37.华为云网络类云服务

网络类云服务核心配置：功能、作用与用法

1 VPC（虚拟私有云）核心配置

1.1 VPC 基础配置

1.1.1 核心功能

• 资源隔离：在公有云环境中划分独立虚拟网络空间，实现不同业务系统间的网络隔离，保障数据安全。

• 自主管控：支持自定义网段、路由表、网关等网络参数，满足业务对网络架构的个性化需求。

• 跨可用区部署：可覆盖同一区域多个可用区，为业务提供高可用网络支撑，避免单点故障。

1.1.2 关键配置用法

• 网段规划：

  • 作用：确定 VPC 及子网的 IP 地址范围，避免与其他网络（如企业内网、其他 VPC）网段冲突，影响通信。

  • 用法：常用私有网段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16），根据业务规模划分子网（如 / 24 网段支持 254 个可用 IP），子网需属于 VPC 网段且不重叠。

• 路由表配置：

  • 作用：控制 VPC 内流量走向，实现不同子网、跨 VPC 及公网通信。

  • 用法：默认路由表已包含子网间转发规则；如需跨 VPC 或访问公网，需手动添加路由条目，指定 “目的地址”（目标网络网段）和 “下一跳”（对等连接、VPN 网关、Internet 网关等）。

1.2 子网配置

1.2.1 核心功能

• 细分网络：将 VPC 按业务模块（如前端服务、后端数据库）拆分为子网，便于网络管理和流量控制。

• 可用区关联：子网绑定特定可用区，实现业务跨可用区部署，提升系统容灾能力。

• 安全分区：结合网络 ACL 实现子网级安全防护，对不同子网设置差异化访问控制策略。

1.2.2 配置用法

• 子网划分：

  • 作用：按业务功能隔离资源，例如将 Web 服务器部署在前端子网，数据库服务器部署在后端子网，减少攻击面。

  • 用法：根据业务节点数量确定子网大小（如小型业务用 / 24 网段，大型业务用 / 22 或 / 23 网段），同一业务模块的资源部署在同一子网。

• 与其他服务关联：

  • 作用：为 ECS、ELB 等计算资源提供网络接入点，确保资源能接入 VPC 网络。

  • 用法：创建 ECS、ELB 等资源时，需选择所属 VPC 和子网，资源将自动获取子网内的私有 IP，接入 VPC 网络。

2 跨 VPC 通信：对等连接配置

2.1 对等连接核心功能

• 同区域私网通信：实现同一云区域内两个 VPC 之间的私有网络互通，无需经过公网，降低通信时延和数据泄露风险。

• 带宽无限制：基于云厂商骨干网络传输，通信带宽仅受实例规格限制，满足高带宽业务需求（如跨 VPC 数据同步）。

• 成本优化：避免跨 VPC 流量走公网产生的带宽费用，降低企业网络成本。

2.2 配置用法

• 创建对等连接：

  • 作用：建立两个 VPC 的逻辑连接通道，为后续通信奠定基础。

  • 用法：指定 “本端 VPC” 和 “对端 VPC”（需同区域、同账户或已授权跨账户），系统自动创建连接通道，状态变为 “已接受” 即表示通道就绪。

• 路由表配置（关键步骤）：

  • 作用：让两个 VPC 内的实例知道如何将流量转发到对方网络。

  • 用法：

1. 本端 VPC 路由表：添加 “目的地址 = 对端 VPC 网段”“下一跳 = 对等连接” 的路由条目。

2. 对端 VPC 路由表：添加 “目的地址 = 本端 VPC 网段”“下一跳 = 对等连接” 的路由条目。

• 注意：两端路由表需同时配置，否则仅单向通信或无法通信。

3 安全组配置

3.1 安全组核心功能

• 实例级防护：作为 ECS 等实例的虚拟防火墙，控制实例的入站和出站流量，是云资源的第一道安全防线。

• 状态检测：支持状态检测功能，对于实例主动发起的连接（如 ECS 访问公网），返回流量会自动放行，无需额外配置。

• 动态调整：可随时添加、修改或删除规则，无需重启实例，不影响业务运行。

3.2 关键规则配置用法

• 入方向规则：

  • 作用：控制外部流量（如公网、其他 VPC 实例）能否访问实例的特定端口。

  • 用法：

    • 协议 / 端口：根据业务需求指定（如 SSH 登录用 TCP 22，Web 服务用 TCP 80/443，Ping 测试用 ICMP）。

    • 源地址：限制允许访问的来源（如仅允许企业内网 IP 访问数据库端口，避免公网暴露；允许所有 IP 访问 Web 端口则设为 0.0.0.0/0）。

    • 优先级：数字越小优先级越高，冲突时高优先级规则生效（如拒绝规则优先级高于允许规则时，优先执行拒绝）。

• 出方向规则：

  • 作用：控制实例能否访问外部网络的特定资源。

  • 用法：默认规则通常为 “允许所有流量”，如需限制（如禁止实例访问公网特定 IP），可添加 “协议 = 任意”“目的地址 = 目标 IP / 网段”“动作 = 拒绝” 的规则。

• 跨安全组通信配置：

  • 作用：实现不同安全组实例间的定向通信，例如让 Web 服务器安全组实例访问数据库服务器安全组实例。

  • 用法：在数据库安全组入方向添加规则，“源地址 = Web 服务器安全组 ID”“协议 / 端口 = 数据库端口（如 MySQL 3306）”，无需指定具体 IP，灵活适配实例动态增减。

4 网络 ACL（访问控制列表）配置

4.1 网络 ACL 核心功能

• 子网级防护：作用于子网，对子网内所有实例的入站和出站流量进行控制，作为安全组的补充防护层。

• 无状态防护：不记录连接状态，入站和出站规则需单独配置（如允许外部访问实例 80 端口，需同时配置入站允许 80 端口和出站允许返回流量）。

• 规则顺序生效：按优先级顺序执行规则，匹配到第一条规则后即停止处理，不存在状态检测带来的自动放行逻辑。

4.2 配置用法

• 规则配置逻辑：

  • 作用：通过 “允许” 或 “拒绝” 规则，精确控制子网级流量，例如禁止子网内所有实例被 Ping，或仅允许特定 IP 访问子网内实例。

  • 用法：

1. 入站规则：先配置精细化拒绝规则（如拒绝所有 IP 的 ICMP 协议），再配置允许规则（如允许特定 IP 的 TCP 22/80 端口）；默认规则为 “拒绝所有”，需手动添加允许规则才放行流量。

2. 出站规则：如需限制实例对外访问，可添加拒绝规则（如拒绝访问特定公网 IP），默认规则为 “允许所有”。

• 与安全组的配合使用：

  • 作用：形成 “子网级 + 实例级” 双层防护，提升网络安全性。

  • 用法：网络 ACL 先过滤子网层面的恶意流量（如禁止外部所有 ICMP 流量），安全组再针对实例细化规则（如仅允许管理 IP 的 SSH 流量），两者规则无冲突时，需同时满足才放行流量。

5 EIP（弹性公网 IP）配置

5.1 EIP 核心功能

• 公网访问入口：为无公网 IP 的 ECS、ELB 等资源分配独立公网 IP，实现资源与公网的双向通信（如用户访问 Web 服务、实例访问公网下载资源）。

• 弹性绑定 / 解绑：可在不同资源间灵活迁移（如 ECS 故障时，将 EIP 解绑并绑定到备用 ECS，实现业务快速恢复），IP 地址可长期保留（需手动释放）。

• 带宽灵活调整：支持按需调整带宽大小，满足业务流量波动需求（如促销活动时临时提升带宽，活动结束后降低带宽，降低成本）。

5.2 配置用法

• EIP 绑定：

  • 作用：为目标资源赋予公网通信能力。

  • 用法：选择需绑定的资源（ECS、ELB 等），系统自动完成网络配置，绑定后资源即可通过 EIP 访问公网或被公网访问；注意同一 EIP 同一时间仅能绑定一个资源。

• 通信测试验证：

  • 作用：确认 EIP 配置生效，资源能正常与公网通信。

  • 用法：

1. 实例访问公网：在实例内部执行ping 公网域名（如www.baidu.com）或curl 公网地址，能正常获取响应即表示公网访问正常。

2. 公网访问实例：通过本地设备ssh 用户名@EIP（Linux 实例）或远程桌面连接（Windows 实例），能成功登录即表示公网访问实例正常；若失败，需检查安全组是否放行对应端口（如 22 端口、3389 端口）。

• EIP 解绑与释放：

  • 作用：资源无需公网访问时，解绑 EIP 可避免不必要的成本消耗；长期无需使用时释放 EIP，避免 IP 资源浪费。

  • 用法：先解绑 EIP（确保资源无活跃连接），解绑后可选择保留 EIP（后续复用）或释放 EIP（彻底删除，无法恢复）。

6 ELB（弹性负载均衡）核心配置

6.1 ELB 核心功能

• 流量分发：将公网或私网访问流量均匀分配到后端多台 ECS 实例，避免单台实例过载，提升业务处理能力。

• 健康检查：实时监测后端实例运行状态，自动剔除故障实例（如实例宕机、服务异常），将流量转发到正常实例，保障业务可用性。

• 会话保持：针对电商购物车、用户登录等场景，可配置会话保持功能，将同一用户的请求持续转发到同一实例，确保业务连续性。

6.2 关键配置用法

• 监听器配置：

  • 作用：接收客户端请求并转发到后端实例，是 ELB 与客户端、后端实例的通信桥梁。

  • 用法：

1. 前端配置：指定 “协议 / 端口”（如 HTTP/80、HTTPS/443），客户端通过该端口访问 ELB。

2. 后端配置：指定 “后端协议 / 端口”（需与实例服务端口一致，如实例 Web 服务运行在 8080 端口，则后端端口设为 8080），ELB 通过该端口与实例通信。

3. 健康检查：配置检查方式（HTTP、TCP、ICMP），例如 HTTP 检查可指定 “检查路径（如 /health）”，实例返回 200 状态码即视为正常；检查间隔和超时时间根据业务响应速度设置（如间隔 5 秒，超时 3 秒）。

• 后端服务器组配置：

  • 作用：管理需负载均衡的实例集合，实现流量在实例间的合理分配。

  • 用法：

1. 添加实例：将同一业务的多台实例加入服务器组，实例需与 ELB 在同一 VPC（私网 ELB）或可通过公网 / 对等连接通信（公网 ELB）。

2. 权重设置：通过调整实例权重（0-100）控制流量分配比例，权重越高的实例接收的流量越多（如性能好的实例设置更高权重）；权重设为 0 时，实例不再接收新流量，可用于实例升级、维护场景。

• 负载均衡策略：

  • 作用：决定流量如何分配到后端实例，适配不同业务需求。

  • 用法：

1. 加权轮询：按实例权重比例依次分配流量，适用于实例性能相近、无会话依赖的场景（如静态资源服务）。

2. 加权最小连接：优先将流量分配到当前连接数最少的实例，适用于实例性能差异大、请求处理时间不均的场景（如动态 API 服务）。

3. 源地址哈希：根据客户端 IP 地址哈希分配实例，确保同一客户端请求始终转发到同一实例，适用于需会话保持的场景（如用户登录状态管理）。