一、region和az
region(区域):一个region可以理解为一个大的独立的数据中心,一般按地理位置来划分。不同区域之间内网互不想通。
AZ(available zone)可用分区:可以理解为一个region下有多个机房,每个机房就是一个AZ。一个region可以有多个az,一个az只能属于一个region。每个AZ之间也是相互独立的,比如说有独立的网络,有独立的供电系统等。
另外,每个region中的az是互通的,虽然每个az有自己独立的网络(是指在高可用层面),但是在网络层面他们之间是可以互相通信的。
二、VPC
VPC(virtual private cloud):虚拟私有云。它不是弹性云服务器(虚拟机),它是一个网络。
比如说一个公司自己有一个数据中心,数据中心里有很多机柜,每台机柜里都有一台一台服务器,服务器server的IP地址一般都是内网IP地址,比如说192.168.1.100等,如果要连外网,那么路由器上会绑定一个公网IP,再由公网IP连接到外网去。如下图所示
如果有一天要把公司的业务迁移上云,想保证服务器的内网IP地址不变,这样可以吗?答案是可以的,这就要通过VPC来实现了。这里的虚拟私有云中的私有就是指自己私有的内网IP地址。每个region的VPC默认是不通的。
那么和这个公司内网一样的VPC到底是什么东西呢?
在公有云中,每创建一个VPC,就会自动生成一个路由器,然后每个VPC下边又可以创建很多子网。路由器上会绑定一个外网IP,如果需要访问外网通过路由器就可以访问。如下图所示:
那么这里有一个问题,66网段的子网和88网段的子网之间能通吗?他们之间是可以互通的,虽然在不同网段,但是因为有路由器在,所以可以通信。所以在VPC中,不管有多少个子网,每个子网中的虚拟机之间都是可以互通的。
如果这时候在这个region下在创建一个新的VPC,这两个VPC之间可以互通吗?答案是不通的,因为每个VPC对应一个路由,这两个路由器之间没有打通,所以这两个VPC是不通的。如下图所示。那么如果想打通这两个VPC应该怎么办呢?我们可以通过对等连接将他们打通。
在公有云界面上直接创建对等连接,如下图所示。他会提示:对等连接创建成功后,请务必添加路由信息,才能使两个VPC互通。
所以我们在创建对等连接后,需要写入VPC的路由信息,就可以将不同的路由器之间打通,从而实现同一个region下的不同VPC之间的互通。
三、安全组
我们在公有云上配置安全组时,会有一个入方向规则,和一个出方向规则,如下图所示:
入方向规则就是指允许谁访问,比如这里默认的允许22端口,就相当于默认允许ssh连接。出方向规则就是指可以对外访问哪些资源。
四、总结
综上所述,如果两个云主机之间ping不通,我们一般需要这样排查:
1、看他们是否在同一个region
2、是否在同一个VPC
3、安全组是否放行
下边是公有云云内网络层面通用架构:
网络ACL:网络访问控制列表(internet access control list)
NAT:当有很多云主机需要访问外网时,可以通过NAT实现。
本地VPC想连到IDC机房,怎么办,两种方法,要么通过VPN,要么通过云专线(一头插在服务器上,另一头插在交换机上,实现云内到云外)。
EIP:弹性IP。EIP可以选择使用公网IP,也可以选择使用内网IP。
经过以上的学习,大家应该可以理解公有云的架构图。