开发者社区> 开发者小助手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

企业运维训练营之云上网络原理与实践 - 第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB(下)

简介: 课程目标: 了解云上网络典型的组网架构; 了解VPC,EIP,NAT,共享带宽等产品核心特点和使用场景; 学习综合使用各个VPC相关产品(综合实验)。
+关注继续查看
福利推荐:阿里云、腾讯云、华为云等大品牌云产品全线2折优惠活动来袭,4核8G云服务器899元/3年,新老用户共享优惠,点击这里立即抢购>>>

企业运维训练营之云上网络原理与实践

第三讲 云上网络VPC&EIP&NAT&共享带宽&SLB(下)

?

视频地址:

/learning/course/991/detail/14978

?

?

三、EIP

?

1.? 产品介绍

?

EIP是可以独立购买和持有的公网IP地址资源,可绑定ECS/NAT/SLB/ENI,让ECS具备互联网访问能力。

?

EIP产品特性:

?

  • 独立持有的公网IP地址资源,可以灵活的绑定和解绑;
  • 支持绑定多种云资源(ECS/NAT/SLB/ENI);
  • 可加入共享带宽,支持超大弹性(单共享带宽实例最大500Gbps;
  • 免费DDoS防护(大部分地域可达5Gbps);
  • 丰富的高级功能(连续IP/指定IP/网卡可见模式/秒级监控等);

?image.png

?

2.? 精品EIP

?

精品EIP只支持香港地域。与普通EIP BGP多线的区别在于,精品EIP通过底层网络直接连回国内,无需绕行国际运营商出口,网络时延降低60%+,抖动/丢包减少。

?

产品优势:

?

  • 独立购买与持有

用户可以单独持有一个EIP,作为账号下一个独立的资源存在,无需与其它计算资源或存储资源绑定购买;

?

  • 弹性绑定

您可以在需要时将EIP绑走到指定的资源上,在不需要时将EIP解绑并释放,避免不必要的计费;

?

  • 灵活配置的网络能力

您可以根据业务需求随时调整EIP的带宽峰值,带宽峰值的修改即时生效;

?

  • 计费灵活、成本低

多种计跑策略,支持包年包月,按固定带宽和按使用流量计赛,EIP加入共享带赛后可以降低带案成本。

?image.png

?

3.? Anycast EIP

?

  • 任播弹性公网IP(Anycast Elastic IP Address,简称Anycast EIP)是一款覆盖全球多个地域的公网可用性提升产品,依托阿里云优质的BGP带宽和全球传输网络,实现全球多个地域的网络入口就近接入,提升公网访问质量。

?

  • Anycast EIP是可以独立购买和持有的公网IP地址资源。每一个Anycast EIP实例会被分配一个可访问公网的IP地址此IP地址可在整个接入区域内发布,不受地域限制。

?

  • 在将此IP地址与后端资源进行绑定后,接入区域内的用户流量将通过该IP地址从就近接入点进入阿里云网络。

?

  • 进入阿里云网络后,Anycast EIP可以智能选择路由并自动完成网络调度,将用户的网络访问请求送达至后端资源节点,提升用户的公网访问体验。

?

  • Anycast EIP主要针对除中国内地以外区域的公网可用性提升,暂不支持中国内地接入点。Anycast EIP具有易使用、高安全,稳定可靠、低抖动的优势。

image.png

?

4.? 多线BGP

?

互联网行业用户,如社交/游戏/生活服务(购物/出行/外卖)/娱乐媒体等可以在云上部署应用或web服务,并通过EIP为其终端用户提供Internet访问服务。

?

核心优势:

?

  • 线路丰富:

全球多达89条覆盖的优质BGP线路,中国大陆公网质量最优,各地域均提供电信/联通/移动等至少8条线路直连覆盖;

?

  • IP充足
    • 公网IP数量全球排名第二,仅次于AWS;
    • 可提供连续IP地址段分配;
    • 可提供指定IP地址申请;
    • 支持ENI网卡绑定,可通过单服务器多网卡提升服务器利用率,快速扩容,降低成本;

?

  • 节省成本
    • 唯一一个支持共享带宽的产品,通过多IP共享一份带宽,可节省至少20%+成本;
    • 计费灵活,提供按带宽/按流量的预/后付费方式,满足企业规划弹性需要;

?image.png

?

5.? EIP运维常见问题

?

Q:EIP可以绑定到哪些云资源?

A:目前,EIP支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。

?

Q:新申请的EIP的分配策略是什么?

A:默认是随机分配EIP,但对于频繁申请又释放的用户,会优先分配之前使用过的EIP。

?

Q:为什么无法访问EIP?

A:无法访问EIP的可能有以下原因:

  • EIP没有绑定到云资源;
  • ECS实例配置了安全策略,例如ECS实例所在的安全组策略禁止80端口的访问,则无法访问该EIP的80端口;
  • IP已经欠费。

?

Q:一个EIP同时能绑定多个云资源吗?

A:不能,一个EIP同时只能绑定一个云资源。

?

Q:EIP是否支持跨区域绑定?

A:不支持。EIP和要绑定的云资源必须在同一个地域,例如华北2(北京)的EIP不能绑定到华东1(杭州)的云资源上。

?

Q:EIP是否支持跨可用区绑定?

A:支持。EIP没有可用区属性,云资源只要和EIP属于同一个地域,EIP都可以绑定该云资源。

?

四、NAT网关

?

1.? NAT网关产品概述

?

a.??行业痛点:

?

  • ECS无公网地址无法访问公网
    • 大量无公网地址ECS有公网访问的需求;
    • 不想为所有的ECS申请绑定EIP;

?

  • 直接暴露ECS容易被攻击
    • 暴露ECS绑定EIP的方式容易被攻击;
    • 不希望公网的出口被公网访问;

?

  • 公网出口不统一
    • 对外暴露统一的公网出口(ACL场景);
    • 运维管理少量的对公网地址;

?

  • 自建NAT网关的问题
    • 自建NAT网关的弹性扩展能力不足;
    • 运维管理成本高

?

b.??什么是NAT网关

?

NAT网关(NATGateway)是一款企业级的VPC公网网关,提供NAT代理(SNATDNAT)、跨可用区的容灾能力。NAT网关与共享带宽包配合使用,可以组合成为高性能、配置灵活的企业级网关。

?

c.??NAT网关总体架构

?

NAT网关需要绑定EIP,为了应对不同EIP的高峰期,合理规划资源,会运用共享带宽,以降低成本。

?image.png

?

d.??NAT网关核心优势

?

NAT网关(NAT Gateway)是一款企业级的VPC公网网关,提供SNAT和DNAT功能,支持绑定多IP,具备Tbps级别的集群转发能力和region级别的高可用性。NAT网关与EIP需要配合使用,组合成高性能、配置灵活的企业级网关。

?

  • 简单易用&便捷开通

作为企业级VPC公网网关,NAT网关提供SNAT和 DNAT功能。无需用户基于云服务器自己搭建,功能灵活、简单易用、稳定可靠;

?

  • 高可用

NAT网关跨可用区部署,可用性高。单个可用区的任何故障都不会影响NAT网关的业务连续性;

?

  • 高性能

基于阿里云自研分布式网关,使用SDN技术虚拟化推出的一款虚拟网络硬件。NAT网关支持Tbs级别的转发能力,为大规模公网应用提供支撑。百万级别的并发访问;

?

  • 共享带宽&省成本

支持绑定多个EIP,EIP可加入一份共享带宽中,对于应用存在流量错峰效应的业务,可有效降低带宽成本。

?

e.?? NAT网关应用场景

?

【场景一】搭建访问公网服务的SNAT网关

?

  • 如果云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网导致被攻击的风险,用户可以选用公网NAT网关为业务提供安全防护能力。
  • 如果业务具有突增的访问公网的流量需求,可以选用公网NAT网关提供灵活和弹性生的扩容能力,并且只需要按使用量付费,节省企业成本。
  • 如果有大量访问公网的机器,可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

?

解决方案

?

  • 创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。

?

具体操作参见《使用公网NAT网关SNAT功能访问互联网》,网址:https://help.aliyun.com/document_detail/181972.html

?

  • 为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行,避免出现在单EIP场景下,EIP故障导致的全业务中断;

?image.png

?

说明:指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽,https://help.aliyun.com/document_detail/65205.html

?

【场景二】搭建提供公网服务的DNAT网关

?

创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。

?

具体操作,请参见《通过公网NAT网关DNAT功能实现ECS对外提供服务》,https://help.aliyun.com/document_detail/181973.html

?image.png

?

说明:

  • 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上;
  • IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

?

【场景三】共享公网带宽

?

如果部署在ECS实例的应用需要面向公网提供服务,需要为该应用购买公网带宽。为了应对业务流量可能发生的变化,在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时,为每个应用购买冗余带宽会造成资源和成本的浪费。

?

创建公网NAT网关,并为公网NAT网关绑定EIP,然后将绑定到公网NAT网关的EIP加入到同一共享带宽中,不仅可以统一管理和监控公网流量,还可以降低公网带宽使用成本。

?image.png

?

2.? 产品部署流程

?image.png

?

3.? 典型案例:通过NATGW实现超大并发

?

背景:

用户出云访问高并发业务,需要从ECS发起大量长连接,如果使用ECS的公网访问能力,用户ECS的并发连接数最大达到6.6w,但是绑定单个EIP最大连接数仅为5.5w,无法达到要求。

?

解决方案:

用户开始使用NAT网关做公网出口,并绑定了5个EIP,通过建立SNAT规则的时候选择使用多个公网地址的的功能(IP pool)最终用户VPC的并发能力可以达到5*55000个,并且这个统一的公网出口的并发能力,还可以随着绑定的EIP的数量增多线性的扩容。

image.png

?

4.? VPC NAT

?

  • VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务,使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问您的本地数据中心IDC或其他VPC。
  • ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。

?

a.??应用场景

?

【场景一】混合云使用指定地址互访场景

?

  • 问题:

随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。

?

  • 解决方案:

使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。

?image.png

?

【场景二】VPC互访地址冲突

?

  • 问题:

由于早期网络规划单一或后期的业务合并,云上可能存在需要互通的两个业务VPC地址冲突的情况。

?

  • 解决方案:

为两个业务VPC各配置一个VPC NAT网关,并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能,将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能,使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。

image.png

?

5.? NAT运维-常见问题

?

Q:ECS实例分配了固定公网IP且创建了SNAT条目,如何实现ECS实例优先通过SNAT的公网IP访问互联网?

A:可以为ECS实例单独分配一块弹性网卡,并将固定公网IP转为EIP,然后将EIP绑定到弹性网卡,以实现ECS实例优先通过SNAT的公网IP访问互联网,互联网通过弹性网卡主动访问ECS实例。

详细信息,请参见《为已分配固定公网IP的ECS实例统一公网出口IP》,网址:https://help.aliyun.com/document_detail/122217.html

?

Q:EIP支持创建SNAT IP地址池吗?

A:支持。目前仅支持通过API创建SNAT IP地址池。详细信息,请参见创建SNAT IP地址池,https://help.aliyun.com/document_detail/118491.html

?

Q:NAT网关绑定EIP,为什么流量达不到带宽峰值?

A:NAT网关绑定的EIP数限制NAT网关的最大并发数,绑定单个EIP最大连接数为55000,当ECS通过NAT网关访问公网上同一个目的IP和端口的带宽大于2Gbps时,建议您为NAT网关绑定4~8个EIP并构建SNATIP地址池,避免单个EIP的端口数量限制可能产生的丢包。

?

Q:当多条SNAT条目的源网段重叠时,如何匹配SNAT条目的优先级?

A:系统会根据最长掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。使用ECS粒度配置的SNAT条目中,源网段的子网掩码为/32,长度最长,优先级最高,优先匹配;使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配,长度越长,优先级越高,越先匹配。

?

Q:同时有PublicIP/EIP和NAT网关对接公网的优先级是什么?

A:PublicIP/EIP优先。如果需要使用NAT网关,需要先解绑PublicIP/EIP,PublicIP不可用直接解绑,需要先转换成EIP。

?

三、共享带宽

?

1.? 产品概述

?

a.??共享带宽面临的核心痛点

?

  • 多个公网出口,维护复杂;
  • 买多份小公网带宽,带宽峰值受限;
  • 自行构建统一公网出口,可靠性差;

?

b.??不使用共享带宽Vs使用共享带宽

?

  • 不使用共享带宽:每台服务器单独购买公网带宽;
  • 使用共享带宽:同地域下多个弹性公网IP共享宽带,进而让绑定弹性公网IP的云服务共享。

image.png

?

c.??共享带宽产品特点

?

多个EIP加入共享带宽后即可实现同地域内多个ECS、NAT、SLB的带宽共享。

?image.png

?

2.? 部署方式

?

详见下节综合实验部分。

image.png

?

3.? 添加EIP的前提条件和注意事项

?

a.??前提条件:

?

已经创建EIP,且EIP满足以下条件:

?

  • EIP的计费方式需为按量计费;
  • EIP的地域与要加入的共享带宽的地域相同;
  • EIP的线路类型与要加入的共享带宽的线路类型一致;

?

b.??背景信息:

?

EIP添加到共享带宽实例后:

?

  • EIP绑定的ECS实例、SLB实例和NAT网关共享已购买的共享带宽;
  • EIP原本的带宽峰值无效,与共享带宽实例的带宽峰值相同;
  • EIP原本的计费方式无效,EIP变为一个公网IP,不额外收取EIP的流量费和带宽费;
  • EIP的实例费与其是否加入共享带宽无关;
  • 当EIP绑定至专有网络类型ECS实例时,将免除EIP实例费;
  • 当EIP绑定至NAT网关、SLB实例、辅助弹性网卡和高可用虚拟IP时,仍正常收取EIP实例费。

?

说明:

如果EIP已经绑定了NAT网关,将该EIP添加到共享带宽实例中,会造成EIP的流量闪断,请谨慎操作;

单个共享带宽实例最多可添加100个EIP。如需添加更多EIP,请在控制面板申请配额。

?

内容小结

?image.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
企业运维训练营之云上网络原理与实践 — 第五讲 云上网络互连(下)
课程目标: 了解企业广域网络的通用需求以及典型的企业组网架构 了解云企业网的组成模块及转发原理 掌握通过云企业网实现VPC间互通以及统一的南北向出口 掌握云企业网常见问题和解决方案
31 0
企业运维训练营之云上网络原理与实践 — 第五讲 云上网络互连(中)
课程目标: 了解企业广域网络的通用需求以及典型的企业组网架构 了解云企业网的组成模块及转发原理 掌握通过云企业网实现VPC间互通以及统一的南北向出口 掌握云企业网常见问题和解决方案
61 0
企业运维训练营之云上网络原理与实践课程 - 第三讲配套实验:ECS通过SNAT访问CLB
创建ECS客户端通过SNAT pool(NAT网关绑定EIP) 访问 CLB(转发规则策略)。
29 0
企业运维训练营之云上网络原理与实践课程 - 第四讲 负载均衡ALB - 课前答疑
课程目标 了解应用型负载均衡ALB的产品功能 了解应用型负载均衡ALB底层架构与相关技术 掌握应用型负载均衡ALB的产品优势 熟悉应用型负载均衡ALB的使用场景
35 0
企业运维训练营之云上网络原理与实践 — 第五讲配套实验:通过现网的配置分析当前CEN TR的组网拓扑
1、了解和熟悉云企业网TR的基本操作; 2、理解云企业网关联转发和路由学习原理; 3、学会如何打通云上多个VPC之间网络以及云内网元之间配置。
48 0
企业运维训练营之云上网络原理与实践课程 - 第二讲配套实验:访问4层&7层 CLB场景对比
在大量真实业务场景(如微服务)中,在CLB后端提供服务的ECS之间存在服务上的依赖关系(ECS既做客户端又做服务端),本实验以CLB后端的一个ECS来访问CLB的4层监听与7层监听的端口,以理解其转发规则的不同。
79 0
企业运维训练营之云上网络原理与实践课程 - 第四讲配套实验:使用ALB实现灰度发布
灰度发布(又称为金丝雀发布)是一种平滑过渡的发布方式,将老版本应用与新版本应用同时部署在环境中,让一部分用户继续使用老版本应用,一部分用户开始使用新版本应用,然后根据用户使用情况调整新版本流量占比,逐步把所有用户都迁移到新版本应用。
83 0
企业运维训练营之云上网络原理和实战(第2期),助力从业者在云上网络技术浪潮中站稳脚跟!
阿里云全球技术服务部&开发者学堂联合出品,解密企业级云上网络运维技能,助力从业者在云上网络技术浪潮中站稳脚跟。
548 0
用 Flask 来写个轻博客 (4) — (M)VC_创建数据模型和表
目录 目录 前文列表 扩展阅读 定义数据模型 models 创建表 前文列表 用 Flask 来写个轻博客 (1) — 创建项目 用 Flask 来写个轻博客 (2) — Hello World! 用 Flask 来写个轻博客 (3) — (M)V...
1239 0
1947
文章
390
问答
来源圈子
更多
技术图谱:由专家组参与技术图谱的绘制与编写,知识与实践的结合让开发者们掌握学习路线与逻辑,快速提升技能 电子书:电子书由阿里内外专家打造,供开发者们下载学习,更与课程相结合,使用户更易理解掌握课程内容 训练营:学习训练营 深入浅出,专家授课,带领开发者们快速上云 精品课程:汇集知识碎片,解决技术难题,体系化学习场景,深入浅出,易于理解 技能自测:提供免费测试,摸底自查 体验实验室:学完即练,云资源免费使用
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载


http://www.vxiaotou.com