2.1.3 虚拟网络
网络的高速联通是所有用户需要的,也是越来越多的集群类应用在互联互通时的要求。另外,云上自带多租户环境的属性,而多租户的隔离性和特殊场景下的互通性是大规模云上运营的基础。这一切都是依靠虚拟网络实现的,可以说虚拟网络对于云计算来说,就如同一座城市的道路规划一样重要,是基础中的基础。借助虚拟网络技术的互联互通功能,弹性计算的数据得以高效流转,多台云服务器得以协同工作,保32
障弹性计算能够构建丰富多样的上层业务和应用系统。虚拟网络的基础功能包括网络的安全隔离、可自定义、高性能、高可用和易管理,基于虚拟网络的基础功能,再加上各种业务场景下的业务需求,进一步衍生出了一系列的网络产品。
虚拟专有网络(Virtual Private Cloud, VPC)是用户基于云平台构建的一个隔离的网络环境,专有网络之间在逻辑上是彻底隔离的。用户可以自定义VPC 的拓扑和IP 地址,相当于用户自己构建了一个数据中心网络,有自己的路由、交换机和访问策略。用户可以通过操作VPC 实现内网互通、公网访问、连接专线网络、访问云服务等多个场景的互联互通功能。
弹性网卡(Elastic Network Interface,ENI)是云服务器的网卡设备,可以热插拔。实际上,ENI 还承载了大量的网络属性和功能,具备如Metadata、DHCP 等功能,是云服务器和虚拟网络相互连接的一个桥梁。
弹性IP 地址是虚拟网络完成流量转发的实体,支持 IPv4 和 IPv6 两种协议,允许多租户之间使用重叠的私网地址,便于搭建超大规模和灵活自定义的私有网络。私网 IP 地址承载 VPC 内网流量,只在 VPC 内部可见,和外部网络之间是完全隔离的。如果用户需要访问公网,可以使用弹性 IP 地址,在公网网关上构建私网 IP 地址和公网 IP 地址的映射关系,外部可见的是弹性 IP 地址,VPC 内部实际依然使用私网 IP 地址进行通信。弹性 IP 地址可以在多台云服务器之间切换,只需进行简单的解绑和再绑定操作即可,具体可参见第5 章。
安全组和安全访问策略(ACL)是 VPC 提供的安全隔离策略,一个安全组内可以有多台云服务器,同一个安全组组内是默认互通的,不需要额外的授权。用户可以通过安全组配置统一的ACL。安全组的一份配置可以对组内所有的成员生效,这个功能极大地简化了用户的网络配置操作,可以帮助用户完成大规模的云服务器运维管理工作。
通过操作 VPC 路由表,使得用户具备网络管理运维能力,可以实现 VPC 对等连接、 专线访问策略、自建 NAT 网关、自建防火墙、自建 VPN 网关等。通过子网路由(多路由表),用户可以进行更加灵活的业务流量编排。
虚拟网络的相关产品和传统IDC 里面的路由器、交换机、防火墙配置十分类似, 都是为了解决路由联通,以及隔离、外网互通、内网互通等一系列问题,并且可以兼顾安全可控等特性而产生出来的。
2.1.4 镜像
用户使用云服务器最终使用的是一种“应用环境”, 可以把镜像理解为应用环境第2 章 弹性计算产品家族33
配置的一个典型配置组合。用户在构建完自己的应用所需要的基础环境后,可以将环境保存成镜像,并基于此镜像快速启动运行更多的实例,这样所有的实例即可具有相同的软件配置。通过镜像,用户可以启动以该软件配置为环境的实例。从镜像的供给者来看,镜像的大体分类如下。
公共镜像:云服务提供商官方提供的镜像,皆为正版授权,安全性好、稳定性高。公共镜像包含Windows Server 系统镜像和主流的Linux 系统镜像。这些镜像是云平台负责维护的“官方版本”镜像,一般新用户上云的镜像选择皆出自公共镜像。
镜像市场:镜像市场的镜像根据供应商不同,可分为两种:由云平台官方账号提供的镜像和由第三方服务商(Independent Software Vendor,ISV)通过云市场授权提供的镜像。镜像市场的镜像包括操作系统和预装软件等,均经过服务商与云服务提供商的严格测试,以保证镜像内容的安全。
自定义镜像:用户使用ECS 实例或快照创建出的镜像,或从本地导入的自定义镜像。只有自定义镜像的创建者可以使用、共享、复制和删除该镜像。自定义镜像是云上用户深度使用云资源并将自己的应用调优之后的必经之路。用户可以将官方镜像+ 自定义配置+ 应用形成自定义镜像,并以此作为环境的基础副本进行使用。
共享镜像:其他账号共享给用户的镜像。当多个账号之间有可共享资源时, 可以通过这种方式获得其他账号已有的资源,加速应用部署。
镜像是所有用户基本都会使用的功能。弹性计算云服务器的镜像不仅在丰富度、功能上给用户提供了最大的帮助,更在启动效率、性能优化、安全防护等方面投入了大量精力,使用户能够在云平台上获得基础运行环境以外更好的体验和技术回馈。
2.1.5 快照
上云后,用户最关心的无疑是数据的可靠性,虽然弹性块存储从底层能力上极大地解决了用户担心的数据丢失问题(可靠性为99.9999999%),但还有一系列问题有待解决,如应用是否会将数据写乱;是否会有病毒导致数据被改写,使其变得不可用; 是否会有0.0000001% 的可能性,数据丢失了怎么办;是否会有黑客修改数据,导致数据无法使用。
快照就是解决这一系列问题的一个关键产品。它是某一时间点一块云盘或共享块存储的数据状态文件,常用于数据备份、数据恢复和制作自定义镜像等。作为一种便捷高效的数据保障手段,用户一般在以下业务场景中使用快照。34
容灾备份:为某块云盘创建快照,将数据作为其他云盘的基础数据,实现同城容灾和异地容灾。
版本回退:当升级版本后出现系统问题时,用户能使用快照回滚云盘实现版本回退。
环境复制:如果用户希望新购实例与已有实例有完全相同的环境,则可以使用快照创建自定义镜像,再使用自定义镜像创建实例。
数据开发:通过对生产数据创建快照,可以为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。
提高操作容错率:如果团队成员不慎在云盘上存储了错误的数据,ECS 实例被误释放,应用错误导致数据错误,或者黑客利用应用漏洞恶意读写数据, 则用户可以使用快照将云盘上的数据恢复到期望状态。
周期性备份:利用快照定期备份云盘上重要的业务数据,以应对误操作、攻击和病毒等导致的数据丢失风险。
重要操作前备份:在更换操作系统、升级应用软件或迁移业务数据等重大操作前,成熟的云服务器运维人员会创建一份或多份快照。一旦升级或者迁移过程中出现问题,就通过快照及时恢复到正常的系统数据状态。
如今,快照已不是一个新产品,随着用户使用量的不断增加,在ESSD 云盘使用场景下,弹性块存储提供了秒级制作快照的能力,对于数据的备份、恢复效率有了质的提升。基于这样的产品能力,用户可以在更多的场景下依赖快照完成对数据的保护。
2.1.6 专有宿主机
在典型的云场景下,一台物理机经过虚拟化后,上面的虚拟计算资源可以被售卖给多个租户;而在一些特定场景下,比如金融场景出于合规的要求,用户需要保证物理机的独占特性,这时,用户需要将整台物理机上的所有虚拟资源都买走,进而对虚拟资源进行按需划分(前提依然是所有资源都属于一个租户),这就是专有宿主机(Dedicated Host,DDH)。它是云计算平台专为企业用户定制的解决方案,具有物理资源独享、部署更灵活、配置更丰富、性价比更高等特点,可以有效地降低企业上云的总拥有成本(Total Cost of Ownership,TCO)。专有宿主机与普通ECS 实例的购买方式从技术栈角度来看并无差别,两者的区别仅在于整台物理机的资源是否都归属单一租户,以使用户在特定业务场景下获得最优的性价比,如图2-3 所示。
图2-3 共享宿主机与专有宿主机
