概览
ZStack给云主机提供各种网络服务,主要包括安全组、虚拟IP、弹性IP、端口转发、负载均衡、IPsec隧道等。
支持以下三种网络架构模型:
- 扁平网络
- 云路由网络
- VPC
网络服务模块
网络服务模块:用于提供网络服务的模块。在UI界面已隐藏。
主要有以下四种:
- VirtualRouter(虚拟路由器网络服务模块,不建议使用)
提供以下网络服务:DNS、SNAT、负载均衡、端口转发、弹性IP、DHCP
- Flat Network Service Provider(扁平网络服务模块)提供以下网络服务:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
- DHCP:分布式DHCP实现动态获取IP地址。Note: DHCP服务包含了DNS的功能。
- VipQos:虚拟IP限速,限制上行及下行带宽。仅作用于弹性IP。
- Userdata:使用
- vrouter(云路由网络服务模块)提供以下网络服务:
- IPsec:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
- VRouterRoute:通过云路由路由表,用户可管理自定义路由。
- CentralizedDNS:在启用分布式DHCP服务的场景下,提供DNS服务。
- VipQos:虚拟IP限速,限制上行及下行带宽。
- DNS:使用云路由器提供DNS服务。
- SNAT:云主机使用SNAT可以直接访问外部互联网。
- 负载均衡:将公网地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
- 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
- 弹性IP:使用云路由器可通过公有网络访问云主机的私有网络。
- DHCP:集中式DHCP服务
- SecurityGroup(安全组网络服务模块)提供以下网络服务:
- 安全组:使用iptables进行云主机防火墙的安全控制。
扁平网络实践
生产环境中,一般建议使用以下网络服务的组合:
- 扁平网络服务模块:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
- DHCP:分布式DHCP实现的动态获取IP地址。Note: DHCP服务包含了DNS的功能。
- Userdata:使用
- 安全组网络服务模块:
- 安全组:使用iptables进行云主机防火墙的安全控制。
云路由网络实践
生产环境中,一般建议使用以下网络服务的组合:
- 扁平网络服务模块:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - DHCP:分布式DHCP实现的动态获取IP地址。
- Userdata:使用
- 云路由网络服务模块:
- DNS:使用云路由器提供DNS服务。
- SNAT:云主机使用SNAT可以直接访问外部互联网。
- 弹性IP:使用云路由器可通过公有网络访问云主机的私有网络。
- 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
- 负载均衡:将公网地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
- IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
- 安全组网络服务模块:
- 安全组:使用iptables进行云主机防火墙的安全控制。
VPC网络实践
生产环境中,一般建议使用以下网络服务的组合:
- 扁平网络服务模块:
- Userdata:使用
cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。 - DHCP:分布式DHCP实现的动态获取IP地址。
- Userdata:使用
- 云路由网络服务模块:
- DNS:使用VPC路由器提供DNS服务。
- SNAT:云主机使用SNAT可以直接访问外部互联网。
- 弹性IP:使用VPC路由器可通过公有网络访问云主机的私有网络。
- 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
- 负载均衡:将公网地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
- IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
- 安全组网络服务模块:
- 安全组:使用iptables进行云主机防火墙的安全控制。