“互联互通”主要指同一云厂商内,多台云服务器(ECS/云主机)之间通过网络进行内部通信,这种通信通常是高速、低延迟、高带宽、且免费或成本极低的。
为了实现互联互通,主要依赖于以下几个核心概念和步骤:
VPC是实现互联互通的基石。 你可以把它理解为你自己在云上划分出来的一块私有的、逻辑隔离的虚拟网络空间。
隔离性你的VPC和别人的VPC默认是完全隔离的,无法直接通信,非常安全。
自定义你可以在VPC内部像管理传统网络一样,随意划分网段(子网)、配置路由表、设置网关等。
所有云产品都运行在VPC内你的云服务器、数据库、负载均衡等资源都必须部署在一个特定的VPC中,从而实现内网互通。
第一步:创建VPC
当你开始使用云服务时,通常系统会为你创建一个默认VPC,但最佳实践是为你的项目创建一个自定义的VPC。
指定CIDR网段例如192.168.0.0/16 或10.0.0.0/16,这决定了你的VPC内可用的IP地址范围。
场景一:同一VPC、同一可用区(最简单、最常用)
这是最常见的情况,只要多台云主机在同一个VPC内,无论是否在同一个可用区(AZ),它们默认就是互联互通的。
操作方法:
1、创建VPC:创建VPCvpc-project1,网段为10.0.0.0/16。
2、创建子网(Subnet):在VPC内创建一个或多个子网来放置资源,在可用区A创建一个子网subnet-a,网段为10.0.1.0/24。
3、创建云主机:
* 创建云主机ECS-01 和ECS-02。
* 在创建时,网络设置中选择你刚创建的vpc-project1 和subnet-a。
* 系统会为它们自动分配VPC内的私有IP地址,例如10.0.1.10 和10.0.1.11。
结果:
ECS-01 和ECS-02 现在可以通过内网IP直接互相ping通或进行任何网络通信(如SSH、HTTP API调用等)。
安全组配置这是唯一的“防火墙”,你需要确保两台云主机上的安全组规则允许来自对方内网IP的流量,在安全组中放行入方向的ICMP协议(ping)和所需的业务端口(如22, 80, 443等),源地址填写对方的安全组ID或IP段(如10.0.1.0/24)。
场景二:同一VPC、不同可用区(同地域内的高可用架构)
为了高可用,你可能会把云主机部署在同一个地域(Region)的不同可用区(AZ),由于它们在同一个VPC内,所以默认也是互通的。
操作方法:
1、创建VPC:同上,vpc-project1 (10.0.0.0/16)。
2、创建多个子网:
* 在可用区A创建子网subnet-a (10.0.1.0/24)
* 在可用区B创建子网subnet-b (10.0.2.0/24)
3、创建云主机:
* 将ECS-01 放入subnet-a (IP:10.0.1.10)
* 将ECS-03 放入subnet-b (IP:10.0.2.10)
结果:
ECS-01 (10.0.1.10) 和ECS-03 (10.0.2.10) 可以直接通信,跨可用区的延迟非常低(lt;2ms)。
VPC的路由表会自动管理这些子网之间的路由。
如果你有两个不同的项目或环境(如生产VPC和测试VPC),它们位于不同的VPC,默认是隔离的,要让它们互通,需要建立“对等连接”(VPC Peering)。
操作方法(以阿里云为例):
1、发起连接:在VPC-1的管理控制台,找到“对等连接”功能,创建连接。
* 填写你的VPC-1 ID和要连接的VPC-2 ID。
2、接受连接:在VPC-2的控制台,接受对等连接的请求。
3、配置路由(最关键的一步):
在VPC-1的路由表中,添加一条路由规则目标网段 填写 VPC-2的网段(如192.168.0.0/16),下一跳 类型选择“对等连接”,并选择你刚创建的对等连接实例。
在VPC-2的路由表中,同样添加一条路由规则目标网段 填写 VPC-1的网段(如10.0.0.0/16),下一跳 指向对等连接实例。
4、配置安全组:同样,需要确保双方云主机的安全组规则允许来自对端VPC网段的流量。
结果:
VPC-1中的云主机(10.0.1.10)就可以直接访问VPC-2中的云主机(192.168.1.10)了。
如果需要让中国香港的VPC和美国硅谷的VPC互通,就需要使用更高级的网络产品,如云企业网(CEN - Cloud Enterprise Network)。
操作方法:
1、创建云企业网实例。
2、加载网络实例:将需要互通的两个不同地域的VPC都加载(连接)到这个CEN实例中。
3、配置路由:CEN会自动学习和分发路由,或者你也可以进行高级的路由配置。
4、等待路由同步:配置完成后,需要等待几分钟,路由信息同步后即可互通。
结果:
跨地域的VPC内的云主机可以实现内网互通,虽然延迟比同地域高,但相比走公网,其通道更稳定、安全。
1、规划先行:在使用云主机前,先规划好网络结构,建议为每个项目或环境(生产、测试、开发)创建独立的VPC。
2、始终使用内网IP通信:同一VPC内的云主机之间通信,一定要使用内网IP,而不是公网IP或域名,这样做:
速度极快走云厂商内部网络,带宽大延迟低。
成本为零通常不收取任何流量费用。
更安全数据不出你的私有网络。
3、安全组是核心安全屏障:遵循最小权限原则,只开放必要的端口给必要的源IP(如同VPC网段或对端VPC网段),不要随意对0.0.0.0/0 开放所有端口。
4、善用DNS:云厂商通常提供内网DNS服务,你可以为云主机设置有意义的内网域名(如db01.inside),这样就不用记住难懂的IP地址了。
1、登录控制台:进入你的云服务商控制台(如阿里云ECS、腾讯云CVM)。
2、创建VPC和子网:在网络产品(VPC) section,创建一个VPC并划分至少一个子网。
3、创建安全组:创建一个新的安全组,添加入方向规则,允许来自VPC网段(如10.0.0.0/16)的所需流量。
4、创建云主机:在创建实例时,选择你刚创建的VPC和子网,并绑定配置好的安全组。
5、测试连通性:
* 登录其中一台云主机。
ping <另一台主机的内网IP>
* 如果安全组规则正确,ping命令应该成功。
希望这个详细的解释能帮助你彻底理解并使用云主机的互联互通功能!
文章摘自:https://idc.huochengrm.cn/zj/15453.html
评论
栗长钰
回复互联互通主要指同一云厂商内多台云服务器间高速、低延迟、高带宽的内部通信,实现依赖于VPC等核心概念,包括VPC创建、子网划分、安全组配置等步骤。