最新动态
了解我们,行业趋势以及包罗万象的新知识
您所在的位置:
首页 最新动态 知识库
云网互联(二)
2022年06月24日

5. 弹性IP地址(Elastic IP)


您对公网地址、私网地址一定不陌生,还恍惚记得公网地址是一个叫做IANA的组织负责的,把10.0.0.0/8、172.16.0.0/12, 192.168.0.0/16三段保留下来,不会分配到公网中。所以企业内部组网的IP规划都选在这三个空间内。否则万一跟公网IP地址冲突、基本NAT也无法访问。

云中组网,VPC内同样使用这些私网地址。需要公网访问的,可以使用公网地址,这个概念跟传统网络中是一样的。只是AWS公网地址资源较为丰富,如果您愿意,可以让您的每台虚机都使用公网地址,也不收额外费用。不过,云中有个弹性IP地址的新概(hei)念(hua),不少上云新手都把弹性IP地址等同于公网地址了。虽然技术上弹性IP地址确实是公有IP地址,但是含义还是有两点关键区别的。


实践中,因不熟悉两者区别,大量使用弹性IP带来繁琐操作及成本浪费的,公有IP变化影响业务生产的情况,还是经常遇到的。


6. 云主机IP和网卡云上开的虚机,大家都叫云主机。



不管开在公有子网还是私有子网,默认都给云主机通过DHCP分配一个私网IP,绑定在主网卡上。不知您注意到没有,即便是在公有子网上开的具有公网地址或者弹性地址的云主机,登进去用ifconfig看,也只能看到私网地址(敲黑板啦)。只有在AWS控制台上、或者通过特定方法取元数据,才能看到公有地址。


透过这个现象,网络老炮们不难猜出,其实公有地址/弹性地址在云的底层实现上,还是配置在公网出口路由器的NAT表里面的。弹性地址和公网地址的区别,也只是云平台的底层业务逻辑不同而已(跑题了哈)。老炮们可能还会疑惑:自有网络里我可以给服务器配多个IP、可以加多块网卡,可以设置浮动IP、HA切换自动飘过去,上了云还行吗?黎叔负责任地告诉大家,在云里:给云主机加多个网卡;
给一块网卡配多个IP地址;
私网IP地址自己指定;
不同网卡长在不同的子网上,构成多穴主机;

7. 安全组Security Group上面提到,一般不建议在子网上设置太多的ACL


这里AWS整出了一句黑话,叫做安全组。其实这个安全组基本就是本机防火墙策略,也就是针对云主机的ACL列表。这个概念在云中非常基础、也非常重要。用云新手十个中有八个在这上面栽过跟头,因为AWS的安全组默认没有策略,也就是默认云主机是完全不通的。Ping不通、80等服务端口也统统不通。据说有的云是默认全通的,虽然开始方便,但方便惯了,很可能忘了设置,被黑、被挂马在公网上是分分钟的事儿。这个跟企业内网环境差别很大(不好意思又扯远了哈)。


安全组的概念比较好理解,就是从哪些IP范围来,到哪个端口的流量允许进来,没配置的一律不让进。把设定的安全组绑到哪些云主机上,策略就对哪些云主机生效。而且,一个安全组可以绑到多台虚机、一台需要可以绑上多个安全组,还是比较方便灵活的。很多人不太了解的是上图中红框内写法。从哪儿来,不是设IP范围吗?写成IP V6虽然眼生,还可以理解。写成sg-xxxx是个什么鬼?其实只是一种非常方便和有效的写法,指的是允许sg-xxxx这个安全组绑定的所有云资源进来。这样,云主机动态伸缩时连通关系就可以既简单又严谨了。




云




云网干互联这里的云,指的是公有云。


本文以AWS公有云为例,相信是具有典型和普遍意义的;这里的网,指的是上述传统企业网络。云中VPC是独立的私网,企业网也多为独立私网,这些私网都可以设法通过NAT上公网,也可以设法把内部服务开放给公网访问。这样,无论私网还是公网上的用户,都可以访问发布到公网的服务。私网中的应用,当然也可以访问发布到公网的服务,如下图各虚线路径所示。



云



既然这样,干吗还要搞什么云网互联呢?这个看似不是问题的问题,其实是值得考虑一下的。不同的原因,带来的不同的互联方案。稍微想一下,需要额外搞云网互联的动机,大致又两个:一是担心数据安全,毕竟公网上啥人都有,通过公网的流量要是包含机密信息,被人偷听怎么办?内网服务暴露到公网,被人黑了怎么办?基于这样担心的,大多选择云网VPN互联的省钱方式。二是担心公网带宽不足、时快时慢。公共毕竟是公用的,啥时塞车企业控制不了,要是需要带宽时塞车了,影响关键业务可不行。这种大带宽、高SLA要求大多选择拉专线互联,反正不差钱。


云中网络互联要做云网互联,先要把云内私网互联搞搞清楚。VPC是局限与云中的某个区域的独立网络空间,相同区域的多个VPC之间,不通区域的VPC之间怎么互联呢?
AWS云大致提供三种互通的方法,分别叫做终端节点、对等连接、中转网关。实现互通效果程度不同。



云


您身边的数字化转型专家
太平洋电信致力于为全球企业提供创新ICT解决方案,助力企业更加轻松的实现数字化转型
走进太平洋电信