searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

跨VPC网络连接的几种方式

2023-09-15 06:16:58
300
0

(一)VPC介绍

VPC,按照天翼云官网的解释是这样的:虚拟私有云(CT-VPC ,Virtual Private Cloud)为用户提供一个逻辑隔离的区域,构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备(如虚拟路由器,虚拟交换机)组成,可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。这样的解释方式固然没有问题,但是对于初次接触这个产品的人还是难免会有一些迷惑:这个东西到底拿来干啥的,名字里面说是“云”,释义中却是“网络环境”,他有什么样的神奇功能……为了搞懂这些,不得不先从VPC的由来讲起。

云计算领域一开始是没有所谓的VPC的概念的,有的只是虚拟网络以及虚拟路由器这些概念,当然,最开始的虚拟网络是独立且隔离的三层网络,只可以内部的云主机间进行互联通信,这显然不能够满足日益增长的云主机发展需求以及与外界通信的现实要求,虚拟路由器正好可以提供路由的功能,可以将虚拟网络之间通过路由的形式进行连通、配置和管理等。但是,从用户体验的角度出发,两个独立的产品在无形之中增加了用户操作上的繁杂成本,因此,VPC应运而生,承担了虚拟网络与虚拟路由器的功能整合任务,并在随后的发展中,逐步增强了诸如网络ACL、自定义路由表、DHCP选项集和IPv4网关功能等等的高阶能力。

(二)跨VPC互联的几种方式

VPC间的通信有多重多样的方案,不同的厂家能够提供的解决方案也不尽相同,此处,仅列举一些比较常见且天翼云已具备的能力。

2.1 对等连接

对等连接(VPC Peering Connection)是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信,就像两个VPC在同一个网络中一样。用户可以在自己账号的VPC之间创建对等连接,也可以在自己账号的VPC与同一区域内其他账号的VPC之间创建对等连接。如图1所示,在区域A内,有两个VPC分别为VPC-A和VPC-B,VPC-A和VPC-B之间网络不通,业务服务器ECS-A01和ECS-A02位于VPC-A内,数据库服务器RDS-B01和RDS-B02位于VPC-B内,此时业务服务器和数据库服务器网络不通,此时,在VPC-A和VPC-B之间建立对等连接Peering-AB,连通VPC-A和VPC-B之间的网络,业务服务器就可以访问数据库服务器。

图1 对等连接示意图

当然,使用对等连接时,存在如下限制:

    • 每个用户在每个资源池最多可申请50个对等连接,每个对等连接可分别创建100条本端路由规则和对端路由规则。用户可提交工单申请扩大配额。
    • 对等连接仅支持同资源池的VPC之间互通,不支持跨资源池VPC之间互通。
    • 创建对等连接时,对等连接两端的VPC网段可以重叠,但是两端VPC下的所有子网网段都不可以重叠。当一个VPC与多个VPC建立对等连接时,该VPC与这些VPC下的子网网段都不能重叠。
    • 对等连接不支持传递对等关系。例如,在VPC 1和VPC 2之间,VPC 1和VPC 3之间建立对等连接,那么VPC 2和VPC 3不能通过VPC 1进行通信,如需VPC 2和VPC 3通信,需要在VPC 2和VPC 3之间建立对等连接。
    • VPC 1与VPC 2、VPC 3分别建立对等连接,如果VPC 2和VPC 3的网段有重叠,那么VPC 1中无法添加具有相同目的网段的路由。

2.2 通过EIP或者NAT网关

EIP、NAT网关都可以作为云上资源的公网入口,即实现VPC内的云服务器可以与公网Internet互通,以Internet为桥梁,进而两个VPC之间的资源可以相互访问彼此,实现数据的交换和通信。其差别如下:

弹性 IP(Elastic IP Address,简称EIP)是可以独立申请的公网 IP 地址,将弹性 IP 地址和子网中关联的各项云资源绑定和解绑,可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址,也可以提供公网带宽服务,与其他带宽产品组合使用,可以达到访问公网与节省成本的目的。弹性IP需与绑定的云资源在同一个区域进行使用,不允许跨区域(Region)使用弹性IP。

NAT网关(NAT Gateway)是一种支持 IP 地址转换的网络云服务,能够为虚拟私有云(Virtual Private Cloud,VPC)内的计算实例提供网络地址转换(Network Address Translation),分为SNAT和DNAT两个功能。通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。NAT网关是 VPC 内的一个公网流量的出入口,保护私有网络信息不直接对公网暴露。

由以上描述不难发现,EIP适用于单个ECS连接公网的场景,而当多个ECS需要连接公网时,可以搭配NAT,让多个ECS共享弹性公网IP连接公网,从而可以节约带宽成本。

图2 EIP或NAT实现VPC互访示意图

2.3 使用云专线或者VPN

此方案通过铺设物理专线高质量连接VPC与本地IDC或者使用公网低成本连接跨区域VPC,前者使用物理专线将VPC与本地数据中心连接起来。具备低时延、高安全、专用等优点。适用对网络传输质量和安全等级要求较高的场景 。后者基于Internet使用加密隧道将不同区域的VPC连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。

图3 使用云专线实现云上VPC与本地IDC内网互通

图4 使用VPN实现VPC互连

2.4 使用云间高速

2.1节讲到了对等连接在实现VPC互连时的一个限制,即两个VPC要在同一区域内,若要实现跨不同区域的VPC互通,云间高速就是一个很好的选择,例如:某公司在北京和上海两个地区的业务系统需要实现私网通信和数据传输。为了实现这一目标,基于天翼云云间高速(标准版)将北京和上海两个区域的VPC建立连接,即可实现两地VPC上的业务系统可以互相访问,如图5所示。

图5 云间高速实现不同VPC互通

可以看出,其实该网络拓扑跟对等连接类似,不过最大的区别是它多了一个网络节点:云网关(EGW)。因为需要打通两个不同的资源池,所以需要一对能在不通资源池互通的网络节点,此处的EGW就充当这个连接不同资源池的角色。其实如果是在同一个资源池的两个VPC要互通,也可以用云间高速,只是相对于对等连接他的体量较大。

2.5 VPC终端节点(VPCE)

VPC终端节点(VPC Endpoint)是一种能够将VPC私密地连接到终端节点服务(云服务、用户私有服务)的解决方案。通过使用VPC终端节点,VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务,从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式,保障了数据的安全性和隐私。VPC终端节点由两种资源实例组成:终端节点服务和终端节点。其中终端节点服务:将云服务或用户私有服务配置为VPC终端节点支持的服务,允许终端节点连接和访问这些服务。而终端节点:用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。如图6所示

图6 VPCE架构

在同一地域中,由于VPC之间的逻辑隔离,不同VPC内的云资源默认不能直接通信。通过在不同VPC之间建立终端节点到终端节点服务的连接通道,可以实现跨VPC的资源通信。服务提供方可以在其服务所在的VPC中配置终端节点服务,并共享后端资源。服务使用方可以通过配置VPC终端节点连接到终端节点服务,从而实现访问该服务。其特点如下:

    • 高效可靠

VPC终端节点提供高性能的连接通道,每个网关节点都能支持百万级会话。这使得跨VPC的资源通信速度快、延迟低,保证了数据传输的高效性。

    • 简便快捷

建立跨VPC的终端节点连接简便易操作,用户无需做服务公网开放或配置复杂的路由打通私有网络,资源可秒级创建,变更也可快速生效,提供了更加灵活、安全的组网方式。

0条评论
0 / 1000
王****智
4文章数
2粉丝数
王****智
4 文章 | 2 粉丝
原创

跨VPC网络连接的几种方式

2023-09-15 06:16:58
300
0

(一)VPC介绍

VPC,按照天翼云官网的解释是这样的:虚拟私有云(CT-VPC ,Virtual Private Cloud)为用户提供一个逻辑隔离的区域,构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备(如虚拟路由器,虚拟交换机)组成,可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。这样的解释方式固然没有问题,但是对于初次接触这个产品的人还是难免会有一些迷惑:这个东西到底拿来干啥的,名字里面说是“云”,释义中却是“网络环境”,他有什么样的神奇功能……为了搞懂这些,不得不先从VPC的由来讲起。

云计算领域一开始是没有所谓的VPC的概念的,有的只是虚拟网络以及虚拟路由器这些概念,当然,最开始的虚拟网络是独立且隔离的三层网络,只可以内部的云主机间进行互联通信,这显然不能够满足日益增长的云主机发展需求以及与外界通信的现实要求,虚拟路由器正好可以提供路由的功能,可以将虚拟网络之间通过路由的形式进行连通、配置和管理等。但是,从用户体验的角度出发,两个独立的产品在无形之中增加了用户操作上的繁杂成本,因此,VPC应运而生,承担了虚拟网络与虚拟路由器的功能整合任务,并在随后的发展中,逐步增强了诸如网络ACL、自定义路由表、DHCP选项集和IPv4网关功能等等的高阶能力。

(二)跨VPC互联的几种方式

VPC间的通信有多重多样的方案,不同的厂家能够提供的解决方案也不尽相同,此处,仅列举一些比较常见且天翼云已具备的能力。

2.1 对等连接

对等连接(VPC Peering Connection)是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信,就像两个VPC在同一个网络中一样。用户可以在自己账号的VPC之间创建对等连接,也可以在自己账号的VPC与同一区域内其他账号的VPC之间创建对等连接。如图1所示,在区域A内,有两个VPC分别为VPC-A和VPC-B,VPC-A和VPC-B之间网络不通,业务服务器ECS-A01和ECS-A02位于VPC-A内,数据库服务器RDS-B01和RDS-B02位于VPC-B内,此时业务服务器和数据库服务器网络不通,此时,在VPC-A和VPC-B之间建立对等连接Peering-AB,连通VPC-A和VPC-B之间的网络,业务服务器就可以访问数据库服务器。

图1 对等连接示意图

当然,使用对等连接时,存在如下限制:

    • 每个用户在每个资源池最多可申请50个对等连接,每个对等连接可分别创建100条本端路由规则和对端路由规则。用户可提交工单申请扩大配额。
    • 对等连接仅支持同资源池的VPC之间互通,不支持跨资源池VPC之间互通。
    • 创建对等连接时,对等连接两端的VPC网段可以重叠,但是两端VPC下的所有子网网段都不可以重叠。当一个VPC与多个VPC建立对等连接时,该VPC与这些VPC下的子网网段都不能重叠。
    • 对等连接不支持传递对等关系。例如,在VPC 1和VPC 2之间,VPC 1和VPC 3之间建立对等连接,那么VPC 2和VPC 3不能通过VPC 1进行通信,如需VPC 2和VPC 3通信,需要在VPC 2和VPC 3之间建立对等连接。
    • VPC 1与VPC 2、VPC 3分别建立对等连接,如果VPC 2和VPC 3的网段有重叠,那么VPC 1中无法添加具有相同目的网段的路由。

2.2 通过EIP或者NAT网关

EIP、NAT网关都可以作为云上资源的公网入口,即实现VPC内的云服务器可以与公网Internet互通,以Internet为桥梁,进而两个VPC之间的资源可以相互访问彼此,实现数据的交换和通信。其差别如下:

弹性 IP(Elastic IP Address,简称EIP)是可以独立申请的公网 IP 地址,将弹性 IP 地址和子网中关联的各项云资源绑定和解绑,可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址,也可以提供公网带宽服务,与其他带宽产品组合使用,可以达到访问公网与节省成本的目的。弹性IP需与绑定的云资源在同一个区域进行使用,不允许跨区域(Region)使用弹性IP。

NAT网关(NAT Gateway)是一种支持 IP 地址转换的网络云服务,能够为虚拟私有云(Virtual Private Cloud,VPC)内的计算实例提供网络地址转换(Network Address Translation),分为SNAT和DNAT两个功能。通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。NAT网关是 VPC 内的一个公网流量的出入口,保护私有网络信息不直接对公网暴露。

由以上描述不难发现,EIP适用于单个ECS连接公网的场景,而当多个ECS需要连接公网时,可以搭配NAT,让多个ECS共享弹性公网IP连接公网,从而可以节约带宽成本。

图2 EIP或NAT实现VPC互访示意图

2.3 使用云专线或者VPN

此方案通过铺设物理专线高质量连接VPC与本地IDC或者使用公网低成本连接跨区域VPC,前者使用物理专线将VPC与本地数据中心连接起来。具备低时延、高安全、专用等优点。适用对网络传输质量和安全等级要求较高的场景 。后者基于Internet使用加密隧道将不同区域的VPC连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。

图3 使用云专线实现云上VPC与本地IDC内网互通

图4 使用VPN实现VPC互连

2.4 使用云间高速

2.1节讲到了对等连接在实现VPC互连时的一个限制,即两个VPC要在同一区域内,若要实现跨不同区域的VPC互通,云间高速就是一个很好的选择,例如:某公司在北京和上海两个地区的业务系统需要实现私网通信和数据传输。为了实现这一目标,基于天翼云云间高速(标准版)将北京和上海两个区域的VPC建立连接,即可实现两地VPC上的业务系统可以互相访问,如图5所示。

图5 云间高速实现不同VPC互通

可以看出,其实该网络拓扑跟对等连接类似,不过最大的区别是它多了一个网络节点:云网关(EGW)。因为需要打通两个不同的资源池,所以需要一对能在不通资源池互通的网络节点,此处的EGW就充当这个连接不同资源池的角色。其实如果是在同一个资源池的两个VPC要互通,也可以用云间高速,只是相对于对等连接他的体量较大。

2.5 VPC终端节点(VPCE)

VPC终端节点(VPC Endpoint)是一种能够将VPC私密地连接到终端节点服务(云服务、用户私有服务)的解决方案。通过使用VPC终端节点,VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务,从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式,保障了数据的安全性和隐私。VPC终端节点由两种资源实例组成:终端节点服务和终端节点。其中终端节点服务:将云服务或用户私有服务配置为VPC终端节点支持的服务,允许终端节点连接和访问这些服务。而终端节点:用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。如图6所示

图6 VPCE架构

在同一地域中,由于VPC之间的逻辑隔离,不同VPC内的云资源默认不能直接通信。通过在不同VPC之间建立终端节点到终端节点服务的连接通道,可以实现跨VPC的资源通信。服务提供方可以在其服务所在的VPC中配置终端节点服务,并共享后端资源。服务使用方可以通过配置VPC终端节点连接到终端节点服务,从而实现访问该服务。其特点如下:

    • 高效可靠

VPC终端节点提供高性能的连接通道,每个网关节点都能支持百万级会话。这使得跨VPC的资源通信速度快、延迟低,保证了数据传输的高效性。

    • 简便快捷

建立跨VPC的终端节点连接简便易操作,用户无需做服务公网开放或配置复杂的路由打通私有网络,资源可秒级创建,变更也可快速生效,提供了更加灵活、安全的组网方式。

文章来自个人专栏
网络二三事
3 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
4
3