《网络云服务》

1.虚拟私有云（VPC）

1.2 路由表

目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。目的地址是127.0.0.0/8，表示本地回环地址。

VPC中的每个子网都必须关联一个路由表，一个子网一次只能关联一个路由表，但一个路由表可以关联多个子网。

1.3 安全组

  默认规则：出方向全允许，安全组内的云服务器允许，其他入方向流量全拒绝

 

   入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。

因此，如果没有特殊需求，一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。

 

  出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。

 

实例关联多个安全组时，流量按照优先级匹配安全组规则，匹配顺序说明：

https://support.huaweicloud.com/usermanual-vpc/zh-cn_topic_0073379079.html#zh-cn_topic_0073379079__section1642813131307

1.4 对等连接

同一region不同vpc互联（可以跨账号）

不支持跨region

 

配置对等连接时，当您的本端VPC和对端VPC存在
网段重叠
的情况时，那么您的对等连接可能会不生效。比如VPC-A的网段为192.168.0.0/16，VPC-B的网段为192.168.0.0/16或者192.168.0.0/18，则属于网段重叠的情况。

 

VPC子网之间的对等连接：指定子网之间网络互通，对等连接两端的子网网段不能重叠。VPC内ECS之间的对等连接：指定ECS之间网络互通，对等连接两端的ECS的私有IP地址不能相同。

 

对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。

1.5 网络ACL

子网级

网络ACL与安全组的防护范围不同，安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。

当网络ACL中没有其他允许流量出入的自定义规则时，则匹配默认规则，拒绝任何流量流入或流出子网。

您无需单独添加放通响应流量的规则，因为网络ACL是有状态的，允许响应流量流入/流出子网，不受规则限制。

案例：https://bbs.huaweicloud.com/forum/thread-195464-1-1.html

 

1.6 虚拟IP

 

类似浮动IP

场景

将一个或者多个虚拟IP同时绑定至一个云服务器，可以通过任意一个IP地址（私有IP/虚拟IP）访问云服务器。通常当单个云服务器内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。

将一个虚拟IP同时绑定至多个云服务器，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。为了提升服务的高可用性，避免单点故障，您可以用“一主一备”或“一主多备”的方法组合使用云服务器，这些云服务器对外呈现为一个虚拟IP。当主云服务器故障时，备云服务器可以转为主云服务器并继续对外提供服务，以此达到高可用性HA（High Availability）的目的。

1.7 弹性网卡

辅助弹性网卡：

辅助弹性网卡通过VLAN子接口挂载在弹性网卡上

辅助弹性网卡可配置独立安全组策略，从而实现网络隔离与业务流量分离。

IP地址组—安全组、网络ACL中使用

2.弹性IP（EIP）

 

弹性ip：弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。一个弹性公网IP只能绑定一个云资源使用。

弹性公网IP和与它要绑定的云资源必须在同一个区域，不支持跨区域使用弹性公网IP。

一个弹性ip只能关联给一个ECS

一个ECS可以关联多个EIP

3.弹性负载均衡（ELB）

功能：流量调度 健康检查故障切换

1.配置监听器

2.配置后端服务器

3.添加后端服务器（配置·健康检查）

4.确认配置

公网负载均衡器通过公网IP对外提供服务，将来自公网的客户端请求按照指定的负载均衡策略分发到后端云服务器进行处理。

•私网负载均衡器通过私网IP对外提供服务，将来自同一个VPC的客户端请求按照指定的负载均衡策略分发到后端进行处理。

3.1 监听器：

4层 TCP UDP（TLS）

7层 http https

连接ID — 独享型

 

安全组需放通网段100.125.0.0/16流量，否则无法进行健康检查。

3.2 会话保持：

在电商购物和用户登录的场景中，客户端与服务器的连接需要保持联系性，如果客户端请求经过ELB转发后被分配到不同的后端服务器进行处理，会导致重复登录或丢失操作进度的问题，影响业务体验。后端服务器组支持开启会话保持功能，负载均衡器可以识别客户端请求的特征（如IP/cookie），在实现负载均衡的同时，将相关联的客户端访问请求分配到同一台服务器上进行处理，提升访问效率和用户体验。

3.3 分配策略：

 

加权轮询算法常用于短连接服务，例如HTTP等服务。

加权最少连接常用于长连接服务，例如数据库连接等服务。

源IP算法常用于需要保持用户状态或会话的应用。

基于源IP的会话保持：源IP算法可以确保源IP相同的请求具有相同的哈希值并被分配到同一台后端服务器上，从而实现会话保持

保持数据一致：一致性哈希算法将相同哈希值的请求调度到相同后端服务器上，保证多次请求数据的一致性。

均衡性要求较高：一致性哈希算法能够提供相对均衡的负载分配效果，减少后端服务器的负载差异。

AS — 实例健康检查+ELB健康检查

3.4 健康检查

4. 虚拟专用网络（VPN）

利用internet建立加密隧道

场景：

1.跨区域vpc互联

2.云下数据中心和云上vpc互联

对等连接：同区域VPC互联

VPN：跨区域VPC互联

组成：VPN网关：私有云中建立的出口网关设备

VPN连接：VPN网关和用户本地数据中心远端网关之间的安全、可靠的加密通道

也可以是跨region不同vpc之间的安全、可靠的加密通道

加密隧道技术：IPSEC VPN

数据加密协议—IKE IPSec

5. NAT网关（不属于负载均衡服务）

两种类型

1、公网NAT网关

公网NAT网关能够为VPC内的云主机或通过云专线/VPN接入VPC的本地数据中心的服务器，提供网络地址转换服务，使多个云主机可以共享EIP访问互联网或使云主机提供互联网服务。

SNAT功能通过绑定EIP，实现私有ip向共有ip的转换，实现vpc跨可用区的多个云主机共享EIP访问公网

DNAT功能绑定EIP，通过IP映射或端口映射方式，实现vpc内跨可用区的多个云主机共享EIP提供服务。

2、私网NAT网关

私网NAT网关能够为虚拟私有云内的云主机提供私网地址转换服务，使VPC内的云主机可以访问远端私网（外部数据中心或其他VPC）或为远端私网提供服务。

SNAT功能通过绑定中转ip，实现VPC内跨可用区的多个云主机共享中转ip，访问远端私网。

DNAT功能绑定中转ip，实现IP映射或端口映射，使VPC跨可用区多个云主机共享中转IP，为远端私网提供服务。

•中转子网：中转子网相当于一个中转网络，用户可以在中转子网中创建私网IP，即中转IP，使本端VPC中的云主机可以共享该私网IP访问用户IDC或其他远端VPC。

 

了解

 

ER企业路由器

 

总结：

CC云连接都支持

实现同region不同vpc互联方式：对等连接 CC

实现不同region不同vpc互联方式：VPN CC

实现云下DC和云上VPC互联：VPN DC CC

 

EIP可以绑定对象：ECS BMS vip NAT网关 ELB（多选）

可以通过哪些方式连通同一个Region的两个VPC？

可通过创建对等连接或者云连接的方式打通同Region的两个VPC，

对等连接只用同Region的VPC，云连接可连通不同Region的VPC。

 习题：

A

C

D

D

A– 同一VPC子网互通，不同VPC默认不通

ABCD

BD

​A. IPsec VPN​：这是一种用于在公共网络（如互联网）上建立加密隧道的技术，通常用于连接本地数据中心到云上VPC，实现站点到站点的安全通信。但它并不直接保护VPC内部ECS的出入向流量安全，而是更侧重于网络边界加密。因此，这个选项不直接相关。

​B. 网络ACL​：网络访问控制列表（Network ACL）是VPC子网级别的防火墙，可以定义规则来控制子网的入站和出站流量。例如，您可以设置规则允许或拒绝特定IP地址的访问。网络ACL提供无状态过滤，适用于子网内所有资源的粗粒度安全防护，是保护VPC内流量安全的重要策略。

​C. 指纹认证​：这是一种生物识别身份验证技术，通常用于用户登录或应用层访问控制（如手机解锁或API认证），并不属于网络流量安全范畴。它不涉及网络包过滤或流量控制，因此与保护VPC内ECS的出入向流量无关，可能是干扰项。

​D. 安全组​：安全组（Security Group）是弹性云服务器实例级别的防火墙，提供有状态的状态检测，可以精细控制单个ECS的入站和出站流量。例如，您可以设置规则只允许特定端口（如SSH的22端口）的访问。安全组是保护ECS直接访问安全的核心策略，与网络ACL互补使用。

​总结​：在华为云中，保护VPC内弹性云服务器的出入向访问流量安全，主要依靠网络ACL​（子网级别）和安全组​（实例级别）的组合。网络ACL提供子网范围的基础防护，而安全组提供更细粒度的实例防护。IPsec VPN和指纹认证不直接适用于此场景。因此，正确答案是B和D。

ABCD

D–外访内