文章目录
- 华为云网络云服务
-
- 一、网络云服务概述
-
- [1. 网络基础定义](#1. 网络基础定义)
- [2. 核心价值](#2. 核心价值)
- 二、虚拟私有云(VPC)
- [三、弹性公网 IP(EIP)](#三、弹性公网 IP(EIP))
-
- [1. 定义与核心功能](#1. 定义与核心功能)
- [2. 线路类型对比](#2. 线路类型对比)
- [3. 适用场景](#3. 适用场景)
- 四、弹性负载均衡(ELB)核心理论
- 五、虚拟专用网络(VPN)
-
- [1. 定义与核心定位](#1. 定义与核心定位)
- [2. 核心优势](#2. 核心优势)
- [3. 组网组成](#3. 组网组成)
- [4. 配置流程(经典版)](#4. 配置流程(经典版))
- [5. 适用场景](#5. 适用场景)
- [六、NAT 网关核心理论](#六、NAT 网关核心理论)
-
- [1. 定义与分类](#1. 定义与分类)
- [2. 核心优势](#2. 核心优势)
- [3. 核心转换技术(SNAT/DNAT)](#3. 核心转换技术(SNAT/DNAT))
- [4. 产品架构](#4. 产品架构)
- [5. 配置流程(公网 NAT)](#5. 配置流程(公网 NAT))
- [6. 适用场景](#6. 适用场景)
- 七、其他网络服务
-
- [1. 域名解析服务(DNS)](#1. 域名解析服务(DNS))
- [2. 云连接(CC)与云专线(DC)](#2. 云连接(CC)与云专线(DC))
- [3. 企业路由器(ER)](#3. 企业路由器(ER))
- 八、关键术语与缩略语
华为云网络云服务
一、网络云服务概述
1. 网络基础定义
- 网络:将多个计算机或设备连接,实现通信与资源共享的系统,涵盖局域网(LAN)、广域网(WAN)、互联网(Internet)等类型。
- 华为云网络服务:提供安全可扩展的云上网络环境,以及高速可靠的云上云下连接服务,支持互联网与本地数据中心灵活互通。
2. 核心价值
- 支撑企业业务协同:实现设备、系统间的高效通信,为业务快速发展提供网络保障。
- 适配多样化场景:满足云上资源隔离、公网访问、跨地域互联、负载分发等多类网络需求。
二、虚拟私有云(VPC)
1. 定义与核心定位
- 定义:为云上资源(ECS、容器、数据库等)构建的隔离、私密虚拟网络环境,通过隧道网络技术实现多 VPC 逻辑隔离。
- 核心定位:类比企业 "云上专属内网",承载核心业务资源的网络隔离与通信需求。
2. 核心优势
- 安全可靠:100% 逻辑隔离,结合安全组、网络 ACL、DDoS 防护等多重安全机制。
- 灵活配置:支持自定义网络结构、子网划分,跨可用区部署 ECS,适配业务动态调整。
- 高速访问:全动态 BGP 协议接入多运营商,寻路协议实时自动故障切换,降低网络时延。
- 互联互通:支持多种公网连接方式,通过对等连接实现跨 VPC 私有 IP 通信。
3. 核心组成与关键概念
(1)基础组成
- 私网网段:VPC 的核心 IP 地址范围(如 192.168.0.0/16),子网网段需从其划分且不可重复。
- 子网:VPC 内的 IP 地址块,所有云上资源必须部署在子网内,默认启用 DHCP 自动分配 IP。
- 路由表:由路由规则组成,控制子网出流量走向,一个子网仅关联一个路由表,一个路由表可关联多个子网。
(2)关键关联组件
| 组件 | 定义与核心功能 |
|---|---|
| 安全组 | 逻辑分组,为信任的实例提供访问策略,通过入 / 出方向规则控制访问(如放通 22、3389 端口) |
| 对等连接 | 同一区域内两个 VPC 的网络连接,支持私有 IP 通信,跨区域不支持 |
| 网络 ACL | 子网级安全层,通过入 / 出方向规则控制数据包流入 / 流出,适配子网级访问控制 |
| 弹性网卡(ENI) | 虚拟网卡,分主网卡(默认创建)、扩展网卡(可解绑)、辅助网卡(基于 VLAN 子接口),实现灵活网络配置 |
| 虚拟 IP(VIP) | 未分配给网卡的 IP,与私有 IP 具备同等网络接入能力,支持多 IP 访问实例 |
| IP 地址组 | 单个 / 多个 IP 的集合,关联安全组 / 网络 ACL,简化 IP 配置管理 |
4. 配置流程
- 创建 VPC 基本信息与默认子网;
- 按需添加新子网;
- 创建安全组;
- 自定义添加安全组规则(可选)。
5. 与传统 IDC 对比
| 对比项 | 虚拟私有云(VPC) | 传统 IDC |
|---|---|---|
| 部署周期 | 自主规划,无需复杂工程,快速配置 | 需自建网络与测试,周期长,依赖专业技术 |
| 总成本 | 灵活计费,无前期基建投入,运维成本低 | 固定重资产投入(机房、硬件等),运维成本高 |
| 灵活性 | 支持网络资源动态扩展,多服务灵活搭配 | 受前期规划限制,调整困难 |
| 安全性 | 逻辑隔离 + 多重防护,安全能力专业 | 网络维护薄弱,需专人保障安全 |
6. 适用场景
- 云端专属网络:多业务系统隔离(如生产 / 测试环境),通过多 VPC 实现逻辑隔离;
- Web 应用 / 网站托管:VPC 内部署应用,结合 EIP/NAT 网关连接公网,搭配 ELB 实现流量分发。
三、弹性公网 IP(EIP)
1. 定义与核心功能
- 定义:提供独立的公网 IP 资源,包含公网 IP 地址与公网出口带宽服务,可灵活绑定 / 解绑 ECS、BMS、VIP、ELB、NAT 网关等资源。
- 核心功能:实现云上资源与公网的双向通信(资源访问公网、公网访问资源)。
2. 线路类型对比
| 线路类型 | 定义 | 保障性 | 服务可用性 |
|---|---|---|---|
| 静态 BGP | 手动配置路由,拓扑变化需手动调整 | 时延略高,切换依赖其他技术 | 99% |
| 全动态 BGP | 多运营商接入,自动优化网络结构 | 故障快速切换,访问稳定 | 99.95% |
| 优选 BGP | 特定方向优质线路,直连中国内地 | 质量更高,时延更低,故障自动切换 | 99.95% |
3. 适用场景
- 绑定 ECS/BMS:直接实现单台实例的公网访问;
- 绑定 NAT 网关:支持多台云主机共享 EIP 访问公网或对外提供服务;
- 绑定 ELB 实例:通过 EIP 对外暴露服务,实现负载分发后的公网访问。
四、弹性负载均衡(ELB)核心理论
1. 定义与核心价值
- 定义:将访问流量按策略分发到后端多台服务器的流量控制服务,扩展应用服务能力,消除单点故障,提升可用性。
- 核心价值:平衡后端服务器负载,避免单台服务器过载,保障业务高可用。
2. 核心优势
- 性能强悍:集群支持 1 亿并发连接,满足海量业务访问;
- 简单易用:快速部署、实时生效,多种调度算法可选;
- 灵活转发:支持多层转发策略,适配多样化流量分发需求;
- 高可用:集群化部署,多可用区同城双活容灾,无缝切换;
- 灵活扩展:与弹性伸缩无缝集成,随业务流量自动调整;
- 负载无界:独享型支持跨 VPC 后端,统一云上云下资源负载。
3. 产品架构与核心组件
(1)架构组成
- 负载均衡器:承载业务的服务实体,分公网型(面向互联网)、私网型(仅内网访问)。
- 监听器:监听负载均衡器的请求,配置协议(TCP/UDP/HTTP/HTTPS)、端口与流量分配策略。
- 后端服务器组:同一特性服务器的集合,流量分配策略以组为单位生效,包含健康检查机制。
(2)关键机制
- 健康检查:定期检测后端服务器状态,自动屏蔽故障实例,保障流量仅分发至正常服务器。
- 分配策略:
- 加权轮询:按权重分配流量,权重越高承接流量越多;
- 加权最少连接:优先分配至连接数最少的服务器(结合权重);
- 源 IP 算法:同一源 IP 请求固定分发至同一服务器;
- 连接 ID 算法:基于连接标识保持会话一致性。
4. 配置流程
- 创建负载均衡器(选择区域、类型、规格、网络配置);
- 添加监听器(配置协议、端口、访问控制、分配策略);
- 添加后端服务器组(配置健康检查、添加后端 ECS 实例);
- 确认配置生效。
5. 适用场景
- 高访问量业务流量分发:如大型门户网站、移动应用市场,通过策略均匀分配流量;
- 潮汐业务弹性分发:结合弹性伸缩,随业务量增减动态适配后端资源;
- 消除单点故障:多后端服务器部署,健康检查自动屏蔽故障节点,保障业务不中断。
五、虚拟专用网络(VPN)
1. 定义与核心定位
- 定义:通过公网建立安全加密隧道,实现远端用户与 VPC 之间的私密通信,基于 IPSec VPN 技术。
- 核心定位:构建 "混合云""跨地域 VPC 互联" 的安全通道,适配云上云下、跨区域资源通信需求。
2. 核心优势
- 安全加密:基于 IKE 和 IPsec 对传输数据加密,保障通信安全;
- 高可用:支持双连接、双活网关,提升连接稳定性;
- 灵活部署:利用 Internet 构建加密通道,支持多种连接模式、分支互访,即开即用;
- 专线互备:可作为云专线的备用连接,保障网络连续性。
3. 组网组成
- VPN 网关:VPC 的公网出口,与本地数据中心的远端网关对应;
- VPN 连接:通过公网加密技术关联 VPN 网关与远端网关,实现 VPC 与本地数据中心通信。
4. 配置流程(经典版)
- 创建 VPN 网关(指定 VPC、规格等);
- 创建 VPN 连接(关联 VPN 网关与远端网关,配置加密参数);
- 配置路由表,确保流量通过 VPN 隧道转发。
5. 适用场景
- 混合云部署:通过 VPN 连接本地数据中心与云上 VPC,扩展应用计算能力;
- 跨地域 VPC 互联:连接不同区域的 VPC,实现数据与服务跨地域互通。
六、NAT 网关核心理论
1. 定义与分类
- 定义:提供网络地址转换服务,节约 EIP 资源,实现 VPC 内云主机与公网 / 私网的互相访问。
- 分类:
- 公网 NAT 网关:实现 VPC 内云主机访问公网或对外提供服务;
- 私网 NAT 网关:为 VPC 内云主机提供私网地址转换,适配私网互联场景。
2. 核心优势
- 高性能:提供多种实例规格,最高支持百万级会话连接,满足大规模场景;
- 安全性:多台云主机共享 EIP,避免主机 IP 直接暴露在公网;
- 灵活部署:支持跨子网、跨 AZ 部署,VPC 内资源可共享 EIP 访问公网 / 私网;
- 简易管理:保持网段与 IP 不变,实现与线下 IDC 三层网络互通;
- 成本优化:共享 EIP 减少资源占用,降低使用成本。
3. 核心转换技术(SNAT/DNAT)
| 技术类型 | 定义 | 核心场景 |
|---|---|---|
| SNAT(源地址转换) | 转换报文源地址 | 私网云主机访问公网(多主机共享 EIP) |
| DNAT(目的地址转换) | 转换报文目的地址与端口 | 公网用户访问私网服务(端口映射) |
4. 产品架构
- 公网 NAT:支持 20Gbit/s 级别的地址转换,关联 EIP,通过 SNAT/DNAT 规则实现公网与 VPC 互通;
- 私网 NAT:专注私网地址转换,适配 VPC 与本地 IDC、其他 VPC 的私网通信。
5. 配置流程(公网 NAT)
- 购买 NAT 网关(指定 VPC、子网、规格);
- 购买 EIP 并绑定 NAT 网关;
- 配置 SNAT 规则(指定子网,实现多主机共享 EIP 访问公网);
- 配置 DNAT 规则(指定云主机,实现公网访问私网服务)。
6. 适用场景
- SNAT 访问公网:VPC 内多台云主机共享 EIP 访问公网,节省资源且隐藏主机 IP;
- DNAT 对外提供服务:VPC 内云主机通过端口映射共享 EIP,向公网提供服务(如 Web 服务、数据库服务)。
七、其他网络服务
1. 域名解析服务(DNS)
- 定义:提供高可用、高扩展的权威 DNS 服务,将域名转换为 IP 地址,实现用户路由到对应应用资源。
- 核心解析类型:
- 公网域名解析:互联网用户通过域名访问公网应用;
- 内网域名解析:VPC 内资源通过内网域名访问内网应用,返回私网 IP;
- 反向解析:将 IP 地址转换为域名,适用于邮件服务器等场景;
- 智能线路解析:根据用户运营商(联通、电信等)分配最优服务器 IP,降低时延。
2. 云连接(CC)与云专线(DC)
- 云连接(CC):快速构建跨区域 VPC、云上 VPC 与云下数据中心之间的高速优质网络,打造全球云上企业级网络;
- 云专线(DC):搭建本地数据中心与华为云 VPC 的专属连接通道,提供高速、低时延、稳定安全的连接,实现混合云计算环境。
3. 企业路由器(ER)
- 定义:连接 VPC 或本地网络构建中心辐射型组网,基于 BGP 协议支持路由学习、动态选路与链路切换,提升网络扩展性与运维效率;
- 核心价值:保障大规模、高带宽场景下的业务连续性,适配企业级复杂组网需求。
八、关键术语与缩略语
| 缩写 | 全称 | 定义 |
|---|---|---|
| VPC | Virtual Private Cloud | 虚拟私有云,云上隔离虚拟网络环境 |
| EIP | Elastic Internet Protocol | 弹性公网 IP,独立公网 IP 与带宽服务 |
| ELB | Elastic Load Balance | 弹性负载均衡,流量分发控制服务 |
| VPN | Virtual Private Network | 虚拟专用网络,公网加密通信隧道 |
| NAT | Network Address Translation | 网络地址转换,实现 IP 地址映射 |
| SNAT | Source Network Address Translation | 源地址转换,私网访问公网场景 |
| DNAT | Destination Network Address Translation | 目的地址转换,公网访问私网场景 |
| DNS | Domain Name Server | 域名系统,域名与 IP 地址转换服务 |
| CC | Cloud Connection | 云连接,跨区域跨网络高速互联服务 |
| DC | Direct Connect | 云专线,本地数据中心与云上专属连接 |
| ER | Enterprise Router | 企业路由器,企业级集中路由服务 |
| ACL | Access Control Lists | 访问控制列表,子网级安全访问策略 |
| BGP | Border Gateway Protocol | 边界网关协议,路由动态选路协议 |
| IPSec | Internet Protocol Security | 互联网安全协议,VPN 加密基础 |
| IDC | Internet Data Center | 互联网络数据中心,本地机房环境 |