阿里云網(wǎng)絡(luò )系列之經(jīng)典網(wǎng)絡(luò )和專(zhuān)有網(wǎng)絡(luò )
本文作者:駐云科技,趙樂(lè )義
阿里云面向客戶(hù)提供的網(wǎng)絡(luò )類(lèi)型服務(wù)有經(jīng)典網(wǎng)絡(luò )和專(zhuān)有網(wǎng)絡(luò )兩種,但這兩者有什么區別呢?阿里官網(wǎng)給的解釋是:
經(jīng)典網(wǎng)絡(luò ):IP地址由阿里云統一分配,配置簡(jiǎn)便,使用方便,適合對操作易用性要求比較高、需要快速使用 ECS 的用戶(hù)。
專(zhuān)有網(wǎng)絡(luò ):是指邏輯隔離的私有網(wǎng)絡(luò ),您可以自定義網(wǎng)絡(luò )拓撲和 IP 地址,支持通過(guò)專(zhuān)線(xiàn)連接。適合于熟悉網(wǎng)絡(luò )管理的用戶(hù)
相信很多人看了這個(gè)解釋還是云里霧里,作為用戶(hù)你該如何判斷哪一種是適合自己的網(wǎng)絡(luò )類(lèi)型呢:
其實(shí),可以這樣簡(jiǎn)單地理解,從公網(wǎng)ip來(lái)講,經(jīng)典網(wǎng)絡(luò )和專(zhuān)有網(wǎng)絡(luò )沒(méi)有區別;從內網(wǎng)ip來(lái)講,經(jīng)典網(wǎng)絡(luò )是DHIP,也就是自動(dòng)分配局域網(wǎng)ip地址,而專(zhuān)有網(wǎng)絡(luò )則是手工分配局域網(wǎng)ip地址,這樣方便有多臺云服務(wù)器的用戶(hù)自行定義內網(wǎng)ip結構。所以,如果用戶(hù)只有一臺服務(wù)器,或者有多臺服務(wù)器但不需要進(jìn)行內網(wǎng)互聯(lián),那么這兩種網(wǎng)絡(luò )都可以選擇的。
但從安全上講,因為經(jīng)典網(wǎng)絡(luò )是阿里云自動(dòng)分配的ip地址,有一定的規律性,那么黑客也就可以利用內網(wǎng)ip進(jìn)行局域網(wǎng)攻擊,雖然在阿里云的安全體系下有些難度,但事實(shí)也證明了有被攻擊的可能性。而專(zhuān)有網(wǎng)絡(luò )因為是自定義局域網(wǎng)ip,那么黑客就沒(méi)那么容易進(jìn)入用戶(hù)的內網(wǎng)進(jìn)行攻擊了。
經(jīng)典網(wǎng)絡(luò )阿里云一經(jīng)初始化了很多參數,適合快速入門(mén)ECS的用戶(hù);專(zhuān)有網(wǎng)絡(luò ):適合精通網(wǎng)絡(luò )管理的用戶(hù),定制型可擴展型更強,是邏輯隔離的私有網(wǎng)絡(luò )支持用戶(hù)自定義網(wǎng)絡(luò )拓撲和ip地址。
那么什么是VPC呢:
VPC(Virtual Private Cloud)就好像是在云上的一個(gè)家,我可以在家里放很多喜歡的東西(云產(chǎn)品),比如ECS,RDS,負載均衡等等,如下圖。
那么為什么要有VPC呢:
在vpc之前的網(wǎng)絡(luò )類(lèi)型就叫經(jīng)典網(wǎng)絡(luò ),VPC的主要作用為了解決用戶(hù)在云端的安全隔離問(wèn)題。
舉個(gè)例子,我建在專(zhuān)有網(wǎng)絡(luò )里的家,其他人到我家默認是沒(méi)有路的。而建在經(jīng)典網(wǎng)絡(luò )里的家,其他人到我家是有路的,只不過(guò)路上被很多荊棘擋住了,所以經(jīng)典網(wǎng)絡(luò )存在被攻擊的可能性。當然VPC還有很多其他好處,比如網(wǎng)絡(luò )管理更靈活。
專(zhuān)有網(wǎng)絡(luò )天生是隔離的安全網(wǎng)絡(luò ),默認情況下,別人不能通過(guò)私網(wǎng)訪(fǎng)問(wèn)用戶(hù)VPC,用戶(hù)的VPC也不能通過(guò)私網(wǎng)訪(fǎng)問(wèn)別人。這里的別人包括:其他VPC和經(jīng)典網(wǎng)絡(luò )。
前面介紹到專(zhuān)有網(wǎng)絡(luò )適合精通網(wǎng)絡(luò )管理的用戶(hù),定制型可擴展型更強,那么用戶(hù)利用VPC可以做些什么呢?
IP自主選擇
目前,阿里云VPC提供的IP地址有192.168.0.0/16,172.16.0.0/12和10.0.0.0/8。用戶(hù)可以選擇一段IP地址來(lái)識別云產(chǎn)品,同時(shí)可以把IP地址拆分成很多子網(wǎng)給不同的應用使用,能夠做到很好的網(wǎng)絡(luò )管理。
安全自主可控
專(zhuān)有網(wǎng)絡(luò )里沒(méi)經(jīng)過(guò)授權任何外部訪(fǎng)問(wèn)都是被禁止的網(wǎng)絡(luò )內的成員(如ECS)默認也不能隨便訪(fǎng)問(wèn)公網(wǎng)或者其他專(zhuān)有網(wǎng)絡(luò )。成員之間(如ECS)默認可以通信,但管理員也可以對成員的通信進(jìn)行管制(通過(guò)安全組)
實(shí)現路由的自定義規則
實(shí)現VPC內的路由控制
雙可用區(機房)冗余備份
把云產(chǎn)品放置在不同的可用區,這樣萬(wàn)一一個(gè)可用區(機房)出現問(wèn)題,另外一個(gè)可用區(機房)還可以繼續服務(wù)
PC 的NAT網(wǎng)關(guān)功能
NAT網(wǎng)關(guān)在VPC中的位置:
NAT網(wǎng)關(guān)的特性:
lDNAT:目的網(wǎng)絡(luò )地址轉換(入方向代理),用于VPC內的ECS面向互聯(lián)網(wǎng)提供服務(wù);支持端口映射、IP映射;
lSNAT:源網(wǎng)絡(luò )地址轉換(出方向代理),用于VPC內的ECS訪(fǎng)問(wèn)互聯(lián)網(wǎng)內容;
l多IP共享帶寬:NAT網(wǎng)關(guān)上購買(mǎi)公網(wǎng)IP和公網(wǎng)帶寬時(shí)以“共享帶寬包”形式購買(mǎi),一個(gè)帶寬包內的所有IP共享帶寬;
共享帶寬使用場(chǎng)景:
實(shí)現多個(gè)云上多個(gè)VPC之間的訪(fǎng)問(wèn)
為了安全,用戶(hù)要將測試業(yè)務(wù)和生產(chǎn)業(yè)務(wù)分開(kāi),因此可以在云上建立兩個(gè)VPC,A VPC 負責生產(chǎn)業(yè)務(wù),B VPC負責測試業(yè)務(wù),兩個(gè)PVC之間默認不能通信。如果A VPC 負責生產(chǎn)業(yè)務(wù),優(yōu)先級高,需要經(jīng)常訪(fǎng)問(wèn)B VPC,但反之則不行,這個(gè)時(shí)候就需要使用高速通道把A VPC 單向連到B VPC 就可以了。
實(shí)現云上VPC和云下IDC
除了云上VPC,用戶(hù)在云下自己的機房還有很多服務(wù)器,也可以使用高速通道把云上VPC和云下機房連起來(lái)。這就是現在流行的混合云。
我們優(yōu)先推薦客戶(hù)使用VPC網(wǎng)絡(luò )環(huán)境來(lái)部署應用系統,VPC下的網(wǎng)絡(luò )環(huán)境會(huì )更靈活,安全更加有保證。關(guān)于阿里云網(wǎng)絡(luò )環(huán)境的任何使用問(wèn)題,我們?yōu)槟峁┳顚?zhuān)業(yè)的服務(wù)。