网络云服务

一、网络服务介绍

网络是指多个计算机或其他设备连接在一起，以便它们可以互相通信和共享资源的系统。

网络可以是局域网（Local Area Network，LAN）、广域网（Wide Area Network，WAN）或互联网（Internet）等不同类型。

华为云拥有丰富的网络服务，提供安全、可扩展的云上网络环境，同时提供了高速、可靠的云上云下连接服务，能够方便的连接互联网和本地数据中心。

二、虚拟私有云（VPC）介绍

虚拟私有云（Virtual Private Cloud，VPC）为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。

1、VPC优势

互联互通：多种方式连接公网（EIP、NAT网关、弹性公网IP等）；依靠对等连接，使用私有IP在两个VPC间通信。

安全可靠：安全组、网络ACL、安全通道等多重安全防护（SG(安全组)、ACL(访问控制列表)、VPN(虚拟专用网络)等）。

高速访问：全动态BGP协议接入多个运营商；寻路协议实时自动故障切换。

灵活配置：自定义虚拟私有网络；支持跨可用区部署弹性云服务器。

2、VPC架构

3、VPC组成

VPC组成部分：每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。

IP分为IPv4和IPv6，其中IPv4地址分为A、B、C、D、E五类，其中A(0-127)、B(128-191)、C(192-223)三类地址用于主机，D类地址(224-239)用于多播，E类地址(240-255)保留。

路由表：路由表由一系列路由规则组成，用于控制虚拟私有云内子网的出流量走向。每个子网都必须关联一个路由表，一个子网一次智能关联一个路由表，但一个路由表可以关联多个子网。

子网: 子网是VPC中的一个逻辑划分，每个子网对应一个可用区，子网内的云资源可以互相访问，不同子网之间的云资源需要通过路由器进行通信。

• 子网是虚拟私有云内的IP地址块；
• 虚拟私有与中的所有云资源都必须部署在子网内；
• 同一个虚拟私有云下，子网网段不可重复；
• 子网创建成功后，网段无法需要。

4、VPC的配置

（1）VPC的配置流程

（2）子网配置

申请VPC时会创建默认子网，当默认子网不能满足需求时，可以创建新的子网。

子网默认配置DHCP协议，即使用该VPC的弹性云服务器启动后，会通过DHCP协议自动获取IP地址。

可用区：指在同一地域内，电力和网络互相独立的物理区域。

（3）安全组配置

每个用户都有一个默认安全组，用户也可自行创建或在默认安全组中自定义添加新的出方向、入方向安全组规则。

• 入方向：从外部访问安全组规则下的弹性云服务器
• 出方向：指安全组规则下的弹性云服务器向访问安全组外的实例
• 默认安全组规则

（4）虚拟私有云与传统IDC对比

3、VPC应用场景

（1）云端专属网络

场景：每个VPC代表一个私有网络，与其他VPC逻辑隔离。用户可以将业务系统部署在华为云上，构建云上私有网络环境。

如果有多个业务系统，如生产环境、测试环境，要严格隔离，那么可以使用多个VPC进行业务隔离。

（2）web应用或网站托管

应用场景：在VPC中托管web应用或网站，通过弹性公网IP或NAT网关连接弹性云服务器与Internet，运行弹性云服务器上部署的web应用。

同时结合弹性负载均衡ELB服务，用户可以将来自Internet的流量分配到不同的弹性云服务器上。

三、弹性负载均衡ELB

弹性负载均衡（Elastic Load Balancing，ELB）是将访问流量根据 分配策略 分发到后端多台服务器的流量分发控制服务。

• 可以通过流量分发扩展应用系统对外的服务能力，同时提高应用程序的容错能力
• 通过消除单点故障提升应用系统的可用性

知名的负载均衡厂商：

• F5 Networks：负载均衡领域的领导者之一，以其高性能的应用交付控制器（ADC）和相关服务而闻名。
• Citrix Systems：提供包括 NetScaler ADC 在内的一系列负载均衡解决方案，旨在优化应用程序性能。
• A10 Networks：提供针对数据中心和云环境的负载均衡解决方案，强调其产品的高性能和可扩展性。

1、ELB的优势

2、产品架构

弹性负载均衡主要由三部分组成：负载均衡器、监听器和后端服务器组。

3、负载均衡器

负载均衡器是指用户创建的承载业务的负载均衡服务实体。常见的负载均衡器按网络类型分 公网负载均衡、私网负载均衡 2种。

• 负载均衡器实质是用来接受用户流量的。
• 公网负载均衡可以绑定EIP，外部可以访问内部应用
• 私网负载均衡用于内部应用访问，不能绑定EIP

4、监听器

监听器：负责监听负载均衡器上的请求，根据配置的流量分配策略（负载均衡算法），分发流量到后端云服务器处理。

监听协议：

• 对支持 四层 能力的负载均衡器，在创建监听器时，支持选择 TCP或UDP；
• 对于支持 七层 能力的负载均衡器，在创建监听时，支持选择 HTTP或HTTPS。

流量分配策略：共享型和独享型负载均衡都支持加权轮询算法、加权最少连接算法、源IP算法、连接ID算法。

5、后端服务器组

后端服务器组：把具有相同特性的后端服务器放在一个组，负载均衡实例进行流量分发时，流量分配策略以 后端服务器组 为单位生效。

6、健康检查

监控检查功能：用于检查后端服务器组中服务器的状态，确保流量分发到后端服务器时，能够正常访问，从而提高业务 可靠性。

当异常的后端服务器恢复正常运行后，负载均衡器会将其自动恢复到负载均衡服务中，承载业务流量。

如果您的业务对负载比较敏感，过于频繁的健康检查报文可能会对您的正常业务产生影响。

• 可以根据实际的业务情况，通过增大健康检查间隔，或者将七层健康检查改为四层健康检查等方式来降低对业务的影响。
• 如果您的业务系统自身有健康检查机制，也可以关闭负载均衡器的健康检查。

安全组需要设置一个特殊的地址，否则监控检查会一直有异常。

共享型负载均衡的后端服务器安全组规则必须放通ELB用于健康检查的协议和端口和健康检查的源地址。

健康检查的协议和端口为用户在健康检查配置页面进行设置，您可在后端服务器组的基本信息页面查看。共享型负载均衡用于健康检查的源地址为 100.125.0.0/16 网段的IP。

7、分配策略

负载均衡器会将客户端的请求转发给后端服务器处理。

可以添加ECS实例作为负载均衡器的后端服务器，监听器使用用户配置的协议和端口检查来自客户端的连接请求，并根据用户定义的分配策略将请求转发到后端服务器组里的后端云服务器。

加权轮询算法：根据组内后端服务器设置的权重，依次将请求分发给不同的服务器。权重大的后端服务器被分配的概率高，相同权重的服务器处理相同数目的连接数。

加权最少连接：就是在最少连接数（通过当前活跃的连接数来评估服务器负载情况的一种动态负载均衡算法）的基础上，根据服务器的不同处理能力，给每个服务器分配不同的权重，使其能够接受相应权值数的服务请求。

源IP算法：根据请求的源IP地址进行一致性哈希计算，源IP地址相同的请求会被分配到同一台后端服务器。

连接ID算法：根据QUIC 协议请求的QUIC ID进行哈希计算，相同QUIC连接上的请求会被分配到同一台后端服务器。QUIC ID是QUIC连接的唯一标识符，连接ID算法可以实现基于连接级别的负载均衡。仅QUIC协议的后端服务器组支持连接ID算法。

8、ELB配置流程

1. 创建负载均衡器

• 购买弹性负载均衡
• 选择负载均衡类型
• 网络配置

2. 添加监听器

• 选择目标负载均衡
• 配置协议和端口号

3. 添加后端服务器组

• 分配策略类型
• 配置健康检查

9、ELB使用场景

1)高访问量业务进行流量分发：对业务量访问较大的业务，可以通过ELB设置相应的分配策略，将访问量均匀地分到多个后端服务器处理。

• 如大型门户网站、移动应用市场等
• 用户还可以开启会话保持功能，保证同一个客户请求转发到同一个后端服务器，提升访问效率

2)为潮汐业务弹性分发流量：对于存在潮汐效应的业务，结合弹性伸缩服务，随着业务量的增长和收缩。

• 弹性伸缩服务(AS)会自动增加或减少ECS实例的数量
• 负载均衡服务会根据流量分发、健康检查等策略灵活地使用ECS实例资源

3)消除单点故障：对于可靠性有较高要求的业务，可以在负载均衡器上添加多个后端云服务器。

• 负载均衡器会通过健康检查及时发现并屏蔽有故障的云服务器，将流量转发给其他后端服务器。
• 保证业务不中断

四、虚拟专用网络（VPN）

虚拟专用网络（Virtual Private Network，简称VPN）：用于远端用户和虚拟私有云（Virtual Private Cloud，简称VPC）之间建立一条安全加密的公网通信隧道。

• 当远端用户需要访问 VPC 的业务资源时，可以通过 VPN 连通 VPC

1、VPN优势

2、VPN的组网

VPN：由 VPN网关 和 VPN连接 组成。

• VPN网关（路由器、防火墙）：提供了虚拟私有云的公网出口，与用户本地数据中心侧的远端网关对应
• VPN连接：通过公网加密技术，将VPN网关与远端网关关联，使本地数据中心与虚拟私有云通信，更快速、安全地构建混合云环境。

3、VPN相关概念

VPN分两类：二层VPN和三层VPN。二层VPN主要有PPTP、L2TP、L2F三种协议。三层VPN主要是IPSec协议。

PPTP：PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）是一种 二层VPN 协议，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。

L2TP：L2TP（Layer 2 Tunneling Protocol，层2隧道协议）是一种 二层VPN 协议，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。

L2F：L2F（Layer 2 Forwarding，层2转发）是一种 二层VPN 协议，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。

VPN服务支持IPsec VPN和SSL VPN。

（1）IPSec VPN

IPSec VPN：是一种加密的 隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。

使用场景：连通的是两个局域网，如分支机构与总部（或VPC）之间、本地IDC与云端VPC的子网；即IPsec VPN是网对网的连接。

连接方式：要求两端有固定的网关设备，如防火墙或路由器； 管理员需要分别配置两端网关完成IPsec VPN协商。

支持站点到站点VPN（Site-to-Site VPN），可实现VPC子网和数据中心局域网互访。

（2）SSL VPN

SSL VPN：是一种基于SSL协议的虚拟专用网络技术。允许远程用户通过加密的方式安全地访问企业内部网络资源。

使用场景：连通的是一个客户端到一个局域网络，如出差员工的便携机访问公司内网。

连接方式：需要在主机上安装指定的Client软件，通过用户名/密码拨号连接至SSL设备。

4、VPN应用场景

1、混合云部署：通过将用户数据中心与云上VPC互联，利用云上弹性和快速伸缩能力，扩展应用计算能力。

2、跨地域VPC互联：通过VPN将云上的不同region的VPC连接，使得用户的数据和服务在不同地域能够互联互通。

五、其他网络服务

1、弹性公网IP

弹性公网IP：可以提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。

可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。

5、安全组

安全组：安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。

安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

安全组可分两种：默认安全组和自定义安全组。可以控制两个方向的流量：入方向和出方向。有两种行为：允许和拒绝。

安全组根据条件三元组（协议类型、端口号、IP地址）进行匹配，匹配成功后，根据规则的行为（允许或拒绝）来决定是否允许流量通过。

2、对等连接

对等连接是指两个VPC之间的网络连接。实质是实现同一区域间，不同VPC之间的互通。

• 用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。
• 同一区域内，用户可以在自己的VPC之间创建对等连接，也可以在自己的VPC和其他用户的VPC之间创建对等连接。
• 不同区域间的VPC之间无法创建对等连接。

只是创建对等连接没有意义，还需要在两个VPC的路由表中添加路由规则，才能实现两个VPC之间的通信。

3、网络ACL

网络ACL是对一个子网或多个子网的访问控制策略系统，是子网级别的安全层，通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网。

网络ACL与安全组的防护范围不同，安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。

网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。

（1）规则

• 网络ACL创建完成后，需要将网络ACL关联至目标子网，网络ACL规则才能控制出入该子网的流量。网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。
• 网络ACL是有状态的，即网络ACL规则是有序的，按照规则的顺序依次匹配，匹配成功后，不再继续匹配。
• 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。

（2）安全组和网络ACL（Access Control Lists，访问控制列表）的区别：

对比项目	安全组	网络ACL
防护对象	实例级别操作	子网级别操作
配置策略	支持允许、拒绝策略	支持允许、拒绝策略
优先级	多个规则冲突，取其并集生效	多个规则冲突，优先级高的规则优先生效
应用操作	创建实例时必须选择安全组，安全组自动应用到实例	创建子网没有网络ACL选项，如果创建网络ACL，需要添加关联子网、添加出入规则，并启用网络ACL，才可应用到关联子网及子网下的实例
报文组	仅支持报文三元组（即协议、端口和对端地址）过滤	支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤

4、虚拟IP

虚拟IP（Virtual IP Address，简称VIP）：是一个未分配给真实弹性云服务器网卡的IP地址。

弹性云服务器除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问弹性云服务器。

同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性公网IP、VPN、云专线等网络接入。

VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）是一种实现路由器冗余的协议，通过VRRP可以实现路由器的冗余，提高网络的可靠性。

keepalived是一个基于VRRP协议实现的高可用性解决方案，可以实现负载均衡和高可用性。

LVS（Linux Virtual Server）是一个基于Linux内核的负载均衡器，可以实现负载均衡和高可用性。

5、弹性网卡

弹性网卡(Elastic Network Interfaces，简称ENI)：是一种虚拟网卡，用户可以通过创建并配置弹性网卡，将其附加到云服务器实例（包括弹性云服务器和裸金属服务器）上，实现灵活、高可用得网络方案配置。

• 主弹性网卡：创建云服务器实例时，随实例默认创建的弹性网卡，称为主弹性网卡。
• 扩展弹性网卡：用户可以额外创建弹性网卡，并将其附加到云服务器实例，也可以将其从实例上进行解绑。
• 辅助弹性网卡：基于弹性网卡的衍生资源，用于解决单个云服务器实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。
  • 辅助弹性网卡通过VLAN子接口挂载在弹性网卡上。
  • 用户通过创建辅助弹性网卡，使单个云服务器实例能够挂载更多的弹性网卡，实现灵活、高可用的网络方案配置。

6、IP地址组

IP地址组：是一个或多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。

7、DNS域名解析

域名解析服务（Domain Name Service）：提供高可用、高扩展的权威DNS服务和DNS管理服务。把人们常用的域名或应用转换成计算机连接的IP地址，从而将最终用户路由到相应的应用资源上。

（1）云解析服务类型

公网域名解析：云解析服务将公网域名与IP地址相关联，为您提供基于Internet网络的域名解析服务，实现通过域名直接访问网站或者Web应用程序。

内网域名解析：云解析服务将在VPC内生效的内网域名与私网IP地址相关联，为华为云上资源提供VPC内的域名解析服务。
内网域名解析实现云服务器在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务，如OBS、SMN等。

反向解析：云解析服务支持通过IP地址反向获取该IP地址指向的域名，通常用于自建邮件服务器的场景，是提高邮箱IP和域名信誉度的必要设置。

假设部署ECS作为邮箱服务器，且已经通过云解析服务为ECS的弹性IP添加反向解析记录，反向解析在邮件收发过程中的应用如下图所示。

智能线路解析：云解析服务支持按运营商、地域等不同访问者IP的来源和类型，对同一域名的访问请求作出不同的解析响应，指向不同服务器的IP地址。解决跨运营商或者跨地域访问慢的难题，提高解析效率。

8、云专线DC和云连接CC

云连接（Cloud Connect）：实现了快速构建跨区域VPC之间以及云上多VPC与云下多数据中心之间高速、优质、稳定的网络能力，帮助用户打造一张具有企业级规模和通信能力的全球云上网络。

云专线（Direct Connect）：用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用华为云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。

云专线与VPN的区别：

• 费用：VPN比专线费用低，开通便捷
• 公网质量：VPN时延高，安全性不如云专线，服务稳定性相对较低
• 开通周期：云专线受限于物理专线的部署、运营商的线路资源的情况，部署时间比VPN长。在这个情况下，有一个量级，VPN如果双方都有internet资源，基本上即开即用

云连接的应用场景：

• 跨区域多VPC私网互通：当云上多个区域的VPC之间需要跨区域进行私网通信时，云连接可以根据您的网络规划，轻松实现多个跨区域VPC连通的场景，提高网络拓扑的灵活性，并为您提供安全可靠的私网通信。
  
• 多数据中心与多区域VPC互通：当用户本地的多个数据中心需要与云上多个区域的VPC进行私网通信时，您可以通过云专线实现本地数据中心接入云上VPC，再通过云连接实例加载需要互通的VPC和数据中心接入的虚拟网关，实现本地数据中心与多区域的VPC的私网通信，实现多点全网通场景。
  

9、企业路由器ER

企业路由器（Enterprise Router,ER）：可以连接虚拟私有云（Virtual Private Cloud, VPC）或本地网络来构建中心辐射型组网，是云上大规格、高带宽、高性能的集中路由器。企业路由器使用边界网关协议（Border Gateway Protocol, BGP），支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。

（1）可以通过企业路由器构建以下典型组网

1. 将同区域的不同VPC接入企业路由器，连通云上VPC之间的网络
2. 将云专线DC或虚拟专用网络VPN接入企业路由器，连通云上VPC和线下IDC之间的网络
3. 将不同区域的企业路由器加入云连接CC的中心网络，

（2）企业路由器的优势

高性能：企业路由器采用集群部署，独享资源确保高性能，满足大规模组网的业务负荷。

高可用：企业路由器可同时部署在多个可用区，打造双活或者多活模式，无缝实时切换，确保业务连续性。

管理简单：企业路由器可以在接入的所有网络实例之间路由流量，可以简化网络拓扑，降低网络管理难度，提升网络运维效率。可以减少的工作说明如下：

• 对于VPC互通，不再需要您频繁创建多个VPC对等连接，维护每个VPC路由表。
• 对于VPC和DC/VPN互通，不用接入多条线路，多个VPC可以共享专线/VPN。
• 企业路由器支持路由学习，能够自动进行路由信息的更新和同步，当网络拓扑变更时，能够自动收敛，无需手工配置、变更繁琐的路由条目。

多链路联动：企业路由器使用BGP路由协议，实现多个接入链路之间的联动，多链路可以做负载分担或者互为主备，单链路故障秒级切换，打造高可靠网络，保障业务的连续性。