开发者学堂课程【云端专有网络构建与管理:专有网络访问控制与互连】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/510/detail/6826
专有网络访问控制与互连
目录
一、专有访问控制
二、从 VPC 内访问公网服务
三、从公网访问 VPC 内云服务
四、VPC 互连
五、VPC 与线下 IDC 互连
一、专有访问控制
阿里云专有网络中本身没有自己的访问控制策略,依赖于专有网络中产品自身的安全组、白名单访问控制策略。
ECS 安全组
当创建专有网络类型的 ECS 时,可以通过更改默认安全组规则,来设置 ECS 服务器的网络访问控制
RDS 白名单
在专有网络中使用 RDS 产品时,可以将云服务器的 IP 地址加入到需要访问的 RDS 的白名单,然后才可以访问 RDS 实例。
SLB 白名单
通过对负载均衡 SLB 白名单的设置,可以将需要通过负载均衡服务访问的专有网络内部的云服务 IP 地址加入到负载均衡服务的访问控制白名单。
二、从 VPC 内访问公网服务
从 VPC 内访问公网服务主要是三种形式,第一部分分配公网 IP,为专有网络中的 ECS 分配公网的 IP,可以从VPC内访问到外面的公网。绑定弹性公网,弹性公网IP是可以动态绑定到不同 ECS 实例的 IP,解绑和绑定时不需要停机。
第三种方式配置 NAT 网关,NAT 网关是企业级 VPC 公网网关,可以通过使用 NAT 网关的 SNAT 功能为VPC 内无公网 IP 的访问提供 Internet 的代理服务。
三、从公网访问 VPC 内云服务
一共四种方式,分配公网 IP、绑定弹性公网 IP 两种与前面介绍的一样。
第三种端口映射是对 NAT 网关的使用,需要配置 NAT 网关下的 DNAT 功能,将公网的 IP 映射给专有网络的 ECS,配置后公网网络收到数据按照自定义的映射规则转发给 VPC 内的 ECS 从而实现从公网访问 VPC 内的云服务。第四种通过配置公网负载均衡实现从公网访问 VPC 内的云服务,像混挂和混访在公网创建 SLB 负载均衡的服务,将专有网络 VPC 内的一台 ECS 添加到负载均衡服务上,实现了从公网访问 VPC 内云服务。
四、VPC 互连
两种方式,一种高速通道,在两个 VPC 之间建立高速通道。第二种方式依赖于 VPN 网关的部署。
高速通道
杭州机房和北京机房各有两个 VPC,实现互连使用高速通道。
高速通道可以实现任意地域内两个专有网络之间的私网通信,不一定是相同地域,相同城市,可以是不同地域,图中是一个杭州一个北京。既可以避免绕行公网带来的网络质量不稳定问题,又可以避免数据在传输过程中被窃取的风险。
VPN 网关部署
如果通过 VPN 网关进行两个 VPC 互连,需要对 VPC 网关进行简单配置,将它们两个联系起来,配置非常简单,通过配置可实现两个VPC 的互连。
五、VPC 与线下 IDC 互连
两种方式,第一种通过物理专线接入,第二种搭建 VPN 网关与 VPC 和 VPC 相连类似。
专线接入
可以通过高速通道的专线接入功能实现 VPC 与线下 IDC 的互通。
图中杭州机房有一个 VPC 服务,北京有一个 IDC 机房两者之间需要互连,使用物理专线的形式进行接入。
搭建 VPN 网关
通过 VPN 网关的形式建立起 VPC 与线下 IDC 的连接,与 VPC 与VPC 相连类似,采用了 VPN 网关,基于加密通道进行通信,比建立物理专线的方式更简单,耗时更短。
