一、region和az
region(區域):一個region可以理解為一個大的獨立的數據中心,一般按地理位置來划分。不同區域之間內網互不想通。
AZ(available zone)可用分區:可以理解為一個region下有多個機房,每個機房就是一個AZ。一個region可以有多個az,一個az只能屬於一個region。每個AZ之間也是相互獨立的,比如說有獨立的網絡,有獨立的供電系統等。
另外,每個region中的az是互通的,雖然每個az有自己獨立的網絡(是指在高可用層面),但是在網絡層面他們之間是可以互相通信的。
二、VPC
VPC(virtual private cloud):虛擬私有雲。它不是彈性雲服務器(虛擬機),它是一個網絡。
比如說一個公司自己有一個數據中心,數據中心里有很多機櫃,每台機櫃里都有一台一台服務器,服務器server的IP地址一般都是內網IP地址,比如說192.168.1.100等,如果要連外網,那么路由器上會綁定一個公網IP,再由公網IP連接到外網去。如下圖所示
如果有一天要把公司的業務遷移上雲,想保證服務器的內網IP地址不變,這樣可以嗎?答案是可以的,這就要通過VPC來實現了。這里的虛擬私有雲中的私有就是指自己私有的內網IP地址。每個region的VPC默認是不通的。
那么和這個公司內網一樣的VPC到底是什么東西呢?
在公有雲中,每創建一個VPC,就會自動生成一個路由器,然后每個VPC下邊又可以創建很多子網。路由器上會綁定一個外網IP,如果需要訪問外網通過路由器就可以訪問。如下圖所示:
那么這里有一個問題,66網段的子網和88網段的子網之間能通嗎?他們之間是可以互通的,雖然在不同網段,但是因為有路由器在,所以可以通信。所以在VPC中,不管有多少個子網,每個子網中的虛擬機之間都是可以互通的。
如果這時候在這個region下在創建一個新的VPC,這兩個VPC之間可以互通嗎?答案是不通的,因為每個VPC對應一個路由,這兩個路由器之間沒有打通,所以這兩個VPC是不通的。如下圖所示。那么如果想打通這兩個VPC應該怎么辦呢?我們可以通過對等連接將他們打通。
在公有雲界面上直接創建對等連接,如下圖所示。他會提示:對等連接創建成功后,請務必添加路由信息,才能使兩個VPC互通。
所以我們在創建對等連接后,需要寫入VPC的路由信息,就可以將不同的路由器之間打通,從而實現同一個region下的不同VPC之間的互通。
三、安全組
我們在公有雲上配置安全組時,會有一個入方向規則,和一個出方向規則,如下圖所示:
入方向規則就是指允許誰訪問,比如這里默認的允許22端口,就相當於默認允許ssh連接。出方向規則就是指可以對外訪問哪些資源。
四、總結
綜上所述,如果兩個雲主機之間ping不通,我們一般需要這樣排查:
1、看他們是否在同一個region
2、是否在同一個VPC
3、安全組是否放行
下邊是公有雲雲內網絡層面通用架構:
網絡ACL:網絡訪問控制列表(internet access control list)
NAT:當有很多雲主機需要訪問外網時,可以通過NAT實現。
本地VPC想連到IDC機房,怎么辦,兩種方法,要么通過VPN,要么通過雲專線(一頭插在服務器上,另一頭插在交換機上,實現雲內到雲外)。
EIP:彈性IP。EIP可以選擇使用公網IP,也可以選擇使用內網IP。
經過以上的學習,大家應該可以理解公有雲的架構圖。