莆田社交网站,wordpress商城支付主题,百度2019旧版本下载,手机网站建站用哪个软件好文章目录 概述相关基础核心知识软件定义网络SDNOverlay 技术 安全组概述 参考博客 #x1f60a;点此到文末惊喜↩︎ 概述
相关基础
基本概念 虚拟私有云VPC#xff1a;是一个隔离的网络环境#xff0c;每个VPC拥有专属的IP地址范围#xff08;CIDR#xff09;、路由表、… 文章目录 概述相关基础核心知识软件定义网络SDNOverlay 技术 安全组概述 参考博客 点此到文末惊喜↩︎ 概述
相关基础
基本概念 虚拟私有云VPC是一个隔离的网络环境每个VPC拥有专属的IP地址范围CIDR、路由表、网关和子网用户可以在其中进行资源的自定义操作CIDRClassless Inter-Domain Routing无类域间路由 定义通过IP地址/前缀长度如 10.0.0.0/16表示网络部分和主机部分的IP地址范围其中网络部分标识设备所在的网络而主机部分标识网络中的具体设备VPC相关每个VPC需分配非重叠的私有IP CIDR范围如 10.0.0.0/16、172.16.0.0/12确保不同VPC间IP地址无冲突 子网Subnet 原理基于CIDR将一个VPC网络划分为多个子网每个子网关联一个CIDR的网络子集类型 公有子网允许通过互联网网关IGW直接访问公网用于Web服务器等。私有子网仅允许通过NAT网关受限出站访问保护数据库等敏感资源 示例将192.168.1.0/24254 个主机地址划分为两个子网192.168.1.0/25和192.168.1.128/25每个子网包含 126 个主机地址。 路由表 定义存储数据包转发路径规则的集合实现不同子网间的通信VPC相关每个子网需关联一个路由表允许同VPC内子网互通优先级规则路由匹配遵循 最长前缀匹配如 10.0.1.0/24 优先于 10.0.0.0/16 安全组充当虚拟防火墙控制进出实例的流量定义允许或拒绝的协议、端口和源IP等网关通过协议转换实现异构网络的互连是设备访问其他网络时的第一跳转发地址 四者在VPC中的协同工作流程以用户访问公有子网中的Web服务器为例 IP分配Web服务器部署在子网 10.0.1.0/24 中获私有IP 10.0.1.5绑定弹性公网IP 203.0.113.10路由决策子网关联的路由表包含规则0.0.0.0/0 → igw-xxxx。网关转发用户请求 203.0.113.10 → IGW接收 → 转发至私有IP 10.0.1.5。安全验证流量先经子网的网络ACL端口过滤再经实例的安全组细粒度规则 虚拟私有云Virtual Private Cloud, VPC 定义 是一种以公有云环境为基础通过虚拟化技术创建的逻辑隔离的虚拟网络空间从而提供更加安全的用户专属网络原理通过虚拟化技术将计算、存储和网络资源封装为独立的虚拟环境使用户能够自定义网络配置如IP地址范围、子网、路由表等从而实现资源的灵活管理与安全隔离 特点 隔离性基于逻辑隔离技术如隧道封装、VLAN不同VPC之间默认完全隔离互不可见、互不干扰安全性内置安全机制如安全组、网络访问控制列表NACLs、防火墙等对网络进出流量精细控制防止未经授权的访问。灵活性用户能够按需配置网络资源随时创建、修改、删除 VPC 及其内部的网络组件子网、路由表、网关等从而实现资源的灵活管理 作用 安全隔离的网络环境 VPC 的核心作用确保用户云上资源运行在一个受保护的私有网络中免受外部网络的直接干扰和攻击。自定义构建网络拓扑 用户可以在 VPC 内灵活设计子网、路由策略、ACL 等实现复杂的、符合企业 IT 治理规范的多层网络架构如 Web 层、应用层、数据库层的隔离。控制网络访问 精细化的安全组和 NACL 策略确保只有授权的流量才能访问特定的资源。降本增效 VPC 内部资源之间的通信通常走云服务商内部高速网络延迟低、带宽高、免费或成本极低。同时通过 NAT 网关等可以优化公网访问成本。支持多租户与多环境 企业可以为不同部门、不同项目或不同环境开发、测试、生产创建独立的 VPC实现资源与网络的隔离和管理。 原理VPC如何实现网络隔离 逻辑隔离每个VPC被分配一个独立的逻辑网络标识符如VXLAN的VNI物理网络设备根据这个标识符将流量严格限制在属于同一 VPC/子网的虚拟网络内从而实现逻辑隔离物理隔离物理隔离通常通过独立的物理网络设备如交换机、路由器来实现确保不同VPC之间的网络流量完全隔离传输隔离隧道技术当数据包需要在 VPC 内部跨越物理网络传输时用户数据在源VPC 内被封装为独立隧道包通过物理网络传输到达目标 VPC 后解封装确保传输隔离安全机制 安全组类似于防火墙用于控制虚拟机的进出流量用户可以根据需要设置规则以限制或允许特定流量网络 ACL更细粒度的访问控制机制用于控制VPC网络的进出流量 网络虚拟化技术 基于 SDN软件定义网络 构建虚拟网络层通过 Overlay 技术如 VXLAN在物理网络上封装数据包实现逻辑隔离每个 VPC 分配唯一隧道 ID确保不同 VPC 间流量隔离 虚拟网络组件 云平台通过SDN虚拟化出各种网络组件 虚拟交换机 实现 VPC 内部、同一子网内实例的二层通信。虚拟路由表vRouter 实现 VPC 内不同子网之间的三层转发以及进出 VPC 的流量转发依据用户自定义的路由表虚拟网关设备提供特定的网络边界功能。 互联网网关提供公网出入访问 。NAT 网关实现私有子网安全访问公网 。虚拟专用网关支持 VPN/专线连接本地网络 软件定义控制 整个 VPC 的创建、配置、路由策略下发、安全策略实施都是由云平台的SDN控制器集中管理和控制的。用户通过 API 或控制台发出的网络配置指令最终由 SDN 控制器翻译并下发到各个虚拟和物理网络设备上执行 自定义的网络拓扑 IP 地址范围 用户可以自由规划 VPC 使用的私网 IP 地址段CIDR Block例如 10.0.0.0/16。子网划分 可以在 VPC 内划分多个子网将资源部署在不同的子网中实现网络分段如业务子网、数据库子网路由策略 用户可以自定义路由表精确控制 VPC 内部以及进出 VPC 的流量走向如指向 Internet 网关、VPN 网关、对等连接、NAT 网关等。网络访问控制 通过安全组作用于弹性网卡/实例级别有状态防火墙和网络访问控制列表作用于子网级别无状态防火墙实施精细化的入站和出站流量控制。
核心知识
软件定义网络SDN
概述 背景传统网络设备如交换机和路由器在硬件中集成紧密耦合的数据平面和控制平面导致网络配置和管理复杂且不灵活核心原因过去网络设备处理能力有限CPU主频100MHz通过集成设计可以在简单网络中增加通信效率劣势网络设备是封闭的没有提供开放的API无法对网络设备进行配置和管理成为大规模网络灵活性的枷锁 SDN基本概念 定义SDNSoftware-Defined Networking是一种革命性网络架构其核心是将控制功能与数据转发功能 进行分离并将控制逻辑集中到中央软件控制器中从而实现对网络的灵活编程和动态管理作用打破传统网络设备交换机/路由器控制与数据转发耦合的局限使网络管理从硬件依赖转向软件驱动核心特点 控制与转发分离通过分离控制平面决策层与数据转发平面执行层打破传统网络设备的平面耦合使网络行为可编程化。集中化的网络控制中央控制器基于全局网络视图如拓扑、流量状态动态制定策略实现资源按需分配与弹性调度开放的可编程接口第三方应用可以通过底层开放的网络API如OpenFlow、RESTful编程网络行为从而实现自定义流量策略来提高资源利用效率和网络控制的灵活性以适应云计算、大数据等动态业务需求 核心原理32 3个层面应用层、控制层、数据层2个平面控制平面、数据平面 两个平面 控制平面 作用生成数据的转发策略并同步至转发平面来构建网络状态原理负责生成和维护网络状态信息如路由表、MAC表、安全策略通过协议OSPF、BGP等学习拓扑计算转发路径 数据平面 作用根据转发策略执行实际的转发动作原理依据控制平面下发的规则如转发表FIB高速转发数据包仅处理匹配-动作操作 协同价值控制平面确保转发规则的正确性数据平面保障转发的高效性 SDN的核心组件 SDN控制器网络的大脑负责下发路由决策和策略管理网络流量。南向接口控制器与网络设备之间的通信协议如OpenFlow。北向接口控制器与上层应用的通信接口允许应用通过API与网络设备交互。数据平面由传统网络设备如交换机、路由器构成负责数据包的转发。 三个层面 分层 应用层通过北向接口向控制器提交需求从而实现相应的业务逻辑如负载均衡、安全应用控制层核心控制器通过全局网络拓扑生成网络策略通过南向接口下发至数据层从而实现底层网络资源配置优化数据层/基础设施层交换机/路由器依据策略流表规则进行数据包傻瓜式的转发无独立控制逻辑 核心协议OpenFlow 原理控制器通过OpenFlow协议向交换机下发流表Flow Table定义匹配域如IP/MAC地址及动作转发/丢弃数据层设备仅按流表处理数据包实现傻瓜式转发 工作流程示例 新流量进入交换机 → 查询本地流表无匹配 → 通过OpenFlow上报控制器 → 控制器计算路径并下发新流表 → 后续流量按规则转发 SDN应用案例分析 案例一数据中心网络虚拟化 背景数据中心网络需要支持数以万计的服务和应用这些服务对网络的需求经常变化。在传统网络架构中网络配置通常是静态的调整网络设置需要人工干预这不仅耗时而且易于出错。SDN解决方案详解 按需分配资源在数据中心中SDN控制器可以实时监控网络流量和服务器负载情况。当某个服务器的负载变高时控制器可以自动调整网络流量将部分流量重定向到负载较低的服务器以此来平衡负载和优化性能。原理SDN控制器可以通过分析数据流量模式动态地创建、修改或删除虚拟局域网VLANs、调整路由策略、分配带宽等。这些操作可以在不中断服务的情况下完成从而提高了数据中心网络的可用性和灵活性。 案例二网络安全 背景网络安全是所有组织都面临的重大挑战。传统的安全措施如固定的防火墙规则和手动配置的入侵检测系统往往难以及时响应新的安全威胁。SDN解决方案详解 原理SDN可以提供一种更为动态和智能的网络安全机制。SDN控制器具备全局的网络视野能够实时收集和分析网络流量数据。当检测到异常行为或潜在的安全威胁时控制器可以立即执行预设的安全策略。示例若检测到某个IP地址的流量异常控制器可以自动下发规则将来自该IP地址的流量重定向到安全设备如IPS或IDS进行深入分析或者直接阻断该流量以防止潜在的攻击。此外SDN还可以与安全信息和事件管理SIEM系统集成实现更加全面的安全管理。 总结 核心通过分离控制平面与数据平面并在SDN控制器上集中控制从而快速适应网络需求变化按需分配资源中央集权控制中央集权获取的是地方策略的生成权而不是实际的执行权让地方在有限制的博弈中完成目标 问题分散的策略配置难以保持一致性可能因为资源争用难以达到全局最优策略解决中央控制器以全局数据驱动策略生成然后将一致的策略快速下发到各个网络设备从而动态响应变化并达到一个全局资源利用的最优决策最终获得最大效益。
Overlay 技术 背景 对比项传统底层网络Underlay叠加网络Overlay数据传输通过网络设备例如路由器、交换机进行传输沿着节点间的虚拟链路进行传输包封装和开销发生在网络的二层和三层需要跨源和目的封装数据包产生额外的开销报文控制面向硬件面向软件部署时间上线新服务涉及大量配置耗时多只需更改虚拟网络中的拓扑结构可快速部署多路径转发因为可扩展性低所以需要使用多路径转发而这会产生更多的开销和网络复杂度支持虚拟网络内的多路径转发扩展性底层网络一旦搭建好新增设备较为困难可扩展性差扩展性强例如VLAN最多可支持4096个标识符而VXLAN则提供多达1600万个标识符协议以太网交换、VLAN、路由协议OSPF、IS-IS、BGP等VXLAN、NVGRE、SST、GRE、NVO3、EVPN多租户管理需要使用基于NAT或者VRF的隔离这在大型网络中是个巨大的挑战能够管理多个租户之间的重叠IP地址 基本概念 定义叠加网络overlay是一种在传统实体网络上通过虚拟化技术建立逻辑网络从而在不改变底层物理网络的传输模式及技术时进行更加灵活的网络资源控制如跨域虚拟机迁移、多租户隔离和资源动态调度具体实现 VXLANVirtual Extensible LAN虚拟可扩展局域网NVGRENetwork Virtualization using Generic Routing Encapsulation基于常用路由封装的网络虚拟化STTStateless Transport Tunneling Protocol无状态传输隧道协议 VXLANVirtual Extensible LAN虚拟可扩展局域网 定义是一种基于 IP 网络的 Overlay 网络技术通过将二层以太网帧封装在 UDP/IP 报文中在三层网络上构建虚拟的二层网络实现跨物理网段的虚拟机通信目的旨在解决传统二层网络在云计算环境下的扩展性和多租户隔离问题。原理将二层数据帧包含源 / 目的 MAC 地址封装在 UDP 报文中通过三层网络传输。关键组件 VTEPVXLAN Tunnel Endpoint虚拟拓展局域网隧道端点负责 VXLAN 报文的封装与解封装每个VTEP有唯一IP地址用于建立隧道。通常由支持overlay协议的物理交换机、服务器虚拟化软件或专用硬件设备担任VNIVXLAN Network Identifier24位标识符支持1600万个虚拟网络用于区分不同虚拟网络实现租户隔离VXLAN隧道逻辑点对点通道连接两个VTEP通过UDP端口默认4789传输封装后的数据 报文格式 工作流程示例 封装虚拟机 A 发送MAC数据帧到本地 VTEP源VTEP将原始以太帧添加VXLAN头外层UDP头外层IP头后封装来构建 Overlay 报文传输依赖外层 IP 路由转发封装后的报文通过三层网络路由至目标VTEP解封目标VTEP剥离外层Overlay报文的封装提取内层帧并根据 VNI 和 MAC 转发至目标虚拟机 其他两种协议 NVGRE 协议 定义NVGRE 是一种网络虚拟化技术最初由微软公司提出基于通用路由封装协议GRE将以太网帧封装在 GRE 头内并在三层网络上传输原理NVGRE 将原始的以太网帧作为载荷封装在 GRE 头部之后再加上外层的 IP 头部形成新的报文在底层网络传输。GRE 包头中的 C 和 S 位必须置 0同时对 Key 域进行了重新定义将前 3 个字节定义为 VSIDVirtual Sub - Network ID虚拟子网标识用于标识不同的虚拟网络最多可支持 16M 个虚拟网络实现多租户隔离。特点NVGRE 借助成熟的 GRE 协议具有较好的兼容性和稳定性。但其没有采用标准传输协议TCP/IP相对 VXLAN 等技术其在市场上的应用普及程度稍低。 STT 协议 定义STT 是一种 MAC Over IP 的协议和 VXLAN、NVGRE 类似都是把二层的帧封装在一个 IP 报文的 payload 中通过在 IP 网络上传输封装后的报文实现虚拟网络内的二层通信。原理STT 在封装时除了将虚拟网络的二层包放入 IP 报文的 payload 中还会在二层包前面添加一个构造的 TCP 头和一个 STT 头。这个 TCP 头并非完整的传输层 TCP 头只是借用其部分特性主要用于实现流量控制和拥塞控制等功能STT 头则包含了一些与协议相关的控制信息。通过这种方式将二层帧封装为可以在三层 IP 网络中传输的报文在目的端再进行解封装还原出二层帧并转发到相应的虚拟机。特点STT 协议的一个重要特点是无状态性即隧道端点不需要维护每个连接的状态信息降低了设备的资源消耗和实现复杂度。同时由于引入了类似 TCP 的机制在网络拥塞控制和流量管理方面具有一定优势能够更好地适应复杂的网络环境提高网络传输的稳定性和效率。但 STT 协议相对复杂其实现和部署需要对相关技术有深入理解且在实际应用中的普及度不如 VXLAN 广泛。 行业趋势VXLAN因成熟度与生态优势Cisco/华为等支持成为事实标准而STT在VMware NSX中仍有应用NVGRE逐渐边缘化 安全组
概述 少年我观你骨骼清奇颖悟绝伦必成人中龙凤。 不如点赞·收藏·关注一波 点此跳转到首行↩︎
参考博客 一文让你彻底搞懂什么是SDN软件定义网络 VPC网络架构设计构建安全隔离的云环境还有人不知道Overlay网络看完这个你就全懂了 SDN讲解——iuv线上公开课 华为VPC私有云 待定引用 待定引用 待定引用
