云路由网络

云路由网络

云路由网络：主要使用定制的Linux云主机作为路由设备，提供DHCP、DNS、SNAT、路由表、弹性IP、端口转发、负载均衡、IPsec隧道、安全组等网络服务。

云路由主要包括云路由镜像、云路由规格和云路由器。

云路由镜像：封装多种网络服务，只为创建云路由提供服务。
云路由规格：定义云路由器使用的CPU、内存、云路由镜像、公有网络、管理网络等。
云路由器：作为定制的Linux云主机提供DHCP、DNS、SNAT、路由表、弹性IP、端口转发、负载均衡、IPsec隧道、安全组等网络服务。

云路由网络拓扑

云路由主要涉及以下3个基本网络：

公有网络：
用于提供弹性IP、端口转发、负载均衡、IPsec隧道等网络服务需要提供虚拟IP的网络，公有网络一般要求可直接接入互联网。
管理网络：
用于管理控制对应的物理资源，例如物理机、镜像服务器、主存储等需提供IP进行访问的资源时使用的网络。
私有网络：
也称之为业务网络或接入网络，是云主机使用的内部网络。

云路由网络部署方式：

公有网络和管理网络合并，私有网络独立部署
如图 1所示：
图 1. 部署方式-1
公有网络、管理网络、私有网络均独立部署
如图 2所示：
图 2. 部署方式-2

云路由网络服务

云路由提供了DHCP、DNS、SNAT、路由表、弹性IP、端口转发、负载均衡、IPsec隧道、安全组等网络服务。

DHCP：
- 在云路由器中，默认由扁平网络服务模块提供分布式DHCP服务。
DNS：
- 云路由器可作为DNS服务器提供DNS服务；
- 在云主机中看到的DNS地址默认为云路由器的IP地址，由用户设置的DNS地址由云路由器负责转发配置。
SNAT：
- 云路由器可作为路由器向云主机提供源网络地址转换；
- 云主机使用SNAT可直接访问外部互联网。
路由表、安全组、弹性IP、端口转发、负载均衡、IPsec隧道，将在专门章节中介绍。

弹性IP：使用云路由器可通过公有网络访问云主机的私有网络。
端口转发：提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
负载均衡：将虚拟IP地址的访问流量分发到一组后端的云主机上，并自动检测并隔离不可用的云主机。
IPsec隧道：使用IPsec隧道协议实现虚拟私有网络（VPN）的连接。
安全组：
- 由安全组网络服务模块提供安全组服务；
- 使用iptables进行云主机防火墙的安全控制。

云路由网络使用注意事项

使用云路由网络需注意：

需先建立公有网络、再建立管理网络，再建立云路由规格，再创建云路由私有网络，在创建云主机时，会自动创建云路由器。
创建云路由器至少需要一个集群，同时挂载了管理网络、公有网络、私有网络，而且此集群要求有可用物理主机来创建云路由器。
创建云路由规格时，管理网络可从系统网络和公有网络里选择，如果公有网络和管理网络合一，需选择公有网络作为管理网络；如果存在独立的管理网络，则需在系统网络选择。
说明:
- 如果条件有限，管理网络可以与公有网络使用同一个网络；
- 出于安全和稳定性考虑，建议部署独立的管理网络，并与公有网络隔离。
云路由器的默认IP为公有网络的IP，会从公有网络的网络段中选择IP地址，提供各种网络服务。
云路由器的私有网络段地址如果是类似192.168.0.0/24，那么云路由器的私网IP默认为192.168.0.1，并以此作为使用此云路由网络的普通云主机的默认网关。普通云主机使用此网关，在云路由器里，进行路由转发以访问互联网。
云路由器中公有网络、管理网络、私有网络或其他网络的网络段之间，其CIDR不可重叠。
例如，假定私有网络网络段为10.0.0.0/8，云路由器加载网络时，新的网络段就不可为10.20.0.0/16，后者作为前者的子集，存在IP地址冲突的风险。
在云路由网路场景下，可通过设置私有网络接口IP为云路由器配置双网关，从而实现更好的分布流量，提高网络灵活性和稳定性；该私有网络接口IP不能与基本设置中的IP范围有重叠，但要与基本设置中的网关能互通；设置私有网络接口IP后，还需在交换机上配置相应的策略路由，该场景才可正常工作。

路由表和路由条目使用注意事项

云路由器支持加载多网卡，并支持路由表和路由条目，使用时需注意：

加载多网卡一般用于多网互联的场景，例如混合云互通。
云路由器支持加载路由表，加载后，路由表内的路由条目会添加至云路由器，对使用云路由的私有网络进行相应的路由功能。
添加路由条目时，需指定目标网段，并输入下一跳的地址，需确保下一跳可达。路由类型一般设置静态路由。为防止环路，也可设置黑洞路由，表示丢弃匹配的数据包。路由优先级的数字越大，表示优先级越低。

如果打算两个云路由器的私有网络互通，需设置以下路由：

前提：

云路由器1

公网IP 10.58.22.144   
私有网络段 172.24.0.0/24

云路由器2

公网IP 10.58.23.84   
私有网络段 192.168.1.0/24

执行以下步骤进行互通：

创建路由表1，挂载到云路由器1，添加路由条目下一跳为云路由器2的公网IP 10.58.23.84，目标网络段为192.168.1.0/24
创建路由表1，挂载到云路由器2，添加路由条目下一跳为云路由器1的公网IP 10.58.22.144，目标网络段为172.24.0.0/24

云路由器创建失败检查事项

云路由器创建失败需检查：

云路由规格定义的镜像：
- 如果存放在ImageStore镜像服务器，则应存在挂载了本地存储、NFS、SharedMountPoint、或者Ceph主存储的集群；
- 如果存放在Sftp镜像服务器，则应存在挂载了本地存储、NFS或者SharedMountPoint主存储的集群；
- 如果存放在Ceph镜像服务器，则应存在挂载了此Ceph镜像服务器对应的Ceph主存储的集群；
需存在可用集群同时加载了公有网络、管理网络和私有网络，此集群内有可用的物理主机满足云路由规格定义的CPU、内存大小。
为了防止恶意攻击，云路由器默认禁止ssh密码登录。可在全局配置中打开。

升级提醒

若您选择升级至4.0.0及之后版本，请注意以下功能调整：

1. 云路由器全面升级为VPC路由器，云路由网络全面升级为VPC网络，不再单独设云路由器页面。升级全程无感知，相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户，不再单独设用户/用户组页面，不可再使用用户/用户组账号登录云平台。升级前，请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管，再执行升级操作。注意：对于admin创建并具备admin权限的用户账号同步取消，如有需要，可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式，统一由企业管理纳管，不再单独设AD/LDAP页面。升级前，请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管，再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助，请联系ZStack官方技术支持