腾讯云从业者认证3-云网络产品介绍
1.私有网络VPC
- 私有网络 ( Virtual Private Cloud ) 是用户自定义的、逻辑隔离的专属云上网络空间。
- VPC包含以下几个部分:IP/网卡,子网,私有网段,路由表,安全组/ACL
VPC私有网段
- 私有网段:
- 10.0.0.0 - 10.255.255.255 (掩码 16 - 28)
- 172.16.0.0 - 172.31.255.255 (掩码 16-28)
- 192.168.0.0 - 192.168.255.255 (掩码 16 - 28)
- 子网:
- 云资源(CVM,CDB 等)需要部署在子网内
- 通过 DHCP 获得私有 IP,不能在公网路由
- 每个子网可用 IP 数 2^n - 3 (n 为主机位的位数).
- 对于CIDR,假设子网掩码位n,则子网数为2n,主机数位2(32-n)-3(广播地址,网络地址,网关地址)
VPC路由表
- VPC 内网互通,不同 VPC 内网不通。通过路由表实现子网间、子网与外部的路由通信。
- 路由表种类:
- 默认路由表
- 自定义路由表
- 路由策略
- 目的端
- 下一跳类型
- 下一跳
VPC访问控制
- 网络 ACL(子网): 控制进出子网的数据流(入站/出站)
- 安全组(实例):配置放通或拒绝的端口/协议
| 安全组 | 网络ACL |
|---|---|
| CVM 实例级别的流量控制 (第一防御层) | 子网级别的流量控制 (第二防御层) |
| 支持允许规则和拒绝规则 | 支持允许规则和拒绝规则 |
| 有状态: 返回数据流会被自动允许,不受任何规 | 无状态: 返回数据流必须被规则明确允许 |
| 只有在启动 CVM 实例的同时,指定安全组或稍后将安全组与实例关联的情况下,操作才会被应用到实例 | 自动应用到关联子网内的所有 CVM 实例 (备份防御层,若 CVM 实例为绑定安全组,此处可以做备份防御) |
2.弹性网卡ENI
- 弹性网卡 (Elastic Network Interface)是一种绑定到VPC内的云服务器实例上的一种虚拟网卡,可在云服务器间自由迁移。
- ENI 优势∶多网卡/IP,灵活迁移,网络隔离
3.网络连接产品
- VPC连接到公网Internet,采用公网IP,公网网关,NAT网关的方式
- VPC连接到企业私有DC,采用专线连接,VPN的方式
- VPC连接到其他VPC,采用对等连接的方式
- VPC连接到基础网络,采用基础网络互通的方式
公网接入
- 弹性IP
- VPC 里的服务器分配私有 IP,无法访问公网,可以绑定公网 IP 来实现。
- 普通公网 IP: 在 CVM 上申请绑定,与账号无关,解绑后立即释放,无法找回。
- 弹性公网 IP: ( Elastic IP,EIP )EIP 可独立申请,绑定 CVM、或 NAT 网关实例。与账号相关,解绑后继续保留,可重新绑定; 可通过 API/控制台主动释放或欠费自动释放。
- 公网网关
- 没有公网 IP 云服务器,可通过位于不同子网的公网网关访问 Internet。
- 公网网关就是开启了公网转发功能的云主机。
- 只能在购买服务器时进行设置。
- 需要建立独立的网关子网,不对本身的子网进行转发
- NAT网关
- 通过 IP 地址转换提供 Internet 访问服务
- SNAT(源网络地址转换);
- DNAT(目的网络地址转换)
- 网关流控、流量告警、共享带宽包。
- NAT 网关类型
- 小型(最大 100 万连接数)
- 中型(最大 300 万连接数)
- 大型(最大 1000 万连接数)
| 属性 | NAT网关 | 公网网关 |
|---|---|---|
| 可用性 | 双机热备,自动热切换 | 手动切换故障网关 |
| 公网带宽 | 最大5Gbps | 取决于云服务器网络带宽 |
| 公网IP | 最多绑定10个弹性IP | 一个弹性IP或普通公网IP |
| 公网限速 | 无 | 取决于云服务器限速 |
| 最大连接数 | 1000万 | 50万 |
| 内网IP | 不占用VPC用户的内网IP | 占用子网内的IP |
| 安全组 | 不支持安全组绑定 | 支持安全组绑定 |
企业DC连接
- 专线接入 (Direct Connect,DC ) 提供与公网完全隔离的物理专线接企业 DC 与腾讯云。
- 产品组成: 物理专线、专用通道、专线网关
- 产品优势: 网络质量保证多地域接入多端口多协议主备双路接入,安全性,可靠性,可用性均为最高级别
- 应用场景: 混合云 DC 容灾
- VPN 连接 (VPN Connections ) 在 Internet 上构建一条安全加密的网络隧道,实现本地 DC 与腾讯云上资源连通的网络服务。
- 产品组成: VPN 网关、对端网关、VPN 通道。
- 产品优势︰安全可靠通信、快速弹性部署、监控告警与流量控制。
- 加密协议∶IKE(秘钥交换协议)和 IPsec 对传输数据进行加密。
- 时延: Internet 网络高峰时,路由可能绕行。
- 带宽∶单网关最大支持 10OMbps ,可多 VPN 网关配置。
- 基于 IPsec 与 IKE 加密传输,可以满足绝大多数网络传输安全性要求。
对等连接
- 对等连接 (Peering Connection ,PC) 是一种大带宽、高质量的云上资源互通服务,支持多 VPC、多区域、多账户、异构网络互通等。但对等连接互通性不传递。
- 对等连接限制
- VPC 对等链接的互通性不传递
- VPC1与VPC2和VPC3同时建立对等连接,但VPC2和VPC3之间并不会自动建立起对等连接
- 跨账号对等连接需要对端确认
- 对等连接两端 VPC 网段不能重叠
- VPC 对等链接的互通性不传递
| 比较项 | 同地域对等连接 | 跨地域对等连接 |
|---|---|---|
| 底层架构 | 基于腾讯云单地域本地内网 | 基于腾讯云跨地域的内部 MPLS 网络 |
| 最大带宽 | 5 Gbps ; 黑石互联: 1 Gbps | 最大 1Gbps |
| 计费规则 | 免费 | 网络带宽按天计费。 |
| 链路可用性 | 99.50% | 白金: 99.95%; 金: 99.50%; 银: 99.00% |
| 跨账号连接 | 支持 | 支持 |
| 访问权限 | 互相访问全部资源 | 互相访问全部资源 |
| 功能限制 | 两端 VPC 网段不可重复, 多个对等连接间互不影响。 | 两端 VPC 网段不可重复,一个 VPC 连接多个 VPC (网段不可重复)。 |
| 应用场景 | 不同 VPC 互通 | 跨地域 VPC 互通、两地三中心容灾 |
云联网
- 云联网 (Cloud Connect Network ,CCN) 提供云上 VPC 间、VPC 与企业 DC 间全网互联服。可将 VPC 和专线网关实例加入云联网实现全网互通。
| 对比项 | 对等连接/专线接入 | 云联网CCN |
|---|---|---|
| 连接性 | 单点互联 | 一次接入、全网互联,就近接入 |
| 网络重叠 | VPC 网段不重叠 | VPC 网段可重叠、子网不重叠 |
| 配置 | 手动配置管理 | 智能学习与调度,路由自动下发。 |
- 云联网限制
- 与对等连接互通不传递性
- 路由限制:
- 不同 VPC 中相同或包含的子网不能互通;
- 不同 VPC CIDR 有重叠,若其子网不同,可以互通;
- 若子网出现冲突,则最先关联云联网的实例生效,后关联的无效
- 每个账号可以创建的云联网个数:5
- 每个云联网实例可以绑定的网络实例数:25
- 每个云联网路由条目数量:无限制
- 云联网应用
- 混合云∶一次接入,全网互联
- 游戏加速: 全球布局、就近接入
4.负载均衡CLB
- 负载均衡 (Cloud Load Balancer,CLB) 提供安全快捷的流量分发服务。
- 工作原理:
- 虚拟 VIP: 统一对外服务 IP,接收访问请求;
- CLB 实例: 通过监听器监听请并分发流量;
- 后端 CVM: 处理访问请求并返回结果;
- 健康检查: 探测后端 CVM 的健康状态;
- 负载均衡优势
- 高性能/高吞吐:
- 单集群最大支持 1.2 亿连接数;
- 单集群流量峰值 40Gb/s,每秒处理包量达 600 万;
- 高可用性 99.95%
- 节点健康检查、自动切换;
- 跨可用区部署,机房级容灾;
- 安全保障
- 对每个租户的流量进行严格隔离
- 提供主动 DDoS 防护能力。
流量分发算法
- 四层负载均衡
- 监听 TCP 与 UDP,基于端口+VIP 转发
- 七层负载均衡
- 监听 HTTP 与 HTTPS,基于内容, 域名/URL转发
| 算法 | 加权轮询WRRS | 加权最小链接WLCS | 源地址散列IP-Hash |
|---|---|---|---|
| 具体说明 | 根据新连接数调度,权值高的服务器先分配连接,处理更多连接,依次轮询。 | 设置权值为 wi,当前连接数为 ci,流量分派到 ci/wi 值最小的服务器。 | 根据请求的源 IP 地址,使用散列键 (Hash Key) 从静态分配的散列表找出对应服务器。 |
| 适用场景 | 服务时间基本相同、短链接 (HTTP)。 | 长连接/服务时间不同,如 FTP; 新增后端服务器。 | 固定分派、会话保持,适合无 cookie 功能的 TCP 协议。 |
| 不适用 | 连接的服务时间差距大。 | 最小连接数和会话保持不能同时开启 | 服务器数量变化或该服务器不可用时有影响。 |
负载均衡类型
- 对于应用型CLB而言,它在内网中不支持重定向,跨地域绑定,将日志存储到COS中
- 对于传统型 CLB 而言, 他在公网中不支持自定义转发域名/URL, 转发到不同后端端口, 重定向, 跨地域绑定,
- 在内网中仅支持四层转发TCP/UDP,会话保持,监控检查,且仅支持加权轮询策略
- 公网CLB(公网入口)
- 提供统一公网入口
- 服务器故障容错恢复
- 不同运营商就近接入
- 内网CLB(内网分发)
- 内网访问流量分发
- 服务器故障容错恢复
- 屏蔽 IP、透明化服务
负载均衡应用场景
- 流量分发/扩展
- 需求:
- 业务波峰波谷明显,弹性调控后端资源;
- 业务流量峰值高,需构建低成本架构;
- 如电商促销、金融系统、游戏服务等。
- 方案:
- 负载均衡与弹性伸缩;
- 按需横向扩展/收缩。
- 需求:
- 业务访问分离
- 通过 CLB 与 CDN 将不同流量分发到对应集群,实现文本、图片与视频访问分离,以获得最优访问体验与性价比。
- 出入流量分离
- 内部发起与外部访问流量分离、设置不同处理与安全策略。
- 主动公网访问∶通过 NAT 网关进行私有 IP 与公有 IP 地址转换。
- 响应外网请求: 通过负载均衡分发流量,屏蔽后端服务器。
- 混合云
- 通过负载均衡将业务流量分发到企业数据中心、或公有云上。
5.腾讯云网络计费方案
免费的网络产品
- 私有网络
- 子网
- 路由表
- 弹性网卡
- 安全组
- 网络ACL
公网接入计费方案
- 免费使用: 普通公网 IP;
- 已绑定 CVM 或 NAT 网关使用的弹性 IP。
- 弹性 IP 收费:
- 未绑定 CVM 或 NAT 网关使用时收取闲置占用费。
- 不足 1 小时按 1 小时计算,每小时结算。
- 建议及时将不使用的弹性 IP 释放,保证 IP 资源合理利用,并节省费用。
- 公网网关本质上是一个云服务器实例,因此遵循云服务器的计费方案。
- NAT网关费用=网关租用费+外网流量费
- 网关租用费: 按小时计费、按网关类型 (大、中、小型)定价不同。
- 外网流量费: 访问 Internet 产生的流量费用。
- 按带宽计费︰按公网传输速率(单位为 Mbps ) 计费;
- 按流量计费∶按公网传输的数据总量(单位为 GB) 计费。
网络链接计费方案
- 对等连接
- 同地域对等连接免费使用。
- 跨地域对等连接收费方式如下二选一∶
- 日峰值计费
- 每日费用=当日带宽峰值*阶梯单价;
- 当日带宽峰值按每 5min 平均带宽计算;
- 按天计费 (元/Mbps/天);
- 月 95 计费
- 每月费用=月 95 带宽峰值×有效天数占比×阶梯单价;
- 月 95 带宽峰值: 当月取每 5 分钟带宽进行降序排列,去掉前 5% ;
- 有效占比=有效天/自然月的天数﹔带宽大于 1Kbps 为有效天。
- 日峰值计费
- 云联网
- 免费使用: 同地域网络实例互通不收费。
- 计费模式∶
- 跨地域网络实例间互通会产生费用,按月 95 后付费标准收费;
- 每月费用=云联网内网络实例两两互通产生的跨地域互通流量费用之和;
- 两地域间互通每月费用=月 95 带宽峰值*有效天数占比*阶梯单价
- 专线接入
- 费用组成: 物理专线费用+专线通道
- 物理专线
- 腾讯云收费项: 收取一次性接入费
- 运营商收费项: 光纤铺设费
- IDC 机房提供商︰光纤入楼物业费
- 专线通道
- 专用通道指专线接入点与云上专线网关之间腾讯云内网部分;
- 专线接入点和云上专线网关地域相同,免费使用;
- 专线接入点和云上专线网关地域不同,月 95 带宽值后付费。
- 物理专线
- 费用组成: 物理专线费用+专线通道
- VPN
- 费用组成=VPN 网关租用费(按小时计费)+流量费用
- VPN通道与对端网关是免费试用
- VPN网关分为按量后付费与按月预付费
负载均衡计费方案
- CLB费用=CLB实例租用费+CVM带宽流量费
- 内网型 CLB 实例免费﹔公网型 CLB 按量后付费∶
- 实例租用费: 按小时计价和结算,预先冻结 1 小时费用。
- 外网流量费:
- 按带宽计费︰带宽消耗使用云服务器已包含的公网带宽,不另收带宽费用;
- 按流量计费︰用户使用公网负载均衡会产生出流量,需支付对应流量费用。
