01 課程內容介紹
課程實戰目標
傳統架構和阿里雲架構對比
02 VPC整體網絡內容
03 地域和可用區
地域
地域是指物理的數據中心。當前可選的地域、地域所在城市和 Region ID 的對照關系如下表所示。您也可以在 OpenAPI Explorer 上通過 API 接口 DescribeRegions 查看完整的地域列表。
資源創建成功后不能更換地域。
- 中國大陸
| 地域名稱 | 華北 1 | 華北 2 | 華北 3 | 華北 5 | 華東 1 | 華東 2 | 華南 1 |
|---|---|---|---|---|---|---|---|
| 所在城市 | 青島 | 北京 | 張家口 | 呼和浩特 | 杭州 | 上海 | 深圳 |
| RegionId | cn-qingdao | cn-beijing | cn-zhangjiakou | cn-huhehaote | cn-hangzhou | cn-shanghai | cn-shenzhen |
| 可用區數量 | 2 | 5 | 2 | 1 | 5 | 4 | 3 |
- 其他國家和地區
| 地域名稱 | 香港 | 亞太東南 1 | 亞太東南 2 | 亞太東南 3 | 亞太南部 1 | 亞太東北 1 | 美國西部 1 | 美國東部 1 | 歐洲中部 1 | 中東東部 1 |
|---|---|---|---|---|---|---|---|---|---|---|
| 所在城市 | 香港 | 新加坡 | 悉尼 | 吉隆坡 | 孟買 | 東京 | 硅谷 | 弗吉尼亞 | 法蘭克福 | 迪拜 |
| RegionId | cn-hongkong | ap-southeast-1 | ap-southeast-2 | ap-southeast-3 | ap-south-1 | ap-northeast-1 | us-west-1 | us-east-1 | eu-central-1 | me-east-1 |
| 可用區數量 | 3 | 2 | 1 | 1 | 1 | 1 | 2 | 1 | 1 | 1 |
其中,
-
華東 1、華東 2、華北 1 、華北 2、華北 3、華北 5、華南 1
提供多線 BGP 骨干網線路,網絡能力覆蓋中國大陸各省市,實現穩定高速中國大陸地域訪問。
-
香港
提供國際帶寬訪問,覆蓋香港、東南亞等地域。
-
亞太東南 1
合作伙伴為 SingTel(新加坡電信),是東南亞優勢運營商,公司業務能力、成熟度各方面非常可靠,可以滿足周邊用戶需求。
-
亞太東南 3
網絡能非常好地覆蓋東南亞本地周邊國家及地區客戶群,提供高速低延遲的服務質量。可以滿足東南亞區域的需求,覆蓋馬來西亞、新加坡、泰國及周邊國家。
-
美國西部 1
位於美國西部硅谷,通過 BGP 線路直接接連多家美國運營商骨干網,可覆蓋全美,同時可以很好地輻射南美洲和歐洲大陸。
可用區(Zone)
可用區是指在同一地域內,電力和網絡互相獨立的物理區域。同一可用區內的 ECS 實例網絡延時更小。
在同一地域內可用區與可用區之間內網互通,可用區之間能做到故障隔離。是否將雲服務器 ECS 實例放在同一可用區內,主要取決於對容災能力和網絡延時的要求。
- 如果您的應用需要較高的容災能力,建議您將 ECS 實例部署在同一地域的不同可用區內。
- 如果您的應用在實例之間需要較低的網絡時延,則建議您將 ECS 實例創建在相同的可用區內。
您可以在 地域列表 中查看每個地域的可用區數量。您也可以在 OpenAPI Explorer 上通過 API 接口 DescribeZones 查看完整的可用區列表。
如何選擇地域
選擇地域時,您需要考慮幾個因素:
- 實例所在的地域、您以及您的目標用戶所在的地理位置
- 雲服務器 ECS 與其他阿里雲產品之間的關系
- 資源的價格
- 某些地區的特殊要求,如中國大陸地域的 ECS 實例用作 Web 服務器,需要完成經營許可證備案
地理位置
您需要根據您以及自己的目標用戶所在的地理位置選擇地域。
-
中國大陸
一般情況下建議選擇和您目標用戶所在地域最為接近的數據中心,可以進一步提升用戶訪問速度。不過,在基礎設施、BGP 網絡品質、服務質量、雲服務器操作使用與配置等方面,阿里雲中國大陸地域沒有太大區別。中國大陸 BGP 網絡可以保證中國大陸全部地域的快速訪問。
-
其他國家及地區
其他國家及地區提供國際帶寬,主要面向非中國大陸地區用戶。如果您在中國大陸,使用這些地域會有較長的訪問延遲,不建議您使用。
- 對香港、東南亞有需求的用戶,可以選擇香港地域、亞太東南 1 地域或亞太東南 3 地域。
- 對日、韓有需求的用戶,可以選擇亞太東北 1 地域。
- 對印度有需求的用戶,可以選擇亞太南部 1 地域。
- 對澳大利亞地區有需求的用戶,可以選擇亞太東南 2 地域。
- 對美洲有需求用戶,可以選擇美國地域。
- 對歐洲大陸有需求的用戶,可以選擇歐洲中部 1 地域。
- 中東用戶,可以選擇中東東部 1 地域。
服務器 ECS 與其他阿里雲產品之間的關系
如果您的 ECS 實例需要與其他阿里雲產品一起搭配使用,需要注意:
- 不同地域的雲服務器 ECS、關系型數據庫 RDS、對象存儲服務 OSS 內網不互通。
- 不同地域之間的雲服務器 ECS 不能跨地域部署負載均衡,即在不同的地域購買的 ECS 實例不支持跨地域部署在同一負載均衡實例下。
ECS 實例的價格
不同地域價格可能有差異。具體價格請參考 ECS 價格總覽。
關於經營許可證備案
如果您在中國大陸地域購買了 ECS 實例,並用於 Web 服務器,您需要完成經營許可證備案。
如您有辦理經營許可證備案的需求,請您重點關注:
- 北京 地區企業,請選擇購買的地域為 華北 2。
- 廣東 地區企業,請選擇購買的地域為 華南 1。
說明:各省通信管理局對經營性備案的審批要求不同,如有變化,請以當地管局經營性備案網站公示內容為准。請參考《各省經營性備案網站鏈接》。
關於地域和可用區的更多信息,請參見 阿里雲全球基礎設施。
04 經典網絡和VPC網絡對比
阿里雲面向客戶提供的網絡類型服務有經典網絡和專有網絡兩種,但這兩者有什么區別呢?阿里官網給的解釋是:
經典網絡:IP地址由阿里雲統一分配,配置簡便,使用方便,適合對操作易用性要求比較高、需要快速使用 ECS 的用戶。
專有網絡:是指邏輯隔離的私有網絡,您可以自定義網絡拓撲和 IP 地址,支持通過專線連接。適合於熟悉網絡管理的用戶
相信很多人看了這個解釋還是雲里霧里,作為用戶你該如何判斷哪一種是適合自己的網絡類型呢:
其實,可以這樣簡單地理解,從公網ip來講,經典網絡和專有網絡沒有區別;從內網ip來講,經典網絡是DHIP,也就是自動分配局域網ip地址,而專有網絡則是手工分配局域網ip地址,這樣方便有多台雲服務器的用戶自行定義內網ip結構。所以,如果用戶只有一台服務器,或者有多台服務器但不需要進行內網互聯,那么這兩種網絡都可以選擇的。
但從安全上講,因為經典網絡是阿里雲自動分配的ip地址,有一定的規律性,那么黑客也就可以利用內網ip進行局域網攻擊,雖然在阿里雲的安全體系下有些難度,但事實也證明了有被攻擊的可能性。而專有網絡因為是自定義局域網ip,那么黑客就沒那么容易進入用戶的內網進行攻擊了。
經典網絡阿里雲一經初始化了很多參數,適合快速入門ECS的用戶;專有網絡:適合精通網絡管理的用戶,定制型可擴展型更強,是邏輯隔離的私有網絡支持用戶自定義網絡拓撲和ip地址。
05 如何查看VPC內容VPC通信
VPC與VPC通信
默認情況,不同專有網絡間的ECS不能直接進行私網通信。
您可以使用高速通道的路由器接口,在兩側VPC的路由器上分別創建路由器接口,以及自有的骨干傳輸網絡來搭建高速通道,輕松實VPC之間安全可靠、方便快捷的通信。配置詳情參考同賬號下專有網絡內網互通。
VPC與經典網絡通信
如下圖所示,專有網絡內的ECS不能訪問經典網絡的ECS或者雲服務。
-
VPC訪問經典網絡
VPC與經典網絡可以通過公網IP進行通信。只要VPC和經典網絡中的ECS實例或雲實例的公網IP符合下表中的任意一一條要求,專有網絡就可以訪問經典網絡的雲服務。
| 網絡 | 配置要求 |
|---|---|
| VPC |
|
| 經典網絡 |
|
-
經典網絡訪問VPC
反之,經典網絡也可以通過公網IP訪問VPC,只要VPC中的ECS實例或雲服務也配置了公網IP。
| 網絡 | 配置要求 |
|---|---|
| 經典網絡 |
|
| VPC |
|
VPC與Internet通信
默認情況下,專有網絡內的ECS不能與公網互通。您可以通過以下途徑中的一種打通VPC與公網的通信:
-
為專有網絡中的ECS實例分配公網IP,實現專有網絡與公網的通信。詳情參考分配公網IP。
-
您可以通過在ECS上綁定彈性公網IP,實現專有網絡與公網的互通。詳情參考彈性公網IP。
-
在專有網絡的ECS上設置NAT網關,實現專有網絡與公網的互通。詳情參考端口映射和SNAT設置。
注意: 如果您有多台ECS需要和公網互通,您可以使用NAT網關的共享帶寬包,一個帶寬包內的所有ECS實例共享帶寬,以節省您的費用。
-
專有網絡的ECS實例添加到一個公網負載均衡實例中。詳情參考配置公網負載均衡。
注意:此情形下,專有網絡中的ECS實例不能訪問公網,只能接收負載均衡轉發的公網請求。
VPC與本地IDC通信
默認情況下,本地IDC網絡中心和專有網絡之間不能通信,您可以通過以下途徑打通本地IDC與VPC之間的通信:
-
您可以使用高速通道的物理專線來連通本地IDC到阿里雲的專線接入點,並建立虛擬邊界路由器作為VPC到IDC的數據轉發橋梁。詳情參考專線接入。
-
您可以使用VPN網關來實現本地IDC網絡中心與專有網絡的互通,詳情參考搭建VPN網關。
06 應用場景
場景一:本地數據中心+雲上業務的混合雲模式
如果您有以下業務需求,建議您使用VPC+高速通道+ECS+RDS的配置架構。
- 將內部核心系統與核心數據放置在自建數據中心以確保核心數據的安全;
- 雲上部署對外客戶的應用系統,實時應對業務訪問量激增。
架構解讀:使用VPC、RDS、ECS搭建雲上業務系統,核心數據部署在雲下自建數據中心,使用高速通道專線接入保證雲上數據快速同步,實現雲上雲下數據互通,搭建一個混合雲使用環境。
場景二:多租戶的安全隔離
如果您有以下業務需求,建議使用VPC+ECS+RDS+SLB的配置架構。
- 希望在雲上構建一個完全隔離的業務環境,因為傳統雲架構的多租戶共享機制不能保證數據安全;
- 自主定義私有網絡配置。
架構解讀:您可以在阿里雲上創建一個專有網絡,和其他租戶的網絡完全隔離。您可以完全掌控自己的虛擬網絡,例如選擇自己的IP地址范圍、划分網段、配置路由表和網關等,從而實現安全而輕松的資源訪問和應用程序訪問。此外,您也可以通過專線或VPN等連接方式將您的專有網絡與傳統數據中心相連,形成一個按需定制的網絡環境,實現應用的平滑遷移上雲和對數據中心的擴展。
場景三:主動訪問公網的抓取類業務
如果您有以下業務需求,建議使用VPC+ECS+NAT網關的配置架構。
- 專有網絡中的多個服務器可以主動訪問互聯網;
- 避免這些服務器的公網IP暴露在公網上。
架構解讀: 您可以對專有網絡中的同一虛擬交換機下的所有ECS做SNAT配置,多台ECS通過同一公網IP訪問互聯網,並可隨時進行公網IP替換,避免被外界攻擊。
場景四:多個應用流量波動大——共享帶寬包
如果您有以下需求,建設使用VPC+NAT網關+ECS的配置架構。
- 系統中同時存在多個面向互聯網的應用;
- 各個應用都需要對外提供服務,並且其波峰時間點不一致。
架構解讀:您可以購買多個專有網絡類型的ECS,分別承載不同的應用業務,前端掛載NAT網關,通過配置DNAT IP轉發規則實現多IP共享帶寬功能,減輕波峰波谷效應,從而減少您的成本。
07 VPC創建服務器創建EIP,連接服務器
創建ECS實例
更新時間:2017-06-30 18:31:52
前提條件
您已經創建了一個專有網絡和交換機,詳情參考創建專有網絡和交換機。
操作步驟
-
登錄專有網絡管理控制台。
-
在左側導航欄,單擊專有網絡。
-
單擊目標專有網絡的ID鏈接,進入專有網絡詳情頁面。
-
在專有網絡詳情左側導航欄,單擊交換機,打開交換機列表頁面。
-
單擊目標交換機的創建實例 > 創建ECS實例選項。
-
根據您的需要配置ECS實例如計費方式、實例規格、鏡像、存儲等,然后單擊立即購買完成支付。具體詳細信息,參考創建ECS實例。
注意: 當您選擇從目標交換機中創建ECS實例時,在購買頁面,系統會自動顯示對應的專有網絡和交換機,無需再重新選擇。本教程中ECS實例的網絡配置如下:
-
公網IP地址:選擇不分配。
稍后綁定一個彈性公網IP(EIP),讓ECS實例可以與公網通信。因為系統分配的公網IP不能與ECS實例解綁,而EIP可以隨時解綁和綁定,所以更加方便也可以節約成本。
-
安全組:選擇默認安全組1(自定義端口),開通ICMP協議。
-
申請EIP
更新時間:2017-11-13 09:04:01
-
登錄彈性公網IP管理控制台。
-
單擊申請彈性公網IP。
-
在購買頁面,選擇您的配置,然后單擊立即支付完成購買。
配置 說明 計費方式 EIP支持預付費和后付費(按量付費)兩種計費方式:
-
預付費:采用包年包月的售賣方式,按固定帶寬計費。
在合同期內,EIP實例只支持升級配置,不支持降級配置或者釋放。
-
后付費:支持按使用流量和按固定帶寬兩種計費方式。
后付費EIP實例可以隨時進行變配和釋放。
關於EIP的產品定價信息,參見計費說明。
地域 選擇EIP的地域。
確保EIP的地域和要綁定的資源(ECS實例、NAT網關、SLB實例)的地域相同。
線路類型 使用BGP(多線)進行路由選擇。 網絡類型 EIP的網絡類型為公網。 帶寬峰值 設置EIP的帶寬峰值。 計費方式 選擇按流量計費還是按固定帶計費。
注意:該選項只適用於后付費實例。
計費周期 顯示計費周期: -
按流量計費的計費周期為小時。
-
按固定帶寬計費的計費周期為天。
注意:該選項只適用於后付費實例。
購買數量 選擇EIP的購買數量。 -
綁定彈性公網IP
前提條件
您已經在專有網絡中創建了ECS實例,並且該ECS實例沒有系統分配的公網IP。
操作步驟
-
登錄彈性公網IP管理控制台。
-
單擊申請彈性公網IP。
-
在購買頁面,選擇EIP的所屬地域、帶寬峰值和計費方式,然后單擊立即購買並完成支付。
注意:EIP的地域必須和要綁定的ECS實例的地域相同。
-
返回EIP列表頁面,選擇EIP的所屬地域,單擊刷新,查看已創建的EIP實例。
-
單擊綁定。
-
在綁定彈性公網IP對話框,選擇已經創建的ECS實例,然后單擊確認。
-
綁定完成后,在EIP列表頁面,單擊刷新,查看EIP實例狀態。
當EIP實例的狀態變成已分配時,綁定了EIP的ECS實例就可以進行公網訪問了。
您可以選擇運行以下命令來測試實例是否可以訪問公網。
ping www.aliyun.com
注意:當不需要公網訪問時,您可以隨時解綁EIP避免不必要的計費,詳情參考解綁EIP。
08 VPC SNAT-DNAT
SNAT
NAT網關提供SNAT功能,為VPC內無公網IP的ECS實例提供訪問互聯網的代理服務。
此外,NAT網關的SNAT功能還可以作為一個簡易防火牆使用。通過SNAT保護后端的服務器,只有后端服務主動和外部終端建立連接后,外部終端才可以訪問內部服務器,而未建立連接的外部不可信終端是無法訪問后端服務器的。
DNAT
NAT網關支持DNAT功能,將NAT網關上的公網IP映射給ECS實例使用,使ECS實例能夠提供互聯網服務。
DNAT支持端口映射和IP映射。
寬帶共享
您可以為NAT網關綁定EIP,再將EIP加入到共享帶寬中即可。EIP加入到共享帶寬后就會停止原有的按流量或按帶寬計費
創建NAT網關
更新時間:2017-11-23 22:04:52
前提條件
您已創建專有網絡。如果還未創建,參考創建VPC。
操作步驟
-
登錄VPC管理控制台。
-
在左側導航欄,單擊NAT網關。
-
單擊創建NAT網關。
-
根據如下信息,配置NAT網關。
配置 說明 地域 選擇NAT網關的所屬地域。
確保NAT網關的地域和VPC的地域相同。
VPC ID 選擇需要配置NAT網關的VPC。創建后,不能修改所選VPC。
若在VPC列表中,找不到所需VPC,可從以下方面進行排查:
-
查看該VPC是否已經配置NAT網關。一個VPC只能配置一個NAT網關。
-
VPC中是否存在目標網段為0.0.0.0/0的自定義路由。若存在,需要刪除該路由條目。
規格 選擇NAT網關的規格。NAT網關的規格會影響SNAT功能的最大連接數和每秒新建連接數,但不會影響數據吞吐量。
注意:NAT網關的規格對DNAT功能的連接數和吞吐量沒有限制。詳情參考規格說明。
計費周期 顯示NAT網關的計費周期。詳情參考計費說明。 -
-
單擊立即購買,完成創建。
注意:NAT網關的創建過程一般需要1-5分鍾。
NAT網關創建成功后,系統會自動為NAT網關創建一張端口轉發表和SNAT表。
EIP綁定NAT網關
更新時間:2017-11-10 14:43:27
您可以將EIP綁定到NAT網關上,然后使用該EIP配置SNAT和DNAT規則,為專有網絡中無公網IP的ECS實例提供公網訪問或向公網提供服務。更多關於NAT網關的功能介紹,參見NAT網關文檔。
注意:如果您在11月3日前購買過NAT帶寬包,無法使用EIP綁定NAT網關的功能。
綁定NAT實例
-
登錄彈性公網IP管理控制台。
-
選擇目標地域,查看該地域下的EIP實例。
若沒有可用的EIP實例,單擊申請彈性公網IP。
注意:確保EIP實例的地域和要綁定的NAT網關的地域相同。詳情參見創建EIP。
-
單擊目標EIP操作列下的綁定。
-
在彈出的對話框中,完成以下操作:
-
實例類型:選擇NAT網關實例。
-
NAT網關:選擇要綁定的NAT網關。
-
單擊確認。
-
09 DNAT全地址轉換有線SNAT地址轉換
管理DNAT表
更新時間:2017-11-24 10:26:37
NAT網關提供DNAT功能,將NAT網關上的公網IP映射給專有網絡的ECS實例使用,使ECS可以面向互聯網提供服務。
DNAT表
NAT網關將DNAT功能的配置,抽象為一張端口轉發表。
在創建NAT網關后,系統會自動在NAT網關中創建一張端口轉發表。您無法新建或刪除端口轉發表,但可通過對端口轉發表中的端口轉發條目進行增刪改查,實現DNAT功能的配置。
DNAT條目
端口轉發表由端口轉發條目組成。一條端口轉發條目由五部分組成:公網IP、公網端口、私網IP、私網端口和協議,如下表所示。其中公網IP是NAT網關綁定的彈性公網IP(EIP),私網IP是專有網絡中ECS實例的IP。
說明:對於2017年11月3日 23:59之前賬戶下存在NAT帶寬包的用戶,DNAT條目中的公網IP是NAT帶寬包提供的公網IP。
一條端口轉發條目的效果是:將收到的指定協議的[私網IP:私網端口]的數據發向指定的[公網IP:公網端口],並將來自[公網IP:公網端口]指定協議的數據發送給指定的[私網IP:私網端口]。
端口映射和IP映射
DNAT功能有兩種使用方式,端口映射與IP映射:
-
端口映射
在配置轉發條目時,需指定公網端口、私網端口和協議,如下表中的條目1和條目2。
-
IP映射
-
在配置轉發條目時,需要將公網端口、私網端口和協議的值選為Any,如下表中的條目3。
IP映射轉發條目的效果是:該私網IP所屬的ECS實例完全獨占該公網IP,入方向出方向均可通信,相當於綁定了一個EIP。
-
DNAT表示例
| 轉發條目 | 公網IP | 公網端口 | 私網IP | 私網端口 | 協議 |
|---|---|---|---|---|---|
| 條目1 | 139.224.xx.xx | 80 | 192.168.x.x | 80 | TCP |
| 條目2 | 139.224.xx.xx | 8080 | 192.168.x.x | 8000 | UDP |
| 條目3 | 139.224.xx.xx | Any | 192.168.x.x | Any | Any |
添加DNAT條目
您可以通過添加DNAT條目,將NAT網關上的公網IP映射給ECS實例使用,使得ECS可以面向互聯網提供服務。詳情參考添加DNAT條目。
編輯DNAT條目
-
登錄VPC管理控制台。
-
在左側導航欄,單擊NAT網關。
-
單擊目標NAT網關的ID鏈接,進入詳情頁面。
-
在左側導航欄,單擊DNAT表。
-
單擊目標DNAT條目的編輯更新DNAT條目配置。
刪除DNAT條目
-
登錄VPC管理控制台。
-
在左側導航欄,單擊NAT網關。
-
單擊目標NAT網關的ID鏈接,進入詳情頁面。
-
在左側導航欄,單擊DNAT表。
-
單擊目標DNAT條目的移除。
-
在彈出的對話框中,單擊確定。
管理SNAT表
更新時間:2017-11-23 22:03:14
NAT網關提供SNAT功能,為VPC內無公網IP的ECS實例提供訪問互聯網的代理服務。
SNAT表
NAT網關將SNAT功能的配置,抽象為一張SNAT表。
在創建NAT網關后,系統會自動在該NAT網關中創建一張SNAT表。您無法新建或刪除SNAT表,但可通過對SNAT表中的SNAT條目進行增刪改查,實現SNAT功能的配置。
SNAT條目
SNAT表由SNAT條目組成。一條SNAT條目由交換機和公網IP組成。交換機是ECS實例所屬的交換機,公網IP為NAT網關綁定的彈性公網IP(EIP)。
說明: 對於2017年11月3日 23:59之前賬戶下存在NAT帶寬包的用戶,公網IP為NAT帶寬包提供的公網IP。
SNAT表示例
| 交換機 | 公網IP |
|---|---|
| vsw-184ipsxxx | 139.224.xx.xx |
| vsw-11qht5xxx | 139.224.xx.xx |
一條SNAT規則的效果是:當指定交換機下的ECS實例發起互聯網訪問請求時,NAT網關會為其提供SNAT服務(代理上網服務),且使用的公網IP地址為指定的公網IP。默認指定交換機下的所有ECS實例都可以使用配置的公網IP發起互聯網訪問。
說明:若某台持有公網IP的ECS實例(比如已經綁定了EIP)發起互聯網訪問時,會優先使用其持有的公網IP,而不會激活NAT網關的SNAT功能。
添加SNAT條目
您可以通過添加SNAT條目,為VPC內無公網IP的ECS實例提供訪問互聯網的代理服務。詳情參考添加SNAT規則。
編輯SNAT條目
-
登錄VPC管理控制台。
-
在左側導航欄,單擊NAT網關。
-
單擊目標NAT網關的ID鏈接,進入詳情頁面。
-
在左側導航欄,單擊SNAT表。
-
單擊目標SNAT條目的編輯。
-
在彈出的對話框中,選擇新的公網IP,然后單擊確定。
刪除SNAT條目
-
登錄VPC管理控制台。
-
在左側導航欄,單擊NAT網關。
-
單擊目標NAT網關的ID鏈接,進入詳情頁面。
-
在左側導航欄,單擊SNAT表。
-
單擊目標SNAT條目的刪除,然后單擊確定。
場景1:無公網IP的ECS需要訪問公網——高可用的SNAT網關需求
在IT系統中,往往存在一些服務器需要主動訪問互聯網,但出於安全性考慮需要避免將這些服務器所持有的公網IP暴露在公網上。此時,您可以使用NAT網關的SNAT功能實現這一需求,配置詳情參考配置SNAT網關。
場景2:多個互聯網應用流量變化較大——共享公網帶寬
部署一個面向互聯網提供的服務,需要為該服務購置公網帶寬。通常,為了保證系統能夠應對業務流量可能發生的各種變化,在購買帶寬時會考慮一定的冗余。
當IT系統中同時存在多個面向互聯網的應用時,為每個應用都冗余購置帶寬會造成許多不必要的成本。這時,多IP共享帶寬的功能能夠幫助您更好地進行公網帶寬資源的管理和成本的控制。
另外,考慮到多個面向互聯網的應用可能存在的流量錯峰情況,多IP共享帶寬的功能可以進一步縮減所需購置的公網帶寬總量。配置詳情參考快速入門。
10 VPC之間建立高速通道
什么是高速通道
更新時間:2018-01-04 09:50:28
阿里雲高速通道(Express Connect)服務,幫助您在VPC間、VPC與本地數據中心間搭建私網通信通道,提高網絡拓撲的靈活性和跨網絡通信的質量和安全性。使用高速通道可以使您避免繞行公網帶來的網絡質量不穩定問題,同時可以免去數據在傳輸過程中被竊取的風險。
-
VPC間內網通信
高速通道支持位於相同地域或不同地域,同一賬號或不同賬號的VPC之間進行內網互通。
阿里雲通過在兩側VPC的路由器上分別創建路由器接口,以及自有的骨干傳輸網絡來搭建高速通道,輕松實現兩個VPC之間安全可靠,方便快捷的通信。
-
本地數據中心和阿里雲上VPC間內網通信
您可以通過物理專線在物理層面上連接您的本地數據中心到阿里雲,然后建立邊界路由器和路由器接口來連接數據中心與阿里雲VPC。
基礎架構
基於軟件自定義網絡(Software Defined Network,簡稱SDN)架構下的三層Overlay技術和交換機虛擬化技術,阿里雲將客戶的物理專線接入的端口隔離起來,並抽象成邊界路由器。通過目前主流的隧道技術,阿里雲將客戶的數據包在交換機內部進行封裝,在用戶的物理專線和VPC的路由器之間加上隧道封裝,然后將數據傳輸到VPC內。
高速通道和公網對比
阿里雲VPC是一個隔離的網絡環境。VPC間的網絡通信、VPC與物理數據中心間的網絡通信都由不同的網絡承載。
如果您使用公網打通VPC間的通信,通信質量和安全性都不及使用高速通道,如下表所示。
| 比較點 | 使用公網打通VPC通信 | 使用高速通道打通VPC通信 |
|---|---|---|
| 通信質量與可用性 | 遠距離公網通信質量受各種因素影響,時延穩定性、丟包率難以保證。 | 阿里雲優質基礎設施為更好的鏈路質量和可用性提供保障:
|
| 成本 | 使用公網進行通信需要支付昂貴的公網流量費用或者帶寬費用。 | 跨地域之間帶寬費用相對低廉。 同地域之間VPC互連免費。 |
| 安全性 | 通過公網傳輸存在被監聽竊取的風險。 | 基於阿里雲虛擬網絡技術實現,不同通信鏈路相互隔離,安全性高。 |
11 VPC總結