扁平網(wǎng)絡(luò)和EIP網(wǎng)絡(luò)在不同云環(huán)境中的應用場景

2015-10-13 10:44:01
云計算 用戶在搭建IaaS前，最大的問題就是該搭建哪種IaaS網(wǎng)絡(luò)模型和在搭建該模型之前該如何在單機上準備必要的網(wǎng)絡(luò)環(huán)境。今天我們來分析一下扁平網(wǎng)絡(luò)和EIP網(wǎng)絡(luò)分別在公有云和私有云中的應用場景。

成都創(chuàng)新互聯(lián)科技有限公司專業(yè)互聯(lián)網(wǎng)基礎(chǔ)服務商，為您提供雅安機房托管，高防服務器，成都IDC機房托管，成都主機托管等互聯(lián)網(wǎng)服務。

通望通過本文可以幫助大家了解扁平網(wǎng)絡(luò)和EIP網(wǎng)絡(luò)這兩種不同的云網(wǎng)絡(luò)環(huán)境。

用戶在搭建IaaS前，***的問題就是該搭建哪種IaaS網(wǎng)絡(luò)模型和在搭建該模型之前該如何在單機上準備必要的網(wǎng)絡(luò)環(huán)境。今天我們來分析一下扁平網(wǎng)絡(luò)和EIP網(wǎng)絡(luò)分別在公有云和私有云中的應用場景。

1. 扁平網(wǎng)絡(luò)

扁平網(wǎng)絡(luò)是私有云環(huán)境中最常用、最簡單的網(wǎng)絡(luò)環(huán)境。用戶的云主機和計算節(jié)點處于相同的網(wǎng)絡(luò)層，用戶的應用完全不會感知自己運行在云主機中、還是物理主機中。用戶的應用會非常容易的從物理機遷移到扁平網(wǎng)絡(luò)的云主機中。 在扁平網(wǎng)絡(luò)中，假設(shè)用戶設(shè)置的Public-L2的網(wǎng)卡設(shè)備為eth0，那么ZStack創(chuàng)建的云主機的IP地址將會和eth0所在的網(wǎng)絡(luò)擁有相同的網(wǎng)段。 例如用戶計算節(jié)點eth0的IP地址為192.168.0.2(網(wǎng)關(guān)為192.168.0.1，子網(wǎng)掩碼為255.255.255.0)，用戶在Public-L3中設(shè)置的IP Range為 192.168.0.100～192.168.0.200。那么在創(chuàng)建在Public-L3網(wǎng)絡(luò)上的云主機將會自動從ZStack獲取192.168.0.100～192.168.0.200中的一個IP地址。

注意：用戶在設(shè)置Public-L3的IP Range的時候需要避免和eth0網(wǎng)絡(luò)上其他網(wǎng)絡(luò)設(shè)備的IP地址沖突

用戶在打算實施扁平網(wǎng)絡(luò)私有云部署前，需要預先考慮如何優(yōu)化公司網(wǎng)絡(luò)配置。 原則上也很簡單，就是用戶可以準備一個全新的二層網(wǎng)絡(luò)環(huán)境。給該二層網(wǎng)絡(luò)環(huán)境配置一個網(wǎng)關(guān)和對應的IP CIDR，并且不配置任何的DHCP服務。

扁平網(wǎng)絡(luò)也可以直接用于“公有云”業(yè)務，也就是每一個云主機都有一個互聯(lián)網(wǎng)的獨立IP地址。很多VPS提供商利用該模式提供服務。 需要注意的是，扁平網(wǎng)絡(luò)的云主機之間沒有二層網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)安全需要通過三層的安全組(Security Group)提供。 用戶在選擇Public-L3網(wǎng)絡(luò)服務的時候，需要選上Security Group。通常情況下，三層網(wǎng)絡(luò)安全控制已經(jīng)可以達到要求。

2. EIP 網(wǎng)絡(luò)

EIP的網(wǎng)絡(luò)模式(Port Forwarding的模式與EIP模式幾乎類似)實際是經(jīng)典的亞馬遜AWS EC2模式。在該模式中，云主機會被設(shè)置上兩個IP地址。 其中一個是私網(wǎng)IP地址，也就是在云主機中用ifconfig看到的IP地址。還有一個是公網(wǎng)IP地址(可以是互聯(lián)網(wǎng)的IP地址，也可以是公司內(nèi)部網(wǎng)絡(luò)的IP地址)。 云主機的私網(wǎng)IP地址無法從外部直接連接(例如，無法從Internet上連接某公司內(nèi)部一個IP為192.168.0.10的機器)。 用戶通過公網(wǎng)IP地址可以登錄該云主機，并進行相關(guān)的操作。由于該模式是經(jīng)典的公有云模式，所以其他公有云也大多提供類似的模式。

以ZStack為例，在其EIP網(wǎng)絡(luò)中，云主機的私網(wǎng)和公網(wǎng)之間是通過路由器(例如虛擬路由器)來隔離和中轉(zhuǎn)的。虛擬路由器既承擔了DHCP、DNS這樣的服務， 也承擔了網(wǎng)關(guān)和DNAT的服務。這種做法可以做到更有效的網(wǎng)絡(luò)隔離，也可以在公網(wǎng)IP地址有限的情況下節(jié)省公網(wǎng)IP地址。 如果云主機提供的網(wǎng)絡(luò)服務只供私網(wǎng)內(nèi)的其他云主機使用，就不需要獲得一個獨立的公網(wǎng)IP地址。 在公有云業(yè)務中，每個獨立的公網(wǎng)IP地址也都是需要收費的。

在EIP模式中，虛擬路由器至少需要擁有一個公網(wǎng)IP地址，用于私網(wǎng)內(nèi)部云主機訪問公網(wǎng)的中轉(zhuǎn)。在沒有給云主機配置EIP之前， 公網(wǎng)上的其他網(wǎng)絡(luò)設(shè)備是無法透過虛擬路由器訪問云主機的，但是云主機依然可以通過虛擬路由器訪問公網(wǎng)(SNAT)。 而EIP相當于DNAT，相當于在虛擬路由器上假設(shè)了一個橋梁。

注意：在很多網(wǎng)絡(luò)環(huán)境中，用戶采用了EIP的網(wǎng)絡(luò)架構(gòu)，但是未必需要使用EIP功能。用戶可能只用虛擬路由器的SNAT來分割內(nèi)外網(wǎng)。

私有云是否會使用EIP網(wǎng)絡(luò)模式呢?答案是根據(jù)用戶的需求和網(wǎng)絡(luò)環(huán)境來確定的。通常有兩種私有云的情況會使用EIP模式：

一，提供網(wǎng)絡(luò)服務的公司有一些不多的互聯(lián)網(wǎng)IP地址。提供網(wǎng)絡(luò)服務的云主機搭建在公司內(nèi)網(wǎng)環(huán)境，用于連接數(shù)據(jù)庫服務器和應用服務器。 通過EIP，可以讓用戶可以直接訪問放置在公司內(nèi)網(wǎng)的云主機。如果云主機需要遷移、升級、擴容，用戶也可以把EIP在不同的云主機之間進行無縫遷移。 當需要使用負載均衡的時候，該EIP服務可以變身為負載均衡器，把來源于用戶的網(wǎng)絡(luò)訪問分散到不同的云主機上。

二，公司的部門較多，有部門需要在公司內(nèi)網(wǎng)環(huán)境里劃分獨立的私有網(wǎng)絡(luò)，該私有網(wǎng)絡(luò)可以訪問公司內(nèi)網(wǎng)，但是公司其他部門不能直接連接私有網(wǎng)絡(luò)的機器。 這個場景中，云主機EIP的IP地址是公司內(nèi)網(wǎng)IP地址。使用EIP網(wǎng)絡(luò)拓撲可以給每個部門的私有網(wǎng)絡(luò)分配不同的Vlan號以達到二層網(wǎng)絡(luò)隔離。

注意：用戶在設(shè)置Public-L3的IP Range的時候需要避免和eth0網(wǎng)絡(luò)上其他網(wǎng)絡(luò)設(shè)備的IP地址沖突。否則如果虛擬路由器可能會啟動失敗， 并報告IP地址被占用。

節(jié)選原文出處：http://zstack.org/cn_blog/build-zstack-network-on-single-machine.html#rd?sukey=74b650bbff60c2cc0e54b48bc94d7dcf374d3efa971645c4303e5d30cd0e2522f3f27aecbc258e4c7750e363eb74ba36

文章名稱：扁平網(wǎng)絡(luò)和EIP網(wǎng)絡(luò)在不同云環(huán)境中的應用場景
轉(zhuǎn)載注明：http://fisionsoft.com.cn/article/coisgdg.html