最近一段时间交付的几个大项目,都涉及到客户上云VPC网络规划,积累了一些经验 。最近北京的沙尘天非常频繁,周末也没办法外出,趁着在家蜗居的时间,整理一下有关客户上云VPC网络规划的最佳实践系列文章,希望能够给大家提供一些技术上的干货,供大家参考 。
什么是VPC
VPC,是Virtual Private cloud英文缩写,中文的意思是虚拟私有云,最早是云计算鼻祖AWS提出来的,后来的云服务商都沿用了VPC的术语 。
我们可以把一个VPC,看成是现实世界物理局域网网络能力的虚拟化,物理局域网具备的边界路由器、防火墙、内部交换机,子网,ACL,自动分配ip等组件,VPC都有 。
VPC的隔离性
默认情况下VPC与VPC之间是逻辑上的隔离,注意不是物理隔离 。
天翼公有云的计算独享型、计算存储独享型专属云产品,虽然计算/存储是物理隔离的,但与其它租户之间的隔离依然是通过VPC实现,也就是说,与公有云的其他租户之间实现不了真正的物理隔离 。
去年遇到一个项目,客户需要在云上部署内网应用与互联网应用,要求两者之间物理隔离,省里给出的方案是:分别创建部署内网应用和互联网应用的VPC,两者之间使用物理网闸设备实现物理隔离和数据摆渡 。
但是因为VPC之间本质是逻辑隔离的,即使用了物理网闸,可以通过对等连接(Peering)技术路由打通,绕过了物理网闸实现互通,也就达不到物理隔离的效果 。等我介入到这个项目的时候,网闸已经上架加电了,尽管我好说歹说,但最终放弃使用网闸的原因,还是因为客户担心应用过网闸会影响到整体的访问性能 。
VPC对等连接
默认情况下VPC与VPC之间是不通的,但有些情况下,我们需要VPC之间互相通信 。好比两个大楼有各自独立的局域网,通过楼间光缆将原本独立的局域网互通,同样,我们可以采用对等连接的功能(Peering connection),来实现VPC之间的相互通信 。
VPC之间的互通既可以是同一租户内的VPC,也可以是不同租户之间的 。下面我们看来一下对等连接的原理:
下面这张图是对等连接逻辑拓扑图,清楚地显示了对等连接是通过路由实例打通来实现VPC之间的互通 。
文章插图
在公有云场景下,每个CNA节点(host节点),都会有分布式vRouter集群(DVR),通过VxLAN网络,形成一个巨大的分布式vRouter集群 。
当我们需要实现两个VPC路由打通时,我们需要更新对应router实例的流表,就能实现通信,如下图所示:
文章插图
VPC的基础能力
1、子网(Subnet)
一个VPC可以划分为多个subnet,默认情况下,同一VPC内的所有子网内的主机均可以通信 。
子网之间如果想要实现访问控制,需要用到ACL技术 。
2、安全组(Security Group)
我们通过安全组创建规则(rule)来实现主机实例层面的访问控制,也就是说可以实现同一VPC内不同子网之间的云主机互相访问 。
注意安全组不能跨VPC 。
3、访问控制列表(ACL)
如果我们希望实现子网级别的访问控制,能够控制进、出一个或多个子网的流量,就需要访问控制列表ACL技术 。
比如MySQL数据库所在的子网,只允许面向应用放开TCP协议3306端口,就需要创建ACL并配置访问策略来实现 。
注意,VPC之间通过对等连接打通后,可以通过ACL实现不同VPC的子网之间的访问控制 。
下面的VPC一张图来完整地呈现VPC网络拓扑视图 。
【关于vpc内部隔离分析 vpc是什么意思】
文章插图
- 关于农村电商发展的问题分析 农村电商是什么行业
- 关于4p营销案例分析 4p营销理论是什么
- 关于新媒体营销方案案例分享 新媒体营销模式
- 关于损失厌恶带来的利弊分析 损失厌恶心理学效应
- 关于常见的随机变量相关知识整理 离散型随机变量是什么
- 关于STP方法论战略的例子分析 stp是什么意思
- 关于专业的考研方向分析 网络与新媒体专业学什么
- 关于鱼骨图制作的软件推荐 鱼骨图怎么做
- 关于做电商数据分析方法详解 电商销售数据分析报告
- 关于视频剪辑的7款在线使用平台推荐 在线视频剪辑软件