文章目錄
- 概述
- 相關基礎
- 核心知識
- 軟件定義網絡SDN
- Overlay 技術
- 安全組
- 概述
- 參考博客
概述
相關基礎
- 基本概念
- 虛擬私有云VPC:是一個隔離的網絡環境,每個VPC擁有專屬的IP地址范圍(CIDR)、路由表、網關和子網,用戶可以在其中進行資源的自定義操作
- CIDR(Classless Inter-Domain Routing,無類域間路由)
- 定義:通過
IP地址/前綴長度(如 10.0.0.0/16)表示網絡部分和主機部分的IP地址范圍,其中網絡部分標識設備所在的網絡,而主機部分標識網絡中的具體設備 - VPC相關:每個VPC需分配非重疊的私有IP CIDR范圍(如 10.0.0.0/16、172.16.0.0/12),確保不同VPC間IP地址無沖突
- 定義:通過
- 子網(Subnet)
- 原理:基于CIDR將一個VPC網絡劃分為多個子網,每個子網關聯一個CIDR的網絡子集
- 類型
- 公有子網:允許通過互聯網網關(IGW)直接訪問公網,用于Web服務器等。
- 私有子網:僅允許通過NAT網關受限出站訪問,保護數據庫等敏感資源
- 示例:將192.168.1.0/24(254 個主機地址)劃分為兩個子網:192.168.1.0/25和192.168.1.128/25,每個子網包含 126 個主機地址。
- 路由表
- 定義:存儲數據包轉發路徑規則的集合,實現不同子網間的通信
- VPC相關:每個子網需關聯一個路由表,允許同VPC內子網互通
- 優先級規則:路由匹配遵循 最長前綴匹配(如 10.0.1.0/24 優先于 10.0.0.0/16)
- 安全組:充當虛擬防火墻,控制進出實例的流量,定義允許或拒絕的協議、端口和源IP等
- 網關:通過協議轉換實現異構網絡的互連,是設備訪問其他網絡時的第一跳轉發地址
- 四者在VPC中的協同工作流程:以用戶訪問公有子網中的Web服務器為例:
- IP分配:Web服務器部署在子網 10.0.1.0/24 中,獲私有IP 10.0.1.5,綁定彈性公網IP 203.0.113.10
- 路由決策:子網關聯的路由表包含規則:0.0.0.0/0 → igw-xxxx。
- 網關轉發:用戶請求 203.0.113.10 → IGW接收 → 轉發至私有IP 10.0.1.5。
- 安全驗證:流量先經子網的網絡ACL(端口過濾),再經實例的安全組(細粒度規則)
- 虛擬私有云(
Virtual Private Cloud, VPC)- 定義: 是一種以
公有云環境為基礎,通過虛擬化技術創建的邏輯隔離的虛擬網絡空間,從而提供更加安全的用戶專屬網絡 - 原理:通過虛擬化技術將計算、存儲和網絡資源封裝為獨立的虛擬環境,使用戶能夠自定義網絡配置,如IP地址范圍、子網、路由表等,從而實現資源的靈活管理與安全隔離
- 定義: 是一種以
- 特點
- 隔離性:基于邏輯隔離技術(如隧道封裝、VLAN),
不同VPC之間默認完全隔離,互不可見、互不干擾 - 安全性:內置安全機制(如安全組、網絡訪問控制列表NACLs、防火墻等),對網絡進出流量精細控制,防止未經授權的訪問。
- 靈活性:用戶能夠
按需配置網絡資源隨時創建、修改、刪除 VPC 及其內部的網絡組件(子網、路由表、網關等),從而實現資源的靈活管理
- 隔離性:基于邏輯隔離技術(如隧道封裝、VLAN),
- 作用
- 安全隔離的網絡環境: VPC 的核心作用,確保用戶云上資源運行在一個受保護的私有網絡中,免受外部網絡的直接干擾和攻擊。
- 自定義構建網絡拓撲: 用戶可以在 VPC 內靈活設計子網、路由策略、ACL 等,實現復雜的、符合企業 IT 治理規范的多層網絡架構(如 Web 層、應用層、數據庫層的隔離)。
- 控制網絡訪問: 精細化的安全組和 NACL 策略,確保只有授權的流量才能訪問特定的資源。
- 降本增效: VPC 內部資源之間的通信通常走云服務商內部高速網絡,延遲低、帶寬高、免費(或成本極低)。同時,通過 NAT 網關等可以優化公網訪問成本。
- 支持多租戶與多環境: 企業可以為不同部門、不同項目或不同環境(開發、測試、生產)創建獨立的 VPC,實現資源與網絡的隔離和管理。
- 原理(VPC如何實現網絡隔離)
- 邏輯隔離:每個VPC被分配一個獨立的邏輯網絡標識符(如VXLAN的VNI),物理網絡設備根據這個標識符將流量嚴格限制在屬于同一 VPC/子網的虛擬網絡內,從而實現邏輯隔離
- 物理隔離:物理隔離通常通過獨立的物理網絡設備(如交換機、路由器)來實現,確保不同VPC之間的網絡流量完全隔離
- 傳輸隔離(隧道技術):當數據包需要在 VPC 內部跨越物理網絡傳輸時,用戶數據在源VPC 內被封裝為獨立隧道包,通過物理網絡傳輸,到達目標 VPC 后解封裝,確保傳輸隔離
- 安全機制
- 安全組:類似于防火墻,用于控制
虛擬機的進出流量,用戶可以根據需要設置規則以限制或允許特定流量 - 網絡 ACL:更細粒度的訪問控制機制,用于控制
VPC網絡的進出流量
- 安全組:類似于防火墻,用于控制
- 網絡虛擬化技術
- 基于 SDN(軟件定義網絡) 構建虛擬網絡層,通過 Overlay 技術(如 VXLAN)在物理網絡上封裝數據包,實現邏輯隔離
- 每個 VPC 分配唯一隧道 ID,確保不同 VPC 間流量隔離
- 虛擬網絡組件: 云平臺通過SDN虛擬化出各種網絡組件
- 虛擬交換機: 實現 VPC 內部、同一子網內實例的二層通信。
- 虛擬路由表(vRouter): 實現 VPC 內不同子網之間的三層轉發,以及進出 VPC 的流量轉發(依據用戶自定義的路由表)
- 虛擬網關設備:提供特定的網絡邊界功能。
- 互聯網網關:提供公網出入訪問 。
- NAT 網關:實現私有子網安全訪問公網 。
- 虛擬專用網關:支持 VPN/專線連接本地網絡
- 軟件定義控制: 整個 VPC 的創建、配置、路由策略下發、安全策略實施都是由云平臺的SDN控制器集中管理和控制的。用戶通過 API 或控制臺發出的網絡配置指令,最終由 SDN 控制器翻譯并下發到各個虛擬和物理網絡設備上執行
- 自定義的網絡拓撲
- IP 地址范圍: 用戶可以自由規劃 VPC 使用的私網 IP 地址段(CIDR Block),例如 10.0.0.0/16。
- 子網劃分: 可以在 VPC 內劃分多個子網,將資源部署在不同的子網中,實現網絡分段(如業務子網、數據庫子網)
- 路由策略: 用戶可以自定義路由表,精確控制 VPC 內部以及進出 VPC 的流量走向(如指向 Internet 網關、VPN 網關、對等連接、NAT 網關等)。
- 網絡訪問控制: 通過安全組(作用于彈性網卡/實例級別,有狀態防火墻)和網絡訪問控制列表(作用于子網級別,無狀態防火墻)實施精細化的入站和出站流量控制。
核心知識
軟件定義網絡SDN
- 概述
- 背景:傳統網絡設備(如交換機和路由器)在硬件中集成緊密耦合的
數據平面和控制平面,導致網絡配置和管理復雜且不靈活 - 核心原因:過去網絡設備處理能力有限(CPU主頻<100MHz),通過集成設計可以在簡單網絡中增加通信效率
- 劣勢:網絡設備是封閉的,沒有提供開放的API,無法對網絡設備進行配置和管理,成為大規模網絡靈活性的枷鎖
- 背景:傳統網絡設備(如交換機和路由器)在硬件中集成緊密耦合的
- SDN基本概念
- 定義:SDN(Software-Defined Networking)是一種革命性網絡架構,其核心是將
控制功能與數據轉發功能進行分離,并將控制邏輯集中到中央軟件控制器中,從而實現對網絡的靈活編程和動態管理 - 作用:打破傳統網絡設備(交換機/路由器)控制與數據轉發耦合的局限,使
網絡管理從硬件依賴轉向軟件驅動 - 核心特點
- 控制與轉發分離:通過分離控制平面(決策層)與數據轉發平面(執行層),打破傳統網絡設備的平面耦合,使網絡行為可編程化。
- 集中化的網絡控制:中央控制器基于全局網絡視圖(如拓撲、流量狀態)動態制定策略,實現資源按需分配與彈性調度
- 開放的可編程接口:第三方應用可以通過底層開放的網絡API(如OpenFlow、RESTful)編程網絡行為,從而實現自定義流量策略來提高資源利用效率和網絡控制的靈活性,以適應云計算、大數據等動態業務需求
- 核心原理
3+2- 3個層面(應用層、控制層、數據層)
- 2個平面(控制平面、數據平面)
- 定義:SDN(Software-Defined Networking)是一種革命性網絡架構,其核心是將
- 兩個平面
- 控制平面
- 作用:生成數據的轉發策略,并同步至轉發平面,來構建網絡狀態
- 原理:負責生成和維護網絡狀態信息(如路由表、MAC表、安全策略),通過協議(OSPF、BGP等)學習拓撲,計算轉發路徑
- 數據平面
- 作用:根據轉發策略執行實際的轉發動作
- 原理:依據控制平面下發的規則(如轉發表FIB)高速轉發數據包,僅處理匹配-動作操作
- 協同價值:控制平面確保轉發規則的正確性,數據平面保障轉發的高效性
- 控制平面
- SDN的核心組件
- SDN控制器:網絡的大腦,負責下發路由決策和策略,管理網絡流量。
- 南向接口:控制器與網絡設備之間的通信協議,如OpenFlow。
- 北向接口:控制器與上層應用的通信接口,允許應用通過API與網絡設備交互。
- 數據平面:由傳統網絡設備(如交換機、路由器)構成,負責數據包的轉發。
- 三個層面
- 分層
- 應用層:通過
北向接口向控制器提交需求,從而實現相應的業務邏輯(如負載均衡、安全應用) - 控制層:
核心控制器通過全局網絡拓撲生成網絡策略,通過南向接口下發至數據層,從而實現底層網絡資源配置優化 - 數據層/基礎設施層:
交換機/路由器依據策略(流表規則)進行數據包傻瓜式的轉發,無獨立控制邏輯
- 應用層:通過
- 核心協議(OpenFlow)
- 原理:控制器通過OpenFlow協議向交換機下發流表(Flow Table),定義匹配域(如IP/MAC地址)及動作(轉發/丟棄)
- 數據層設備僅按流表處理數據包,實現"傻瓜式"轉發
- 工作流程示例
- 新流量進入交換機 → 查詢本地流表無匹配 → 通過OpenFlow上報控制器 → 控制器計算路徑并下發新流表 → 后續流量按規則轉發
- 新流量進入交換機 → 查詢本地流表無匹配 → 通過OpenFlow上報控制器 → 控制器計算路徑并下發新流表 → 后續流量按規則轉發
- 分層
- SDN應用案例分析
- 案例一:數據中心網絡虛擬化
- 背景:數據中心網絡需要支持數以萬計的服務和應用,這些服務對網絡的需求經常變化。在傳統網絡架構中,網絡配置通常是靜態的,調整網絡設置需要人工干預,這不僅耗時而且易于出錯。
- SDN解決方案詳解:
- 按需分配資源:在數據中心中,SDN控制器可以實時監控網絡流量和服務器負載情況。當某個服務器的負載變高時,控制器可以自動調整網絡流量,將部分流量重定向到負載較低的服務器,以此來平衡負載和優化性能。
- 原理:SDN控制器可以通過分析數據流量模式,動態地創建、修改或刪除虛擬局域網(VLANs)、調整路由策略、分配帶寬等。這些操作可以在不中斷服務的情況下完成,從而提高了數據中心網絡的可用性和靈活性。
- 案例二:網絡安全
- 背景:網絡安全是所有組織都面臨的重大挑戰。傳統的安全措施,如固定的防火墻規則和手動配置的入侵檢測系統,往往難以及時響應新的安全威脅。
- SDN解決方案詳解
- 原理:SDN可以提供一種更為動態和智能的網絡安全機制。SDN控制器具備全局的網絡視野,能夠實時收集和分析網絡流量數據。當檢測到異常行為或潛在的安全威脅時,控制器可以立即執行預設的安全策略。
- 示例:若檢測到某個IP地址的流量異常,控制器可以自動下發規則,將來自該IP地址的流量重定向到安全設備(如IPS或IDS)進行深入分析,或者直接阻斷該流量以防止潛在的攻擊。此外,SDN還可以與安全信息和事件管理(SIEM)系統集成,實現更加全面的安全管理。
- 案例一:數據中心網絡虛擬化
- 總結
- 核心:通過
分離控制平面與數據平面,并在SDN控制器上集中控制,從而快速適應網絡需求變化,按需分配資源 - 中央集權控制:中央集權獲取的是地方策略的生成權,而不是實際的執行權,讓地方在有限制的博弈中完成目標
- 問題:分散的策略配置難以保持一致性,可能因為資源爭用難以達到全局最優策略
- 解決:中央控制器以全局數據驅動策略生成,然后將一致的策略快速下發到各個網絡設備,從而動態響應變化,并達到一個全局資源利用的最優決策,最終獲得最大效益。
- 核心:通過
Overlay 技術
-
背景
對比項 傳統底層網絡Underlay 疊加網絡Overlay 數據傳輸 通過網絡設備例如路由器、交換機進行傳輸 沿著節點間的虛擬鏈路進行傳輸 包封裝和開銷 發生在網絡的二層和三層 需要跨源和目的封裝數據包,產生額外的開銷 報文控制 面向硬件 面向軟件 部署時間 上線新服務涉及大量配置,耗時多 只需更改虛擬網絡中的拓撲結構,可快速部署 多路徑轉發 因為可擴展性低,所以需要使用多路徑轉發,而這會產生更多的開銷和網絡復雜度 支持虛擬網絡內的多路徑轉發 擴展性 底層網絡一旦搭建好,新增設備較為困難,可擴展性差 擴展性強,例如VLAN最多可支持4096個標識符,而VXLAN則提供多達1600萬個標識符 協議 以太網交換、VLAN、路由協議(OSPF、IS-IS、BGP等) VXLAN、NVGRE、SST、GRE、NVO3、EVPN 多租戶管理 需要使用基于NAT或者VRF的隔離,這在大型網絡中是個巨大的挑戰 能夠管理多個租戶之間的重疊IP地址 -
基本概念
- 定義:
疊加網絡overlay是一種在傳統實體網絡上通過虛擬化技術建立邏輯網絡,從而在不改變底層物理網絡的傳輸模式及技術時,進行更加靈活的網絡資源控制,如,跨域虛擬機遷移、多租戶隔離和資源動態調度 - 具體實現
- VXLAN(Virtual Extensible LAN,虛擬可擴展局域網)
- NVGRE(Network Virtualization using Generic Routing Encapsulation,基于常用路由封裝的網絡虛擬化)
- STT(Stateless Transport Tunneling Protocol,無狀態傳輸隧道協議)
- 定義:
-
VXLAN(Virtual Extensible LAN,虛擬可擴展局域網)
- 定義:是一種基于 IP 網絡的 Overlay 網絡技術,通過將二層以太網幀封裝在 UDP/IP 報文中,在三層網絡上構建虛擬的二層網絡,實現跨物理網段的虛擬機通信
- 目的:旨在解決傳統二層網絡在云計算環境下的擴展性和多租戶隔離問題。
- 原理:將二層數據幀(包含源 / 目的 MAC 地址)封裝在 UDP 報文中,通過三層網絡傳輸。
- 關鍵組件
- VTEP(VXLAN Tunnel Endpoint,虛擬拓展局域網隧道端點):負責 VXLAN 報文的封裝與解封裝,每個VTEP有唯一IP地址,用于建立隧道。通常由支持overlay協議的物理交換機、服務器虛擬化軟件或專用硬件設備擔任
- VNI(VXLAN Network Identifier):24位標識符(支持1600萬個虛擬網絡),用于區分不同虛擬網絡,實現租戶隔離
- VXLAN隧道:邏輯點對點通道,連接兩個VTEP,通過UDP端口(默認4789)傳輸封裝后的數據
- 報文格式:
- 工作流程示例
- 封裝:虛擬機 A 發送MAC數據幀到本地 VTEP,
源VTEP將原始以太幀添加VXLAN頭+外層UDP頭+外層IP頭后封裝,來構建 Overlay 報文 - 傳輸:依賴外層 IP 路由轉發,封裝后的報文通過三層網絡路由至
目標VTEP - 解封:
目標VTEP剝離外層Overlay報文的封裝,提取內層幀并根據 VNI 和 MAC 轉發至目標虛擬機
- 封裝:虛擬機 A 發送MAC數據幀到本地 VTEP,
-
其他兩種協議
- NVGRE 協議:
- 定義:NVGRE 是一種網絡虛擬化技術,最初由微軟公司提出,基于通用路由封裝協議(GRE),將以太網幀封裝在 GRE 頭內并在三層網絡上傳輸
- 原理:NVGRE 將原始的以太網幀作為載荷,封裝在 GRE 頭部之后,再加上外層的 IP 頭部,形成新的報文在底層網絡傳輸。GRE 包頭中的 C 和 S 位必須置 0,同時對 Key 域進行了重新定義,將前 3 個字節定義為 VSID(Virtual Sub - Network ID,虛擬子網標識),用于標識不同的虛擬網絡,最多可支持 16M 個虛擬網絡,實現多租戶隔離。
- 特點:NVGRE 借助成熟的 GRE 協議,具有較好的兼容性和穩定性。但其沒有采用標準傳輸協議(TCP/IP),相對 VXLAN 等技術,其在市場上的應用普及程度稍低。
- STT 協議:
- 定義:STT 是一種 MAC Over IP 的協議,和 VXLAN、NVGRE 類似,都是把二層的幀封裝在一個 IP 報文的 payload 中,通過在 IP 網絡上傳輸封裝后的報文,實現虛擬網絡內的二層通信。
- 原理:STT 在封裝時,除了將虛擬網絡的二層包放入 IP 報文的 payload 中,還會在二層包前面添加一個構造的 TCP 頭和一個 STT 頭。這個 TCP 頭并非完整的傳輸層 TCP 頭,只是借用其部分特性,主要用于實現流量控制和擁塞控制等功能,STT 頭則包含了一些與協議相關的控制信息。通過這種方式,將二層幀封裝為可以在三層 IP 網絡中傳輸的報文,在目的端再進行解封裝,還原出二層幀并轉發到相應的虛擬機。
- 特點:STT 協議的一個重要特點是無狀態性,即隧道端點不需要維護每個連接的狀態信息,降低了設備的資源消耗和實現復雜度。同時,由于引入了類似 TCP 的機制,在網絡擁塞控制和流量管理方面具有一定優勢,能夠更好地適應復雜的網絡環境,提高網絡傳輸的穩定性和效率。但 STT 協議相對復雜,其實現和部署需要對相關技術有深入理解,且在實際應用中的普及度不如 VXLAN 廣泛。
- NVGRE 協議:
-
行業趨勢:VXLAN因成熟度與生態優勢(Cisco/華為等支持)成為事實標準,而STT在VMware NSX中仍有應用,NVGRE逐漸邊緣化
安全組
概述
參考博客
- 一文讓你徹底搞懂什么是SDN(軟件定義網絡)
- VPC網絡架構設計:構建安全隔離的云環境
- 還有人不知道Overlay網絡?看完這個你就全懂了
- SDN講解——iuv線上公開課
- 華為VPC私有云
- 待定引用
- 待定引用
- 待定引用
NMEA的解析bug)
框架測試)
 之 to_char、to_date)
