一、阿里云的网络拓扑介绍
下图为脱敏常规 VPC网络的情况,大致每个云产品所处于网络的位置
二、阿里云的网络类型及对比规划(及子网划分)
1、阿里云提供两种网络模式对比
1、经典网络
2009年之前网络模型,当然现在也存在 据作者所知目前早期头部阿里云用户还在使用
2、VPC网络
2009上线 2013 默认上线VPC 2014年创建了classiclink 为了方便 经典网络从VPC迁移过程 BUG众多,但是陆续还是有方便大家迁移的新功能上线,直接个人认为阿里云也间接认口了aws 这种网络模型(所以作者觉得这个完全是模仿AWS)
我分别从这三个方面技术 一个费用上进行了对比,两个网络模型,然后后面主要讲VPC网络为主。大势所趋。。。
网络对比
|
网络 类型 |
自定义 IP |
灵活的访问 控制规则 |
自定义 内网结构 |
支持专 线连接 |
隔离性 |
|
经典 网络 |
不支持 |
不太友好 |
不支持 |
支持 较差 |
差(同个怅号天 然内网互通)三层交换 |
|
VPC 网络 |
支持 |
友好的支持 |
支持
|
支持 |
二层交换 |
安全对比 三层隔离
|
网络 类型 |
IP 特征 |
内网 |
容灾 |
外网内网共存 |
DNAT/SNAT |
|
经典 网络 |
有规律性
|
自动分配
|
无 |
是
|
不支持 |
|
VPC 网络 |
无规则性 |
自定 义 |
多支持多个可用区 |
可自定义 |
支持 |
网络基础扩展性
|
网络 类型 |
支持第三方 云服务商 |
支持 IDC |
办公坏境 |
|
经典 网络
|
较低(内网不固定)
|
不支持(内网 IP不固定、无法有效路由)
|
支持(但随着机器的增加 路由表信息越来越大) |
|
VPC 网络 |
强 |
支持 |
支持、只有一条路由信息 就可以了 |
费用
|
网络 类型 |
共享带宽 |
共享 流量包 |
弹性公用 IP |
ECS价格 |
|
经典 网络 |
有规 律性 |
不支持 |
不支持 |
ECS 8.5折 |
|
VPC 网络 |
无规 则性 |
支持 |
支持 |
经典网络的9.5折 |
3、说的VPC,就会产生网络规划问题?为什么进行子网划分?
先说说阿里云网络的概念
阿里云region 可用区 机房概念
region : 华东1 华北1 华东2
可用区:可用区A 可用区B 可用区D
机房:这个概念在阿里云没有 冗余级别在于可用区,同一个可用区 意味着在一个地点:比如某某电信机房(阿里云的机房都是租了IDC公司的机房 如电信机房资源 联通网络资源 网银互联资源)
region 不同的region网络不通 可以通过云企业云打通 不通的region之间 收取带宽费用
子网划分好处及说明
1、减少网络流量
2、优化网络性能
3、方便管理
阿里云VPC主要提供了三种VPC子网选择, 阿里云默认阉割了路由信息,所以你无须关注路由表,但是你必须关注云企业网的路由信息表。(切记不要有网段冲突,否则网络会不通)
192.168.0.0/16
| 可用地址: | 65534 |
| 掩码: | 255.255.0.0 |
| 网络: | 192.168.0.0 |
| 第一个可用: | 192.168.0.1 |
| 最后可用: | 192.168.255.254 |
| 广播: | 192.168.255.255 |
172.16.0.0/12
| 可用地址: |
1048574 |
| 掩码: |
250.240.0.0 |
| 网络: |
172.16.0.0 |
| 第一个可用: |
172.16.0.1 |
| 最后可用: |
172.31.255.254 |
| 广播: |
172.31.255.255 |
| 可用地址: | 16777214 |
| 掩码: | 255.0.0.0 |
| 网络: | 10.0.0.0 |
| 第一个可用: | 10.0.0.1 |
| 最后可用: | 10.255.255.254 |
| 广播: | 10.255.255.255 |
设计网段规划。
1、尽量估算好业务网段 实现可用区冗余。
trade业务 172.16.88.0 (可用区D区)172.16.99.0 (可用区B区)
原因:
阿里云网络先创建交换机 。定了交换机意味着了写了可用区,而交换机又需要网段。所以他们的关系是一一绑定,但是ECS是有可用区的概念。不是同一个可用ECS是不能挂载另一个可用区的网段下面的,从而造成机器需要重买的情况。
如:创建交换机usercenter (阿里云购买确认可用区G区,并填写可用区网段 172.16.100.0/24) 然而ECS可用区在F区 不在G区,ECS网段无法配置到172.16.100.0/24 下面的,唯一解决办法 只能重新购买机器到G区,然后在分配 这个时候你就需要迁移数据了
2、尽量估算缩小网段(路由规则)
xx业务 172.16.16.0/24
原因 :
如果配置成172.16.16.0/23,配置早期问题不大,但是后续如果配置了 172.16.17.0/24 这个时候就无法使用。1、自己账号创建爆发,其他地方规划路由冲突。
作者见过直接配置成 172.16.16.0/20 对于IP规范一定要精打细算.切记粗大广,后续坑非常大,不利于高效的扩展!
三、阿里云的内外网控制
3.1、合理分配网段,进行提前外网确认
阿里云的提供访问外网的方法有三种
SNATDNAT弹性IP地址
优缺对比
| 使用情况 | 扩展性 | 费用 | |
| SNAT | 所有网络共用一个 | 差,取消后整个网络都不能访问外网 | 共享带宽 |
| DNAT | 每台独占IP | 较好 | 按流量计费 |
| 弹性IP | 每台独占IP | 较好 | 按流量计费 |
阿里云的提供访问外网的方法三种
负载均衡DNAT弹性IP
优缺对比
| 使用情况 | 安全等级 | 费用 | |
| 负载均衡 |
多个机 器共用一个入网地址 |
只有一个入口 | 按流量计费 |
| DNAT | 每台独占IP | 多个入口 | 按流量计费 |
| 弹性IP | 每台独占IP | 多个入口 | 按流量计费 |
四、网络的规划业务和流程的认知
4.1 早期确认业务是否需要访问外网。通过SNAT可用早期控制好,进入较快的自动化部署,不在操作网络。
4.2 早期可用区的冗余 可对应用做可用区冗余
4.3 随着业务变化 进行变化,及时跟业务发展owner确认发展 向上向下的沟通也非常重要
4.4 提供跟组内同学规划确认流程,不要今天用弹性 明天用DNAT 后天用SNAT
4.5 建立ipadm 统一管理IP网络
五、自带的防火墙 和 阿里云的安全组对比
| 应用层次 | 数据包转发 | 配置 | 网络性能 | |
| iptable | 系统层拒绝 | 支持 | 复杂 | 规则过多,会影响网络质量 |
| 安全组 | 网络层拒绝 | 不支持 | 简单 | 无,因为在网络层不在ECS层 |
个人推荐
所以如果要用iptables的话 ,建议有效控制网络规则数,规则数太多会对网络层有消耗及掉包等原因。
本人还是推荐使用安全组。
六、阿里云安全组的网络限制
6.1 同一个安全组 ECS是无法做限制
6.2 阿里云莫名奇妙添加规则其不可控制的规则配置
6.3 安全组组内机器有限制
6.4 没有可视化的规则控制
阿里云 又开发一个产品云防火墙(又出来了骗钱
)。以上缺陷都能满足,还有其他功能,就是贵贵贵贵贵贵!!!按机器收费 。。。
七、如何对阿里云网络ACL
流量控制规则有2种 四个方向
南北方向 :控制出网入网
东西方向: 控制同网内网之前的控制
参照安全组配置
https://help.aliyun.com/document_detail/25387.html?spm=a2c4g.11186623.2.12.117f4c07pMyOV7
参照云防火墙配置
https://helpcdn.aliyun.com/document_detail/94237.html
这篇文章不是阿里云推文,主要还是扫盲一些不会对阿里云网络产品的同学不是很了解的朋友。
希望你们规划的时候做合理的规划,如果你连产品都不会 只会逼逼是没有用的!!!
由于编者水品有限,如果有错误及问题请指出来帮助指正!
附带 阿里云常规网段介绍
10.100/12地址为阿里云其他产品网段
230721
1、导入Mongo Monitor监控工具表结构(mongo_monitor…
上面提到: 在问题描述的架构图中我们可以看到,Click…
PMM不香吗?
如今看都很棒