华为 虚拟私有云VPC
目录
什么是VPC
VPC是一种云计算服务,其中公共云提供商将其公共云基础架构的特定部分隔离,以供私人使用
VPC基础架构由公共云供应商管理;但是,分配给VPC的资源不会与任何其他客户共享。VPC专门
针对那些有兴趣利用云计算优势但对云的某些方面存在顾虑的客户而推出。常见问题涉及隐私,
安全性以及对专有数据的失控。为了满足这种客户需求,许多公共云供应商设计了一个VPC,它
提供了供应商公共基础设施的一部分,但具有为VPC客户保留的专用云服务器,虚拟网络,云存
储和私有ID地址。
VPC有什么优势
安全隔离:租户之间100%二三网络隔离;满足政务、金融用户的高等级安全隔离需求。
灵活部署:软件定义网络,可自由定义网段划分、自定义控制访问策略,提高宽带利用率,更省钱。
全动态BGP:支持5线全动态BGP高速接入,云上业务访问更流畅。
主持搭建混合云:提供VPN专线接入,便于客户将云上业务与私有云的业务互联互通。
怎么运用VPC
安全组策略
什么是安全组
安全组是一种虚拟防火墙,具备状态检测、包过滤功能,设置单台或多台云服务器的网络访问控制。
同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权两个安全组之间互访。
安全组是一种虚拟防火墙,具备状态检测、包过滤功能,设置单台或多台云服务器的网络访问控制。
同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权两个安全组之间互访。
安全组特点
一台ECS实例至少属于一个安全组,可以同时加入多个安全组。
一个安全组可以管理同一个地域内的多台ECS实例。
在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例之间默认内网不通。
安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同
一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
安全组类型
安全组分为普通安全组和企业安全组。下表列举了两种类型安全组的功能差异。
安全组规则
建立数据通信前,安全组逐条匹配安全组规则查询是否放行访问请求。一条安全组规则由
规则方向、授权策略、协议类型、端口范围、授权对象等属性确定, 具体详见下表。
对等连接
对等连接简介
对等连接是指两个VPC之间的网络连接。您可以使用私有IP地址在两个VPC之间进行通信,
就像两个VPC在同一个网络中一样。同一区域内,您可以在自己的VPC之间创建对等连接,
也可以在自己的VPC与其他帐户的VPC之间创建对等连接。不同区域间的VPC之间不能创建
对等连接。
使用限制
1、有重叠子网网段的VPC建立的对等连接,可能不生效。
2、两个VPC之间不能同时建立多个VPC对等连接。
3、不同区域的VPC不能创建对等连接。
4、对等连接的VPC不能通过一端VPC的EIP访问另一端的资源。例如,VPC A和VPC B之间有对等连接,
VPC B有EIP可以访问Internet,则VPC A不能通过VPC B访问Internet。
5、跨租户申请VPC对等连接,需要对端租户接受后,才能生效。同租户申请对等连接默认已接受。
6、对等连接建立后,需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。
7、VPC A与 B、C分别建立对等连接,如果B、C两个VPC的网段有重叠,A中无法添加具有相同目的网段的路由。
8、为了安全起见,请不要接受来自未知账号的对等连接申请。
9、对等连接双方账号都有权限删除对等连接,一方删除对等连接后,对等连接的所有信息会被立刻删除,包括
对等连接关联的路由信息。
10、目前VPC的路由表是对其下的子网都生效,无法针对特定子网建立一张单独的路由表。当前路由的优先级是:
直连路由>对等连接路由>自定义路由。
11、如果两个VPC的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系。如果两个VPC下的子网网段有
重叠,那么该对等关系不生效。建立对等连接时,请确保两个VPC之间没有重叠的子网。
12、VPC对等连接路由存在时,VPC无法被删除。
