网络
2021-07-15 16:33:13 29 举报
AI智能生成
腾讯云网络产品思维导图
作者其他创作
大纲/内容
私有网络VPC
概念
腾讯云上自定义的逻辑隔离网络空间,可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,主要包含私有网络网段、子网和路由表
私有网络网段:10.0.0.0 - 10.255.255.255(掩码范围需在16 - 28之间)172.16.0.0 - 172.31.255.255(掩码范围需在16 - 28之间)192.168.0.0 - 192.168.255.255 (掩码范围需在16 - 28之间)
同一VPC下不同子网默认互通,不同VPC下默认隔离
连接通信
弹性公网 IP 和 NAT 网关等,实现 VPC 内的云服务器、云数据库等资源连接公网
对等连接和云联网,实现不同 VPC 间的通信。
VPN 连接、专线接入和云联网,实现 VPC 与本地数据中心的互联。
安全
安全组、ACL、CAM
限制
子网、路由、ACL和安全组限制
操作指南
网络规划
私有网络数量
业务量小:单地域使用一个VPC。使用多子网多可用区容灾
多地域部署或单地域多业务需要隔离场景:使用多VPC
子网数量
建议最少两个
CIDR
多个VPC,且有相互通信和外部通信需求时,避免重叠网段
创建后不可修改,请合理规划
子网大小应合适,不宜过大
路由表数量
流量走向相同或类似: 单路由表多路由策略
流量走向多且不同:多路由表多策略
跨地域多中心混合云网络
私有网络间或私有网络与 IDC 间有通信需求时,请避免私有网络网段与互通的网段重叠一、各地域间使用云联网连通二、IDC与VPC间使用专线接入,地域间VPC使用对待连接
私有网络和子网
单账号单地域VPC5个、单VPC子网10个、单VPC辅助CIDR 5个
基础网络可以关联或切换至私有网络
广播和组播功能:在VPC控制台下开启或关闭
路由表
同时有NAT网关和公网IP(或EIP)时,默认优先从NAT网关访问Internet
限制:默认路由表和默认路由无法删除,不支持动态路由协议,有路由表和路由策略数量限制
IP和网卡
弹性公网 IP(EIP):某地域下一个固定不变的公网 IP 地址
高可用虚拟 IP(HAVIP)是从 VPC CIDR 分配的一个内网IP地址,通常和高可用软件配合使用,应用于搭建高可用主备集群场景。VPC下10个
弹性网卡:云服务器上绑定多个弹性网卡(同可用区下,数量由服务器规格决定),实现高可用网络方案;也可以在弹性网卡上绑定多个内网 IP,实现单主机多 IP 部署。
VPC连接
连接公网:1.公网IP 2.EIP 3.NAT网关 4.CLB 5.公网网关
VPC互连: 1.对等连接 2.云联网
连接本地IDC: 1.VPN连接 2.专线接入 3.云联网
连接基础网络: 1.基础网络互通 2.终端连接
安全管理
安全组
来源、协议类型和端口、策略
创建安全组->创建规则->添加实例到安全组
网络ACL
控制子网流量进出
访问管理
访问策略策略示例
诊断工具
VPC控制台->诊断工具->网络探测
VPC控制台->诊断工具->实例端口验通
网关流控:NAT 网关、VPN 连接、对等连接、专线网关支持
网络流日志:对网络流量进行实时的存储、分析
流量镜像: 适用于安全审计、风险监测、故障排障、业务分析等场景
常见问题
不同私有网络的子网,则内网不互通,需要使用 对等连接 或 云联网 实现通信
可以将服务器部署在同一私有网络下的不同可用区中
不同可用区中不同VPC下云服务器和数据库的通信,通过 对等连接 或 云联网互通
每个私有网络最多可为云产品实例提供65533个内网 IP 地址。
VPC 网段冲突而无法建立对等连接,则需要将重叠子网内的资源进行迁移
VPC 下CVM主网卡支持修改内网 IP,其它不支持
VPC下支持云服务器、云数据库 MySQL的迁移到其它VPC下,其它不支持
保持公网 IP 地址不变,可将公网IP转换为EIP,但是EIP无法转为公网IP
EIP和NAT网关,可让无公网IP实例访问公网
公网IP可更换,绑定EIP的CVM可通过申请新EIP和换绑其它的更换
弹性网卡
在云服务器上绑定同一可用区下的多个弹性网卡,实现高可用网络方案;也可以在弹性网卡上绑定多个内网 IP,实现单主机多 IP 部署。
功能
多网卡
在同VPC同可用区下自由迁移,且配置不变
多IP: 每个ENI可绑定30个内网IP,每个内网IP可绑独立的EIP,单台CVM可通过多个EIP开放多个相同的端口
独立路由转发:云服务器内设定路由策略,实现将特定目的端的网络流量指向绑定的同私有网络、可用区下不同子网的弹性网卡
使用限制
不同配置CVM可绑定ENI数和单ENI可绑定内网IP数不同
操作
查看、创建、绑定和配置云服务器、删除、解绑
申请、释放辅助内网IP
绑定、解绑弹性公网IP
修改主内网IP: 实例会自动重启花费30秒
修改所属子网: 仅主网卡可修改;修改前需解绑所有辅助IP;实例会自动重启花费30秒
辅助网卡与主网卡所属子网可以是不同的子网,但必须在同一私有网络的同一可用区下
对等连接
大带宽、高质量的云上资源互通服务
连接和资源上都有限制,如链接
计费
日峰值计费和月95计费,跨地域才计费
欠费24后停止服务停止计费
常用操作如链接
跨账号对等连接,一方中断,则连接立即失效,重新建立连接才可通信
重叠的私有网络无法建立连接
没有单一故障点和带宽瓶颈
弹性公网IP
独立购买和持有的、某个地域下固定不变的公网 IP 地址
应用场景
提供公网访问能力
绑定CVM或NAT网关
容灾
同一公网IP平滑迁移
带宽
按流量100M,包月200M,共享带宽包1000M(下行)下行大于10M的上下行同样,小于10M的默认分配10M上行
数量和绑定方面都有,具体如链接
EIP的创建,绑定和管理,都在EIP控制台下进行
最佳实践
迁移公网IP
1、转移普通公网IP为EIP 2、服务器A解绑EIP 3、服务器B绑定EIP
更换公网IP
单账号一天3次,单实例仅1次,更换后原IP释放
分传统账户和标准账户;标准账户分按流量和包年包月(或小时带宽)
分为资源申请、更换和找回,绑定和解绑,文档如链接
服务等级
低于99.95%进行赔偿,越低赔偿比例越高。
网络
负载均衡CLB
介绍
概念:将客户请求路由到一个或多个可用区的多个CVM
优势
1.2亿最大并发、40Gb/s流量、600万PPS、主动DDOS防护
场景
流量分发、消除单点故障、横向扩展、全局负载
约束
单账号单地域内外网实例各100个,单实例可添加监听器50个,单实例可配置域名和转发规则数50个,单转发规则可绑定CVM数100个
实例费用+公网费用+跨地域绑定费用(使用才有)
包年包月欠费可用期7天,7天后释放并消除配置按量欠费1天可用,再7天后释放并消除配置
配置步骤
购买CLB->配置监听器的协议和端口及监听策略->配置监听器的转发规则->为监听器绑定后端CVM->配置安全组->验证
特殊实例Anycast
支持多地动态加速的负载均衡服务,CLB 的 VIP 会发布在多个地域,客户端接入最近的 POP 接入点,通过腾讯云数据中心高速互联网转发到云服务器上。
均衡方式
加权RR:适合无状态短时应用加权最小连接数: 连接时差异大的长时请求源地址散列:保持会话应用
对应场景和权重配置例子链接
监控
在云监控或CLB控制台下具体实例查看
日志管理
在云审计控制台可查询下载操作记录;可配置访问日志到CLS(只支持七层负载)
SSL证书
只支持PEM格式证书;启用服务器名称指示SNI可不同域名配不同证书
访问控制
CLB相关的权限策略示例
运维
客户端timewait过多
使用短连接或长连接打开socket的SO_LINGER
压测问题
后端主机无公网;后端主机带宽不足;客户端端口不足;后端主机依赖应用有瓶颈;后端主机健康状态异常;开启了会话保持导致流量不均衡;
建议:测转发能力使用短连接;测吞吐量使用长连接,超时时间调短;压测后端使用静态页面; 关闭会话保持;关闭健康检查;使用多个客户端
开启GZIP
CLB和CVM上的WEB应用都需配置
部署SSL证书
在证书控制台,选择部署到负载均衡
HTTPS转发
后端WEB配置rewrite到https域名
应用获取客户端真实IP
4层使用源地址即可;七层使用x_forward_for或remote_addr
多可用区高可用
多可用区分别部署应用,CLB绑定多个可用区的后端应用集群
注册域名并添加CLB的CNAME记录
配置 WAF 对负载均衡的监听域名进行 Web 安全防护
确定CLB的域名配置;在WAF控制台中添加域名绑定负载均衡;验证配置
配置相关
四层负载和七层负载差异: 四层使用IP+端口,七层使用内容。
TCP和UDP,是否面向连接,应用场景不同
CLB的Cookies会话保持:CLB插入会话Cookies,并依靠此进行客户端与后端应用节点的通路选择
健康检查相关: 确认后端访问方式、系统设置、防火墙设置、CVM各项资源使用正常、健康检查参数配置
健康检查异常
https相关
支持的协议有:TLSv1、TLSv1.1、TLSv1.2金融行业需要双向认证:上传服务器证书和CA证书多地域需要分别上传证书证书过期后需要手动更换证书
WS/WSS 协议支持相关
高效率全双工的TCP上的协议CLB默认支持
服务等级协议
不低于99.95%,否则赔偿。
专线接入
运营商物理专线一点接入腾讯云,实现企业数据中心与腾讯云
资源限制
四线双接入点、双线双接入点、双线单接入点、单线单接入点
使用步骤
登录腾讯云->创建物理专线->创建专线网关->创建专用通道->专线NAT(可选)->配置路由表->设置告警
云联网CCN
提供云上 私有网络 间(VPC)、VPC 与本地数据中心间(IDC)内网互联的服务,具备全网多点互联、路由自学习、链路选优及故障快速收敛等能力
与对等连接或专用通道的区别
主要体现在链路全网互联、路由学习、稳定可靠性、成本和延时上
构建混合云、在线教育、游戏加速
单账号5个,单个云联网可绑25个网络实例数
功能限制
与对等连接互通不传递性
路由限制
CIDR完全相同的子网无法互通,先关联的有效CIDR包含时,先关联的有效
购买相关
月付费和后付费2种,分白金、金、银三个等级(分别是99.99%、99.95%、99.50%的可用性和1.5、1、0.75的价格比例)
同地域内5Gbps以下免费,多地域间按使用收费
已使用对等连接的VPC迁移至云联网(注意云联网下发路由是否生效)
传统专用通道切换至云联网专用通道(注意路由和路由策略)
NAT网关
IP 地址转换服务,提供 SNAT 和 DNAT 能力,可为 私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务
与公网网关区别
大容量、双机热备,可多公网IP
1、大容量高可用的公网访问 2、需要隐藏内部网络的安全访问
规格
小中大型分别支持100万、300万、1000万并发连接,10-5000Mbps带宽
单VPC可用3个NAT网关、单NAT网关可用10个EIP、单NAT转发带宽最大5Gbps、单NAT网关最大200转发端口
费用
网关费用和访问公网的流量费用,具体如链接
欠费2小时后停止服务和扣费,24小时后回收
配置NAT网关路由、流控等
可为 NAT 网关绑定 DDoS 高防包以抵御 DDoS 攻击。
计费类
创建后主备探测流量会计费
路由优先级为: VPC内流量 -> 最精确路由 -> 公网IP
等保协议
低于99.99%赔偿
99.50%赔100%,99.95%下赔25%,以上赔10%
VPN连接
通过公网加密通道,连接IDC与VPC,或连接IDC与云联网
由腾讯云的VPN网关,IDC的对端网关和中间的VPN加密通道组成
VPN网关,对端网关,通道数量限制如链接
按量(流量费+网关费)和包月,具体价格链接
包月类型在欠费后隔离,8天0点删除;按量到期2小时后隔离,24小时后删除
创建VPN网关->创建对端网关->创建VPN通道->本地网关配置->配置路由表->激活VPN通道
IPsec VPN和专线接入对应不同的连接质量要求场景
通道已连接,两端没有流量或无法ping通:1、排查两端SPD策略配置2、排查两端路由配置3、排查两端安全配置(安全组,VPN网关安全策略,对端安全配置
无法续费或升级: 已有未支付的续费或升级订单时,无法再续费或升级
服务协议
连接服务可用性99.95%,低于则赔偿
共享流量包
流量套餐,自动抵扣同地域内公网网络计费模式为按流量计费的流量费用
单地域20个
共享带宽包
多 IP 聚合的计费模式,可大幅降低公网费用 。当业务中公网流量高峰分布在不同时间段内,可通过共享带宽包实现带宽聚合计费,大幅降低公网费用。
设备带宽包一个地域1个且和其它计费模式不可共存;IP带宽包单地域20个,且包年包月的公网IP不可加入,每个包可加入资源不超过100个
欠费
2小时后停止服务,24小时后回收
月 TOP5 计费、月95计费
0 条评论
回复 删除
下一页