网络2.0¶
VPC 网络是 QingCloud 环境内可以为用户预配置出的一个专属的大型网络。在 VPC 网络内,您可以自定义 IP 地址范围、创建子网,并在子网内创建主机/数据库/大数据等各种云资源。
一个 VPC 网络可以连接 254 个 子网(Vxnet),且最多可以容纳 60,000 台虚拟主机。通过分布式路由器和虚拟直连技术,QingCloud 的 VPC 网络可以在大规模部署的情况下,保障网络集群的高性能和高可用。VPC 网络也可以实现和公网 Internet 的高效互通,任意一台 VPC 网络管理的主机都可以直接绑定公网 IP;同时,负载均衡器也可以直接连接 VPC 网络内的主机。
在 VPC 网络里,管理路由器 只负责 VPN /隧道/ DNS /端口转发等管理功能,以及这些管理流量的转发和路由,不再处理子网之间的转发流量。VPC 网络内的主机可以绑定自己的公网 IP;设置专属的防火墙,这些 IP 、防火墙与管理路由器之间没有隶属关系。
注解
目前支持 VPC 网络的区域有 北京3区、上海1区、亚太2区以及广东2区。
其他区的网络指南请参看 网络1.0 。
总览¶
本指南旨在介绍 VPC 网络的主要属性、以及如何创建和几个主要管理功能, 以及在 VPC 网络下如何组网。
为了行文方便,假设我们的任务是创建四台主机, 并两两放置在两个不同的二层网络里, 这两个二层网络还需要通过一个 VPC 在三层上连通,并将该路由器连接至互联网。
创建 VPC¶
如本文开头所说,在 VPC 网络内,您可以自定义 IP 地址范围,且由管理路由器来负责 VPN /隧道/ DNS /端口转发等管理功能,所以在创建 VPC 时,需要设置这两部分属性。
其中:
地址范围: VPC 网络的地址范围域,通常是一个 B 段地址;为 VPC 网络划分子网的时候,子网必须在这个地址范围内。
类型: VPC 网络的管理路由器类型,不同类型可支持的管理流量转发能力不同,可根据自己的业务特点及需求进行选择,对于已创建好的 VPC 网络来说,也可以在关闭 VPC 网络之后进行修改。
防火墙: VPC 网络的管理路由器的防火墙;每个 VPC 网络有一个管理路由器,这个路由器提供端口转发、隧道服务( GRE 隧道 、IPSec 隧道 )、VPN 服务 等管理服务。当访问这些服务时,需要经过这个防火墙。VPC 网络里面的主机缺省没有防火墙,如果需要,也可以为每台主机加载独立的防火墙。
设置完成后点击“提交”,创建完成的 VPC 网络属性显示如下:
管理路由器¶
除在创建时指定的管理路由器类型及防火墙之外,管理路由器还包含以下几个属性,分别是:
公网IP: 管理路由器的公网 IP 地址,用于从公网访问端口转发、隧道服务( GRE 隧道 、IPSec 隧道 )、VPN 服务 等管理服务。
内网IP: 管理路由器的内网 IP 地址,用于从青云内网访问管理服务。
内网域名别名: 管理路由器的内网域名别名。
可以通过点击每个属性旁边的图标进行添加、修改、删除等操作。针对 VPC 网络本身的基本操作,比如修改、开启、关闭、扩容和删除等则在“更多操作”的下拉菜单中可以找到。
功能管理¶
点击创建好的 VPC 网络进入其详情页面,在此可以对 VPC 网络的私有网络和管理配置做进一步修改和调整。
私有网络
VPC 网络的私有网络指的是一个二层子网网段,通常是一个 C 段地址;你可以根据需要将一个 VPC 网络划分成多个子网,主机必须加入到子网里面使用。
- VPC 网络中的子网可以是当前主账户名下的私有网络,也可以是子帐户名下的私有网络。
- 在私有网络的资源列表中可以直接添加主机、数据库和大数据资源。
管理配置
配置拓扑¶
创建完 VPC 后,我们可以继续进行拓扑的配置。
第一步:将两个二层网络连接至路由器
在 VPC 详情页,【私有网络】下方,点击【+】,选择【创建私有网络并连接】, 创建网络地址分别为 192.168.1.0/24 和 192.168.2.0/24 的两个私有网络。
至此,我们就完成了网络拓扑,下面就可以开始创建主机了。
第二步:创建主机,分别放置于两个二层网络
创建主机的步骤已经在快速上手指南中描述过了,这里不再重复。 只有一个地方是有区别的,在指定将主机连接至哪个网络时, 不要使用默认的基础网络 vxnet-0 了, 而应该分别使用我们在第一步中创建的两个二层私有网络。
第三步:申请一个公网 IP,并分配给 VPC
申请公网 IP 的操作已经在快速上手指南中描述过了,这里不再重复。
申请到手的公网 IP 会出现在公网 IP 列表页中,右键点击它, 选择【绑定到 VPC 网络】,在弹出的对话框中选定您创建的VPC,即可。
这样,经由私有网络连接至这台 VPC 的主机就都能通过这个 VPC 访问互联网(Internet)了。
第四步:将私有网络内服务暴露在互联网上
有两种方式。
在SDN2.0架构下,我们可以直接给私网内的主机绑定公网IP,并通过公网IP来访问这台主机的服务。
操作方式与 快速上手指南 中相同,此处不再赘述。
另一种则是通过VPC的端口转发,方法如下:
假定我们希望将主机 192.168.1.2 的 TCP 80 暴露出来, 依然使用 80 号端口,将主机 192.168.2.2 的 TCP 80 暴露出来, 并修改为 8080 号端口。
打开 VPC 的详情页,选择【管理配置】【端口转发】, 再点击【添加规则】,在弹出的对话框中分别输入:
源端口 内网IP 内网端口 80 192.168.1.2 80 8080 192.168.2.2 80 然后,点击页面上方的【应用修改】以使得刚才添加的规则生效。
注意:请确保打开了该路由器使用的防火墙配置里的 TCP 8080 和 TCP 80 两个下行规则。
至此,网络拓扑已经搭建完成。