文章目录

  • 1 | 参考
  • 2| 概念简易理解
    • 地域 region
    • 可用区 AZ
    • VPC
      • 私有网络(VPC)与基础网络(经典网络)的区别
      • VPC 定义
      • 公有子网与私有子网
      • 其他限制
  • 3| 用例子理解网络概念
    • VPC
    • Subnet(子网)
    • Availability Zones (可用区)
    • Routing Tables(路由表)
    • Internet Gateways(互联网网关)
    • NAT Gateways(NAT 网关)
    • Security Groups(安全组)
    • 所有这些组装起来
    • Reference
    • 4 | 关于 VPC 的一些问题
    • 问题1:应该使用几个 VPC
    • 问题2:应该使用几个交换机
    • 问题3: 应该选择什么网段
      • 3.1 VPC网段
      • 3.2 交换机网段
    • 问题四 VPC与VPC互通或者与本地数据中心互通时,如何规划网段

1 | 参考

  • 云区域(region),可用区(AZ),跨区域数据复制(Cross-region replication)与灾备(Disaster Recovery)(部分1)

  • 云区域(region),可用区(AZ),跨区域数据复制(Cross-region replication)与灾备(Disaster Recovery)(部分2)

  • AWS 中最最基础的网络概念

2| 概念简易理解

  • https://cloud.tencent.com/document/product/213/6091

地域 region

  • 是指物理的数据中心的地理区域

    • 不同地域之间完全隔离,保证不同地域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度,建议您选择最靠近您客户的地域。
  • 不同地域之间的网络完全隔离,不同地域之间的云产品默认不能通过内网通信
  • 不同地域之间的云产品,可以通过 公网 IP 访问 Internet 的方式进行通信。
  • 负载均衡 当前默认支持同地域流量转发,绑定本地域的云服务器

可用区 AZ

  • 可用区(Zone)是指在同一地域内电力和网络互相独立的物理数据中心

    • 目标是能够保证可用区间故障相互隔离(大型灾害或者大型电力故障除外),不出现故障扩散,使得用户的业务持续在线服务
    • 同一地域内可用区与可用区之间内网互通
    • 同一地域间的不同可用区的 电力和网络 是独立的,一般是一个独立的物理机房,这样可以保证可用区的独立性
      • 我理解的是采用的线路或供应商是独立的,不会同时发生故障

VPC

  • http://it.guoweizu.com/AWS/aws-vpc.html
  • VPC网络梳理

私有网络(VPC)与基础网络(经典网络)的区别

  • 经典网络:公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。

  • VPC:是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户可以自由定义网段划分、IP地址和路由策略,安全可提供网络ACL及安全组的访问控制,因此,VPC有更高的灵活性和安全性。

  • 对比可以看到,VPC优势明显,通过VPC,用户可以自由定义网段划分、IP地址和路由策略;安全方面,VPC可提供网络ACL及安全组的访问控制,VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中,符合金融、政企等行业的强监管、数据安全要求。

VPC 定义

  • VPC(Virtual Private Cloud)是公有云上自定义的逻辑隔离网络空间,是一块可我们自定义的网络空间,与我们在数据中心运行的传统网络相似,托管在VPC内的是我们在私有云上的服务资源,如云主机、负载均衡、云数据库等。我们可以自定义网段划分、IP地址和路由策略等,并通过安全组和网络ACL等实现多层安全防护。同时也可以通过VPN或专线连通VPC与我们的数据中心,灵活部署混合云。
  • VPC主要是一个网络层面的功能,其目的是让我们可以在云平台上构建出一个隔离的、自己能够管理配置和策略的虚拟网络环境,从而进一步提升我们在AWS环境中的资源的安全性。我们可以在VPC环境中管理自己的子网结构,IP地址范围和分配方式,网络的路由策略等。由于我们可以掌控并隔离VPC中的资源,因此对我们而言这就像是一个自己私有的云计算环境。

公有子网与私有子网

  • VPC公有子网与私有子网:公有子网和私有子网的区别就在于公有子网关联了Internet Gateway,公有子网内的EC2实例都可以获取一个公共IP用于和互联网通信;而私有子网内的实例没有公共IP,私有子网内的EC2实例需要通过一个NAT网关或者自己搭建的提供NAT服务的其他实例来访问互联网;公网上的其他主机无法访问私有子网内的实例

其他限制

  • 路由表:分为主路由表和自定义路由表

    • 区别仅仅在于:对于没有显示关联路由表的子网,将默认关联到主路由表。
  • 限制:
    • 默认情况下,一个region下,AWS最多允许创建5个VPC
    • 每个VPC下最多允许创建200个子网
    • 没有VPC下的路由表数量:200个
    • 每个路由表下的路由:50个
    • 每个VPC下的安全组:500个
    • 每个安全组的入站或出站规则:50个
    • 每个region下,最多可拥有5个弹性IP(Elastic IP)
    • 每个region下,Internet网关,NAT网关,仅出口的Internet网关和虚拟专用网关最多5个
    • VPC对等连接最多50个
    • 其他限制请参考Amazon VPC 限制

3| 用例子理解网络概念

原文:https://grahamlyons.com/article/everything-you-need-to-know-about-networking-on-aws

如果你有在 AWS 有基础设施服务或应用程序,那么下面所有这些概念你都将会碰到。
这些不仅仅是网络设施的一部分,根据我的经验来看,更是其中最重要的部分之一。

VPC

VPC (Virtual Private Cloud ),虚拟私有云,是你的基础设施所运行在的一个私有网络空间。你可以自己选择 VPC 的地址空间(CIDR 范围),例如10.0.0.0/16 。这将决定 VPC 内有多少可分配 IP 。因为 VPC 内的每一台服务器都需要一个 IP 地址,所以 VPC 地址空间的大小,将决定该私有网络可容纳的资源上限。 10.0.0.0/16 地址空间的可用地址从10.0.0.0 到10.0.255.255 , 一共 2^16, 65,536 个 IP 地址。

VPC 是 AWS 中最基础的基础,每一个新创建的账户,在每个AZ (Available Zone,可用区) ,都包含一个带子网 的默认 VPC 。

Subnet(子网)

subnet(子网)是 VPC 的一部分,有其单独的 CIDR 范围和流量转发规则。其 CIDR 范围是 VPC 的一个子集。举个栗子,10.0.0.0 的一个子网 10.0.1.0/24,地址范围从 10.0.10.0 到 10.0.1.255 ,一共 256 个 IP 地址。

根据是否可以从外部(公网)访问进来,子网也经常被称为“公有”或“私有”子络。这种可见度是由网络路由规则控制的,每个子网都有其自己的规则。
子网必须位于某个区域具体的 AZ 中,因此,在每个区域划分子网是很好的做法。如果你要划分公有子网和私有子网,那么,在每个 AZ 都要有一套。

Availability Zones (可用区)

前面我们说到,每个 Availability Zone 必须有子网,可是,这到底是什么意思呢 ?
在 AWS 中,为了保证每个地区资源的极高的可用性。每个区域(zone)的资源都被划分为 2 个或更多不同可用区(AZ)。对每个区域(zone)来说,基本上即使其他所有 AZ 都中断了,也要确保至少有一个 AZ 还能正常运行。

Routing Tables(路由表)

路由表,是一系列规定子网 IP 数据包如何传输到其他不同 IP 地址的规则。
每个 VPC 内,都有一个默认的路由表,只允许流量在本地(VPC 内部)转发。如果某个子网没有关联路由表,则使用该默认路由,也就是一个“私有”子网。
如果你想要能从外部访问子网,那么你就需要创建一个路由表,显式地指定该规则。这样,关联该路由表的子网就是“公有”子网。

Internet Gateways(互联网网关)

将子网配置为可从外部访问的路由表,需要借助互联网网关来控制外部数据包出入 VPC 。
例如,创建一个网关,配置规则为所有去往 0.0.0.0/0 的数据包均需通过网关 。

NAT Gateways(NAT 网关)

如果你有一台在 AWS 私有子网内,不允许公网访问的 EC2 实例,那么该实例的数据也没办法发送到公网。我们需要一种机制,将数据包发出去,并且正确地接收到对端的响应包。这便是 NAT ——网络地址转换,跟家里的 wifi 路由器很类似。
NAT 网关是位于公有子网的一个设备,负责接收从私有子网发往公网的数据包,转发至其目的地址;同时转发返回的数据包到源地址。
如果你 VPC 中私有子网中的实例不需要公网访问的话,那么 NAT 并不是必需的。只有你的实例需要访问诸如外部 API,SaaS 数据库等时,你才需要配置 NAT 网关。或者是使用 AWS 提供的 NAT 网关资源(由 AWS 配置,更易于用户管理)。

•NAT 网关位于公有子网中•从私有子网发出对某个公网地址的请求•根据路由表规则,请求数据包被转发到 NAT 网关•NAT 网关将数据包转发出去

Security Groups(安全组)

VPC 网络安全组标志 VPC 中的哪些流量可以发往 EC2 实例或从 EC2 发出。安全组指定具体的入向和出向流量规则,并精确到源地址(入向)和目的地址(出向)。这些安全组是与 EC2 实例而非子网关联的。
默认情况下,流量只允许出,不允许入。
入向规则可具体指定源地址——CIDR 段或者另一个安全组亦或是端口范围。当指定的源地址为另一个安全组时,该安全组必需位于同一个 VPC 。例如,VPC 默认的安全组允许任意来自同一安全组的访问流量。如果将该安全组应用于 VPC 内创建的所有资源,那么该 VPC 中的资源之间将可以互通。

•实例 (i-67890) 的安全组 (sg-abcde) 允许来自 443 端口的 TCP 流量•来自 IP 10.0.1.123 22 端口的请求不被允许通过•来自 443 端口的请求被允许通过

所有这些组装起来

整个虚拟网络完整的架构如下图所示:公有子网/私有子网跨越 AZ 将整个网络划分为两部分。NAT 位于公有子网,用路由表指定数据包的路由规则。 EC2 实例将运行于任意子网,附加安全组。

Reference

•1.Amazon Virtual Private Cloud 用户指南 https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html

4 | 关于 VPC 的一些问题

问题1:应该使用几个 VPC

  • 单 vpc

    • 单 vpc:如果您没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC

  • 多vpc

    • 多 vpc:VPC是地域级别的资源,是不能跨地域部署的。当您有多地域部署系统的需求时,就必然需要使用多个VPC

    • 多 vpc:如果在一个地域的多个业务系统需要通过VPC进行严格隔离,比如生产环境和测试环境,那么也需要使用多个VPC

问题2:应该使用几个交换机

  • 首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。

  • 同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

  • 其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。

问题3: 应该选择什么网段

在创建VPC和交换机时,您必须以无类域间路由块 (CIDR block) 的形式为您的专有网络划分私网网段。

3.1 VPC网段

您可以根据以下建议规划VPC网段。

  • 注意:VPC创建成功后,网段无法再修改。
    您可以使用下表中标准的私网网段及其子网作为VPC的私网地址范围。

如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过16位。

如果云上只有一个VPC并且不需要和本地IDC互通时,可以选择上表中的任何一个网段或其子网。

VPC网段的选择还需要考虑到是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么,建议您选择非10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8。

3.2 交换机网段

您可以根据以下建议规划交换机网段。同样,交换机创建成功后,网段无法再修改。

交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。16位掩码能支持65532个ECS实例,而小于29位掩码又太小,没有意义。

交换机的网段可以和其所属的VPC网段相同,或者是其VPC网段的子网。比如VPC的网段是192.168.0.0/16,那么该VPC下的虚拟交换机的网段可以是192.168.0.0/16,也可以是192.168.0.0/17一直到192.168.0.0/29。

注意:如果您的交换机网段和所属VPC网段相同,您在该VPC下只能创建一台交换机。
每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。

ClassicLink功能允许经典网络的ECS和192.168.0.0/16,10.0.0.0/8,172.16.0.0/12这三个VPC网段的ECS通信。例如,如果要和经典网络通信的VPC网段是10.0.0.0/8,则要和经典网络ECS通信的交换机的网段必须是10.111.0.0/16。详情参考ClassicLink。

交换机网段的确定还需要考虑该交换机下容纳ECS的数量。

问题四 VPC与VPC互通或者与本地数据中心互通时,如何规划网段

如下图所示,比如您在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通,VPC3目前没有和其他VPC通信的需求,将来可能需要和VPC2通信。另外,您在上海还有一个自建IDC,需要通过高速通道(专线功能)和华东1的VPC1私网互通。

此例中VPC1和VPC2使用了不同的网段,而VPC3暂时没有和其他VPC互通的需求,所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求,所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能一样,但VPC的网段可以一样。

在多VPC的情况下,建议遵循如下网段规划原则:

尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。

如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。

如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。

云产品相关网络概念学习Regison/AZ/VPC相关推荐

  1. 装在笔记本里的私有云环境:网络存储篇(上)

    本篇是系列中的第三篇内容,我们继续聊聊如何把一个简化过的私有云环境部署在笔记本里,以满足低成本.低功耗.低延时的实验环境. 在前两篇文章中,我们聊过了基础虚拟化相关的前置准备.以及为了避免在搭建过程中 ...

  2. php 腾讯云 文字识别_有奖征文 | 腾讯云加社区联合腾讯优图发起玩转腾讯云产品体验活动...

    导语 | 为活跃腾讯云+社区[1]的技术氛围,同时鼓励广大程序员们更好的学习和分享腾讯云技术,云+社区联合腾讯云免费体验馆及各产品团队举办[玩转腾讯云]征文活动.只要是与「腾讯云」产品相关的原创干货技 ...

  3. 云产品销售一般去哪里找客户

    随着"新基建"政策的推进,云计算相关领域成为广受关注的热点领域,云产品相关的需求也呈增加的态势. 为了进一步扩大业务范围,ZKEYS推出了分销系统,面向全国有意入行云计算的朋友发起 ...

  4. 构建安全网络 比格云全系云产品30天内5折购

    一年之计在于春,每年的三.四月,都是个人创业最佳的起步阶段,也是企业采购最火热的时期.为了降低用户的上云成本,让大家能无门槛享受到优质高性能的云服务,比格云从3月16日起,将上线"充值30天 ...

  5. AWS 云产品和云计算基础知识详解

    1. Amazon Web Services 云产品和云计算 1.1 Amazon EC2 简介 Amazon EC2,也被称为AmazonElastic Compute Cloud,用于在Amazo ...

  6. 华为云服务之网络服务

    前言 面对日益增长的网上业务需求,企业网络面临系统上线时间长,运维成本高,安全风险大等诸多问题.虚拟私有云(VPC)是华为云网络的基础,基于安全的隧道网络技术,提供安全.隔离的网络环境. 文章目录 前 ...

  7. 在生产环境中,阿里云如何构建高性能云原生容器网络?(含 PPT 下载)

    作者 | 溪恒  阿里云技术专家 直播完整视频回顾:https://www.bilibili.com/video/BV1nC4y1x7mt/ 关注"阿里巴巴云原生"公众号,后台回复 ...

  8. 阿里云Elasticsearch -- 从0到1的云产品演进之路

    背景 Elasticsearch作为开源界最流行的搜索与分析引擎,在日志.安全.监控等领域也都有着非常广泛的应用,而开放搜索团队在支持云上用户的过程中,也了解到有大量自建Elasticsearch服务 ...

  9. 阿里云产品头条(2018年1月刊)

    摘要: 一. 新产品发布1. 弹性高性能计算 商业化 发布弹性高性能计算(E-HPC)基于阿里云基础设施,为用户提供一站式公共云HPC服务,面向教育科研.企事业单位和个人提供快捷.弹性.安全和与阿里云 ...

最新文章

  1. Template mode HTML5 has not been configured
  2. 拉格朗日、傅里叶、黎曼、柯西、狄利克雷、勒贝格杨、拉贝泰勒,这首诗都包括全了
  3. 【每日一包0029】merge-descriptors
  4. easyui有没有html编辑器,【easyui】kindeditor富文本(html编辑器)的使用
  5. idea设置中文界面_英雄联盟手游中文翻译--游戏主页设置界面翻译
  6. Java程序员学习笔记——Mybatis日常记录
  7. java枚举变量带括号_java枚举类型 - 墨梅的个人空间 - OSCHINA - 中文开源技术交流社区...
  8. 北大开源了中文分词工具包,准确度远超Jieba,提供三个预训练模型
  9. openstack版本历史
  10. python可视化计算器_Python tkinter实现简单加法计算器代码实例
  11. 热电偶测温方案 AD7124+Pt100冷端补偿 包含Pt100、NTC热敏、热电偶处理驱动源码
  12. Quantum Espresso安装
  13. SAS计算IV代码分享
  14. 安卓期末大作业——日记APP
  15. js仿照 蚂蚁森林 效果
  16. php测试教程,PHP单元测试基础教程
  17. Android 11 Bubble通知的原理
  18. 神经网络解决推荐系统问题(可解释性与TEM)
  19. java中extends和implements的区别
  20. QkeyTools软键盘

热门文章

  1. Flutter第一部分(UI)第六篇:一文搞懂Flutter中的资源引用机制
  2. C# 创建barcode 并打印
  3. Linux下安装SVN服务端小白教程
  4. Antivirus Zap Pro 3.9.4.1 推荐的Mac杀毒软件
  5. linux下dft计算标准函数,dft计算(密度泛函理论dft计算)
  6. 如何高效学习ARMv8/ARMv9架构知识
  7. 升级bigsur_升级macOS Big Sur遇到问题?问题修复合集不可错过
  8. RT-Thread_rt_kprintf()打印浮点数(解决方法2:添加rt_vsnprintf_full)
  9. 虚假新闻检测论文调研
  10. qt linux字体,Qt字体轮廓的绘制