2.云网络原理与实践

目录

• 云网络
  • 经典网络与专有网络
  • 技术基础与产品架构
  • 地域与可用区
• 云网络-数据中心网络
  • VPC
    • 路由和IP
    • IPv4网关
    • VPC网络规划
  • NAT网关
• 云网络-应用交付网络
  • SLB
    • 应用场景
      • ALB
  • GA全球加速
  • 弹性公网IP（EIP）
• 云网络-全球化网络
  • 对等连接（VPC对等连接）
  • 云企业网（CEN）
    • 应用场景
  • 转发路由器（TR）
• 云网络-万物上云网络
  • 企业上云-智能接入网关
    • 部署模式
  • 物联网上云-云连接器
  • VPN上云-VPN网关
    • IPsec VPN
    • SSL VPN
  • 专线上云-高速通道

云网络

经典网络与专有网络

经典网络：阿里云把所有云产品都放在一个局域网中，三层隔离
专有网络：二层隔离

技术基础与产品架构

基于隧道技术和SDN，阿里云在硬件网关和自研交换机设备的基础上推出了VPC产品

地域与可用区

不同地域的ECS,RDS,OSS内网不互通
不同地域之间的ECS不能跨地域部署负载均衡

云网络-数据中心网络

VPC

专有网络 VPC（Virtual Private Cloud）是用户专有的云上私有网络：
用户可以完全掌控自己的专有网络，例如选择 IP 地址范围、配置路由表和网关等；
用户可以在自己定义的专有网络中使用阿里云资源，如云服务器、云数据库 RDS 和负载均衡等；
可以通过高速通道将专有网络连接到其他专有网络或本地网络，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

每个VPC都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。VPC之间通过隧道号进行隔离

至少一个私网网段，一个路由器和至少一个交换机

路由和IP

• 路由表
  系统路由表：只有一张，且不可创建和删除，创建专有网络后，系统自动创建，可以自定义路由条目
  交换机默认绑定系统路由表
  自定义路由表
  网关路由表：和IPV4网关绑定，控制进入VPC的公网流量的路由
• 路由条目

• • 系统路由
• • 自定义路由
• • 动态路由：通过云企业网、VPN网关、边界路由器BGP路由协议学习到的路由

每个交换机网段的第1个和最后3个IP地址为系统保留地址。以192.168.1.0/24为例，192.168.1.0、192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。

安全配置

• 网络ACL：关联到交换机
• ECS安全组：虚拟防火墙，关联到ECS实例
• RDS白名单：加入到白名单才能访问RDS实例
• SLB白名单：加入到白名单才能访问SLB实例

IPv4网关

连接VPC和公网的组件
VPC访问IPv4公网的流量经过IPV4网关，由IPV4网关实现路由转发以及私网地址到公网的转换
一个VPC只能绑定一个IPV4网关，一个IPv4网关只能关联一个VPC
一个IPV4网关只能绑定一张网关路由表

VPC网络规划

VPC是地域级别的资源，不支持跨地域部署。
您可以通过使用高速通道、VPN网关、云企业网等产品实现跨地域VPC间互通。

VPC对等连接实现多个VPC之间互通
是两个VPC之间的网络连接，可以通过VPC对等连接，实现两个VPC之间私网互通；
支持跨地域、跨账号

私网互通解决方案

场景	产品	描述
VPC互连	云企业网	支持将多个不同地域、不同账号的VPC连接起来，构建互联网络。
	对等连接	支持在两个VPC之间建立对等连接。
连接本地IDC	VPN网关	通过基于互联网的IPsec-VPN加密隧道连接本地IDC和云上VPC。
	云企业网	通过路由自动学习和分发，CEN可实现全网资源的互通，您只需将本地数据中心关联的边界路由器加载到CEN中即可。
	智能接入网关	通过智能接入网关，将本地数据中心接入阿里云。
	高速通道	通过高速通道的物理专线功能连接本地IDC和云上VPC。
多站点连接	VPN网关	通过VPN网关在多个站点之间建立安全通信。VPN-Hub功能不仅使各个站点可以和云上VPC互通，并且各个站点之间可以彼此通信。
	智能接入网关	通过为本地分支购买智能接入网关，然后将智能接入网关通过云连接网连接起来，实现本地分支互通。
	VPN网关+高速通道	通过组合使用VPN网关和高速通道连接世界各地的应用系统和办公地点。
远程接入VPC	VPN网关（SSL-VPN功能）	通过SSL-VPN功能安全快速地拨号接入云上VPC。
	云市场SSL-VPN软件	云市场购买SSL-VPN软件并部署到VPC后，远程拨号接入阿里云VPN服务器。

产品	功能
ECS固定公网IP	创建专有网络类型的ECS实例时，您可以选择分配公网IPv4地址，系统会为您自动分配一个支持访问公网和被公网访问的IP地址。目前，ECS实例固定公网IP不能动态与VPC ECS实例解绑，但可以将固定公网IP转换为EIP。
弹性公网IP（EIP）	能够动态和VPC ECS实例绑定和解绑，支持VPC ECS实例访问公网（SNAT）和被公网访问（DNAT）。
NAT网关	支持多台VPC ECS实例访问公网（SNAT）和被公网访问（DNAT）。
负载均衡	基于端口提供四层和七层负载均衡功能，支持用户从公网通过负载均衡（SLB）访问ECS。

NAT网关

NAT网关（NAT Gateway）是一种网络地址转换服务，提供NAT代理（SNAT和DNAT）能力。
阿里云NAT网关分为公网NAT网关和VPC NAT网关，公网NAT网关提供公网地址转换服务，而VPC NAT网关提供私网地址转换服务，

SNAT：访问公网
DNAT：被公网访问

公网NAT网关作为一个网关设备，需要绑定X个EIP才能正常工作

云网络-应用交付网络

SLB

ALB:7层负载均衡；HTTPS卸载能力、基于HTTP报头、Cookie和查询字符串进行转发、重定向和重写
NLB:4层负载均衡
CLB:经典负载均衡；支持TCP、UDP、HTTP和HTTPS协议，具备良好的四层处理能力，以及基础的七层处理能力。

类型	应用型负载均衡 ALB	网络型负载均衡 NLB	传统型负载均衡 CLB
工作层次	七层（应用层）	四层（传输层）	四/七层，但七层功能基础
协议支持	HTTP、HTTPS、QUIC、gRPC、WebSocket 等	TCP、UDP、TCPSSL	TCP、UDP、HTTP、HTTPS
性能特点	单实例每秒查询数 QPS 可达 100 万次，基于NFV虚拟化平台，支持弹性伸缩	单实例可达到 1 亿并发连接,基于NFV虚拟化平台，支持弹性和快速扩容等需求	基于物理机架构,单实例最大支持100万并发、5万QPS
路由功能	基于内容的高级路由特性丰富，如基于 HTTP 报头、Cookie 和查询字符串进行转发、重定向和重写等，是阿里云官方云原生 Ingress 网关，支持流量拆分、镜像、灰度发布和蓝绿测试等应用网关功能	主要负责传输层的快速和高效数据分发，不理解应用层协议内容，无法进行基于内容的智能路由	具备基础的分发和健康检查功能，七层路由功能不如 ALB 强大
容灾机制	多可用区部署，采用多可用区多活模式，可自主操作将异常可用区的 DNS 记录摘除，实现容灾逃逸	多可用区部署，采用多可用区多活模式，可自主操作将异常可用区的 DNS 记录摘除，实现容灾逃逸	大部分地域支持多可用区类型的实例，主备可用区模式，主可用区故障时约 30 秒切换到备可用区，主可用区恢复时自动切回
安全特性	除网络层安全防护（同 NLB）外，还支持一键集成 WAF（Web Application Firewall），WAF 增强版支持阿里云 WAF3.0 服务化接入	支持 DDoS、SYN Flood、UDP Flood 等网络层攻击防护，支持 TCPSSL 协议，可对 SSL 证书进行集中管理及卸载，在 TCPSSL 场景具备双向认证能力	支持 DDoS 等网络层攻击防护，在 HTTPS 场景下支持双向认证
适用场景	适合需要进行内容基路由、会话保持、复杂的路由决策和应用层协议深度优化的场景，如大规模 Web 应用、微服务架构、云原生应用等	适合对网络延迟极为敏感的应用，如实时游戏、高频交易、海量终端连接、高并发消息服务、音视频传输、物联网 MQTTS 加密卸载等	适合于不需要特别高性能或特别复杂配置的传统应用，对负载均衡的四/七层功能特性无较高要求的场景

应用场景

ALB

• 配置全链路HTTPS访问
  

• 单ALB实例配置多域名HTTPS网站
  

监听默认证书default绑定域名aliyundoc.com，默认后端服务器组选择RS1。
监听扩展证书example1绑定域名www.example.com，https://www.example.com的客户端请求转发至后端服务器组RS1。
监听扩展证书example2绑定域名www.example.org，https://www.example.org的客户端请求转发至后端服务器组RS2。

• 使用ALB部署HTTPS业务（双向认证）

通过在ALB中启用双向认证，可确保所有访问平台的客户端必须提供有效的客户端证书才能建立连接，有效阻止未经授权的设备接入系统，大幅降低数据泄露和交易篡改的风险。

• 使用ALB将HTTP访问重定向至HTTPS
  
  

GA全球加速

标准型GA

接入方式：

• EIP
• CNAME[将自有域名的DNS解析至GA的CNAME地址，访问请求才能转发到GA上]

标准型GA实例主要用于四层（TCP和UDP协议）和七层（HTTP和HTTPS协议）网络加速场景。

基础性GA

接入方式：EIP
基础型GA实例主要用于三层（IP协议）网络加速场景。

弹性公网IP（EIP）

BGP（多线）_精品线路是一种优化海外回中国内地流量的公网线路，可以提高国际业务访问质量。相比普通BGP（多线）线路， BGP（多线）_精品线路在为中国内地终端客户（不包括中国内地数据中心）提供服务时，通过运营商精品公网直连中国内地，时延更低。

云网络-全球化网络

对等连接（VPC对等连接）

云企业网（CEN）

云企业网实例是创建、管理一体化云上智能网络的基础资源，是转发路由器的载体。1个云企业网实例可包含1个或多个转发路由器

应用场景

• 同地域VPC互通
  

• 跨地域VPC互通
  

• 云上云下互通
  

转发路由器（TR）

云网络-万物上云网络

企业上云-智能接入网关

智能接入网关SAG（Smart Access Gateway）是阿里云提供的软件定义广域网SD-WAN（Software Defined Wide Area Network）解决方案。
企业可通过智能接入网关实现一站式接入阿里云，获得更加智能、安全和可靠的上云体验。

CPE：一个设备
vCPE：通过将智能接入网关镜像部署到相应服务器中，使服务器作为一个虚拟的CPE设备帮您提供上云服务。[配置到其他云厂商的服务器上，实现跨云厂商互联互通、或者部署到机房中]
APP：终端安装智能接入网关App后可一键接入上云

部署模式

• 直挂模式
  
• 旁挂模式
  

物联网上云-云连接器

云连接器（Cloud Connector）提供海量物联网卡一站式定向上云连接服务，即开即用，帮您实现物联网终端到阿里云之间安全、稳定、可靠的连接。

云连接器通过专用APN在物联网终端和阿里云之间建立定向网络连接。您也可以通过云上组网，实现物联网终端到物联网应用或本地数据中心IDC（Internet Data Center）的定向连接。

• 云连接器实例
  云连接器用于实现物联网终端定向上云。创建云连接器实例，您需要指定专用APN、专有网络VPC和交换机。
  指定专用APN后，物联网终端通过专用APN的专用网络定向访问阿里云，一定程度上避免了终端暴露在公网下的安全风险。
  指定VPC和交换机后，物联网终端可直连至该VPC的交换机，实现私网访问VPC内的云服务。

• 授权规则
  授权规则用于配置访问策略，指定物联网终端用户要访问的目标地址类型（域名或网段）、目标地址和访问策略（允许或拒绝）。

• 连接地址池
  物联网卡IP地址池。

VPN上云-VPN网关

VPN 网关（VPN Gateway）是一款提供网络连接服务的产品，通过建立加密隧道的方式在企业本地数据中心、企业办公网络、互联网客户端与阿里云之间建立安全可靠的私网（内网）网络连接，实现云上与云下资源安全互访。

IPsec VPN

使用IPsec-VPN时，IPsec连接支持绑定VPN网关实例和转发路由器实例两种资源类型，绑定不同的资源类型可以实现不同的网络连接场景。

• 建立连接后，企业本地数据中心或企业办公网络可以直接访问VPC内的资源
  

• 企业本地数据中心或企业办公网络可以通过转发路由器与其他网络互通，访问其他网络下的资源
  

SSL VPN

• 建立SSL-VPN连接后，互联网客户端可以访问VPC内的资源
  

专线上云-高速通道