形式,无法通过内网 IPv4 访问 Internet。每个云服务器实例一经创建即被分配一个内网 IPv4 地址,内网 IPv4 地址可由系统自动分配,在私有网络环境下,内网 IPv4 地址也可由用户自定义。
内网 IPv6 地址
内网 IPv6 地址是建行云 IPv6 内网服务的实现形式,无法通过内网 IPv6 访问 Internet。在创建云服务器实例时,可选择免费分配 IPv6 地址,系统将自动分配,亦可在创建后再进行获取,在虚拟私有网络环境下,内网 IPv6 地址也可由用户自定义。