摘要:云硬盤容量是由統(tǒng)一存儲(chǔ)的從存儲(chǔ)集群容量中分配的���,所有云硬盤共享整個(gè)分布式存儲(chǔ)池的容量及性能���。支持云硬盤創(chuàng)建掛載卸載磁盤擴(kuò)容刪除等生命周期管理�,單塊云硬盤同時(shí)僅能掛載一臺(tái)虛擬機(jī)�����。云硬盤最小支持的容量�����,步長為���,可自定義控制單塊云硬盤的最大容量�����。
云硬盤是一種基于分布式存儲(chǔ)系統(tǒng)為虛擬機(jī)提供持久化存儲(chǔ)空間的塊設(shè)備�����。具有獨(dú)立的生命周期��,支持隨意綁定/解綁至多個(gè)虛擬機(jī)使用����,并能夠在存儲(chǔ)空間不足時(shí)對(duì)云硬盤進(jìn)行擴(kuò)容���,基于網(wǎng)絡(luò)分布式訪問�,為云主機(jī)提供高安全、高可靠�、高性能及可擴(kuò)展的數(shù)據(jù)磁盤。
存儲(chǔ)系統(tǒng)兼容并支持多種底層存儲(chǔ)硬件�����,如通用服務(wù)器(計(jì)算存儲(chǔ)超融合或獨(dú)立通用存儲(chǔ)服務(wù)器)和商業(yè)存儲(chǔ)��,并將底層存儲(chǔ)硬件分別抽像不同類型集群的存儲(chǔ)資源池�,由分布式存儲(chǔ)系統(tǒng)統(tǒng)一調(diào)度和管理。在實(shí)際應(yīng)用場(chǎng)景中���,可以將普通 SATA 接口的機(jī)械盤統(tǒng)一抽像為【SATA 存儲(chǔ)集群】���,將 SSD 全閃磁盤統(tǒng)一抽象為【SSD 存儲(chǔ)集群】,分別由統(tǒng)一存儲(chǔ)封裝后提供平臺(tái)用戶使用���。
如示意圖所示�����,將 SATA 存儲(chǔ)集群的資源封裝為普通云盤�����,將 SSD 全閃存儲(chǔ)集群的資源封裝為高性能云盤����。平臺(tái)的虛擬機(jī)和數(shù)據(jù)庫服務(wù)可根據(jù)需求掛載不同存儲(chǔ)集群類型的磁盤��,支持同時(shí)掛載多種集群類型的云硬盤�����。云平臺(tái)管理員可通過管理員控制臺(tái)自定義存儲(chǔ)集群類型的別名���,用于標(biāo)識(shí)不同磁盤介質(zhì)�、不同品牌��、不同性能或不同底層硬件的存儲(chǔ)集群����,如 EMC 存儲(chǔ)集群、SSD 存儲(chǔ)集群等���。
通常 SSD 磁盤介質(zhì)的云硬盤的性能與容量的大小成線性關(guān)系���,容量越大提供的 IO 性能越高�����,如對(duì) IO 性能有強(qiáng)烈需求��,可考慮擴(kuò)容 SSD 磁盤介質(zhì)的云硬盤��。
分布式存儲(chǔ)底層數(shù)據(jù)通過 PG 映射的方式進(jìn)行數(shù)據(jù)存儲(chǔ)���,同時(shí)以多副本存儲(chǔ)的方式保證數(shù)據(jù)安全,即寫入至云平臺(tái)存儲(chǔ)集群的數(shù)據(jù)塊會(huì)同時(shí)保存多份至不同服務(wù)器節(jié)點(diǎn)的磁盤�。多副本存儲(chǔ)的數(shù)據(jù)提供一致性保證,可能導(dǎo)致寫入的多份數(shù)據(jù)因誤操作或原始數(shù)據(jù)異常導(dǎo)致數(shù)據(jù)不準(zhǔn)確��;為保證數(shù)據(jù)的準(zhǔn)確性��,云平臺(tái)提供硬盤快照能力�����,將云盤數(shù)據(jù)在某一時(shí)間點(diǎn)的數(shù)據(jù)文件及狀態(tài)進(jìn)行備份�����,在數(shù)據(jù)丟失或損壞時(shí)����,可通過快照快速恢復(fù)數(shù)據(jù),包括數(shù)據(jù)庫數(shù)據(jù)�、應(yīng)用數(shù)據(jù)及文件目錄數(shù)據(jù)等,可實(shí)現(xiàn)分鐘級(jí)恢復(fù)���。
云硬盤由統(tǒng)一存儲(chǔ)從存儲(chǔ)集群容量中分配�,為平臺(tái)虛擬資源提供塊存儲(chǔ)設(shè)備并共享整個(gè)分布式存儲(chǔ)集群的容量及性能���;同時(shí)通過塊存儲(chǔ)系統(tǒng)為用戶提供云硬盤資源及全生命周期管理����,包括云硬盤的創(chuàng)建����、綁定、解綁����、擴(kuò)容、克隆、快照及刪除等管理�����。
- 云硬盤容量是由統(tǒng)一存儲(chǔ)的從存儲(chǔ)集群容量中分配的����,所有云硬盤共享整個(gè)分布式存儲(chǔ)池的容量及性能。
- 支持云硬盤創(chuàng)建��、掛載�、卸載、磁盤擴(kuò)容�����、刪除等生命周期管理����,單塊云硬盤同時(shí)僅能掛載一臺(tái)虛擬機(jī)。
- 支持在線和離線的方式擴(kuò)容磁盤容量����,磁盤擴(kuò)容后需要在虛擬機(jī)的操作系統(tǒng)進(jìn)行磁盤容量的擴(kuò)容操作。
- 為保證數(shù)據(jù)安全性及準(zhǔn)確性�����,云硬盤僅支持磁盤擴(kuò)容,不支持磁盤縮容�����。
- 云硬盤最小支持 10G 的容量��,步長為 1GB �,可自定義控制單塊云硬盤的最大容量�����。
- 云硬盤具有獨(dú)立的生命周期�,可自由綁定至任意虛擬機(jī)或數(shù)據(jù)庫服務(wù),解綁后可重新掛載至其它虛擬機(jī)����;
- X86 架構(gòu)的虛擬機(jī)最多支持綁定 6 塊云硬盤,ARM 架構(gòu)虛擬機(jī)最多支持綁定 3 塊云硬盤����;
- 支持云硬盤克隆,即將云硬盤內(nèi)的數(shù)據(jù)復(fù)制成為一個(gè)新的云硬盤����;
- 支持對(duì)云硬盤進(jìn)行快照備份���,包括虛擬機(jī)的系統(tǒng)盤快照及彈性云盤快照,并可從快照回滾數(shù)據(jù)至云硬盤�����,用于數(shù)據(jù)恢復(fù)和還原場(chǎng)景����;
- 支持對(duì)全局及每一塊云硬盤的 QoS 進(jìn)行配置,可根據(jù)不同業(yè)務(wù)模式調(diào)整磁盤的性能����,以平衡平臺(tái)整體性能;
- 支持設(shè)置存儲(chǔ)集群類型權(quán)限��,即可以將部分存儲(chǔ)資源設(shè)置為租戶獨(dú)享����,滿足需要獨(dú)享底層存儲(chǔ)資源的場(chǎng)景。
支持自動(dòng)精簡(jiǎn)配置�,在創(chuàng)建云硬盤時(shí),僅呈現(xiàn)分配的邏輯虛擬容量����。當(dāng)用戶向邏輯存儲(chǔ)容量中寫入數(shù)據(jù)時(shí)��,按照存儲(chǔ)容量分配策略從物理空間分配實(shí)際容量���。如一個(gè)用戶創(chuàng)建的云硬盤為 1TB 容量,存儲(chǔ)系統(tǒng)會(huì)為用戶分配并呈現(xiàn) 1TB 的邏輯卷���,僅當(dāng)用戶在云硬盤中寫入數(shù)據(jù)時(shí)���,才會(huì)真正的分配物理磁盤容量����。
高性能型云硬盤的性能與容量的大小成線性關(guān)系,容量越大����,提供的 IO 性能越高,如果對(duì)IO性能有強(qiáng)烈需求�,可考慮擴(kuò)容性能型云硬盤。UCloudStack 云硬盤完整生命周期包括創(chuàng)建中����、可用��、掛載中�、已掛載���、卸載中����、擴(kuò)容中����、已刪除等資源狀態(tài),各狀態(tài)流轉(zhuǎn)如下圖所示:
- 普通云硬盤適用于對(duì)容量要求較高且數(shù)據(jù)不被經(jīng)常訪問或 I/O 負(fù)載低的應(yīng)用場(chǎng)景��;需要低成本并且有隨機(jī)讀寫 I/O 的應(yīng)用環(huán)境����,如大型視頻、音樂����、離線文檔存儲(chǔ)等;
- 高性能云硬盤適用于 I/O 負(fù)載高且數(shù)據(jù)經(jīng)常被讀寫的應(yīng)用場(chǎng)景�����;中大型關(guān)系數(shù)據(jù)庫;中大型開發(fā)測(cè)試環(huán)境�;中大型實(shí)時(shí)響應(yīng)服務(wù)類環(huán)境;
UCloudStack 通過軟件定義網(wǎng)絡(luò) ( SDN )對(duì)傳統(tǒng)數(shù)據(jù)中心物理網(wǎng)絡(luò)進(jìn)行虛擬化�,采用 OVS 作為虛擬交換機(jī),VXLAN 隧道作為 OverLay 網(wǎng)絡(luò)隔離手段�,通過三層協(xié)議封裝二層協(xié)議,用于定義虛擬私有網(wǎng)絡(luò) VPC 及不同虛擬機(jī) IP 地址之間數(shù)據(jù)包的封裝和轉(zhuǎn)發(fā)�����。
私有網(wǎng)絡(luò)( VPC ——Virtual Private Cloud )是一個(gè)屬于用戶的��、邏輯隔離的二層網(wǎng)絡(luò)廣播域環(huán)境�����。在一個(gè)私有網(wǎng)絡(luò)內(nèi)����,用戶可以構(gòu)建并管理多個(gè)三層網(wǎng)絡(luò)���,即子網(wǎng)( Subnet )��,包括網(wǎng)絡(luò)拓?fù)?、IP 網(wǎng)段、IP 地址�����、網(wǎng)關(guān)等虛擬資源作為租戶虛擬機(jī)業(yè)務(wù)的網(wǎng)絡(luò)通信載體����。
私有網(wǎng)絡(luò) VPC 是虛擬化網(wǎng)絡(luò)的核心,為云平臺(tái)虛擬機(jī)提供內(nèi)網(wǎng)服務(wù)����,包括網(wǎng)絡(luò)廣播域、子網(wǎng)(IP 網(wǎng)段)����、IP 地址等,是所有 NVF 虛擬網(wǎng)絡(luò)功能的基礎(chǔ)����。私有網(wǎng)絡(luò)是子網(wǎng)的容器,不同私有網(wǎng)絡(luò)之間是絕對(duì)隔離的��,保證網(wǎng)絡(luò)的隔離性和安全性���。
可將虛擬機(jī)�����、負(fù)載均衡��、彈性網(wǎng)卡�����、NAT 網(wǎng)關(guān)等虛擬資源加入至私有網(wǎng)絡(luò)的子網(wǎng)中��,提供類似傳統(tǒng)數(shù)據(jù)中心交換機(jī)的功能����,支持自定義規(guī)劃網(wǎng)絡(luò),并通過安全組對(duì)虛擬資源 VPC 間的流量進(jìn)行安全防護(hù)�。
可通過 IPSecVPN、專線及外網(wǎng) IP 接入等方式將云平臺(tái)私有網(wǎng)絡(luò)及虛擬資源與其它云平臺(tái)或 IDC 數(shù)據(jù)中心組成一個(gè)按需定制的混合云網(wǎng)絡(luò)環(huán)境�。
VPC 網(wǎng)絡(luò)具有數(shù)據(jù)中心屬性���,每個(gè) VPC 私有網(wǎng)絡(luò)僅屬于一個(gè)數(shù)據(jù)中心�,數(shù)據(jù)中心間資源和網(wǎng)絡(luò)完全隔離�,資源默認(rèn)內(nèi)網(wǎng)不通。租戶內(nèi)和租戶間 VPC 網(wǎng)絡(luò)默認(rèn)不通,從不同維度保證租戶網(wǎng)絡(luò)和資源的隔離性�。
一個(gè) VPC 網(wǎng)絡(luò)主要由私有網(wǎng)絡(luò)網(wǎng)段和子網(wǎng)兩部分組成,如下圖所示:
(1)私有網(wǎng)絡(luò)網(wǎng)段
VPC 網(wǎng)絡(luò)所屬的 CIDR 網(wǎng)段��,作為 VPC 隔離網(wǎng)絡(luò)的私網(wǎng)網(wǎng)段��。關(guān)于 CIDR 的相關(guān)信息�����,詳見 CIDR ��。創(chuàng)建 VPC 網(wǎng)絡(luò)需指定私有網(wǎng)段���,平臺(tái)管理員可通過管理控制臺(tái)自定義 VPC 私有網(wǎng)絡(luò)的網(wǎng)段�,使租戶的虛擬資源僅使用管理員定義網(wǎng)段的 IP 地址進(jìn)行通信����。平臺(tái) VPC 私有網(wǎng)絡(luò) CIDR 默認(rèn)支持的網(wǎng)段范圍如下表所示:
| 網(wǎng)段 | 掩碼范圍 | IP 地址范圍 |
|---|
| 10.0.0.0/16 | 16 ~ 29 | 10.0.0.0 - 10.0.255.255 |
| 172.16.0.0/16 | 16 ~ 29 | 172.16.0.0 - 172.16.255.255 |
| 192.168.0.0/16 | 16 ~ 29 | 192.168.0.0 - 192.168.255.255 |
由于 DHCP 及相關(guān)服務(wù)需占用 IP 地址,私有網(wǎng)絡(luò) CIDR 網(wǎng)段不支持 30 位掩碼的私有網(wǎng)段���。
平臺(tái)默認(rèn)會(huì)占用或?qū)δ骋徊糠?IP 網(wǎng)段做限制����,故不支持的網(wǎng)段范圍包括 127.0.0.0/8、0.0.0.0/8���、169.254.0.0/16���、169.254.0.0/16 。
(2)子網(wǎng)
子網(wǎng)( Subnet )是 VPC 私有網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)地址空間��,用于虛擬資源間內(nèi)網(wǎng)連接���。
- 一個(gè)私有網(wǎng)絡(luò)至少由一個(gè)子網(wǎng)組成����,子網(wǎng)的 CIDR 必須在 VPC 的 CIDR 網(wǎng)段內(nèi)����;
- 同一私有網(wǎng)絡(luò)內(nèi)子網(wǎng)間通過公共網(wǎng)關(guān)連接,資源默認(rèn)內(nèi)網(wǎng)互通�,可部署虛擬機(jī)、負(fù)載均衡��、NAT 網(wǎng)關(guān)�、 IPSecVPN 網(wǎng)關(guān)等;
- 同一個(gè) VPC 子網(wǎng)間默認(rèn)通過公共網(wǎng)關(guān)進(jìn)行互通�;
- 子網(wǎng) CIDR 網(wǎng)段拔碼最小為 29 位,不支持 30 �、32 位掩碼的子網(wǎng)網(wǎng)段;
- 每個(gè)子網(wǎng)中�����,使用第一個(gè)可用 IP 地址作為網(wǎng)關(guān)�,如 192.168.1.0/24 的網(wǎng)關(guān)地址是 192.168.1.1 。
當(dāng)子網(wǎng)中存在虛擬資源時(shí)�����,不允許刪除并銷毀私有網(wǎng)絡(luò)和子網(wǎng)資源��。
平臺(tái)對(duì)常用網(wǎng)絡(luò)設(shè)備均進(jìn)行軟件定義及組件抽像�,通過將 VPC 網(wǎng)絡(luò)與虛擬機(jī)、彈性網(wǎng)卡��、外網(wǎng) IP���、安全組���、NAT 網(wǎng)關(guān)、負(fù)載均衡���、VPN 網(wǎng)關(guān)�、MySQL 數(shù)據(jù)庫、Redis 緩存及專線等組件連接�,可快速構(gòu)建和配置繁雜的網(wǎng)絡(luò)環(huán)境及混合云場(chǎng)景,如下圖所示:
- 虛擬機(jī)默認(rèn)內(nèi)網(wǎng)網(wǎng)卡(創(chuàng)建時(shí)自帶的虛擬網(wǎng)卡)加入同一個(gè) VPC 網(wǎng)絡(luò)實(shí)現(xiàn)虛擬機(jī)間網(wǎng)絡(luò)通信�����,并可通過安全組保證虛擬機(jī)東西向流量安全��。
- 虛擬機(jī)默認(rèn)外網(wǎng)網(wǎng)卡(創(chuàng)建時(shí)自帶的虛擬網(wǎng)卡)可直接綁定多個(gè)外網(wǎng) IP 地址實(shí)現(xiàn) Internet 訪問�,同時(shí)可綁定與 IDC 物理網(wǎng)絡(luò)相連的外網(wǎng) IP 地址實(shí)現(xiàn)物理網(wǎng)絡(luò)打通,結(jié)合安全組管控虛擬機(jī)南北向流量的同時(shí)��,構(gòu)建安全可靠的混合接入環(huán)境��。
- 虛擬機(jī)的彈性網(wǎng)卡加入不同的 VPC 網(wǎng)絡(luò)及子網(wǎng)�,實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)管理及廉價(jià)故障轉(zhuǎn)移方案,同時(shí)將安全組與彈性網(wǎng)卡綁定�,通過安全組規(guī)則多維度保障私有網(wǎng)絡(luò)及虛擬資源的安全。
- 虛擬機(jī)與 UDB��、URedis 服務(wù)加入同一個(gè) VPC 網(wǎng)絡(luò)�,滿足業(yè)務(wù)應(yīng)用和數(shù)據(jù)庫、緩存服務(wù)連通場(chǎng)景�。
- 相同 VPC 網(wǎng)絡(luò)的虛擬機(jī)可通過 NAT 網(wǎng)關(guān)及外網(wǎng) IP 連接���,共享外網(wǎng) IP 訪問 Internet 或 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)���,并可通過 DNAT 端口映射對(duì)外提供業(yè)務(wù)服務(wù)�。
- 相同 VPC 網(wǎng)絡(luò)的虛擬機(jī)加入至內(nèi)網(wǎng) ULB 后端服務(wù)節(jié)點(diǎn)���,提供 VPC 網(wǎng)絡(luò)內(nèi)負(fù)載均衡服務(wù)�。
- 相同 VPC 網(wǎng)絡(luò)的虛擬機(jī)加入到外網(wǎng) ULB 后端服務(wù)節(jié)點(diǎn)���,結(jié)合 ULB 關(guān)聯(lián)的外網(wǎng) IP ���,提供外網(wǎng)負(fù)載均衡服務(wù)。
- 相同 VPC 網(wǎng)絡(luò)的虛擬機(jī)通過 IPSecVPN 網(wǎng)關(guān)可與不同 VPC 網(wǎng)絡(luò)的虛擬機(jī)進(jìn)行內(nèi)網(wǎng)互聯(lián)�����,實(shí)現(xiàn) VPC 間互通�。
- 通過 IPSecVPN 網(wǎng)關(guān)打通不同 VPC 間的網(wǎng)絡(luò),使兩個(gè) VPC 間的虛擬機(jī)可直接進(jìn)行內(nèi)網(wǎng)通信�。
- 采用 IPSecVPN 網(wǎng)關(guān)或?qū)>€將平臺(tái)與本地 IDC 數(shù)據(jù)中心及第三方云平臺(tái)連通,構(gòu)建安全可靠的混合云環(huán)境�。
外網(wǎng) IP 可用于打通 IDC 數(shù)據(jù)中心的物理網(wǎng)絡(luò)����,應(yīng)用與虛擬機(jī)直接與物理機(jī)進(jìn)行內(nèi)網(wǎng)通信的場(chǎng)景�����;IPSecVPN 網(wǎng)關(guān)用于打通第三方云平臺(tái)或 IDC 數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)��,應(yīng)用于不同云平臺(tái)間通過 VPN 安全連接場(chǎng)景�。
平臺(tái) VPC 網(wǎng)絡(luò)基于租戶控制臺(tái)和 API 提供隔離網(wǎng)絡(luò)環(huán)境、自定義子網(wǎng)����、子網(wǎng)通信及安全防護(hù)等功能,并可結(jié)合硬件及 DPDK 等技術(shù)特性提供高性能的虛擬網(wǎng)絡(luò)�����。
- 隔離的網(wǎng)絡(luò)環(huán)境私有網(wǎng)絡(luò)基于 OVS( Open vSwitch)組件���,通過 VXLAN 隧道封裝技術(shù)實(shí)現(xiàn)隔離的虛擬網(wǎng)絡(luò)����。每一個(gè) VPC 網(wǎng)絡(luò)對(duì)應(yīng)一個(gè) VXLAN 隧道號(hào)(VNI),作為全局唯一網(wǎng)絡(luò)標(biāo)識(shí)符����,為租戶提供一張獨(dú)立且完全隔離的二層網(wǎng)絡(luò),可通過在私有網(wǎng)絡(luò)中劃分多個(gè)子網(wǎng)作為虛擬資源的通信載體���,用于連通多個(gè)虛擬資源����。不同的 VPC 網(wǎng)絡(luò)間完全隔離���,無法直接通信。
- 自定義子網(wǎng)支持在一個(gè) VPC 網(wǎng)絡(luò)內(nèi)進(jìn)行三層網(wǎng)絡(luò)規(guī)劃�����,即劃分一個(gè)或多個(gè)子網(wǎng)�。提供自定義 IP 網(wǎng)段范圍、可用 IP 網(wǎng)段及默認(rèn)網(wǎng)關(guān)����,可在子網(wǎng)中通過虛擬機(jī)部署應(yīng)用程序和服務(wù)。支持在子網(wǎng)中增加多個(gè)彈性網(wǎng)卡�����,分別指定子網(wǎng)中的 IP 地址,并綁定至部署應(yīng)用程序的虛擬機(jī)���,用于精細(xì)化管理應(yīng)用服務(wù)的網(wǎng)絡(luò)訪問�����。
- 子網(wǎng)通信每一個(gè)子網(wǎng)都屬于一個(gè)廣播域�����,VPC 網(wǎng)絡(luò)默認(rèn)提供網(wǎng)關(guān)服務(wù)�,同一個(gè) VPC 內(nèi)不同子網(wǎng)通過網(wǎng)關(guān)進(jìn)行通信�。
- 安全防護(hù)云平臺(tái)提供內(nèi)網(wǎng)安全組和外網(wǎng)防火墻,通過協(xié)議����、端口為虛擬資源提供多維度安全訪問控制,同時(shí)基于虛擬網(wǎng)卡及虛擬實(shí)例的網(wǎng)絡(luò)流量進(jìn)行上下行的 QoS 控制��,全方位提高 VPC 網(wǎng)絡(luò)的安全性����。安全組為有狀態(tài)安全層,可分別設(shè)置出入方向的安全規(guī)則,用于控制并過濾進(jìn)出子網(wǎng) IP 的數(shù)據(jù)流量����。
- 高性能虛擬網(wǎng)絡(luò)SDN 網(wǎng)絡(luò)分布式部署于所有計(jì)算節(jié)點(diǎn),節(jié)點(diǎn)間通過 20GE 冗余鏈路進(jìn)行通信�,并通過所有計(jì)算節(jié)點(diǎn)負(fù)載內(nèi)網(wǎng)流量,為云平臺(tái)提供高可靠及高性能的虛擬網(wǎng)絡(luò)�。
云平臺(tái)在保證網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)規(guī)模���、網(wǎng)絡(luò)通信及安全的同時(shí)����,為租戶和子帳號(hào)提供 VPC 子網(wǎng)的創(chuàng)建�、修改��、刪除及操作審計(jì)日志等全生命周期管理����。用戶創(chuàng)建虛擬機(jī)、NAT 網(wǎng)關(guān)���、負(fù)載均衡及 VPN 網(wǎng)關(guān)等虛擬資源時(shí)可指定需加入的VPC 網(wǎng)絡(luò)和子網(wǎng)����,并可查詢每個(gè)子網(wǎng)的可用 IP 數(shù)量。
VPC 網(wǎng)絡(luò)具有數(shù)據(jù)中心屬性�����,僅支持指定相同數(shù)據(jù)中心的虛擬資源到 VPC 網(wǎng)絡(luò)中����,且每個(gè) VPC 網(wǎng)絡(luò)的子網(wǎng)網(wǎng)段必須在 VPC 網(wǎng)絡(luò)的 CIDR 網(wǎng)段中。平臺(tái)會(huì)通過管理員配置的 VPC 網(wǎng)絡(luò)����,為每個(gè)租戶和子賬號(hào)提供默認(rèn)的 VPC 網(wǎng)絡(luò)和子網(wǎng)資源,方便用戶登錄云平臺(tái)快速部署業(yè)務(wù)��。
外網(wǎng)彈性 IP( Elastic IP Address ���,簡(jiǎn)稱 EIP )��,是平臺(tái)為用戶的虛擬機(jī)����、NAT 網(wǎng)關(guān)���、VPN 網(wǎng)關(guān)及負(fù)載均衡等虛擬資源提供的外網(wǎng) IP 地址���,為虛擬資源提供平臺(tái) VPC 網(wǎng)絡(luò)外的網(wǎng)絡(luò)訪問能力���,如互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心物理網(wǎng)絡(luò),同時(shí)外部網(wǎng)絡(luò)也可通過 EIP 地址直接訪問平臺(tái) VPC 網(wǎng)絡(luò)內(nèi)的虛擬資源�。
EIP 資源支持獨(dú)立申請(qǐng)和擁有,用戶可通過控制臺(tái)或 API 申請(qǐng) IP 網(wǎng)段資源池中的 IP 地址��,并將 EIP 綁定至虛擬機(jī)���、 NAT 網(wǎng)關(guān)�����、負(fù)載均衡、VPN 網(wǎng)關(guān)上���,為業(yè)務(wù)提供外網(wǎng)服務(wù)通道����。
在私有云平臺(tái)中�����,允許平臺(tái)管理員自定義平臺(tái)外網(wǎng) IP 資源池,即由平臺(tái)管理員自定義平臺(tái)訪問外網(wǎng)的方式�,外網(wǎng) IP 網(wǎng)段資源池在添加至云平臺(tái)前,需要通過物理網(wǎng)絡(luò)設(shè)備下發(fā)至計(jì)算節(jié)點(diǎn)連接的交換機(jī)端口���。
如上圖物理架構(gòu)示意圖所示���,所有計(jì)算節(jié)點(diǎn)需要連接網(wǎng)線至物理網(wǎng)絡(luò)的外網(wǎng)接入交換機(jī),并在物理網(wǎng)絡(luò)的交互機(jī)上配置所連接端口允許透?jìng)?Vlan 的網(wǎng)絡(luò)訪問方式��,使運(yùn)行在計(jì)算節(jié)點(diǎn)上虛擬機(jī)可通過外網(wǎng)物理網(wǎng)卡直接與外部網(wǎng)絡(luò)進(jìn)行通信:
- 若通過外網(wǎng) IP 訪問互聯(lián)網(wǎng)�,需要物理網(wǎng)絡(luò)設(shè)備上將自定義的外網(wǎng) IP 網(wǎng)段配置為可直通或 NAT 到互聯(lián)網(wǎng);
- 若通過外網(wǎng) IP 訪問 IDC 數(shù)據(jù)中心的物理網(wǎng)絡(luò)���,需要在物理網(wǎng)絡(luò)設(shè)備上將自定義的外網(wǎng) IP 網(wǎng)段配置為可與 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)通信����,如相同的 Vlan 或 Vlan 間打通等����。
物理網(wǎng)絡(luò)架構(gòu)為高可用示意圖,實(shí)際生產(chǎn)環(huán)境架構(gòu)可進(jìn)行調(diào)整�,如內(nèi)外網(wǎng)接入交換機(jī)可合并為一組高可用接入交換機(jī)��,通過不同的 Vlan 區(qū)分內(nèi)外網(wǎng)等���。
物理網(wǎng)絡(luò)架構(gòu)及配置確認(rèn)后,在平臺(tái)層面需要分別添加互聯(lián)網(wǎng) IP 網(wǎng)段和 IDC 物理網(wǎng)段至云平臺(tái) IP 網(wǎng)段資源池中�,租戶可申請(qǐng)不同網(wǎng)段的 EIP 地址,并將通往不同網(wǎng)絡(luò)的 EIP 地址綁定至虛擬機(jī)默認(rèn)外網(wǎng)網(wǎng)卡��,使虛擬機(jī)可通過外網(wǎng) IP 地址同時(shí)訪問互聯(lián)網(wǎng)和 IDC 數(shù)據(jù)中心物理網(wǎng)絡(luò)���。
如邏輯架構(gòu)圖所示��,用戶在平臺(tái)中分別添加通往 Internet (Vlan200) 和通往 IDC 物理網(wǎng)絡(luò)(Vlan100)的網(wǎng)段至云平臺(tái)���。網(wǎng)段舉例如下:
- Vlan200 的網(wǎng)段為106.75.236.0/25 ,配置下發(fā)默認(rèn)路由��,即虛擬機(jī)綁定網(wǎng)段的 EIP 將會(huì)自動(dòng)下發(fā)目標(biāo)地址為 0.0.0.0/0 的默認(rèn)路由���;
- Vlan100 的網(wǎng)段為192.168.1.0/24 ,僅下發(fā)當(dāng)前網(wǎng)段路由�����,即虛擬機(jī)綁定網(wǎng)段的 EIP 僅下發(fā)目標(biāo)地址為 192.168.1.0/24 的指定路由。
租戶可分別申請(qǐng) Vlan200 和 Vlan100 的 EIP 地址�����,并可將兩個(gè) EIP 同時(shí)綁定至虛擬機(jī)���。平臺(tái)會(huì)將 EIP 地址及下發(fā)路由直接配置至虛擬機(jī)外網(wǎng)網(wǎng)卡�,并通過 SDN 控制器下發(fā)流表至虛擬機(jī)所在的物理機(jī) OVS �����,物理機(jī) OVS 通過與物理機(jī)外網(wǎng)網(wǎng)卡接口及交換機(jī)進(jìn)行互聯(lián)����,通過交換機(jī)設(shè)備與互聯(lián)網(wǎng)或 IDC 物理網(wǎng)絡(luò)進(jìn)行通信。
當(dāng)虛擬機(jī)需要訪問互聯(lián)網(wǎng)或物理網(wǎng)絡(luò)時(shí)����,數(shù)據(jù)會(huì)通過虛擬機(jī)外網(wǎng)網(wǎng)卡直接透?jìng)髦廖锢頇C(jī)的 OVS 虛擬交換機(jī),并通過 OVS 流表將請(qǐng)求轉(zhuǎn)發(fā)至物理機(jī)外網(wǎng)網(wǎng)卡及物理交換機(jī)��,經(jīng)由物理交換機(jī)的 Vlan 或路由配置將數(shù)據(jù)包轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)或 IDC 物理網(wǎng)絡(luò)區(qū)域���,完成通信����。
如上圖 VPC1 網(wǎng)絡(luò)的虛擬機(jī)同時(shí)綁定了 Vlan100 和 Vlan200 網(wǎng)段的 EIP 地址,Vlan100 EIP 為 192.168.1.2 ����,Vlan200 EIP 為 106.75.236.2 。平臺(tái)會(huì)直接將兩個(gè) IP 地址直接配置至虛擬機(jī)的外網(wǎng)網(wǎng)卡��,通過虛擬機(jī)操作系統(tǒng)可直接查看配置到外網(wǎng)網(wǎng)卡的 EIP 地址����;同時(shí)自動(dòng)下發(fā)兩個(gè) IP 地址所屬網(wǎng)段需要下發(fā)的路由到虛擬機(jī)操作系統(tǒng)中,虛擬機(jī)的默認(rèn)路由指定的下一跳為 Vlan200 互聯(lián)網(wǎng)網(wǎng)段的網(wǎng)關(guān)��,使虛擬機(jī)可通過 106.75.236.2 IP 地址與互聯(lián)網(wǎng)進(jìn)行通信����,通過 192.168.1.2 與物理網(wǎng)絡(luò)區(qū)域的 Oracle 及 HPC 高性能服務(wù)器進(jìn)行內(nèi)網(wǎng)通信。
整個(gè)通信過程直接通過虛擬機(jī)所在物理機(jī)的物理網(wǎng)卡進(jìn)行通信�,在物理網(wǎng)卡和物理交換機(jī)性能保障的前提下,可發(fā)揮物理網(wǎng)絡(luò)硬件的最佳轉(zhuǎn)發(fā)性能�,提升虛擬機(jī)對(duì)外通信的轉(zhuǎn)發(fā)能力。同時(shí)所有外網(wǎng) IP 流量均可通過平臺(tái)安全組在平臺(tái)內(nèi)進(jìn)行流量管控��,保證虛擬機(jī)訪問平臺(tái)外部網(wǎng)絡(luò)的安全性。
EIP 為浮動(dòng) IP ���,可隨故障虛擬機(jī)恢復(fù)漂移至健康節(jié)點(diǎn),繼續(xù)為虛擬機(jī)或其它虛擬資源提供外網(wǎng)訪問服務(wù)����。
當(dāng)一臺(tái)虛擬機(jī)所在的物理主機(jī)發(fā)生故障時(shí),智能調(diào)度系統(tǒng)會(huì)自動(dòng)對(duì)故障主機(jī)上的虛擬機(jī)進(jìn)行宕機(jī)遷移操作��,即故障虛擬機(jī)會(huì)在其它健康的主機(jī)上重新拉起并提供正常業(yè)務(wù)服務(wù)��。若虛擬機(jī)已綁定外網(wǎng) IP �����,智能調(diào)度系統(tǒng)會(huì)同時(shí)將外網(wǎng) IP 地址及相關(guān)流表信息一起漂移至虛擬遷移后所在的物理主機(jī)�,并保證網(wǎng)絡(luò)通信可達(dá)。
- 支持平臺(tái)管理員自定義外網(wǎng) IP 資源池��,即自定義外網(wǎng) IP 網(wǎng)段����,并支持配置網(wǎng)段的路由策略。租戶申請(qǐng)網(wǎng)段的外網(wǎng) IP 綁定至虛擬資源后����,下發(fā)目的路由地址的流量自動(dòng)以綁定的外網(wǎng) IP 為網(wǎng)絡(luò)出口����。
- 外網(wǎng) IP 網(wǎng)段支持下發(fā)默認(rèn)路由和指定路由�����,下發(fā)默認(rèn)路由代表默認(rèn)所有流量均以綁定的外網(wǎng)IP為出口����,指定路由為管理員指定目的地址的流量以綁定的外網(wǎng)IP為出口。
- 提供 IPv4/IPv6 雙棧能力�,管理員可自定義管理 IPv4 和 IPv6 網(wǎng)段資源池,并支持同時(shí)綁定 IPv4/IPv6 地址到虛擬機(jī)���,為虛擬機(jī)提供雙棧網(wǎng)絡(luò)通信服務(wù)�����。
- 支持外網(wǎng) IP 網(wǎng)段的權(quán)限管控�,可指定所有租戶或部分租戶使用��,未被指定的租戶無權(quán)限申請(qǐng)并使用網(wǎng)段 EIP����。
- EIP 具有彈性綁定的特性�����,支持隨時(shí)綁定至虛擬機(jī)、NAT 網(wǎng)關(guān)��、負(fù)載均衡�、VPN 網(wǎng)關(guān)等虛擬機(jī)資源,并可隨時(shí)解綁綁定至其它資源���。
- 虛擬機(jī)支持綁定 50 個(gè)外網(wǎng) IPv4 和 10 個(gè)外網(wǎng) IPv6 地址����,以第一個(gè)有默認(rèn)路由的外網(wǎng) IP 作為虛擬機(jī)的默認(rèn)網(wǎng)絡(luò)出口��。
- 提供外網(wǎng) IP 網(wǎng)段獲取服務(wù)��,支持租戶手動(dòng)指定 IP 地址申請(qǐng) EIP�����,并提供 IP 地址沖突檢測(cè)�����,方便用戶業(yè)務(wù)網(wǎng)絡(luò)地址規(guī)劃。
- 平臺(tái)管理員可自定義外網(wǎng) IP 網(wǎng)段的帶寬規(guī)格����,租戶可在帶寬規(guī)格范圍內(nèi)配置外網(wǎng) IP 的帶寬上限。
外網(wǎng) IP 具有數(shù)據(jù)中心屬性�����,僅支持綁定相同數(shù)據(jù)中心的虛擬資源���。用戶可通過平臺(tái)自定義申請(qǐng) EIP ��,并對(duì) EIP 進(jìn)行綁定�����、解綁��、調(diào)整帶寬等相關(guān)操作����。
NAT 網(wǎng)關(guān)( NAT Gateway )是一種類似 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議的 VPC 網(wǎng)關(guān)����,為云平臺(tái)資源提供 SNAT 和 DNAT 代理�����,支持互聯(lián)網(wǎng)或物理網(wǎng)地址轉(zhuǎn)換能力���。平臺(tái) NAT 網(wǎng)關(guān)服務(wù)通過的 SNAT 和 DNAT 規(guī)則分別實(shí)現(xiàn) VPC 內(nèi)虛擬資源的 SNAT 轉(zhuǎn)發(fā)和 DNAT 端口映射功能。
- SNAT 規(guī)則:通過 SNAT 規(guī)則實(shí)現(xiàn) VPC 級(jí)����、子網(wǎng)級(jí)及虛擬資源實(shí)例級(jí)的 SNAT 能力����,使不同維度的資源通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
- DNAT 規(guī)則:通過 DNAT 規(guī)則����,可配置基于 TCP 和 UDP 兩種協(xié)議的端口轉(zhuǎn)發(fā),將 VPC 內(nèi)的云資源內(nèi)網(wǎng)端口映射到 NAT 網(wǎng)關(guān)所綁定的外網(wǎng) IP��,對(duì)互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)提供服務(wù)����。
作為一個(gè)虛擬網(wǎng)關(guān)設(shè)備���,需要綁定外網(wǎng) IP 作為 NAT 網(wǎng)關(guān)的 SNAT 規(guī)則出口及 DNAT 規(guī)則的入口。NAT 網(wǎng)關(guān)具有地域(數(shù)據(jù)中心)屬性�����,僅支持相同數(shù)據(jù)中心下同 VPC 虛擬資源的 SNAT 和 DNAT 轉(zhuǎn)發(fā)服務(wù)�����,
虛擬機(jī)通過 NAT 網(wǎng)關(guān)可訪問的網(wǎng)絡(luò)取決于綁定的外網(wǎng) IP 所屬網(wǎng)段在物理網(wǎng)絡(luò)上的配置�����,若所綁定的外網(wǎng) IP 可通向互聯(lián)網(wǎng)���,則虛擬機(jī)可通過 NAT 網(wǎng)關(guān)訪問互聯(lián)網(wǎng)�;若所綁定的外網(wǎng) IP 可通向 IDC 數(shù)據(jù)中心的物理網(wǎng)絡(luò)���,則虛擬機(jī)通過 NAT 網(wǎng)關(guān)訪問 IDC 數(shù)據(jù)中心的物理網(wǎng)絡(luò)��。
用戶在平臺(tái)使用虛擬機(jī)部署應(yīng)用服務(wù)時(shí)����,有訪問外網(wǎng)或通過外網(wǎng)訪問虛擬機(jī)的應(yīng)用場(chǎng)景,通常我們會(huì)在每一臺(tái)虛擬機(jī)上綁定一個(gè)外網(wǎng) IP 用于和互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)行通信�。真實(shí)環(huán)境和案例中,可能無法分配足夠的公網(wǎng) IP ����,即使公網(wǎng) IP 足夠也無需在每一臺(tái)需要訪問外網(wǎng)的虛擬機(jī)上綁定外網(wǎng) IP 地址。
- 共享 EIP :通過 SNAT 代理�����,使多臺(tái) VPC 內(nèi)網(wǎng)虛擬機(jī)共享 1 個(gè)或多個(gè)外網(wǎng) IP 地址訪問互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心的物理網(wǎng)絡(luò)��。
- 屏蔽真實(shí) IP :通過 SNAT 代理��,多臺(tái) VPC 內(nèi)網(wǎng)虛擬機(jī)使用代理 IP 地址通信���,自動(dòng)屏蔽真實(shí) IP 內(nèi)網(wǎng)地址。
- VPC 內(nèi)網(wǎng)虛擬機(jī)提供外網(wǎng)服務(wù):通過 DNAT 代理��,配置 IP 及端口轉(zhuǎn)發(fā)��,對(duì)互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心的網(wǎng)絡(luò)提供業(yè)務(wù)服務(wù)��。
平臺(tái)產(chǎn)品服務(wù)底層資源統(tǒng)一�,NAT 網(wǎng)關(guān)實(shí)例為主備高可用集群架構(gòu)���,可實(shí)現(xiàn) NAT 網(wǎng)關(guān)故障自動(dòng)切換,提高 SNAT 和 DNAT 服務(wù)的可用性�。同時(shí)結(jié)合外網(wǎng) IP 地址,根據(jù) NAT 配置為租戶虛擬資源提供 SNAT 和 DNAT 代理����。
在產(chǎn)品層面,租戶通過申請(qǐng)一個(gè) NAT 網(wǎng)關(guān)��,指定 NAT 網(wǎng)關(guān)可允許通信的子網(wǎng)�����,通過綁定【外網(wǎng) IP】使多子網(wǎng)下虛擬機(jī)與互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心物理網(wǎng)進(jìn)行通信����,具體邏輯架構(gòu)圖如下:
- 平臺(tái)支持同 VPC 多子網(wǎng)虛擬機(jī)使用 NAT 網(wǎng)關(guān)訪問互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)。
- 當(dāng)多個(gè)子網(wǎng)中未綁定外網(wǎng) IP 的虛擬機(jī)關(guān)聯(lián) NAT 網(wǎng)關(guān)時(shí)���,平臺(tái)將自動(dòng)在虛擬機(jī)中下發(fā)訪問外網(wǎng)的路由�。
- 虛擬機(jī)通過下發(fā)的路由���,將訪問外網(wǎng)的數(shù)據(jù)通過 NAT 網(wǎng)關(guān)透?jìng)髦烈呀壎ǖ摹就饩W(wǎng) IP】�。
- 透?jìng)髦镣饩W(wǎng) IP 的數(shù)據(jù)通過平臺(tái) OVS 及物理網(wǎng)卡將數(shù)據(jù)包發(fā)送至物理交換機(jī),完成數(shù)據(jù) SNAT 的通信��。
- 當(dāng)外網(wǎng)需要訪問 VPC 中的虛擬機(jī)服務(wù)時(shí)���,可通過 NAT 網(wǎng)關(guān)端口轉(zhuǎn)發(fā)��,使互聯(lián)網(wǎng)或 IDC 物理網(wǎng)通過 NAT 網(wǎng)關(guān)已綁定的 IP+端口 訪問 VPC 內(nèi)網(wǎng)服務(wù)�����。
云平臺(tái)提供高可用 NAT 網(wǎng)關(guān)服務(wù)����,并支持網(wǎng)關(guān)的全生命周期管理�����,包括多外網(wǎng) IP �����、SNAT 規(guī)則及 DNAT 端口轉(zhuǎn)發(fā)及監(jiān)控告警��,同時(shí)為 NAT 網(wǎng)關(guān)提供網(wǎng)絡(luò)及資源隔離的安全保障��。
一個(gè) VPC 允許創(chuàng)建 20 個(gè) NAT 網(wǎng)關(guān)����,相同 VPC 下所有 NAT 網(wǎng)關(guān)中 SNAT 規(guī)則不可重復(fù),即 20 個(gè) NAT 網(wǎng)關(guān)中的 SNAT 規(guī)則不允許重復(fù)����。場(chǎng)景舉例:
- 當(dāng) NATGW (VPC:192.168.0.0/16)中創(chuàng)建了子網(wǎng)(192.168.0.1/24)的 SNAT 規(guī)則,則相同 VPC 下 NATGW 不可在創(chuàng)建子網(wǎng)(192.168.0.1/24)為源地址的 SNAT 規(guī)則��,當(dāng) NATGW01 中該子網(wǎng)規(guī)則刪除后���,才可進(jìn)行創(chuàng)建���。
- 當(dāng) NATGW (VPC:192.168.0.0/16)中創(chuàng)建了 VPC 級(jí)別的規(guī)則,則相同 VPC 下不可在創(chuàng)建 VPC 級(jí)別的規(guī)則���。
- 當(dāng) NATGW (VPC:192.168.0.0/16)中創(chuàng)建了 虛擬機(jī)(192.168.1.2) 的 SNAT 規(guī)則�����,則相同VPC 下 NATGW 不可在創(chuàng)建虛擬機(jī)(192.168.1.2) 為源地址的 SNAT 規(guī)則��。
NAT 網(wǎng)關(guān)支持綁定多個(gè)外網(wǎng) IP 地址��,使 SNAT 規(guī)則中的資源可通過多個(gè)外網(wǎng) IP 地址訪問外網(wǎng)�,DNAT 端口轉(zhuǎn)發(fā)規(guī)則中的虛擬資源,可通過指定的外網(wǎng) IP 地址訪問 VPC 內(nèi)網(wǎng)服務(wù)����。
一個(gè) NAT 網(wǎng)關(guān)支持綁定 50 個(gè)默認(rèn)路由類型的 IPv4 外網(wǎng) IP 地址,為 NAT 網(wǎng)關(guān)指定子網(wǎng)的虛擬資源提供共享的外網(wǎng) IP 資源池����,以提供更加靈活便捷的 SNAT 及 DNAT 能力。
支持用戶查看已綁定至 NAT 網(wǎng)關(guān)的所有外網(wǎng) IP 地址���,同時(shí)支持對(duì)外網(wǎng) IP 地址的解綁��,解綁后相關(guān)聯(lián)的 SNAT 規(guī)則和 DNAT 規(guī)則網(wǎng)絡(luò)通信都將失效�����。用戶可通過修改 SNAT 和 DNAT 規(guī)則�,分別設(shè)置新的出口 IP 及入口源 IP 地址��。
NAT 網(wǎng)關(guān)通過 SNAT 規(guī)則支持 SNAT(Source Network Address Translation 源地址轉(zhuǎn)換)能力��,每條規(guī)則由源地址和目標(biāo)地址組成�����,即將源地址轉(zhuǎn)換為目標(biāo)地址進(jìn)行網(wǎng)絡(luò)訪問���。平臺(tái) SNAT 規(guī)則支持多種場(chǎng)景的出外網(wǎng)場(chǎng)景��,即源地址包括 VPC�、子網(wǎng)���、虛擬機(jī)三種類型:
- VPC 級(jí)別:指 NAT 網(wǎng)關(guān)所屬 VPC 下的所有虛擬機(jī)可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)��。
- 子網(wǎng)級(jí)別:指 NAT 網(wǎng)關(guān)所屬 VPC 下被指定子網(wǎng)中的所有虛擬機(jī)可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)��。
- 虛擬機(jī)級(jí)別:指 NAT 網(wǎng)關(guān)所屬 VPC 下被指定的虛擬機(jī)才可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)��。
規(guī)則的目標(biāo)地址為 NAT 網(wǎng)關(guān)綁定的外網(wǎng) IP 地址��,通過規(guī)則策略即可將源地址在 VPC �、子網(wǎng)��、虛擬機(jī)的 IP 地址轉(zhuǎn)換為網(wǎng)關(guān)綁定的外網(wǎng) IP 進(jìn)行網(wǎng)絡(luò)通信���,即通過 SNAT 規(guī)則虛擬機(jī)可在不綁定外網(wǎng) IP 的情況下與平臺(tái)外網(wǎng)進(jìn)行通信�����,如訪問 IDC 數(shù)據(jù)中心網(wǎng)絡(luò)或互聯(lián)網(wǎng)�。
SNAT 規(guī)則中不同源地址類型的規(guī)則優(yōu)先級(jí)不同,以優(yōu)先級(jí)高的規(guī)則為準(zhǔn):
**(1)源地址為 VPC **
- NAT 網(wǎng)關(guān)所屬 VPC 下所有虛擬機(jī)均可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)��。
- 一個(gè) NAT 網(wǎng)關(guān)僅允許創(chuàng)建一條源地址為 ALL 的 SNAT 規(guī)則�。
- 源地址為 ALL 規(guī)則的優(yōu)先級(jí)最低,在未匹配到精確規(guī)則時(shí)�����,以源地址為 ALL 的規(guī)則訪問外網(wǎng)�。
(2)源地址為子網(wǎng) CIDR
- 子網(wǎng)下虛擬機(jī)可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng),子網(wǎng) SNAT 規(guī)則優(yōu)先級(jí)高于源地址為 ALL 的規(guī)則�。
- 每個(gè)子網(wǎng)僅可創(chuàng)建一條 SNAT 規(guī)則,不允許重復(fù)���。
- 支持為子網(wǎng)下虛擬機(jī)多帶帶配置 SNAT 規(guī)則�����,優(yōu)先級(jí)高于源地址為子網(wǎng)的 SNAT 規(guī)則��。
(3)源地址為虛擬機(jī)IP
- 虛擬機(jī)可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)���。
- 每個(gè)虛擬機(jī) IP 僅可創(chuàng)建一條 SNAT 規(guī)則,不允許重復(fù)����。
- 源地址為虛擬機(jī) IP 的 SNAT 規(guī)則優(yōu)先級(jí)高于源地址為 ALL 和 子網(wǎng)的 SNAT 規(guī)則。
SNAT 規(guī)則的目標(biāo)地址可以為 NAT 網(wǎng)關(guān)已綁定的一個(gè)或多個(gè)外網(wǎng) IP �,當(dāng)目標(biāo)外網(wǎng) IP 為 ALL 時(shí),源地址資源從網(wǎng)關(guān)上所有外網(wǎng) IP 池中隨機(jī)選擇 IP 訪問外網(wǎng)���。
一個(gè) NAT 網(wǎng)關(guān)默認(rèn)可創(chuàng)建 100條 SNAT 規(guī)則�����。
用戶配置 SNAT 規(guī)則后�����,NAT 網(wǎng)關(guān)會(huì)自動(dòng)下發(fā)默認(rèn)路由至源地址匹配的虛擬機(jī)��,使虛擬機(jī)通過 SNAT 規(guī)則的外網(wǎng) IP 訪問外網(wǎng)��。具體通信邏輯如下:
- 虛擬機(jī)未綁定 IPv4 外網(wǎng) IP ��,則默認(rèn)通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)���。
- 虛擬機(jī)已綁定 IPv4 外網(wǎng) IP 且存在默認(rèn)網(wǎng)絡(luò)出口���,則通過虛擬機(jī)默認(rèn)網(wǎng)絡(luò)出口訪問外網(wǎng)。
- 虛擬機(jī)已綁定 IPv4 外網(wǎng) IP 且無默認(rèn)網(wǎng)絡(luò)出口���,則通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)��。
虛擬機(jī)通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)時(shí)����,使用的外網(wǎng) IP 取決于 SNAT 規(guī)則的配置���,若規(guī)則配置的外網(wǎng) IP 為多個(gè)�����,則會(huì)從多個(gè)外網(wǎng) IP 中隨機(jī)選擇 IP 地址作為虛擬機(jī)的出口�����。
NAT 網(wǎng)關(guān)支持 DNAT(Destination Network Address Translation 目的地址轉(zhuǎn)換)����,也稱為端口轉(zhuǎn)發(fā)或端口映射,即將外網(wǎng) IP 地址轉(zhuǎn)換為 VPC 子網(wǎng)的 IP 地址提供網(wǎng)絡(luò)服務(wù)�����。
- 支持 TCP 和 UDP 兩種協(xié)議的端口轉(zhuǎn)發(fā)����,支持對(duì)端口轉(zhuǎn)發(fā)規(guī)則進(jìn)行生命周期管理�����。
- 支持批量進(jìn)行多端口轉(zhuǎn)發(fā)規(guī)則配置�,即支持映射端口段,如 TCP:1024~TCP:1030 �。
- NAT 網(wǎng)關(guān)綁定外網(wǎng) IP 時(shí),端口轉(zhuǎn)發(fā)規(guī)則為 VPC 子網(wǎng)內(nèi)的虛擬機(jī)提供互聯(lián)網(wǎng)外網(wǎng)服務(wù)�����,可通過外網(wǎng)訪問子網(wǎng)內(nèi)的虛擬機(jī)服務(wù)�����。
平臺(tái)支持對(duì) NAT 網(wǎng)關(guān)進(jìn)行監(jiān)控?cái)?shù)據(jù)的收集和展示,通過監(jiān)控?cái)?shù)據(jù)展示每一個(gè) NAT 網(wǎng)關(guān)的指標(biāo)數(shù)據(jù)��,同時(shí)支持為每一個(gè)監(jiān)控指標(biāo)設(shè)置閾值告警及通知策略��。支持的監(jiān)控指標(biāo)包括網(wǎng)絡(luò)出/帶寬�、網(wǎng)絡(luò)出/包量及連接數(shù)。
支持查看一個(gè) NAT 網(wǎng)關(guān)多時(shí)間維度的監(jiān)控?cái)?shù)據(jù)����,包括 1 小時(shí)、6 小時(shí)�、12 小時(shí)、1 天���、7 天�����、15 天及自定義時(shí)間的監(jiān)控?cái)?shù)據(jù)�。默認(rèn)查詢數(shù)提成為 1 小時(shí)的數(shù)據(jù)�,最多可查看 1 個(gè)月的監(jiān)控?cái)?shù)據(jù)。
NAT 網(wǎng)關(guān)實(shí)例支持高可用架構(gòu)����,即至少由 2 個(gè)虛擬機(jī)實(shí)例構(gòu)建����,支持雙機(jī)熱備����。當(dāng)一個(gè) NAT 網(wǎng)關(guān)的實(shí)例發(fā)生故障時(shí),支持自動(dòng)在線切換到另一個(gè)虛擬機(jī)實(shí)例��,保證 NAT 代理業(yè)務(wù)正常�。同時(shí)基于外網(wǎng) IP 地址的漂移特性���,支持在物理機(jī)宕機(jī)時(shí)�,保證 SNAT 網(wǎng)關(guān)出口及 DNAT 入口的可用性�。
NAT 網(wǎng)關(guān)的網(wǎng)絡(luò)訪問控制可以關(guān)聯(lián)安全組給予安全保障,通過安全組的規(guī)則可控制到達(dá) NAT 網(wǎng)關(guān) 所綁定外網(wǎng) IP 的入站流量及出站流量��,支持 TCP�����、UDP�、ICMP、GRE 等協(xié)議數(shù)據(jù)包的過濾和控制�����。
安全組及安全組的規(guī)則支持對(duì)已關(guān)聯(lián)安全組的 NAT 網(wǎng)關(guān)的流量進(jìn)行限制,僅允許安全組規(guī)則內(nèi)的流量透?jìng)靼踩M到達(dá)目的地����。為保證 NAT 網(wǎng)關(guān)的資源和網(wǎng)絡(luò)安全,平臺(tái)為 NAT 網(wǎng)關(guān)提供資源隔離及網(wǎng)絡(luò)隔離機(jī)制:
(1)資源隔離
- NAT 網(wǎng)關(guān)具有數(shù)據(jù)中心屬性�,不同數(shù)據(jù)中心間 NAT 網(wǎng)關(guān)資源物理隔離;
- NAT 網(wǎng)關(guān)資源在租戶間相互隔離�����,租戶可查看并管理賬號(hào)及子賬號(hào)下所有 NAT 網(wǎng)關(guān)資源���;
- 一個(gè)租戶內(nèi)的 NAT 網(wǎng)關(guān)資源�����,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的 VPC 子網(wǎng)資源�;
- 一個(gè)租戶內(nèi)的 NAT 網(wǎng)關(guān)資源���,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的外網(wǎng) IP 資源�����;
- 一個(gè)租戶內(nèi)的 NAT 網(wǎng)關(guān)資源�,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的安全組資源。
(2)網(wǎng)絡(luò)隔離
- 不同數(shù)據(jù)中心間 NAT 網(wǎng)關(guān)資源網(wǎng)絡(luò)相互物理隔離����;
- 同數(shù)據(jù)中心 NAT 網(wǎng)關(guān)網(wǎng)絡(luò)采用 VPC 進(jìn)行隔離,不同 VPC 的 NAT 網(wǎng)關(guān)資源無法相互通信����;
- NAT 網(wǎng)關(guān)綁定的外網(wǎng) IP 網(wǎng)絡(luò)隔離取決于用戶物理網(wǎng)絡(luò)的配置,如不同的 Vlan 等�����。
