网络服务
云平台为云主机提供以下网络服务:安全组、虚拟IP、弹性IP、端口转发、负载均衡、防火墙、IPsec隧道、OSPF区域、Netflow、端口镜像、路由表。
支持以下两种网络架构模型:
- 扁平网络
- VPC网络
网络服务模块
网络服务模块:用于提供网络服务的模块。在UI界面已隐藏。
主要有以下四种:
- VirtualRouter(虚拟路由器网络服务模块,不建议使用)
提供以下网络服务:DNS、SNAT、负载均衡、端口转发、弹性IP、DHCP
- Flat Network Service Provider(扁平网络服务模块)提供以下网络服务:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
- DHCP:分布式DHCP实现动态获取IP地址。Note: DHCP服务包含了DNS的功能。
- VipQos:虚拟IP限速,限制上行及下行带宽。仅作用于弹性IP。
- Userdata:使用
- VPC Router(VPC网络服务模块)提供以下网络服务:
- IPsec:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
- VRouterRoute:通过路由表,用户可管理自定义路由。
- CentralizedDNS:在启用分布式DHCP服务的场景下,提供DNS服务。
- VipQos:虚拟IP限速,限制上行及下行带宽。
- DNS:使用VPC路由器提供DNS服务。
- SNAT:云主机使用SNAT可以直接访问外部互联网。
- 负载均衡:将虚拟IP地址的访问流量分发到一组后端的云主机上,自动检测并隔离不可用的云主机。
- 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
- 弹性IP:使用VPC路由器可通过公有网络访问云主机的私有网络。
- DHCP:集中式DHCP服务
- SecurityGroup(安全组网络服务模块)提供以下网络服务:
- 安全组:使用iptables进行云主机防火墙的安全控制。
扁平网络实践
生产环境中,一般建议使用以下网络服务的组合:
- 扁平网络服务模块:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
- DHCP:分布式DHCP实现的动态获取IP地址。Note: DHCP服务包含了DNS的功能。
- Userdata:使用
- 安全组网络服务模块:
- 安全组:使用iptables进行云主机防火墙的安全控制。
VPC网络实践
生产环境中,一般建议使用以下网络服务的组合:
- 扁平网络服务模块:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - DHCP:分布式DHCP实现的动态获取IP地址。
- Userdata:使用
- VPC网络服务模块:
- DNS:使用VPC路由器提供DNS服务。
- SNAT:云主机使用SNAT可以直接访问外部互联网。
- 路由表:通过路由表,用户可管理自定义路由。
- 弹性IP:使用VPC路由器可通过公有网络访问云主机的私有网络。
- 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
- 负载均衡:将虚拟IP地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
- IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
- 安全组网络服务模块:
- 安全组:使用iptables进行云主机防火墙的安全控制。
高级网络服务
- 动态路由:支持OSPF动态路由协议,用于单一自治系统内决策路由,适用于VPC网络场景。
- 组播路由:将组播源发送的组播消息转发给云主机,在发送端和接收端实现点对多点连接,适用于VPC网络场景。
- VPC防火墙:通过对VPC路由器接口处南北向流量进行过滤,有效保护整个VPC通信安全及VPC路由器安全,适用于VPC网络场景。
- 端口镜像:将云主机网卡的网络流量复制一份到远端,对端口上的业务报文进行分析,方便对网络数据进行监控管理,适用于扁平/VPC网络场景。
- Netflow:通过Netflow对VPC路由器网卡的进出流量进行分析监控,支持Netflow V5、V9两种数据流输出格式,适用于VPC网络场景。