云网络基础概念（华为云）

一、虚拟网络

1、VPC概念

华为云提供的虚拟网络环境的基础单元是虚拟私有云（Virtual Private Cloud）。

VPC和传统的物理三层网络类似,也包括路由器、子网、子网网关、IP地址等传统概念。
典型组网逻辑如下：

网络基础知识请点击此处

2、基本原理

1、软件定义网络：
为了满足海量租户私有的,隔离的网络环境,以及规模、性能、灵活性上的要求,VPC网络和物理网络实现完全不一样，是基于物理网络通过软件和逻辑隔离实现的，路由器、子网网关并无对应的实体，而是软件实现的业务逻辑功能。
租户隔离是VPC的核心功能。为了解哪个资源是给定VPC的一部分,VPC服务从底层物理基础架构中抽象出给定的VPC,维护了有关给定VPC的所有资源的信息,以及和物理层面资源信息的映射表,包括运行资源的**基础物理服务器的IP地址。**VPC服务是每个VPC的拓扑信息的权威来源。
一个网卡下虚拟出多个虚拟机（VM），为了区分不同VM，通过网卡本身的MAC地址和虚拟机自身的虚拟MAC地址区分不同的虚拟机。

2、创建虚拟机
创建VM时,会在宿主机内部创建VM所属的子网网络以及对应VPC服务的代理程序(VPC agent )。
子网和SDN代理是基于宿主机软件能力,采用类似linux bridge/OVS等技术搭建的网络基。
如果宿主机创建过该VPC其他子网的VM,只需要创建对应的子网网络并挂载VM即可。
宿主机上所有VM隶属多少个VPC ,就有多少个VPC。

VPC Agent从VPC服务获取了VPC/子网网络的所有信息。甚至包括不在本宿主机的VPC内其他VM的信息,比如:IP地址，MAC地址，宿主机IP等。
3、隧道封装技术
转发IP报文作为报文内容，封装在源IP: 10.10.10.2;目的IP :10.10.10.3的IP报文内,同时有对应的VPC的标签。
宿主机2收到源IP : 10.10.10.2;目的IP : 10.10.10.3的IP报文后,会将IP报文提取出来,根据VPC的标签,选择VPC1的agent处理。
4、子网内数据流-VM1发送报文给VM3

1、VM1发送目的地址解析报文(ARP)广播,请求获取192.168.1.11 IP地址的MAC地址。
2、对应VPC1的agent,判断是同子网的IP ,通过查询映射表获取VM3的MAC地址后答复给VM1。
3、 VM1发送IP报文给VPC1的agent ,报文的源IP : 192.168.1.10 ；目的IP : 192.168.1.11 ；源MAC是VM1的,目的MAC是VM3的。
4、 VPC1的agent同样查表获取同VPC IP地址192.168.1.11的宿主机2的位置,通过隧道封装技术,转发IP报文给宿主机2上VPC1的agent。
5、宿主机2上的VPC1 agent根据转发报文的源/目的IP,判断是子网内报文,选择在子网1接口上发送转发IP报文给VM3。
简单来说，VM1向VM3发送报文时，VM1先发给VPC1 agent，判断是同子网，则通过查找映射表获得VM3的MAC地址并发送给VM1，

5、跨子网数据流: VM1发送报文给VM2

1、 VM1根据192.168.1.0/24网段配置确认,目的IP地址192.168.2.5不在同一个网段。故查找路由表,明确报文的下一跳是192.168.1.1网关。
2、 VM1发送目的地址解析报文(ARP)广播,请求获取192.168.1.1网关IP地址的MAC地址。
3、对应VPC1的agent答复1.1网关的MAC地址给VM1。
4、VM1发送IP报文给VPC1 agent,报文的源IP: 192.168.1.10 ;目的IP : 192.168.2.5 ;源MAC是VM1的,目的MAC是1.1网关。
5、 VPC1 agent通过查询映射表获取到同VPC IP地址192.168.2.5的宿主机2的位置,通过隧道封装技术,转发IP报文给宿主机2的VPC1 agent。
6、宿主机2的VPC1 agent根据转发报文的源/目的IP ,判断是跨子网报文。
选择在子网2以192.168.2.1网关IP的MAC地址发送目的地址解析报文(ARP)广播,请求获取192.168.2.5 IP地址的MAC地址。
7、 VM2答复MAC地址给2.1的网关IP。
8、宿主机2的VPC1 agent修改转发报文的源MAC为2.1的MAC地址,目的MAC为2.5的MAC地址,源/目的IP保持不变发送给VM2。

二、网络服务

虚拟私有云( Virtual Private Cloud )
用户通过创建VPC获得华为云上隔离的,私有的虚拟网络环境。用户可以完全控制VPC:创建子网，自定义配置IP地址范围，路由表和网关。
同时,基于VPC环境,用户还可以继续使用华为云提供其他网络云服务,实现公网访问、私网接入等复杂业务场景。

1、弹性公网IP ( Elastic IP)

提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。

2、NAT网关( NAT Gateway )

能够为VPC内的弹性云服务器提供SNAT和DNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出入口。

3、弹性负载均衡( Elastic Load Balance )

将访问流量自动分发到多台云服务器,扩展应用系统对外的服务能力,实现更高水平的应用容错。

4、云解析服务( Domain Name Service)

提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上。

5、终端节点（VPC Endpoint）

在VPC内提供便捷、安全、私密的通道与终端节点服务(华为云服务、用户私有服务)进行连接,该服务使用华为云内部网络,无需弹性公网IP,为您提供性能更加强大、更加灵活的网络。

6、云专线(Direct Connect)

用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,充分利用华为云服务优势的同时,继续使用现有的IT设施,实现灵活一体,可伸缩的混合云计算环境。

7、虚拟专用网络(Virtual Private Network )

用于搭建用户本地数据中心与华为云VPC之间便捷、灵活，即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。

8、云连接（Cloud Connect）

能够提供一种快速构建跨区域VPC及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。

三、总结

华为云虚拟网络以虚拟私有云（VPC）为核心，VPC是隔离的私有虚拟网络环境，基于软件定义网络实现，通过隧道封装技术等进行数据传输。用户可创建VPC并完全控制其子网、IP地址范围等配置。此外，华为云还提供弹性公网IP、NAT网关、弹性负载均衡、云解析服务、终端节点、云专线、虚拟专用网络、云连接等多种基于VPC的网络服务，帮助用户实现复杂的网络业务场景和混合云计算环境构建。