开发者学堂课程【企业运维之云上网络原理与实践课程:第三讲《云上网络VPC&EIP&NAT&共享带宽&SLB》】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/991/detail/14977
第三讲《云上网络VPC&EIP&NAT&共享带宽&SLB》
内容介绍
一、前言
二、课程目标
三、云上网络&数据中心产品
四、VPC
五、VPC应用场景
六、VPC运维常见问题
一、前言
本节主要讲四款产品,由云上示维中心运维,VPC和EIP是弹性的意思,弹性官网IP,NAT网关和共享带宽,实验会有slb,会有一个综合的实验。
整体的课程偏向于从0到1,大概推想到有一部分同学从事物理网络出身或者是当前做的是偏向于物理网络的工作,对于这种从物理网络知识切换到云网络知识体系有切身的体会,尤其是在云网络上一些重大核心概念的理解,包括整个认知的循序渐进的递进的顺序,个人有一些经验希望可以把这些梳理一下,分享给大家。
二、课程目标
前面部分为大家讲解理论,最后给大家做实验,实验也会回顾一下前面讲的这些理论,其中EIP弹性公网IP和NAT网关有一点网络基础的同学理解起来相当容易,共享带宽的内容其实很少,其实也是很好理解的,本节最主要的核心讲解的就是VPC,VPC理解好了云上网络的其他产品有点网络基础,其他的产品理解都是非常迅速的。
1.了解云上网络典型的组网架构
能够在脑海中有一个宏观的架构图,综合各个产品会有一个典型的组网,其实第一节课也有一点涉及到组网,后面再讲解云上网络互联、云企业网还会讲一些云上的组网。
2.了解VPC、EIP、NAT、共享带宽等产品核心特点和使用场景
主要目标,包括功能优势。
3.学习综合使用各个VPC相关产品(综合实验)
三、云上网络&数据中心产品
1、云上网络&数据中心产品
上图是根据本节的课程写的整体的概纳,希望大家有一个整体的了解,如果大家是新手或者0.2或 0.3比较接近于新手,希望大家听这次课程时最好能带着一些问题,比如VPC,相信做过思科的同学也有VPC的概念,云上的VPC和这个不是一个概念,这个VPC究竟有什么特点、优势、为什么会需要它、需要它之后底层是如何进行通信的、相信有些同学在控制台点过,创建一个VPC,创建一个交换机,创建ECS,然后就通了,底层是如何走的可能不是很清楚,因为现在公开的文档很少。
下面做一些很详细的比喻,通过生活中的例子帮助大家去理解底层是怎么通讯的,包括EIP和NAT,有一些有基础的同学可能知道云上去上公网有什么区别,为什么实地需要NAT,NAT和公网IP究竟有什么特点,有什么优势,或者说EIP或NAT网关和线下的ITC网络怎么能够去对应起来这种形态,因为云网络在很多时候只是换一种形态,可物理网络不是无中生有的,一定是有着对应关系的。
2、阿里云网络场景全景图
如上图:阿里云网络场景情景图。
(1)用户网络
这个图的下面是用户网络,也就是ITC网络用户线下中心,有很多同学做这个出身或者还在做这样的工作,就是去维护线下企业的网络或者银行自己的ITC网络。目前主要提供三种方式上运营,作为上运营就是与云上之间通信,目前提供三种方式:
第一种是专线,专线可以简单理解为是独享的,独有的,不是公网的网络指定去限制,直接相当于纳了运营商,纳了一个专线,很显然,这样方式的网络质量,延迟,稳定性肯定会更好,但是会贵一点。
第二种是可以通过VPN网关,做个新鲜网络,这一点是比较好理解的因为线下的以前的传统的网络里面,sop用的非常多,现在一个网络总部和分成机构哥哥,城市之间会分成机构,通过sop打通,VPN网关的意思是其实和以前线下传统网络的VPN就是一个东西,非常像,就是传统sop的VPN,通过终端去连接,这样可以做到跨公网,而且是加密的,能够和总部以及分成机构互联,上云也是提供这种方式通过VPN,在云上要买一个VPN网关,线下可以用自己的设备,自己的防火墙或者路由器都可以,云上这种设备例如云网络很大的特点是产品形态是不一样的,不是云上也有一个什么什么厂家的防火墙,都是服务器序列化出来的网络功能,服务器的集群去充当VPN的功能,和线下打通隧道。
第三种是sag智能接入网关,简单理解它也是一种VPN,只不过阿里会给他提供一种盒子,特别像家庭路由器的小盒子,这种产品是阿里云云网络里面非常少见的,就是会提供硬件的这样一种形态,绝大部分产品都是软信息提供的,在控制台一点击,云上那个就创建好了,VPC ECS SOB用户是看不到实体的,SAG是比较少见的提供一个硬件的设备,他有几种型号和家里的宽带差不多,不用自己准备防火墙和路由器,在通过VPN去上云。
(2)混合云
首先脑海中第一个一定要有一张大图,先弄清楚什么叫做云网络,和基本的线下网络很大不同特点是什么,云网络是云厂家自己会有非常庞大的遍布全球的网络,这里面有无数的服务器和数据中心据服务千千万万的用户,所以他有一张自己的大网,有很多的路径,对于基础薄弱的同学碰到region可用区这样的概念未必很清楚。作为新手入门云网络,接受产品的配置和原理之前要先知道云网络究竟是怎么一回事。因为网络是有云厂家自己构建一张遍布全球的各个地域的,就阿里云来说,目前是有26/27个region地域,这个每年都在新开服,每一个region会有很多可用区域,北京有十几个可用区域,可用区域可以理解为一个机房,就是一个数据中心可能有好几层,服务器可能从几万到几十万台不等,在云上控制台区购买的ECS,SOB,还有一些可能存储数据库,包括EIP等等这些资源购买之后都会落在云厂家这张大网某一个region某一个可用区域的某一台服务器上,这台服务器上跑着很多用户的资源,但是他们是逻辑隔离的,隔离性非常好,物理服务器非常庞大,就阿里云来说到目前为止已经有两百万台左右的服务器,每一台物理服务器还虚拟出很多的ECS,ECS中还有很多的容器。所以是这样的一种关系,购买资源落在其中某一台服务器上,这台服务器要和云上的其他的资源去实例通信跨越阿里云整个自己的网络,自己的网络遍布全球,在里面租用一些运营商的线路但是网络设备是自己的,可以说是非常大的投资去搭建起这张网络。云上有上公网的需求,施展公网出口,去上公网。云网络之间的通信无非几种方式,云上之间的就是VPC类或VPC之间的,或者跨region之间的有他自己的网络,如果上官网,就在某个地方上官网,还有一种就是混合云网络,云上和云下同信,云下可能是传统的IDC也有可能是私有云,银行很多,可以用私有云,什么形态也没有关系,云上和云下之间通信叫做混合云。有些同学只做IDC,希望能明白云上网络不是和线下没有关系,不是和IDC割裂的,有相当多的用户都有云上云下通信的需求,很好理解,首先云上云不是一步到位的,可能是分阶段的可能全部业务一下跑上去,第二,有很多安全合规的要求,这些网络有各种合规的要求,有特殊私密性的要求,只能放在线下,但是他有些业务在云上,需要通信很正常,这种通信就借助混合云。三种方式,专线、VPN以及SAG智能进入网关,也可以理解为也是一个VPN,VPN比较便宜受公网质量的影响,因为绑在公网上,网络质量不如专线稳定,延迟性不一定,公网VPN可能会丢包,阿里云在提供产品但是这种LSA肯定不如专线LSA。
所以希望大家有一个整体的概念,什么业务放到云上,也就是某个服务器里面,云上之间有办法让大家直接通信,因为他本身就是一张网络,但是不同的VPC或者不同地域之间去做一些操作才能够通信,这就和线下借助混合云的手段上公网,用到EIP或NAT网关。云网络为什么需要遍布全球的region?像阿里云会有美国,北美,南美,欧洲,东南亚,包括大陆都有很多的region,并且还持续的开服,例如:新加坡当地的用户想用你的阿里云,将业务放在云上,但是新加坡没有region,没有服务中心,那也不能放在北京,如果新加坡的用户放到北京,需要跨越公网,跨过千山万水访问北京的云,在中间经过跨境公网,中间有很多的不稳定而且这么远网络的质量以及延迟,肯定不如当地用户直接从当地运营商直接去访问当地的数据中心,所以需要在当地去建立一个数据中心,为当地的用户提供服务。但也有可能中国的公司业务为新加坡的用户提供业务和服务,服务资源最好放在新加坡的 region里面,这样访问起来各方面带宽延迟更好一点,这其实是一个很基本的逻辑。所以作为一个云厂家,region越多越好。
3、云上云下融合的阿里云网络
上图与刚才的有一点像,也是ITC通过SAG、专线、VPN去上云,刚才没提如果是SAG这种方式在什么情况下适用,就是线下小门店,便利店非常适合用sag小盒子,他自己不需要买路由器和防火墙,因为小的分公司分机构可以自己有路由器和防火墙,或者中等公司可以用VPN,然后自己准备一个防火墙和路由器就可以与云上打通。如果财务资源还不错,对要求比较高就用专线。云上最常见的几款产品就是NAT网关,VPC,EIP,共享带宽,共享流量包(像手机的流量包一样,买多少直接抵扣完),SLB。重点的是VPC,NAT,EIP以及共享带宽。
可以看到上面跑了很多业务,借这个图像举一个简单的实际场景的例子,今天要讲解的四款产品大概扮演着什么样的角色,或者说他提供了怎样的功能,后面再详细的讲述,尤其是VPC。
拿天猫来讲,相信绝大部分人都在淘宝,天猫买过东西,手机APP或电脑网页都去访问过天猫,访问天猫时可以想象一下,天猫,尤其是双十一双十二,存在如此高的并发,首先,阿里云几乎所有项目都已经上云,天猫服务器是有非常多的内容和资源,那放在云上如何去访问他,不可能是一台服务器,一定是一个集群,而且这个集群是前面需要有一个设备进行承担负载分化的功能,前面讲课时,举过Windows更新的例子,客户端每次更新的时候,去找微软的服务器他是怎么承担如此大的并发,因为前面有很多负载均衡的设备就是SLB,其实SLB对应传统物理网络用的非常多的f5,a12这些设备,在云上不能用购买云下的设备自研的服务器去实现负载分担的功能,所以需要用SLB,并且是很多的SLB,后面也会部署很多的后端,访问量太大了前面必须有负载分担的设备,这样才能保证可靠性容灾,后面有ECS挂了或者出问题没有关系,其他ECS就会自动接管,或者在分发的时候会做检看检查,前面讲过检看检查。SLB从公网去访问他,要访问公网机制,公网机制可能需要用到EIP,EIP是弹性IP,EIP或NAT网关先请大家想一下线下的网络,用户自己运维的网络是怎么上公网的,有企业的,有银行的,学校的等等,是如何上公网的,一定有一个出口,出口时多半有防火墙,有的还可能双挂,但也有可能是路由器,去做NAT,多半SNAT可能DNAT都有,因为有些可能放在dm区域中要去做DNAT,从外面主动访问到里面,这是一种很常见的形态,上公网就是做NAT因为是私有机制的。
还有一种情况是家里面家庭宽带,有的可能是用路由器,路由器去接光猫,带上路由器会分配一个公网地址,这是运营商分配的,其实这两种情况和形态就对应于云上的NAT网关以及EIP,EIP就是一个公网地址,可以将他绑到你想要的资源上比如说ECS,SLB,NAT网关,弹性网卡,ECS可以绑几个弹性网卡,弹性网卡可以绑一个IP,可以绑在上面,随时可以解绑,随时可以从ECS上解绑之后再去绑定另外一个SLB其他的实例上,这就体现出了他的灵活性,因为ECS后面做实验会去演示,ECS自己创建时,可以选择私网类型和公网类型,选公网类型会分配一个IP,这个叫做public IP,这个IP虽然是和EIP底层原理是一样的,但是理解起来是不一样的,功能是一样的,但是功能以及一些特性是不一样的。绑定EIP可以随时解绑,在绑定到另外一个其他资源上,Public IP现在也支持解绑,解绑之后这个公网IP进行转换成EIP。总之,从ECS来讲,公网三种情况,一种是public IP自动创建出来,第二种是绑定一个EIP,这个EIP是独立的,独立计费可以随时进行解绑。还有一种情况是走NAT,走NAT上公网,线下也有防火墙和路由器,其实云上也都是用服务器去做的,用的是NFV的思想网络功能软件化,nfv思想去把nat的功能包括申请地址转换等等都是用服务器集群去实现的。
所以在云上去买一个NAT网关,其实买的是一套服务器集群,这套集群不只为你一个用户服务,为很多用户服务,很多用户的NAT都落在这上面,但是他们之间是独立的,在界面去配置SNAT规则,然后他就会在服务器集群里面完成转换去上公网。但是这个NAT网关和EIP的优势以及好处,在后面会详细讲解,很显然的一点是,例如我有100个私网的ECS,现在想上公网总不能每个ECS去绑定一个EIP,EIP毕竟也是需要费用的,如果要买100个一天,一个月会消耗很多费用。这种情况下使用NAT比较合适,作为SNAT把某一个网段的去转化成公网IP,当然NAT还有很多的其他优点,统一的公网出口,转成地址池,转化成十个EIP因为用户比较多有的EIP受到攻击时还有其他EIP服务,如果只有一个ECS去绑定EIP上公网这个EIP受到攻击有问题时,那这个ECS就不行了,所以通过NAT网关可以有很多优势,可以有很多EIP做不到的地方,这就是NAT网关存在的意义,NAT网关其实就是对线下传统的路由器防火墙上公网的方式,只不过底层是用服务器集群去做的。
EIP就是给你分配一个IP,为什么线下用这种情况的不多,因为很多企业都是用NAT,但是家庭宽带也会分一个IP,这个IP不怎么去管,因为控制不了,想要解绑换个别的IP根本控制不了,运营商通过ppoe等一些方式封好,但是在云上不同,云上自主性很强,想用什么IP,或者想把这个IP给别的资源使用就可以解绑。共享带宽后面进行讲解。
VPC例如在天猫业务中,放在云上,云上还有很多别的业务淘宝,钉钉等,还有很多用户自己的各种业务,全部在这里面,同样数据中心,网络设备这些业务都在其中,所以需要做隔离,VPC最基本的功能就是做隔离,通过这个例子,希望大家简单感受NAT,EIP是做什么用的,VPC讲了可以用来做隔离,还有很多其他自定义的高级的功能。通过这个图,首先让大家对今天所讲述的产品有一个基本的认识,同样去感受到云上不同产品之间一定是相互联系在一起的,是一个整体的。
四、VPC
VPC是本节课的重点,主要会从VPC原理、特点、组成部分;创建VPC;VPC应用场景;VPC运维常见问题讲起。
1.经典网络向专有网络演进
观察两张图片,左面图是一个公共澡堂,在里面洗澡,隐私私密性是没有任何保障的,右图是一个装扮很精致的装修极好的房间,设施很不错,可以想象到整个体验是完全不一样的。这两个图可以形象的去反映为什么需要有VPC专有网络。
VPC的全称叫做virtual private cloud 虚拟的专有云,所以理解VPC从这两个单词入手虚拟专用,希望听过这次课之前对VPC不太理解的同学,在脑海中说到VPC都能想到虚拟专用。
经典网络
●共享、不安全的网络地址空间
●网络由阿里云管理
●不支持自定义路由
●不支持混合云网络搭建
左面是一个公共澡堂,对应与传统的经典网络,传统的经典网络阿里从09年开始一直到2014年,这期间使用的都是经典网络,2014年VPC诞生。所谓经典网络就是以前云上去给用户提供云网络服务同一个region不同用户流量默认是可以通的,甚至是不同的region也可以通,后面做了一些限制,不同region不可以通,就是不同的用户里面是可以通的,但对于不同的用户肯定做了不同的策略,这种策略都是比较傻瓜式的,比如在ECS中去配置一些安全组,类似于网络设备sl,或者说类似于Linux table之类的。
以前不同的用户是混在一起的,可能用一些特别傻瓜的方式能够让他不通信,很显然,这样做私密性没有得到保证,地址,空间还是共享的,以前这种方式是不支持混合云的,就是不支持线下网络和云上网络之间互通这种形态不支持,也不支持自定义路由,去自定义配路由表。这些都不支持,其实这就非常像传统的网络,比如微软和你一样,以前传统的网络就是用VLAN去读给你,然后上传到交换机,接入汇聚核心,到核心之后走入起亚,然后去走三层。以前传统的网络就是这样进行隔离的,但是这样有很多问题存在,因为VLAN说不够用,另外跨了三层这些VLAN和另一边接不上了,这边要重新画VLAN,VLAN之间是不是同一个网络说不清楚,要重新去弄,数量也不够,灵活性非常差,隔离性也很差,去测定SL。
专有网络
●独享、安全网络地址空间
●自定义网络
●支持自定义路由管理
●支持混合云网络搭建
所以就出现了VPC网络,叫做虚拟的专有云在14年出现,他有很大的特点是每个用户和房间一样,可以自由的去定义装扮这个房间,你如何进行装修安灯,怎么去买家具摆放,都可以自己进行控制,是非常私密的,把门一锁,别人进不来。体现在网络中是这个VPC用户在控制台购买之后,可以自定义它的地址空间网段,路由表,同时也支持混合云搭建。能够按照用户的要求去按需定制完全掌控,私密性,隔离性,安全性都能得到最大的保障。这就是VPC非常重要的特点,怎么做后面讲解,先讲解VPC为什么会出现,有哪些特点,刚才讲解了他的私密性,安全性,按需定制,完全掌控。
总结起来可以说为什么是1314年这个时间节点,为什么不是0809年前更早的出现,说到底就在这个时间点毕业早的同学能够感受到,这个时间点相关的各种大数据,人工智能,各种各样软件上的技术爆发,包括手机各个APP,简单讲解就是用户的规模,用户的数量,日益增加到一个非常庞大的数量时业务规模,用户规模,流量规模,增加到一个相当庞大的时代背景下需要有一种非常灵活的,高效的方式,能够支持以及保证用户业务的稳定性,隔离性,能够支持用户的网络灵活的拓展,能够去自定义按需控制,需要有这样一种网络形态,所以VPC应运而生。
VPC是划时代的产品,因为后面在学习云网络越学越多时会感觉到VPC是云网络上整个的底座,他这种概念是无孔不入的,很多云产品都与VPC是绑定在一起的,尤其是在云网络学习网络的同学入手云网络,VPC是最基本的东西,都与VPC这种底层的概念绑定在一起,借着他的特点做了一些总结,用户的规模在云网络中可以承载的几百万,上千万的用户,如此庞大的规模下,以前传统的隔离方式是不可以的,需要一种新的化时代的产品形态方式进行控制,后面再讲解原理时会看到VPC确实,结合现在的技术可以做到非常灵活,遍布全球,以非常灵活的方式让用户自定义去掌控自己的网络,控制设置自己的网络。
2.VPC定义
(1)采用overlay技术构建出一个隔离的网络环境,用户在云上共建的一个免费私有的网络环境。(后面可能会买一些ECS、SLB,这些资源要用钱,但是很便宜)基于隧道技术实现安全隔离。
(2)用户完全掌控的虚拟网络包括选择自有IP地址,范围划分,网段配置,路由表和网关等。
(3)通过专线或VPN等连接方式,将专有网络与传统数据中心组成一个按需定制的网络环境。
3.VPC特征
(1)安全隔离:不同VPC之间网络完全隔离
(2)可控:用户可以自主划分网段,自定义路由策略,部署网关以及连接外部网络构建混合云
(3)特性丰富:丰富的路由、安全、运维功能,助力用户搭建云上网络
(4)可拓展:用户可以在一个VC内创建不同的子网,部署不同的业务,用户还可以将VPC和本地数据中心或其他VPC相连,扩展网络架构一个24+交换机15 KECS(这只是一个基本的数量,还可以进行扩展,一个VPC支持几十个交换机,是虚拟交换机,支持ECS支持一万多台,还可以更多,几万台,给用户一个非常大的操作空间)
如果哪天对VPC记得不太清楚时可以想想刚才那张图,澡堂与精致的房间,想到那个房间就想到安全性及私密性得到非常大的保证,这几个特点希望在大家脑海中都有,安全,隔离,私密,灵活,自定义,完全掌控,易扩展,按需定制,完全免费
4.VPC基本原理
专有网络( Virtual Private Cloud ,简称 VPC )是基于阿里云创建的自定义私有网络,不同的专有网络之间逻辑上彻底隔离。在创建的专有网络内,创建和管理云资源,例如 ECS 、 SLB 和 RDS 等。专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择 IP 地址范围、配置路由表和网关等,专有网络隔离了虚拟网络。每个 VPC 都有一个独立的隧道号,一个隧道号对应一个虚拟化网络。可以将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
隔离,安全性以及私密性是如何得到保证的,就是vxlan技术,利用overlay vxlan技术,vxlan会有它的ID,就阿里来说,阿里用的是阿里vxlan与普通vxlan稍微有一点不同,它的vxlan端口号,还有字段做的一些拓展,但是本质上它的功能,封装格式都是同样的。先请大家记住一个VPC对应一个tunnel ID,不同的VPC默认不能通信,因为ID不一样,一个VPC有不同的交换机,默认可以进行通信,只要是一个VPC就可以,因为Talay相同,不同的VPC如果想要通信,在云上有一些方式可以进行通信,默认是不可以通信的,因为tunnel ID不同,tunnel ID是如何反映在底层不能进行通信后面进行讲解。如果做过数据中心网络对于vxlan技术是比较熟悉的,有VNID,是根据这个做的隔离,只不过公有云网络面向千千万万的用户,做的这种隔离或者控制是遍布全球的,刚才讲述的数据中心是用户自己的数据中心,可能在一个普通城市都有,控制也是在自己的企业范围之内去实现不同vxlan或者不同的网段,公有云的网络更大一些,解决的问题也更加复杂。
5.网络虚拟化
理解VPC要从虚拟和专有去理解,前面讲述专有,现在讲解虚拟。vxlan或者VPC引入overlay技术,就是vxlan技术,做网络的同学应该并不陌生,这个是非常经典的大二层技术。
所谓网络虚拟化或者虚拟网络就是网络形态物理位置是完全解耦的,以前最早传统网络时去换一个VLAN,划分一个网段业务就是交换机上或者路由器上,这一栋楼,或者这一片,中间就这三层。
很难说有同样的VLAN,之间是同一个网段是做不到的,或者说是同一个网段,现在有很多的数据中心要做漂移,可能去飘逸别的数据中心,IP希望最起码是同一个网段,中间已经跨越了很多三层,有可能还跨越了公网,所以不会做到。这就是所谓的虚拟网络,和物理位置是解耦的,不再是物理网络位置的限制,能够非常灵活的去定义,按照业务的需求去自定义网段,业务规模形态,使用vxlan外层通过IP直接可达,内层不变,云上也是这样的。大二层技术就是刚才讲述的大二层技术,可以跨越物理位置去数据中心形成内部的网络,同一个二层网络,这样简单的简述一下overlay vxlan技术。
6.overlay技术
阿里云借鉴了成熟的技术来实现隔离
基于overlay技术,海量的用户被隔离开,所有的租户都是运行在这个网络之上
网络实际分为上下两层,上层是虚拟网络,下层是物理网络
底层有underlay,七八十八九十个数据中心,里面有上百台的服务器,有很多交换机,路由器,去做互联,与传统物理网络没有太多不同。
但是上层是虚拟网络,所谓上层是虚拟网络的意思是不管是作为用户还是去解决用户问题的工程师, 或者是部署的交换工程师,在业务规划时去理解时,按照VPC去理解,不是按照底层物理网络进行理解,上层可能去规划不同的VPC,每个VPC会有不同的网段,按照这个逻辑概念进行理解,阿里控制台也是这样进行配置的,这就虚拟网络overlay,交换机不同的网段再去做相应的策略,让不同的VPC之间进行通信,或者不同的VPC交换机之间通信,做规划时按照逻辑理解,底层物理网络不用大家关心,因为底层已经管控下发好,也有专门的原厂家工程师去运维,所以作为用户只需要关注上层,结合非常灵活的控制台,想怎么去规划网络规划路由都是可以的,是云技术提供给用户的便捷性。
下面是underlay,上面是overlay,做业务层面部署时需要注意按照逻辑层面去理解不同的VPC,同时可以看到上层和下层之间实际上是无孔不入的技术在里面的,sdn技术已经有很多年了最典型的特征是控制链和转换链是相分离的,这样做的好处是,对于云网络如此大的规模,如此大的网络服务器确实要做到相分离,通过集中去控制,通过软件的形式控制下面的各种服务器上信息的下发,销户。VPC底层用到的技术有overlay,vxlan是最根本的,根据他的IP做隔离,整个云网络是遍布在sdn下的,sdn有很多的管控,像刚才讲的ECS,ECS资源都有ECS的管控,VPC也有VPC的管控,如果后面购买SLB,云企业网ECI等等专线都有对应的管控,这些管控互相之间也会进行联系,这是控制器,sdn提供一种非常灵活,高效,智能,持续迭代的一种方式,因为底层还有很多的设备,要做拼站的维护,拼站的升级,组建的升级架构优化等等,这些都是通过管控去实现的,效率以及灵活性都更高。
7.vxlan协议
(1)网络虛拟化
•基于OVERLAY技术在物理网络基础上构造虚拟网络
(2)VPC间完全隔离
•VXLAN协议作用是将二层报文在三层花围进行扩展使用
•VXLAN协议对每个VPC网络进行隔离,不同VPC之间保证安全隔离,无法进行通信
•每个VPC,一条隧道,隧道1D唯一,不同用户不同隧道,隧道之间无法直接通信
vxlan,tunnelID相同才能访问,也就是通过VPC访问。
VPC完全隔离通过tunnel ID,每个VPC tunnel ID是同样的,不同的VPC就是不同的tunnel ID,就不能进行通信。
如果按照前面所简述的,会对VPC有一个大概的了解,大概知道他能够做到私密性,安全性,隔离,根据vxlan来实现隔离,控制台可以创建VPC,然后就通了。
不同的tunnel就隔离了,为什么不同的tunnel就隔离了,不能访问了,或者说刚才就讲不同VPC也可以访问,那不同VPC之间是如何进行访问的,这个就不看tunnel ID了吗?vxlan封装有内层和外层,内层云部IP是什么?
尤其是tunnel ID是怎么样遍布全球region直接,能够做到安全性,隔离性的保证。这些问题在前面讲述时,还不太能解答,前面讲述的是常见能看到的文档,官网,产品文档等等都能查得到,但是底层刚才讲的这些是怎么进行通信的,不同的VPC如何进行通信,外省之间IP是什么,包括刚才提到的sdn管控,sdn管控具体体现在哪个方面,对于这些问题,给大家做一些解释是如何进行通信的,相信这些过程会对VPC如何去隔离的或者VPC的含义会有更好的理解。如果这里面的知识可以听讲明白,就剥开了云网络的迷雾,知道底层是如何通信,如何封装,与物理网络知识结构可以结在一起,再去接触上面讲述的上层的原理或者控制台的一些操作就形成一个整体了,所以这里就想了一个比喻,可能不是特别的确切,但是大概把产品的原理尽可能的融在了里面。
下面讲解比喻:因为现在疫情,有些城市很不容易,可能还在封闭当中,就可以假设现在这个疫情时代,比如a城市,有很多小区,小区这些人现在都不能出来,但是每个小区中有很多大白,每个小区都有出口,小区的物理通信还是通畅的,公路还在,这个时候有一个需求,假如某一个小区某一个同学小名现在想给另一个小区寄某个东西,现在看一下这个东西怎么能送出去,甚至可以想象一下,假设就有这个需求要怎么能够送出去,在不出门的情况下,怎么能送到另一个小区,送给他的朋友。
首先,因为你有这个需求很多人也有这个需求,所以这时你要把信打上一个标识,这封信要写写件人和收件人,写件人就是小明,收件人是小芳,小明这边打了一个标识,标识至少要确保整个城市是唯一的,然后将信交给志愿者,大白要给小区出口配备的一些快递员,快递员满足大家疫情之下的特殊需求,这时就有一个问题出现,大白将信件交出去给快递员,快递员是如何知道小芳在哪个地方,快递员不知知道在哪个小区,这时就要问,包括大白为什么要给小明打上ID,就必须有一个全盘的操纵者,可以假设小区出口有政府机构是大数据时代,每个住户住在哪个地方都很清楚,假设政府有一个中转机构,机构里面有很多信息,尤其是每一个租户的姓名以及所住位置都包括,信件初始情况下要交给中转者,发给他,他在做一个转换,发出去的意思是里面的东西不变,外层东西是我自己的小区B小区,B小区这个地址发给中转站假设中转站是c,中转站知道小芳在这个小区,外层就会变一下,原地址还是他自己,目的地变成这个,完成第一层通信,发给他之后,快递员一观察外层目的是自己,拆掉知道里面那个人,然后他也就给大白,大白知道小芳的住址,就可以交给小芳了。这是一个最基本的情况,可以想象一下这个物品送出来大概是这样一种模型,但是这其中有一点没有说,就是大白是怎么知道每一个用户具体在哪个房间的,每个租户的门牌号,大白会看到ID,这是不一样的地方,ID是因为例如小芳在家里注册过,小明和小芳属于同一个ID,因为最开始就沟通好了,这只是打比方,在云网络控制台已经配置了,配置后这两个ECS属于同一个VPC,挂好配置一个VPC属于他,分配同一个tunnel ID,对应起来就是管控,配一个管控他就知道了,然后再进行下发,下发了以后,中转机构告诉每一个小区里面的大白,某某是同一个ID,所以从某个住户来打成这个ID,这是首包,第一次因为学到之后再次通信就会触发一个学习过程。第一次要和小黄通信,不知道小黄在哪个小区,中转者帮我交过去这时就去请教他,小黄这个人是哪个小区的,就会传递给大白,每个小区大白的记录就会多一份,这样大白就会知道到某某个地方知道前往哪个小区,这其实就对应着云上同VPC之间的通信原理。
外层都是vxlan跑的underline网络,这中间就是跑导航,快递员送去跑导航,以前是走自行车,电动车,现在可能是开车开跑车,现在底层物理网络的链路从十几个g到100g越来越快,底层就是跑导航,跑导航的意思是物理网络最传统的VPC协议,底层就是这样跑的,这是第一种情况,同VPC同ID之间就是这样进行通信的,需要有一个vxlan封装过程,首包要经过中转站,中转站肯定有一些同学听过,就是云里面的XGW,X是有多种可能性有VGW IGW CGW等等这是x的含义,现在不进行区分都叫XGW,管控下发很多信息他都知道,第一次要去问他,后面就不用问了,因为第一次学习触发之后,第二次发信时小区快递员直接把外层的目地址写给目的小区的地址,路上这些都是知道的,因为是underlay网络跑bgp,肯定知道这个地址如何走,里层包围一直不变,底层就是这样通讯的,这是同VPC的情况下,首包要过一下网关,非首包直接走,学过一遍之后回包也是直接走。底层不变,中间走里层网络。
如果是不同的VPC,小明想与小张通信,他们不属于同一个VPC,如果他们是前同事,公司换了ID不一样了,但是有联络需求,想给他写信,也是考验这个地方大白是否知道,如果不知道该怎么办,也是去学,向中转机构请教某某某在哪个地方,这里和前面有一点不一样,因为这时ID是不一样的,所以封装出去时是目的地的ID,中转机构告诉给我的是小张在什么地方,告诉大白石会先告诉他属于哪个ID,例如属于101101,小明是10000,然后去看这个ID的表项,也要先学一遍,这里面也会有具体的地址,小张实际的家庭门牌号地址所对应的小区地址,这样一个对应的关系,这是原理。
实际体验过了首包之后与前面情况是非常类似的,还是先学一遍,学完一遍后面的通信情况都是这样的,发给小区快递员以后外层地址直接到小区地址,即便他们两个是不同的VPC,只要首包学到了外层地址还是给他,这样底层全是物理网络。
无论是同VPC还是不同VPC只要首包过之后,后面的通信直接就是小区快递员交给另外地址写成对方小区端的快递员,中间就走物理网络导航网络,只看外层地址去通信,内层怎么样不会管,这样就能解释同一个VPC内层不会变,跨越千山万水也不会变,这里说的是不同VPC,甚至可以将范围扩大北京要去上海,在北京出口会有一台出口网关,专门负责做这个工作,管控会告诉,例如b小区会告诉大白,会知道你要去往某个地址,假设这个地址根本不在北京内,是上海的地址,外层地址直接封装给出口,由北京出口,直接给上海出口,上海出口,再给到上海的小区。就是中间经过两个出口,这就是跨region之间的通信。
所以内存网一直不变,跨越到什么地方内存包围都不变,变得只是外层包围,外层包围由北京到出口目的地址一定会变,外层原地址也要改变,外层原目的会发生变化,但是内层一直不变。内层tunnel ID也不会变一定会送到正确的地方,因为外层地址和内层有对应关系,对应关系管控直接计算好,只要外层地址给对了路径,一定会送到正确内存地址所对应的小区地址,然后做解封装。
B小区有很多大白,去完小张要看tunnelID表象,中转站给他的表象,有这么多中转为何要给他,大白要保留所有小区的表象,不是这样的,因为这是不同的VPC,不同VPC之间需要靠手段才可以通信,默认是不可以通信的,不同VPC有CEN,加入CEN才可以通信,不同VPC在控制台配置加入CEN之后,小区的大白只有加入同一个CEN以后VPC tunnel ID才会学到,才能知道怎么走,其他的是不知道的,将其他发给我,也找不到正确的地方,是不能进行通信的,通过这个地址希望大家知道底层的通信其实并不复杂,底层就是依靠vxlan外层地址在变化,而且变得频次并不多,同region之类除开首包就是一步到位,从逻辑层面是一步到位的,在物理层面当然是经过不同的地方,尤其是在不同的可用区,不同的数据中心也是要经过许多设备的,但是在逻辑层面就是一步到位,内存不变。
如果是不同region之间,要多过两条出口,外层region一直在变,里层不变,tunnelID保持唯一性,因为tunnelID对应私网地址和小区所在的外层地址的对应关系是唯一的,在中转站会统一保留,中转站会保留例如北京这一个城市所有的每一家每一户的地址和对应的小区地址对应关系,所以其中包含几百万的表象,需要管控集中视角,这样才能给学习的地方告诉,这是举的例子,希望大家能够形象理解底层是如何通信的,对VPC理解的会更加清楚。
8.VPC组成部分
每个 VPC 都由一个路由器至少一个私网网段和至少一个交换机组成。
①私网网段
在 VPC 场景规划专有网络和交换机时,需要以 CIDR 地址块的形式指定专有网络使用的私网地址,网段可用私网 IP 数量(不包括系统保留地址)
192.168.0.0/1665,532
17216.0.0/12
1,048,572
10.0.0.0/816,777,212
②路由器( VRouter )
是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接 VPC 内的各个交换机,同时也是连接 VPC 和其他网络的网关设备。每个专有网络创建成功后,
系统会自动创建一个路由器。一个 VPC 只有一台虚拟路由器。
③交换机( Vswitch )
是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。
路由器平时看不到,稍后会为大家做演示,需要做创建,这些东西都是需要的,并不是因为VPC就有一个实实在在的路由器在那, 这些都是虚拟概念,只是在逻辑层面,为了让大家好做规划,理解。交换机就是管不同的路由,做物理网络或云网络的人很好理解,但是这只是他构建出来抽象的形态,实际上并没有这样的交换机,也并没有这样的路由器。
9.专有网络产品组件介绍
上图是虚拟层面,交换机是与可用区绑定的,路由器负载他们之间的路由。
也可以简单对应一下,一台服务器里面有ECS,有外层的网卡,中间有一台AVS,学过sdn的同学知道OVS,阿里就是avs,其实是比较相像的,这一台服务器就对应于刚才的比喻,这台服务器在刚才的例子中就是一个校区,中间的avs就是那些大白志愿者,每一个VM就是每一家住户,服务器网卡是在小区门口服务的快递员。真正进行通信为什么不是看见VPC就有这样的设备,因为在AVS上面维护很多的VPC,一台ECS有几十个VPC甚至更多在这一台服务器中,这里没有几十个交换机,所以是虚拟的概念,交换机可以理解为功能部署在这上面,路由器的功能只是功能被拆解掉了,部分在这上面,还有一部分在VxW上面,这些功能会被拆解在云上,本身不是一个用户弄两个交换机或路由器,因为是混在一起的,在逻辑上是隔离的,物理上不是隔离的,不是给每个用户创建独立的设备。
创建VPC和实验一起讲,讲解实验室为大家演示创建VPC需要什么东西。
五、VPC应用场景
VPC贯穿云网络始终,是无孔不入的,专有网络(VPC)是完全隔离的网络环境,配置灵活,可满足不同的应用场景。
1.云上私网
完全隔离的网络环境
专有网络是完全隔离的,网络环境配置灵活,可满足不同的应用场景
业务系统同时存在于本地机房和云上机房,基于阿里云VPC搭建不同的业务模块。构建完全隔离的云上环境,云上云下通过公网进行业务交互。
业务模块中财务部门,销售部门,行政部门可能选项不一样,需要做隔离,这样就使用VPC。
解决的问题:灵活配置;安全隔离。
2.混合云架构
IDC与云上之间网络云通信使用VPC,经典网络是不支持的,可以使用混合云支持通信,IDC访问云上某个VPC都是可以通过这个去控制的。
云上云下数据高速互联
基于阿里云搭建云上数据中心,过专线与云下内部数据中心大通进行用户核心数据安全保障,完美应对业务激增及数据快速同步实现混合云方案。
解决的问题:数据安全保障;应对业务激增;数据快速同步。
3.对外提供服务
业务部署在云上,很可能要接受用户从公网来的访问,过完来的访问需要有公网IP,EIP或NAT设备,云上这些东西会划分在VPC里面,例如NAT属于VPC类型。
多业务共享公网带宽
基于阿里云搭建多个应用,各应用都需要对外提供服务,且播放时间点不一致,希望多IP共享带宽,尽量减小波峰波谷效应来降低成本。
解决的问题:对外提供服务;低成本;数据快速同步。
4.主动访问公网
有些VPC画了一些资源,去配置VPN,用NAT去访问公网。
多VPC和ECS灵活访问公网。
基于VPC构建云上互动模块,其他系统部署在多个云下IDC内。云上多台VPC ECS需主动访问公网,将其云上处理内容同步给云下IDC,为用户提供灵活安全隔离的网络。
解决的问题:已配置;安全。
六、VPC运维常见问题
1.每个 VPC 可以有多个路由器吗?
每个 VPC 有且只有一个路由器,每个路由器可维护多张路由表,但是这个路由器只是虚拟概念,平时不怎么接触他,只是理解他需要一个路由器将不同网段打通。
2.每张路由表可以建立多少条路由条目?
默认情况下,每张路由表最多可以新建200条路由条目。
您可以通过以下任意方式自助提升配额:前往配额管理页面提升配额,更多信息,请参见管理配额。前往配配额中心提升配额。更多信息,请参见创建配颂提升申请。
3.每个 VPC 能够容纳多少个交换机?
默认情况下,每个 VPC 最多可以新建150个交换机。
您可以通过以下任意方式自助提升配额:前往配额管理页面提升配额,更多信息,请参见管理配额。
前往配额中心提升配额。更多信息,请参见创建配额提升申请。
4.同一 VPC 内不同交换机可以通信么?
只要安全组规则允许,同一 VPC 内的 ECS 实例均可以互相通信,无论交换机是否相同。
因为tunnelID相同,默认可以通信。不同VPC直接默认不能通信是隔离的,小区里面的大白默认不知道其他tunnelID的信息,只有向同一个组织注册才能学到,注册之后对方VPC的交换机网段知道要封装哪个tunnelID。
5.不同 VPC 之间能否内网互通?
不同 VPC 之间逻辑上完全隔离,您可以使用高速通道、 VPN 网关、云企业网实现 VPC 内网互通。
6.VPC 可以访问公网服务么?
您可以使用以下方法从 VPC 访问公网服务:
分配公网 IP
绑定弹性公网 P
配置 NAT 网关