HCS-网络服务

一、华为云Stack网络服务概览

1.网络服务包括：虚拟私有云、弹性负载均衡、弹性IP、网络ACL、虚拟专用网络、云专线、VPC终端节点、云解析

2.华为云Stack网络服务全景图：

二、云上通用网络服务

1.虚拟私有云

虚拟私有云（Virtual Private Cloud，VPC），是一套为云服务器（包括弹性云服务器和裸金属服务器）构建的逻辑隔离的、由用户自主配置和管理的虚拟网络环境，旨在提升用户资源的安全性，简化用户的网络部署。

用户可以在VPC中自由选择IP地址范围、创建多个子网、自定义安全组以及配置路由表和网关等，方便地管理和配置网络，进行安全、快捷的网络变更。

VPC相关概念

子网



自定义路由



对等连接

先决条件：

        同一个region内，同租户或者不同租户下的VPC内部网络之间的互通
        对等连接内的VPC子网不能冲突

2.安全组与网络ACL

①安全组

安全组是一个逻辑上的分组，为同一个资源空间内具有相同安全保护需求并相互信任的云服务器提供访问策略，支持白名单（指允许策略）。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

安全组是对进出虚拟机端口的网络报文进行限制的安全过滤规则。关联虚拟机端口与安全组后，该安全组的规则会对进出该虚拟机端口的网络报文进行过滤，只有规则允许的报文才能通过。

②网络ACL

网络 ACL 是一个子网级别的可选安全层，通过与子网关联的出方向 / 入方向 ACL （ Access Control List ）规则控制出入子网的数据流，支持黑白名单（即允许和拒绝策略）

③网络ACL VS 安全组

网络 ACL / 安全组，底层都是基于linux的iptables的能力，其实本质上也是集成在 OVS 上的安全模块的能力，通过对 iptables 的能力进行不同的编排实现了安全组 / 网络 ACL 的能力。

因为底层都采用同一个模块，所以安全策略容量是共享的。复用 OVS 的资源占用，吞吐性能也复用 OVS 转发能力。

3.弹性负载均衡

ELB （ Elastic Load Balance ），即弹性负载均衡，是 将访问流量根据转发策略分发到多台后端云服务器的流量分发控制服务 。通过流量分发扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能；通过监听器的健康检查消除单点故障以提高整个系统的可用性。

业务分发场景

对于访问量较大的网站或政企客户内部办公系统，可通过负载均衡方式将业务负载分摊到多台后端云服务器上，提升业务处理能力。也可利用负载均衡健康检查功能，自动屏蔽异常状态主机，将业务负载分配到后端云服务器组上，后端云服务器组由多个后端云服务器组成。

监听器

监听器是用于检查连接请求的进程，它使用前端（客户端到负载均衡器）连接的协议以及端口和后端（负载均衡器到后端云服务器）连接的协议以及端口配置负载均衡策略。

后端服务器

弹性负载均衡器会将客户端的请求转发给后端服务器处理。

三、互通服务

1.云内互通

分类：

同一VPC互通

                VPC默认路由规则、安全组、网络ACL

同region不同VPC互通

                对等连接、VPC终端节点、云连接

不同region不同VPC互通

                云连接、虚拟专用网络

①云内互通——同一VPC互通

默认情况下，同一个 VPC 的所有子网内的弹性云服务器均可以进行通信。用户也可通过安全组或者网络 ACL 控制流量的进出。

默认情况下，同一个 VPC的所有子网内的弹性云服务器均可以进行通信，不同VPC 的弹性云服务器不能进行通信。当用户创建虚拟私有云时，系统会自动创建一张默认路由表，其路由规则保证了虚拟私有云内的所有子网互通。用户也可以添加自定义路由规则，将指定目标网段的流量路由至指定目的地。

②同Region不同VPC互通——对等连接

对等连接是指两个 VPC 之间的网络连接。可以使用私有 IP 地址在两个 VPC 之间进行通信，就像两个 VPC 在同一个网络中一样。

• 对等连接支持在相同区域内的两个 VPC 间创建。 VPC 可以位于不同租户内。

• 两个 VPC 间不能同时建立多个对等连接。

• 针对两个 VPC 中的网段建立的对等连接，需确保两端建立对等连接的网段没有重叠网段。

• 创建对等连接后，需要在 两端VPC内添加对等连接路由信息 ，才能使两个 VPC 互通。

• 对等连接具有不可传递性，即 VPC A 与 VPC B ， VPC B 与 VPC C 已分别建立对等连接，那 VPC A 和 VPC C 不能直接对等连接。

③同Region不同VPC互通——VPC终端节点

VPC 终端节点（ VPC Endpoint ，简称 VPCEP ）是一项扩展 VPC 能力的云服务，该服务建立在 VPC 内，能使用户将 VPC 私密地连接到终端节点服务，无需弹性 IP ，为用户提供性能强大、组网灵活、安全稳定的网络环境。

• VPC 终端节点提供“ 终端节点服务 ”和“ 终端节点 ”两种资源。

• 终端节点服务：是指云服务或用户私有服务，可以通过配置在 VPC 终端节点中提供服务。用户可以在 VPC 中创建自己的应用程序，并将其配置为 VPC 终端节点支持的服务，即终端节点服务。

• 终端节点：在 VPC 和终端节点服务之间提供连接通道。用户可以在 VPC 中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他 VPC 可以通过创建在自己 VPC 内的终端节点，与终端节点服务之间获得连接，进行通信。

④不同Region不同VPC互通——云连接

云连接为用户 提供一种能够快速构建跨区域VPC之间高速、优质、稳定的网络能力 。

通过云连接将 用户所需要实现互通的不同区域的网络实例加载到云连接实例中 ，这里的网络实例可以是同区域的 VPC ，也可以是不同区域经过授权的 VPC ，通过云连接服务，都可以实现私网互通。

• 每个云连接实例在每个区域支持默认支持加载 6 个网络实例。

• 每个云连接实例支持加载的区域数默认为 6 个。

• 一个VPC 仅可以加载到一个云连接实例中。

• 每个网络实例最多加载 50 个 CIDR 。

• 在同一个云连接实例里，所有网络实例的CIDR 不能重叠，子网网段不能冲突，否则可能会引起互通问题。

• 在云连接实例中加载 VPC 网络实例，通过自定义网段类型的 VPC CIDR 时，不能引入回环地址、组播地址或广播地址。

2.云内与外网互通

云内与外网互通涉及到 私网IP和公网IP的IP地址转换： 弹性IP服务和NAT网关

①弹性IP服务

弹性IP （ Elastic IP ，简称 EIP ），是基于云外网络（简称外网，云外网络一般是外网 Internet 也可以是企业内部局域网）上的静态 IP 地址， 是可以通过外网直接访问的IP地址，通过NAT方式映射到被绑定的实例上 。

弹性 IP （ Elastic IP ），提供了用户从外网访问云数据中心内虚拟机的能力，弹性 IP 业务需结合虚拟机或负载均衡业务使用，用户可以自主将申请的公网 IP 绑定到 ECS ， BMS ， ELB 或者 VIP 上，从而实现将云数据中心的业务开放到外网上面。

EIP应用场景：

单台云服务器访问外网

多台云服务器访问外网

②NAT网关

NAT网关（NAT Gateway）能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器）提供网络地址转换服务，使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。NAT网关分为SNAT和DNAT两个功能。

源网络地址转换（SNAT）

用于将内部网络中的源IP地址转换为公共网络可路由的IP地址。

SNAT通常用于实现多个内部设备共享一个公共IP地址访问互联网的情况。当内部设备发送请求到公共网络时，SNAT会将请求的源IP地址修改为公共IP地址，以确保响应能够正确返回到内部网络。

目标网络地址转换（DNAT）

主要用于将外部请求的目标IP地址转换为内部网络中的特定IP地址。

NAT通常用于提供服务器的外部访问，例如Web服务器或邮件服务器。当外部用户发送请求到公共IP地址时，DNAT会将请求的目标IP地址修改为服务器的内部IP地址，从而确保请求能够正确路由到服务器。

3.云内与本地IDC互通

能够实现云内与本地数据中心互通的云服务有：虚拟专用网络（VPN）、云专线、二层桥接。

①虚拟专用网络

虚拟专用网络（ Virtual Private Network, VPN ），提供端到端的私有访问通道。 IPSec VPN 业务用于在公用网络上，为远端用户和 VPC 之间建立一条安全加密的通信隧道，使远端用户通过 IPSec VPN 直接访问 VPC 中路由网络内的业务资源。

②云专线

云专线（ Direct Connect ）是搭建在用户本地数据中心与云上虚拟私有云（ Virtual Private Cloud ，以下简称 VPC ）之间的高安全、高速度、低延迟、稳定可靠的专属连接通道。

③ 二层桥接

二层桥接（ L2 Bridge ）是高速、低时延、稳定安全的专属二层连接通道，用于实现在数据中心部署过程中，将物理服务器功能迁移到虚拟机中，但是由于某些特殊的功能无法迁移到虚拟机中，需要在数据中心的虚拟私有云（ Virtual Private Cloud ， VPC ）和传统 VLAN 网络的之间实现二层互通的场景。同时可扩展支持组播能力，满足城轨云、媒体云等有组播需求的场景。