云服务培训四-网络服务

 如上图所圈，这次主要学习虚拟私有云VPC、弹性公网IP和NAT网关相关内容。

一、虚拟私有云VPC 

VPC概述

虚拟私有云（Virtual Private Cloud，VPC）是用户在云上的私有网络，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。

VPC组成 

私有网段是用户创建虚拟私有云时指定的网段，必须是私网的网段。一般会创建一个比较大的网段，再进行子网划分分配给不同应用。而系统会自动生成默认路由表，作用是保证同一个虚拟私有云下的所有子网互通。

当默认路由表中的路由策略无法满足应用时，可以通过创建自定义路由表来解决。

VPC与子网之间是什么关系呢？

eg：假设VPC创建时申请了一段IP地址范围，有1万个IP地址，这些IP地址不会直接提供给服务器使用，而是需要用到子网把这些IP地址分散到不同子网内，然后用户就能把服务器如ECS、RDS等“扔”到相关的子网里，获得子网所在的网段（子网私有IP范围，即子网网段，是VPC的一个子集）。

=> 建议在创建子网时用业务的逻辑来设计子网，即把相似逻辑的节点放在相同子网内。

eg：与前端相关的web server全部放在一个子网里，而与后端相关的应用服务器又全部放在另一个新的子网里；有点类似于前后端分离架构所体现的分而治之、职责分离的思想。

VPC路由

一个子网只能关联一个路由表 => 每个子网的出流量走向只能由一个路由表来控制。 

VPC网络安全控制

VPC支持的安全防护策略有网络ACL与安全组，二者有啥区别？

=> 安全组是节点防火墙，进出节点的流量都要检查； 

=> 网络ACL是子网防火墙，只检查跨子网流量，不管子网内流量。

安全组

安全组是一个逻辑上的分组。用户可以在安全组中定义访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

安全组中包括入方向规则和出方向规则，用来控制安全组内实例入方向和出方向的网络流量。

上图安全组SGA的规则配置解读如下：

规则1 => 允许所有来源的ICMP流量进入安全组SGA内的实例（ICMP协议通常用于网络诊断工具，如Ping命令），这条规则确保了这些工具可以正常使用。

规则2 =>允许来自同一安全组SGA内的所有流量进入实例，这意味着安全组SGA内的实例之间可以互相通信，无论使用什么协议或端口。

规则3 => 允许安全组SGA内的实例向所有目的地址发送所有类型的流量，确保了实例可以与外部网络进行通信。

网络ACL

1）网络ACL是一个子网级别的可选安全层，类似于通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 

2）网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。

3）网络ACL可同时关联多个子网，但一个子网只能关联一个网络ACL。

二、云上网络的连通性

首先来思考一个问题：同一Region下，两台位于不同VPC的ECS能通过私有IP相互通信吗？

=> 可以，建立对等连接。

几点注意：

=> 对等连接不支持跨区域，即不能跨区域建立虚拟私有云之间的直接连接 

=> 私有通信：虚拟私有云之间的通信是私有的，不会通过互联网进行，保证了安全性与隐私。

三、弹性公网IP（EIP） 

ECS是否能够连接到互联网？

可以试试为其绑定弹性IP

除了私有通信，云上业务大多数需要访问互联网暴露服务，又该用什么方法呢？绑定弹性公网IP（EIP）

弹性公网IP（Elastic IP，EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。

四、NAT网关 

如果多台ECS都有连接到互联网的诉求，是否需要申请多个EIP呢？

这是一种方案，另外，我们也可以试一下公网NAT网关。

2）特性

=> 多个云主机共享使用弹性公网IP 

=> 支持跨子网部署和跨可用区域部署 

=> 多种网关规格可灵活选择

NAT网关充当虚拟私有云与互联网之间的桥梁，允许虚拟私有云内的资源发送和接收数据；而弹性公网IP使虚拟私有云资源能够与外部互联网进行通信

NAT充当虚拟私有云VPC与互联网之间的桥梁