1、网络架构场景
云端目前可选的网络架构包括经典网络、VPC 专有网络、金融云网络等。从技术原理上来讲,经经典网络采用三层(网络层,即 IP 层)隔离,所有的经典网络类型实例都建立在一个共用的基础网络上。VPC 采用二层隔离(数据链路层)。两者对比如下:
- 网段方面
经典网络的内网 IP 是以 10 开头的随机 IP,且内网 IP 只能随机分配,不能自定义。
在 VPC 网络中,每个客户都是独立的网络环境。客户可以自定义网络的 IP 段、网络架构等。
- 网卡方面
经典网络绑定公网的 ECS,系统中网卡是两个网卡。eth0 是内网网卡,eth2 是公网网卡。如果没有绑定公网,则经典网络仅有一个内网 eth0。
VPC 网络,即使绑定了弹性 IP 的 ECS 网卡也只有一个 eth0,即不管有没有绑定弹性 IP,VPC 网络的 ECS 仅有一个 eth0 网卡(绑定弹性 IP 的时候,公网数据是通过阿里云内部 NAT 的方式流转到 ECS 的 eth0 网卡上的)。
- 隔离方面
经典网络通过简单地配置安全组互访规则,实现同地域下不同阿里云账号的经典网络内网互通。
VPC 和 VPC 之间默认二层隔离(不管是同阿里云账号下的不同 VPC 还是不同阿里云账号下的 VPC),如果需要互通则只能走高速通道(专线)。
- 功能方面
经典网络环境是没办法将两个环境的内网进行互通的,仅支持 DNAT,不支持 SNAT。
VPC 网络支持网段划分、网段隔离功能。自建 VPN(或者使用阿里云 VPN 网关服务)、阿里云高速通道(专线)的功能支持,都需要依托 VPC 网络,所以混合云的架构必须基于 VPC 网络环境。
- 实践方面
经典网络:方便快捷,不需要设置 VPC、vSwitch、网络规划等。它是随机内网,开通即用。一般适合部署个人应用、个人站点等。
VPC 网络:企业默认的网络架构选择,网段划分、网络隔离及相关网络功能都是企业级网络所必需的。
2、入网请求场景
在云端对 ECS 实现入网请求的功能,可以通过以下 4 种方法实现。
- SLB 网络:七层和四层的负载均衡,都能将公网的请求流量引入到 ECS 中。
- 公网 IP:经典网络的公网 IP,能直接将公网的请求流量引入到 ECS 中的 eth2 网卡上。
- 弹性公网 IP:VPC 专有网络的弹性公网 IP,能直接将公网的请求流量引入到 ECS 中的 eth0 网卡上。
- DNAT:通过端口映射能直接将公网的请求流量映射到 ECS 的内网端口上。值得注意的是,在云端我们可以通过 Iptables 或者 NAT 网关实现 DNAT 的端口映射。
在云端实践中,为 ECS 直接绑定公网主要的场景需求有以下 3 点。
- ECS 服务需要暴露给公网。
- 需要公网远程登录到这台服务器进行维护。
- ECS 上部署的服务需要去公网调用及请求第三方的服务及接口,没办法直接通过 SLB 负载均衡的方式把服务暴露给公网。
3、出网请求场景
在云端对 ECS 实现出网请求的功能,可以通过以下 3 种方法实现。
- 公网 IP:经典网络的公网 IP,通过 ECS 中的 eth2 网卡将 ECS 的出公网请求流量发出。
- 弹性公网 IP:VPC 专有网络的弹性公网 IP,公网的请求流量在云平台内部通过 NAT 映射出公网。
- SNAT:通过路由将公网请求的流量映射到 NAT 网关,或者一台具有公网访问能力的 ECS 上,再由这台 ECS 将公网请求流量转发出去。
Tips:阿里云流量带宽峰值、流量带宽费用针对的是出口流量峰值及出口流量带宽费用。比如,5Mbps 的带宽峰值是指出口带宽峰值,并不是入口带宽峰值,相反,入口流量峰值是不受限制的。
DDoS 攻击一般不会产生额外的流量费用,除非是 CC 攻击,其类似于刷网页,这会导致出口流量增加,产生额外的流量费用。
本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章
文章标题:云端网络的三大场景概述,本文转载自infoq,原文链接:https://xie.infoq.cn/article/0dbef4a9bb3ef2a36a1998dd6,本文观点不代表Worktile社区立场。如有侵权,请联系chengfeifei@worktile.com删除
微信扫一扫 
支付宝扫一扫 
