1. ネットワークサービスの概要
1.1. クラウドネットワークとは
- ネットワーク機能とリソースは、パブリックまたはプライベート クラウド プラットフォームでホストされ、オンプレミスまたはサービス プロバイダーによって管理され、オンデマンドで提供されます。
- 今日のモバイル性の高いユーザーとアプリケーションは、クラウド上のネットワークの柔軟性と規模によって提供されるパフォーマンス、セキュリティ、管理を求めています。
- クラウド上のネットワーキングは、オフィス スペース、学校、ホーム オフィス環境、医療および公共スペースの IT 効率を高め、コストを削減することもできます。
1.2. クラウドネットワークとローカルネットワークの比較
1.3. HUAWEI CLOUD ネットワークのパノラマ
- ネットワーク サービスのパノラマは、ネットワーク インターワーキングに従って次のように分類できます。
- クラウドネットワーク
- クラウド上の一般的なネットワーク: 2VPC、セキュリティ グループ、ネットワーク ACL。
- クラウドとリージョン間の相互通信: VPCEP、VPC ピアリング。
- クラウドでの地域間相互通信:クラウド専用線、クラウド接続、VPN。
- クラウド上のネットワークアクセス:EIP、NATゲートウェイ、ELB、クラウド分析サービス
2. クラウド上のネットワーク計画の原則
2.1 VPC ネットワークの計画
2.1.1 ネットワークの計画と設計の原則
2.1.2 VPC ネットワークの計画
- アドレス計画の原則:
- VPC ネットワークのアドレス範囲がエンタープライズ プライベート ネットワークのアドレス範囲と重複しないようにしてください。マルチリージョン シナリオの場合は、異なるリージョン間のネットワークが重複しないようにすることをお勧めします。
- VPC ネットワーク アドレス範囲のサイズは、将来のビジネスの成長を考慮する必要があります
- サブネットと IP アドレスを一度に割り当てず、将来の拡張に備えてスペースを確保してください。
- プライベート ネットワーク セグメントを選択することをお勧めします。
- VPC/サブネット内のリソースは、VPC 内の内部ネットワーク通信用の IP アドレスを適用します。パブリック ネットワーク セグメントがパブリック ネットワークへの後続のアクセス用に構成されている場合、競合が発生する可能性があります。
- 10.0.0.0-10.255.255.255 (10/8 プレフィックス)
- 172.16.0.0-172.31.255.255 (172.16/12 プレフィックス)
- 192.168.0.0-192.168.255.255 (192.168/16 プレフィックス)
2.1.3 ケース
- 単一 VPC
- 複数の VPC
2.2 クラウドネットワークのセキュリティ計画
2.2.1 セキュリティグループとネットワークACL
- ネットワーク ACL ルールは、セキュリティ グループと同様に、各サブネットの受信および送信ルールを制御し、データ パケットがサブネットに流入または流出できるかどうかを判断します。
2.2.2 セキュリティグループとネットワークACLの違い
2.2.3 セキュリティグループとネットワーク ACL の設計原則
2.2.4 ケース
- セキュリティグループとネットワークACLを構成する
- セキュリティ グループ 1: 最初のグループ、後で容量が拡張された場合、web1 サーバーの相互通信を許可します。2 番目のグループ、パブリック ネットワーク上の任意のアドレスが web1 Web サイトにアクセスできるようにします。3 番目のグループ、制限はありません。往路方向に。
- セキュリティ グループ 2: 1 つ目は、後続の拡張の場合、アプリ サーバーの相互通信を許可します。2 つ目は、Web1 サーバーがアプリ サーバーにアクセスできるようにします。3 つ目は、アウトバウンド方向に制限はありません。 。
- ACL1: 1 つ目はテスト サブネットへのアクセスを禁止します。2 つ目は上記のルール以外のアクセスを許可します。2 つ目は送信方向を制限しません。
- ACL2: 第 1 条、本番サブネットへのアクセス禁止、第 2 条、上記ルール以外のアクセスを許可、第 3 条、hw3580、アウトバウンド方向は制限しない。
2.3 クラウド上のネットワーク接続計画
2.3.1 ピアツーピア接続 VPC ピアリング
- ピアツーピア接続を設定する場合、両端の VPC の CIDR が重複することはお勧めできません。重複すると、ルーティングの競合が発生し、設定が有効にならない可能性があります。
- 2 つの VPC の CIDR が重複している場合、ピアリング接続を確立するときに、サブネットに対してピアリング関係のみを確立できます。2 つの VPC 下のサブネット セグメントが重複している場合、ピア関係が有効にならない可能性があります。ピアリング接続を確立するときは、ピアリング接続の両端に重複するサブネットが含まれていないことを確認してください。
- VPC A は、それぞれ VPC B および VPCC とピアリング接続を確立します。VPG:B と VPC C のネットワーク セグメントが重複している場合、同じ宛先ネットワーク セグメントを持つルートを VPC A に追加することはできません。
- 2 つの VPC 間で複数の VPC ピアリング接続を同時に確立することはできません
- VPC ピアリング接続は、推移的なピアリング関係をサポートしません。たとえば、VPC A と VPC B の間、および VPC A と VPC C の間にピアリング接続が確立されている場合、VPC B と VPC C は VPC A を介して通信できず、ユーザーは VPC B と VPC の間にピアリング接続を確立する必要があります。 C通信が実現できます。
- 異なるリージョンの VPC はピアリング接続を作成できません
2.3.2 同じアカウントでピアツーピア接続を作成する
2.3.3 アカウント間でのピアツーピア接続の作成
- VPC ピアリング接続のクロステナント アプリケーションは、ピア テナントが受け入れた後にのみ有効になります。テナントとのピアツーピア接続の申請はデフォルトで受け入れられます
2.3.4 VPC ターミナルノード VPCEP
- VPC エンドポイントは、「エンドポイント サービス」と「エンドポイント」という 2 種類のリソースを提供します。
- ターミナル ノード サービス: VPC ターミナル ノードでサービスを提供するように構成できるクラウド サービスまたはユーザー プライベート サービスを指します。ユーザーは、VPC で独自のアプリケーションを作成し、それを VPC エンドポイントによってサポートされるサービス、つまりエンドポイント サービスとして構成できます。(クラウド サービス: 運用保守担当者がクラウド プラットフォーム上の一部のサービスをターミナル ノード サービスとして構成します。ユーザー プライベート サービス: ユーザーが自身の VPC にサービス リソースをターミナル ノード サービスとして構成します。これらのサービス リソースは、強化されたロード バランシングまたはクラウド サーバーです。)
- エンド ノード: VPC とエンド ノード サービス間の接続チャネルを提供します。ユーザーは VPC 内で独自のアプリケーションを作成し、ターミナル ノード サービスとして構成できます。同じリージョン内の他の VPC は、独自の 5802:VPC 内にターミナル ノードを作成することで接続を取得し、ターミナル ノード サービスと通信できます。
2.3.5 ピア接続と VPC ターミナルノードの違い
- 機能的な違い:
- ピアリング接続は主に 2 つの VPC 間のトラフィックを開放し、2 つの VPC のサブネット内のインスタンスが同じネットワーク内にあるかのように相互に通信できるようにすることです。
- VPC ターミナル ノードは、特定の VPC 内のインスタンスを公開し、専用ゲートウェイを介してこのインスタンスのポートを他の VPC にマッピングします。
- アクセスシーン:
- ピアツーピア接続は主にネットワーク計画に使用され、主に同じテナントが独自のネットワークを計画し、2 つの VPC のサブネットを接続するために使用されます。
- VPC ターミナルノードは主にクラウドプラットフォーム上でサービスを公開するもので、同一テナントまたは他のテナントに提供できます。
- セキュリティ、通信方向、ルーティング構成、その他の側面における VPC エンドポイントとピアリング接続の違い
2.3.5 適用可能なシナリオ
- クラウド下のIDCとクラウド上のVPC1間の相互通信をクラウド専用線で実現
- IDC はターミナル ノード 1 を介して VPC1 のクラウド リソース ELB にアクセスできます。
- IDC はターミナル ノード 2 を介して、VPC 間で VPC2 のクラウド リソース ECS にアクセスできます。
- IDC はターミナル ノード 3 を介して、イントラネット経由でクラウド サービス DNS にアクセスできます。
- IDC はターミナル ノード 4 を介して、イントラネット経由でクラウド サービス OBS にアクセスできます。
2.3.6 仮想プライベートネットワーク (VPN)
- 高いセキュリティ
- ファーウェイのプロフェッショナル機器を使用して、IKEおよびIPsecに基づいて送信データを暗号化し、キャリアレベルで高信頼性のメカニズムを提供し、ハードウェア、ソフトウェア、リンクの3つのレベルでVPNサービスの安定した動作を保証します。
- リソースをシームレスに拡張
- ユーザーのローカルデータセンターをクラウド上のVPCに接続し、ビジネスを迅速にクラウドに拡張し、ハイブリッドクラウドの導入を実現します。
該当シーン
2.3.7 クラウド専用線DC
- 物理接続は、ユーザーのローカル データ センターとアクセス ポイントのオペレーターの物理ネットワーク間の専用線接続です。物理接続では、次の 2 つの専用線アクセス方法が提供されます。
- 標準の専用線アクセスは、ユーザーがポート リソースを排他的に占有する物理接続であり、ユーザーによって作成され、ユーザーによる複数の仮想インターフェイスの作成をサポートします。
- 管理された専用線アクセスは、複数のユーザーがポート リソースを共有する物理接続です。このタイプの物理接続はパートナーによって作成され、ユーザーに許可される仮想接続は 1 つだけです。ユーザーは、管理された物理接続の作成をパートナーに申請します。これには、パートナーがユーザーに VLAN および帯域幅リソースを割り当てる必要があります。
- 仮想ゲートウェイ、仮想ゲートウェイは、VPC にアクセスするための物理接続を実装する論理アクセス ゲートウェイです。仮想ゲートウェイは、ユーザーがアクセスする VPC に関連付けられます。1 つの VPC は 1 つの仮想ゲートウェイにのみ関連付けられます。複数の物理接続が可能です。同じ仮想ゲートウェイを介して専用線で接続され、同じVPCにアクセスします。
- 仮想インターフェースとは、ユーザーのローカルデータセンターが専用線を通じてVPCにアクセスするための入り口であり、ユーザーは仮想ゲートウェイに物理接続を関連付け、ユーザーゲートウェイと仮想ゲートウェイを接続するための仮想インターフェースを作成し、クラウド下のデータセンターとクラウド上のVPCとの相互アクセスを実現します。
2.3.8 VPNとクラウド専用線の比較
- VPN:
- IPSec VPN テクノロジーを使用すると、データ送信をエスコートできます。操作が簡単で、すぐに使用できます
- クラウド専用回線
- プライベート チャネルを使用してサイトを開くと、高いプライバシーとサイト間の安定した遅延、小さなジッター、強力なパフォーマンスが得られます。
該当シーン
- 前提条件:
- HUAWEI CLOUD のアクセス デバイス 0 と相互接続するには、シングルモード 1 GE、10 GE、40 GE、または 100 GE 光モジュールを使用する必要があります。
- ポートの自動ネゴシエーションを無効にし、ポート速度と全二重モードを手動で設定する必要があります
- ユーザー側のネットワークは、802.1Q VLAN カプセル化をエンドツーエンドでサポートする必要があります。
- ユーザー側のデバイスは BGP をサポートする必要があり、64512 は使用できません (この AS 番号はすでに Huawei によって使用されています)
2.3.9 クラウド接続CC
- 適用可能な制約:
- 同じクラウド接続インスタンス内では、すべてのネットワーク インスタンスのアドレスが重複したり、サブネットのサブネット アドレスが競合したりすることはできません。重複すると、相互通信の問題が発生する可能性があります。
- VPC ネットワーク インスタンスをクラウド接続インスタンスにロードし、詳細設定を通じてサブネットをインポートする場合、ループバック アドレス、マルチキャスト アドレス、またはブロードキャスト アドレスをインポートできません。
- 同じクラウド接続インスタンスにロードされているすべての VPC ネットワーク インスタンスで、NAT ゲートウェイが VPC に同時に作成されている場合、高度な構成カスタムを通じて VPC ネットワーク インスタンスに同時にインポートできるのは 0.0.0.0/0 のみです。サブネットのデフォルトルート。
該当シーン1
該当シーン2
3. クラウドネットワークアクセス計画
3.1 Elastic パブリックネットワーク IP サービス EIP
3.1.1 エラスティックパブリックIP
- 共有帯域幅:
- 共有帯域幅により、複数の EIP が 1 つの帯域幅を共有できます。リージョンレベルの帯域幅共有および多重化機能を提供します。同じリージョン内のエラスティック パブリック ネットワーク IP にバインドされているすべての ECS、BMS、ELB、およびその他のインスタンスは、1 つの帯域幅リソースを共有します。
- 顧客がクラウド上に多数のビジネスを展開している場合、各エラスティック クラウド サーバーが個別の帯域幅を使用すると、より多くの帯域幅インスタンスが必要になり、合計帯域幅コストが高くなります。すべてのインスタンスが帯域幅を共有する場合、エンタープライズ ネットワークは運用コストを節約しながら、運用とメンテナンスの統計を容易にします。
3.1.2 EIP実装の原則
3.1.3 線種
- 完全な動的 BGP:
- BGPプロトコルを利用して複数の事業者に同時にアクセスすることで、設定された経路探索プロトコルに応じてネットワーク構成をリアルタイムで自動最適化し、お客様が利用するネットワークの安定性と効率性を維持できます。
- 静的 BGP:
- ネットワーク事業者が手動で設定したルーティング情報。ネットワーク トポロジやリンク ステータスが変化した場合、オペレータはルーティング テーブル内の関連する静的ルーティング情報を手動で変更する必要があります。
- セキュリティの比較:
- 完全な動的 BGP:
- 複数回線アクセスのBGPは、アクセス回線や事業者の内部ネットワークの状態を感知し、事業者の内部障害が発生した場合には、他の事業者のアクセスリンクに素早く切り替え、ユーザーは中断することなく正常にアクセスできます。 。
- 現在サポートされている通信事業者回線には、Telecom、China Mobile、China Unicom、Education Network、Radio and Television、Dr. Peng などが含まれます。
- 静的 BGP:
- 静的 BGP でネットワーク構造が変更されると、オペレーターは最初はネットワーク設定を自動的に調整できず、他のテクノロジーを介して切り替えるため、静的 BGP 遅延は通常わずかに長くなります。
3.1.3 ECS インスタンスがパブリック ネットワークにアクセスする
3.1.4 パブリックネットワークからクラウド上のECSにアクセスする
該当シーン
3.2 ロードバランシングサービスELB
3.2.1 エラスティック・ロード・バランシング ELB
- 排他的な負荷分散: 排他的な負荷分散インスタンスのリソースは排他的であり、インスタンスのパフォーマンスは他のインスタンスの影響を受けず、ユーザーはビジネス ニーズに応じて異なる仕様のインスタンスを選択できます。
- 共有負荷分散: クラスター展開に属し、インスタンスのリソースが共有され、インスタンスのパフォーマンスは他のインスタンスの影響を受けます。インスタンス仕様の選択はサポートされていません。
3.2.2 ELB関連コンポーネント
- ヘルスチェック:ヘルスチェック機能は、トラフィックがバックエンドサーバに振り分けられた後に正常にアクセスできるかどうかを確認するために、バックエンドサーバグループ内のサーバの状態をチェックすることで、ビジネスの信頼性を向上させます。
3.2.3 セッションの永続性
- レイヤ 7 セッションの保持時間は最大 24 時間です
- レイヤ 4 セッションの保持時間は最大 1 時間です
3.2.4 合意
3.2.5 戦略
該当シーン1
- 潮汐ビジネスのための交通量の弾力的な分散
- 潮汐効果のあるビジネスの場合、エラスティック スケーリング サービスと組み合わせることで、ビジネス量の拡大や縮小に応じて、エラスティック スケーリング サービスによって自動的に増減される ECS インスタンスを ELB のバックエンド クラウド サーバー グループに自動的に追加できます。または ELB のバックエンド クラウドからサーバー グループが削除されます。負荷分散インスタンスは、トラフィック分散やヘルスチェックなどのポリシーに従って ECS インスタンスのリソースを柔軟に使用し、リソースの弾力性に基づいてリソースの可用性を大幅に向上させます。例えば、電子商取引の「ダブル11」「ダブル12」「618」などの大規模なプロモーション活動では、企業訪問数が短期間で急増し、それも数日しか続きませんでした。あるいは数時間でも。負荷分散と柔軟なスケーリングを使用すると、IT コストを最大限に節約できます。
該当シーン2
- ELB クロスアベイラビリティ ゾーン機能を使用してビジネスの災害復旧展開を実装する
- 信頼性とディザスタ リカバリに対する高い要件がある企業の場合、エラスティック ロード バランシングによりアベイラビリティ ゾーン全体にトラフィックを分散し、リアルタイムのビジネス ディザスタ リカバリ展開を確立できます。1 つのアベイラビリティ ゾーンでネットワーク障害が発生した場合でも、ロード バランサーはトラフィックを他のアベイラビリティ ゾーンのバックエンド クラウド サーバーに転送して処理できます。
- 銀行業務、警察業務、大規模申請システムなど
3.3 ゲートウェイサービス NAT
3.3.1 パブリックネットワークNATゲートウェイ(1)
- 柔軟な展開:
- パブリック ネットワーク NAT ゲートウェイは、クロス アベイラビリティ ゾーン展開をサポートしており、高可用性を備えているため、単一のアベイラビリティ ゾーンで障害が発生しても、パブリック ネットワーク NAT ゲートウェイのビジネス継続性に影響を与えることはありません。パブリック ネットワーク NAT ゲートウェイとエラスティック パブリック ネットワーク IP の仕様はいつでも調整できます。
- 多彩で使いやすい:
- 公衆網用NATゲートウェイは簡単な設定で利用可能、運用保守が簡単、配信も早く、動作が安定しており、信頼性が高いです。
- コストカット:
- ユーザーのプライベート IP アドレスがパブリック ネットワーク NAT ゲートウェイ経由でデータを送信する場合、またはユーザーのアプリケーションがインターネットにサービスを提供する場合、パブリック ネットワーク NAT ゲートウェイ サービスはプライベート アドレスとパブリック ネットワーク アドレスを変換します。ユーザーは、クラウド ホストがインターネットにアクセスするために冗長なエラスティック パブリック ネットワーク IP と帯域幅リソースを購入する必要はなく、複数のクラウド ホストがエラスティック パブリック ネットワーク IP を共有するため、コストが効果的に削減されます。
3.3.2 公衆網NATゲートウェイ(2)
3.3.3 プライベートネットワーク NAT ゲートウェイ
- 中間サブネット: 中間サブネットはトランジット ネットワークに相当します。ユーザーは中間サブネットにプライベート IP、つまりトランジット IP を作成して、ローカル VPC 内のクラウド ホストがプライベート IP を共有してユーザーの iDC にアクセスできるようにすることができます。または他のリモート VPC。
- トランジット VPC: トランジット サブネットが配置されている VPC。
- 簡単な計画:
- 重複するネットワーク セグメント通信のサポート: 5. 顧客は再計画することなく元のネットワーク クラウドを維持できるため、IDChw35802 クラウドのネットワーク計画が大幅に簡素化されます。
- 高いセキュリティ
- 業界の規制要件を満たし、プライベート ネットワーク IP を指定された IP にマッピングしてアクセスします
- 簡単な運用と保守管理:
- プライベートネットワークのIPアドレスマッピングをサポートし、各部門のネットワークセグメントを統合VPCの大規模ネットワークアドレスにマッピングして一元管理できるため、複雑なネットワークの管理が容易になります。
- 紛争ゼロ
- プライベート ネットワーク NAT ゲートウェイの大規模および小規模のネットワーク マッピング機能に基づいて、クラウド上の重複するネットワーク セグメントの相互通信をサポートし、顧客がクラウドに移行した後にネットワーク競合が発生しないように支援します。
3.3.4 パブリック ネットワーク NAT の適用シナリオ
- SNAT コネクション数:送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、トランスポート層プロトコルの 5 つの要素の集合をコネクションとみなします。送信元 IP アドレスと送信元ポートは、SNAT 変換後の EIP とそのポートを指します。接続は異なるセッションを区別でき、対応するセッションは一意です。
- スループット: DNAT ルールの Elastic Public IP の帯域幅の合計。たとえば、2gu3 パブリック ネットワーク NAT ゲートウェイには 2 つの DNAT ルールがあり、最初のルールにバインドされる EIP 帯域幅は 10 Mbit/s、2 番目のルールにバインドされる EIP 帯域幅は 5 Mbit/s である場合、パブリック ネットワークのスループットはNAT ゲートウェイは 15 Mbit/s です。
- 各パブリック ネットワーク NAT ゲートウェイでサポートされる最大転送帯域幅は 20 Gbit/s です。
- 一般的なビジネス モデルと仕様オプション。
- アップロード、ダウンロード、インターネットサーフィンなど、アクセス先アドレスや接続が多くないシナリオ。推奨: 小/中。
- クローラーやクライアントプッシュなど、アクセス先のアドレスやポートが多く、接続数が多いシナリオ。推奨: 大/特大。
- 小規模 (SNAT 最大接続数): 10000。
- 中 (SNAT 接続の最大数): 50,000。
- 大 (SNAT 最大接続数): 200000
- 非常に大きい (SNAT 接続の最大数): 1,000,000。
3.3.5 プライベートネットワーク NAT の適用可能なシナリオ
3.4 クラウド解決サービスDNS
- 知覚のないスムーズな切り替え:
- 使用中の Web サイトのドメイン名を HUAWEI CLOUD クラウド解決サービスに移行して解決することをサポートします。ドメイン名を移管する場合、ユーザーは事前にドメイン名を作成し、解決レコードを設定することで、Web サイトの DNS サービスをスムーズに切り替えることができ、ユーザーのアクセス エクスペリエンスが中断されません。
3.4.1 DNS が提供する解決サービスの種類
- パブリック ネットワーク ドメイン名解決: パブリック ネットワーク ドメイン名を IP アドレスに関連付け、ユーザーにインターネット ベースのドメイン名解決サービスを提供し、ドメイン名を介して Web サイトまたは Web アプリケーションへの直接アクセスを実現します。パブリック ネットワークのドメイン名解決は、インターネット ネットワークに基づくドメイン名解決プロセスであり、一般的に使用されるドメイン名 (www.example.com など) をコンピュータ接続用の IP アドレス (1.2.3.4 など) に変換できます。
- イントラネット ドメイン名解決: VPC 内で有効なイントラネット ドメイン名をプライベート ネットワーク IP アドレスに関連付けることができ、VPC 内のドメイン名解決サービスをユーザーの Huatou クラウド リソースに提供できます。イントラネットのドメイン名解決は、VPC ネットワークのドメイン名解決プロセスに基づいており、HUAWEI CLOUD イントラネット DNS を通じてドメイン名 (ecs.com など) をプライベート ネットワーク IP アドレス (192.168.1.1) に変換します。イントラネット ドメイン名解決により、クラウド サーバーは VPC 内のイントラネット ドメイン名を介して相互に直接アクセスできるようになります。同時に、パブリックネットワークを経由せずに、イントラネットDNSを介してOBSやSMNなどのクラウドサービスへの直接アクセスもサポートします。
- 逆解決: IP アドレスを介して、IP アドレスが指すドメイン名の逆取得をサポートします。通常、自作メール サーバー hw358( のシナリオで使用され、メールボックス IP の評判を向上させるために必要な設定です)そしてドメイン名。
- インテリジェントな回線分析: 事業者、地域などの規模に応じて訪問者 IP のソースとタイプを区別し、異なるサーバーの IP アドレスを指す、同じドメイン名のアクセス要求に対して異なる分析応答を行うことをサポートします。チャイナ ユニコム ユーザーが訪問すると、ドメイン名解決サーバーはチャイナ ユニコム サーバーの IP アドレスを返し、チャイナ テレコム ユーザーが訪問すると、チャイナ テレコム サーバーの IP アドレスを返します。これにより、ネットワーク間アクセスが遅いという問題が解決され、効率的なアクセスが実現されます。解決。また、IP ネットワーク セグメントごとに分割された訪問者のカスタム ライン分析もサポートしており、訪問者をさまざまな Web サーバーにルーティングするために、より詳細な方法で分析ラインを設定できます。
3.4.2 パブリックドメイン名の解決
3.4.3 イントラネットのドメイン名解決
考える質問