扁平網(wǎng)絡和EIP網(wǎng)絡在不同云環(huán)境中的應用場景
通望通過本文可以幫助大家了解扁平網(wǎng)絡和EIP網(wǎng)絡這兩種不同的云網(wǎng)絡環(huán)境。
用戶在搭建IaaS前,***的問題就是該搭建哪種IaaS網(wǎng)絡模型和在搭建該模型之前該如何在單機上準備必要的網(wǎng)絡環(huán)境。今天我們來分析一下扁平網(wǎng)絡和EIP網(wǎng)絡分別在公有云和私有云中的應用場景。
1. 扁平網(wǎng)絡
扁平網(wǎng)絡是私有云環(huán)境中最常用、最簡單的網(wǎng)絡環(huán)境。用戶的云主機和計算節(jié)點處于相同的網(wǎng)絡層,用戶的應用完全不會感知自己運行在云主機中、還是物理主機中。用戶的應用會非常容易的從物理機遷移到扁平網(wǎng)絡的云主機中。 在扁平網(wǎng)絡中,假設用戶設置的Public-L2的網(wǎng)卡設備為eth0,那么ZStack創(chuàng)建的云主機的IP地址將會和eth0所在的網(wǎng)絡擁有相同的網(wǎng)段。 例如用戶計算節(jié)點eth0的IP地址為192.168.0.2(網(wǎng)關為192.168.0.1,子網(wǎng)掩碼為255.255.255.0),用戶在Public-L3中設置的IP Range為 192.168.0.100~192.168.0.200。那么在創(chuàng)建在Public-L3網(wǎng)絡上的云主機將會自動從ZStack獲取192.168.0.100~192.168.0.200中的一個IP地址。
注意:用戶在設置Public-L3的IP Range的時候需要避免和eth0網(wǎng)絡上其他網(wǎng)絡設備的IP地址沖突
用戶在打算實施扁平網(wǎng)絡私有云部署前,需要預先考慮如何優(yōu)化公司網(wǎng)絡配置。 原則上也很簡單,就是用戶可以準備一個全新的二層網(wǎng)絡環(huán)境。給該二層網(wǎng)絡環(huán)境配置一個網(wǎng)關和對應的IP CIDR,并且不配置任何的DHCP服務。
扁平網(wǎng)絡也可以直接用于“公有云”業(yè)務,也就是每一個云主機都有一個互聯(lián)網(wǎng)的獨立IP地址。很多VPS提供商利用該模式提供服務。 需要注意的是,扁平網(wǎng)絡的云主機之間沒有二層網(wǎng)絡隔離,網(wǎng)絡安全需要通過三層的安全組(Security Group)提供。 用戶在選擇Public-L3網(wǎng)絡服務的時候,需要選上Security Group。通常情況下,三層網(wǎng)絡安全控制已經(jīng)可以達到要求。
2. EIP 網(wǎng)絡
EIP的網(wǎng)絡模式(Port Forwarding的模式與EIP模式幾乎類似)實際是經(jīng)典的亞馬遜AWS EC2模式。在該模式中,云主機會被設置上兩個IP地址。 其中一個是私網(wǎng)IP地址,也就是在云主機中用ifconfig看到的IP地址。還有一個是公網(wǎng)IP地址(可以是互聯(lián)網(wǎng)的IP地址,也可以是公司內(nèi)部網(wǎng)絡的IP地址)。 云主機的私網(wǎng)IP地址無法從外部直接連接(例如,無法從Internet上連接某公司內(nèi)部一個IP為192.168.0.10的機器)。 用戶通過公網(wǎng)IP地址可以登錄該云主機,并進行相關的操作。由于該模式是經(jīng)典的公有云模式,所以其他公有云也大多提供類似的模式。
以ZStack為例,在其EIP網(wǎng)絡中,云主機的私網(wǎng)和公網(wǎng)之間是通過路由器(例如虛擬路由器)來隔離和中轉(zhuǎn)的。虛擬路由器既承擔了DHCP、DNS這樣的服務, 也承擔了網(wǎng)關和DNAT的服務。這種做法可以做到更有效的網(wǎng)絡隔離,也可以在公網(wǎng)IP地址有限的情況下節(jié)省公網(wǎng)IP地址。 如果云主機提供的網(wǎng)絡服務只供私網(wǎng)內(nèi)的其他云主機使用,就不需要獲得一個獨立的公網(wǎng)IP地址。 在公有云業(yè)務中,每個獨立的公網(wǎng)IP地址也都是需要收費的。
在EIP模式中,虛擬路由器至少需要擁有一個公網(wǎng)IP地址,用于私網(wǎng)內(nèi)部云主機訪問公網(wǎng)的中轉(zhuǎn)。在沒有給云主機配置EIP之前, 公網(wǎng)上的其他網(wǎng)絡設備是無法透過虛擬路由器訪問云主機的,但是云主機依然可以通過虛擬路由器訪問公網(wǎng)(SNAT)。 而EIP相當于DNAT,相當于在虛擬路由器上假設了一個橋梁。
注意:在很多網(wǎng)絡環(huán)境中,用戶采用了EIP的網(wǎng)絡架構(gòu),但是未必需要使用EIP功能。用戶可能只用虛擬路由器的SNAT來分割內(nèi)外網(wǎng)。
私有云是否會使用EIP網(wǎng)絡模式呢?答案是根據(jù)用戶的需求和網(wǎng)絡環(huán)境來確定的。通常有兩種私有云的情況會使用EIP模式:
一,提供網(wǎng)絡服務的公司有一些不多的互聯(lián)網(wǎng)IP地址。提供網(wǎng)絡服務的云主機搭建在公司內(nèi)網(wǎng)環(huán)境,用于連接數(shù)據(jù)庫服務器和應用服務器。 通過EIP,可以讓用戶可以直接訪問放置在公司內(nèi)網(wǎng)的云主機。如果云主機需要遷移、升級、擴容,用戶也可以把EIP在不同的云主機之間進行無縫遷移。 當需要使用負載均衡的時候,該EIP服務可以變身為負載均衡器,把來源于用戶的網(wǎng)絡訪問分散到不同的云主機上。
二,公司的部門較多,有部門需要在公司內(nèi)網(wǎng)環(huán)境里劃分獨立的私有網(wǎng)絡,該私有網(wǎng)絡可以訪問公司內(nèi)網(wǎng),但是公司其他部門不能直接連接私有網(wǎng)絡的機器。 這個場景中,云主機EIP的IP地址是公司內(nèi)網(wǎng)IP地址。使用EIP網(wǎng)絡拓撲可以給每個部門的私有網(wǎng)絡分配不同的Vlan號以達到二層網(wǎng)絡隔離。
注意:用戶在設置Public-L3的IP Range的時候需要避免和eth0網(wǎng)絡上其他網(wǎng)絡設備的IP地址沖突。否則如果虛擬路由器可能會啟動失敗, 并報告IP地址被占用。
