开发者学堂课程【阿里云新手上云实战演练:阿里云 SLB】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/655/detail/10853
阿里云 SLB
3、路由表
可以看一下路由表里,看这个路由器,现在绑定了两个交换机,可以能看到它的路由表,这是系统帮我们生成的一个是172260.0,一个是1000 26176.0,就是对应的两个交换机的,所以能互通。
这是相同的vpc下不同子网是资源互通的,这时候就是用到不同的资源,就是存储类的资源和应用类的资源可以放在不同的子网下面,交换机下面,但是在同一个VPC,再有一个就是不同vpc下资源内网互通,内网是不互通的,就是换路由器了,应该都知道默认是不互通的。可以加一个,那个位置,一个路由器也没有了。
名称testvpc,资源做划分就先不动它,交换机可用区域选择a,默认。现在已经创建成功了,哪个删掉,可以直接购买一个相同配置。没购买相同配置,这个也不能改。重新买一个。买一个不在那个里面的,现在就可以选刚创建的 vpc,下面只有一个交换机,然后就默认自己生成了,然后分配公网选择安全总局,安全组一会再选,vpc下面会对应的一个安全组,创建一个VPC之后,默认创建一个安全组。
可以看到这是刚买的,把它连上试一下,先听一下这个,错了是吧。错了没复制。没点复制。CRT是直接一选就复制上了,这台应该也是凭空的,这个时候内网相当于是不互通的。
五、VPC
举一个例子,就线上是有搞好几个账户,然后阿里云好几个账户,每个账号下面是要做相当于要把所有账户下面的资源做一个打通,然后集群每一个账号下面都有机器,那个机器都要加入到黑白S集群里面,这时候肯定不会让公网互相通信,肯定是要实现内网互通,在阿里云上实现起来就更简单一点了。
上网关并且告诉他们,不知道现在这高速通道行不行,能不能用,看一下。
之前创建云企业广告现在所有的高速通道相当于都没了,全部是叫云企业网了,跟原来的财务一样,现在全部原来的财务的话可以互相做账号关联,做完账号关联的话都在费用里面,现在相当于全部到企业里头,这个也是在不断调整。
1、云企业网
先创建一个云企业网,名称为net1,然后是要做 vpc的打通,所以我们这儿的话实力类型选VPC,选择地域,华北3。网络选择第一个。再创建一个,加载,实例类型是专用网络VPC,然后华北3这是另一个,然后就把它加一起了。
这是相当于先把这两个网络实力加载了,然后需要购买一个包,非跨境。不同的区域带宽,估计是不用买的。跨境,原来的这样一个网络话题。看一下它的路由表加上明显,如果路由表加上应该就有了,跳到了 Vpc下面了。
比原来操作更简单,原来还得自己添加,应该遇不到,可能会遇到,阿里云是什么,可能有用某一个台它的产品是不断迭代的,但是用那个产品的时候比较老,会一直给你保留老的版本能一直沿用,就跟经典网络一样,如果现在买机器的话,肯定是买不到经典网购机器了,但如果之前买过经典网络的机器,经典网络相关的配置,会一直给你保留。
原来你怎么维护,现在还怎么维护,所以说假如现在买的全是最新的,如果去某个公司上班,如果用阿里用了很久了,可能是那种老的,如果是那种老的怎么办,专业网络主要是先专有网络有个高速通道。
2、VPC互连
创建高速通道,点击创建高速通道会到一个页面,然后选地域或者是不是划账号,或者是地域选好之后,按照费,如果是同地域,不管跨不跨账号,只要是在相同的地域,比如都在张家口,比如a账号在张家口,B账号在张家口,他俩下面的vpc要打通这种,或者是说同一账号下面,但是不同的VPC就我们现在这种情况要把它打通。
然后这个时候都是免费的,但只要跨了地域,比如一个账号就什么,一个vpc在张家口,另一个vpc在北京,这种就要收费。高速通道应该是1800一个月。所以如果可能会有这种跨网络这种,可以提前规划好。
比如都选同一个地域下面的看现在就特别简单了,在下面直接创建一个网络实例,然后再加载一个就自动绑定了,绑定之后直接给你,路由规则就创建好了,默认的下一跳,可以自己添加一个路由看看,名称test1,然后网段然后随便选,主要看这儿,还有ECS实例,可以跳到固定的ecs上,然后可以跳到VPN网关上。
3、添加路由条目
VPN网关这可能就涉及到一般阿里云上的资源跟本地机房的资源做打通,内网打通的时候就需要走VPN网关。是要收费的。相当于跨机房了,那种不收费的主要是什么,虽然是不同账号不同vpc,但其实都在一个机房里面,机房里面的实际的物理网络层全部都还是走到内网。
所以那个是不收费,相当于只是本来逻辑上是分开的,现在逻辑上打通了。
物理上其实还是一直在一起的,现在可能会做一些划分,防止网站挂了,然后影响别人,遭到攻击了,然后把别人也整挂了。不过关于举报中心这块确实是之前遇到过几处攻击,就是要买阿里云的机器,就是没被别人打死,就被阿里云给关小黑屋了。
防止别人打你打的量太大影响了跟你一起用的那些人,然后就先把你给隔离了,就访问不了了,这个时候怎么办呢,如果公司很有钱,可以买黑洞或者是流量清洗这种都可以,但是如果公司成本这块考虑的比较多。
还有一种解决方案,比如一般网站对外可能是一个slb,是一个负载均衡,假如把负载均衡关小黑屋了,就赶紧买一个负载均衡,然后解析到新的负载均衡上,假如又被关小黑屋了,再买一个负载均衡,因为举报的攻击的话是很花钱的,要防抵抗攻击很贵,但是要攻击我们,也是要花钱的,也不便宜,不可能一直攻击,一般持续个十几分钟左右,扛过那十几分钟也就好了,逃过去就挂了,一般要换一次flb,大概最少能扛个三四五分钟,就换一次,因为打击的时候访问的是你的域名,然后域名解析的IP也可能刚开始是da slb,挂了赶紧把B负载均衡给换上去,然后B又挂了再把C换上去,直到不打了,然后这次攻击就圆满过去了,不过也考虑网站的可用性,如果网站要做达到特别高可用,一分钟就一秒钟都不能断这种情况的话,可能还是考虑买这种安全产品。
如果这个可能是按量可能是隔一段时间,比如之前教育暑假和寒假,就没有学生那个时候,如果挂了也就挂了,这是一种方案,要买的话确实挺贵。
然后 ecs还没有,没有安全组了。可能产品调整了,之前开了高速通道,然后就可以在路由表这添加路由条目,就它会有一个下一个是安全组,选择某一个安全组,因为某一个安全组是就对应的一个 vpc,就一个vpc下面会有一个安全组,这是默认的。
配置安全规则的时候就是端口开启,同一个vpc下面默认都是互相可信的,把它放到一个vpc下面,对于内网来说肯定是非常可信任的,不需要做窗口开放,就默认是都可以访问的,跨安全组就是跨vpc之后,就是那种可能认为说它不一定是新人的,可能一个业务线一个VPC,比如高校业务是一个安全组,职教业务是一个安全组这样不同的安全组就不同VPC,然后之间可能互相共用了有一个叫base,VPC下面的数据库的时候,就都需要做端口开放。
然后vpc打通的话,现在看来就是这么简单了。就不需要我们做任何配置了,cen的状态已发布,这真没有看到过,不知道是新的一个东西,这个跟VPC互通了,这边在互通了也可以看一下,说这个端口应该都是通的,好像是不是没装。
实现了 Vpc加资源内网验证了vpc资源内网无互通。
六、获得技能
1、专用网络工作机制
实现了一个内网互通,通过这个就是一个是了解一下阿里云专有网络的一个工作机制。
从使用来说还是比较简单的,表面来看挺简单,内部的一些原理还挺复杂,主要其实做这块就是做虚拟路由这块的话,用到的是隧道技术,每一个专业网络都会有一个自己的隧道ID然后访问的时候,怎么认识的,知道说你不是在一个vpc里面互相访问的时候,数据包里面都会有一个隧道ID,然后就知道不是同一个vpc或者是同一个vpc了,大家要是感兴趣可以往深的看一看它这些技术。
其实是做好真挺复杂的,整个搭起来就很复杂把它实现下去。整个如果刚开始的话,组件太多了,各个组件之间关系稍微哪弄错了,尤其网络这块其实不管是说做哪个,不管系统这一块或者是说做语音这一块,最难的就是网络,学K8S到时候肯定也是会觉得整个就网络那块最难,它 QS网络的话有好几种什么filetal之类的,网络等等这些,到时候就了解扩展,会发现其实很多时候都是网络这块比较难。
2、使用专用网络
学会使用阿里云专用网络,就是创建vpc交换机路由表,其实 vpc和交换机还比较简单,主要是路由表这儿,如果有一些比较特殊的路由规则,然后就在这添加。
其实原来的话比较特殊路由规则主要就是说的是不同vpc之间互通,现在发现这也不是什么问题了,了解其不同模式下的一个应用场景,什么时候需要把他们放在同一个私网,什么时候放到不同的私网,什么时候可能需要做VPC的互通,所以我就简单有个了解。
然后这是vpc使用的一个资源限制首先的话就是1个地域可以创建的专有网络数量是能创建10个,就是1个地域下面你能创建10个vpc,如果要提升配额的话就提交工单,还有可选的范围,就是ABC三个子网以及他们的子网,这三个自由网段和他们的子网,然后也可以提交工单,然后如果不想用这三个私网,单个专有网络路由器数量,这个是没有办法调整,意思就是一个vpc,一个路由器然后1个VPC下面的话是可以有24个,最多可以创建24个交换机,就是再划分24个子网,然后也可以提交工单,路由表的数量是10个,按照专有网络路由表的数量是10个,可以提交工单,自定义路由条目是48个,可以在这自定义路由条目,还有支持的云使用网络地址的数量。一般达不到这么多。
这是一个网络打横幅,是一个阿里云账号,然后这是一个阿里云账号,阿里云账号下面也是分了好几个子网,有一个子网是专门这个图的话主要是用于 QS的,简单描述一下需求,我们的需求是这样,有三个阿里云账号,要把整整个三个阿里云账号下面的机器整合成一个vpc平台这样的话就创造一个就可以了,不需要说每一个账号下面都创建一个集群,这样就省了master节点的机器,master节点的话是三台机器,本来的话需要用9台,然后现在用3台就够了,就把剩下这三台就可以做节点就是kms的工作这边,然后就会设计一个网络打通,就是用的高通道做的网络打通VC的路由端创建了两个路由端,一个接收一个发起端,然后这是一些路由条目。都需要自己手动填。
这边和那边要一条路由条目填好,还要专门做了一个表格,就是怕到时候会忘了,如果有经典网络的机器的话,可以通过这个来做,也是做内网网络打通的。
如果要是设计这种场景的话,就提供单,就是说提一个工单说需要用把经典网络的机器和专业网络当做打通,阿里做了一个端口的授权。
