IaaS基础架构云 —— 云网络

本文阅读 5 分钟

IaaS云计算特征点

  • 虚拟化

当用户购买资源时,买的其实是一个虚拟机,指定内存、CPU网络带宽就行了;如果想租赁物理机,可以购买阿里云的神龙裸金属

  • 负载均衡

用户购买的资源不直接暴露在公网上,只有一个内网IP地址,通过VPC进行串联,外部需要访问它时要通过负载均衡器SLB(可能是四层的网络负载均衡器,也可能是七层的HTTP负载均衡器),负载均衡器外面有WAF防御,DDoS防御,CDN网络加速等等

  • 自动扩展

SLB通常和一个组相关,通过组就可以实现自动扩展、弹性伸缩

img

基础架构自动化

创建自动化脚本,从而实现资源的创建

  • 特点:易于使用、终态声明、基础架构即代码、不可变基础架构、支持传参、乐高编程
    - 终态声明:不用记录已经创建过多少个节点、已经创建了多少个CPU,只用设置一个最终目标 - 不可变基础架构:基础架构里的资源不能改动,可以先定义一些变量,然后在实际部署过程中再传参
  • 三大自动化平台:Terraform,CloudFormation,ROS
  • 模版格式:JSON/YAML(CloudFormation、ROS)、TF(Terraform)

CloudFormation:

img

乐高拼积木的方式来进行脚本和代码的配置

Terraform:

img 代码解释:

  • 前4行:指定系统在azurerm平台运行
  • 6-13行:创建计算资源
  • 15 - 21行:创建azurerm的VPC网络

二层互联互通 —— 多中心网络互联

img

  • 上图有两个数据中心,一个包含了Host A和B,另一个包含了Host C,192.168开头的是内网网段
  • 为了让两个数据中心互通,于是在内部网络之上架一个虚拟VLAN,VLAN只在一个大的网络内部划分,无法穿透整个数据中心网络

缺点:

  1. 性能差,每个子网加解密处理完之后上层还有一层封帧处理
  2. VXLAN要互通的数据很多,无法支持过多的数据中心互通

BGP:三层路由网络路由交换协议

img

  • IBGP形成一个自治域,内部路由协议是互通的
  • 外部可以选择性的把某些路由转移给对方,最终实现几个子域(子网)之间互联
  • 可以满足多数据中心、单元化、云上云下、云和云之间互联

这样一来,就对架构师提出了高要求,架构师要了解网络

网络架构图

img

  • 每一个子网(子数据中心)都叫做VPC,相当于单元化的一个单元,里面还可以划分出更小的subnet,subnet之间通过BGP路由协议进行沟通,和外部的沟通通过VPN来实现;
  • 为了安全,引入了security group,每一个ECS上都要跑一些应用服务,服务有源地址、端口、协议、目标地址、端口,可以通过黑白名单来对五元组进行访问控制;
  • 大部分物理机没有公网地址,于是就无法访问互联网,所以要引入VPC NAT,把内网IP转成公网IP,就可以向公网发起数据请求了

进来走SLB -> ECS,出去走ECS -> NAT,完成数据流转

  • 管理数据流走SG -> ECS,只要在SG里描述过允许访问,就可以通过管理节点尝试访问

防火防盗

  • ACL防火墙
    - 一处问题不延伸到别处
  • 安全组
    - 只有白名单才能访问内部数据中心
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://wangjiawei.blog.csdn.net/article/details/125630127
-- 展开阅读全文 --
安全面试之XSS(跨站脚本攻击)
« 上一篇 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复