网络服务

云平台为云主机提供以下网络服务:VPC防火墙、安全组、虚拟IP、弹性IP、端口转发、IPsec隧道、负载均衡、流量监控。

支持以下三种网络架构模型:
  • 扁平网络
  • 云路由网络
  • VPC

网络服务模块

网络服务模块:用于提供网络服务的模块。在UI界面已隐藏。

主要有以下四种:
  1. VirtualRouter(虚拟路由器网络服务模块,不建议使用)

    提供以下网络服务:DNS、SNAT、负载均衡、端口转发、弹性IP、DHCP

  2. Flat Network Service Provider(扁平网络服务模块)
    提供以下网络服务:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
    • DHCP:分布式DHCP实现动态获取IP地址。
      说明: DHCP服务包含了DNS的功能。
    • VipQos:虚拟IP限速,限制上行及下行带宽。仅作用于弹性IP。
  3. vrouter(云路由网络服务模块)
    提供以下网络服务:
    • IPsec:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
    • VRouterRoute:通过路由表,用户可管理自定义路由。
    • CentralizedDNS:在启用分布式DHCP服务的场景下,提供DNS服务。
    • VipQos:虚拟IP限速,限制上行及下行带宽。
    • DNS:使用云路由器提供DNS服务。
    • SNAT:云主机使用SNAT可以直接访问外部互联网。
    • 负载均衡:将虚拟IP地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
    • 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
    • 弹性IP:使用云路由器可通过公有网络访问云主机的私有网络。
    • DHCP:集中式DHCP服务
  4. SecurityGroup(安全组网络服务模块)
    提供以下网络服务:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

扁平网络实践

生产环境中,一般建议使用以下网络服务的组合:
  • 扁平网络服务模块:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
    • DHCP:分布式DHCP实现的动态获取IP地址。
      说明: DHCP服务包含了DNS的功能。
  • 安全组网络服务模块:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

云路由网络实践

生产环境中,一般建议使用以下网络服务的组合:
  • 扁平网络服务模块:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • DHCP:分布式DHCP实现的动态获取IP地址。
  • 云路由网络服务模块:
    • DNS:使用云路由器提供DNS服务。
    • SNAT:云主机使用SNAT可以直接访问外部互联网。
    • 路由表:通过路由表,用户可管理自定义路由。
    • 弹性IP:使用云路由器可通过公有网络访问云主机的私有网络。
    • 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
    • 负载均衡:将虚拟IP地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
    • IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
  • 安全组网络服务模块:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

VPC网络实践

生产环境中,一般建议使用以下网络服务的组合:
  • 扁平网络服务模块:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • DHCP:分布式DHCP实现的动态获取IP地址。
  • 云路由网络服务模块:
    • DNS:使用VPC路由器提供DNS服务。
    • SNAT:云主机使用SNAT可以直接访问外部互联网。
    • 路由表:通过路由表,用户可管理自定义路由。
    • 弹性IP:使用VPC路由器可通过公有网络访问云主机的私有网络。
    • 端口转发:提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。
    • 负载均衡:将虚拟IP地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
    • IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的连接。
  • 安全组网络服务模块:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

高级网络服务

  • 动态路由:支持OSPF动态路由协议,用于单一自治系统内决策路由,适用于VPC网络场景。
  • 组播路由:将组播源发送的组播消息转发给云主机,在发送端和接收端实现点对多点连接,适用于VPC网络场景。
  • VPC防火墙:通过对VPC路由器接口处南北向流量进行过滤,有效保护整个VPC通信安全及VPC路由器安全,适用于VPC网络场景。
  • 端口镜像:将云主机网卡的网络流量复制一份到远端,对端口上的业务报文进行分析,方便对网络数据进行监控管理,适用于扁平/云路由/VPC网络场景。
  • Netflow:通过Netflow对VPC路由器网卡的进出流量进行分析监控,支持Netflow V5、V9两种数据流输出格式,适用于VPC网络场景。

安全


VPC防火墙

VPC防火墙:负责管控VPC网络的南北向流量,通过配置规则集和规则来管控网络的访问控制策略。

VPC路由器的每个网卡流量方向上允许绑定一个规则集,规则集内含多条规则,可有效保护整个VPC的通信安全以及VPC路由器安全,与作用于云主机虚拟网卡、侧重于保护VPC内部东西向通信安全的安全组相辅相成。

防火墙规则集:
  • 防火墙规则集按流量的流向分为以下两种类型:
    • 入方向规则集(Inbound):作用于通过网络进入VPC路由器的流量;
    • 出方向规则集(Outbound):作用于从VPC路由器通过网络向外发出的流量。
防火墙规则:
  • 防火墙规则支持自定义优先级,数字越小表示优先级越高:
    • 系统规则:系统规则是支持系统服务的预置规则,优先级范围:1-1000、4000-9999;
    • 自定义规则:用户自定义设置的防火墙规则,支持的优先级范围:1001-2999。
  • 防火墙规则支持对数据来源和去向进行限制:
    • 源IP和目的IP支持输入固定IP地址、IP范围或CIDR,支持混合输入;
    • 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围;
    • 支持最多添加10条,以英文逗号分隔。
图 1所示:
图 1. VPC防火墙


  • 云主机1访问云主机3:访问流量匹配公网网卡入方向规则集,检测为恶意流量,拒绝访问;
  • 云主机2访问云主机4:访问流量匹配公网网卡入方向规则集,再匹配私网网卡出方向规则集,检测为可信流量,允许访问;
  • 服务器2访问服务器1:访问流量匹配私网网卡入方向规则集,再匹配公网网卡出方向规则集,检测为可信流量,允许访问。
防火墙与安全组的区别:VPC防火墙管控南北向流量,作用范围是整个VPC;安全组主要管控东西向的流量,作用范围是云主机虚拟网卡,二者互为补充,具体区别如下:
对比项 安全组 防火墙
作用范围 云主机虚拟网卡 整个VPC网络
部署方式 分布式 集中式
部署位置 云主机 VPC路由器
配置策略 仅支持允许策略 可自定义允许、丢弃或拒绝策略
优先级 按照配置顺序 自定义优先级顺序
规则匹配 源IP、源端口、协议 源IP、源端口、目的IP、目的端口、协议、报文状态
防火墙的使用方法如下:
  • 创建VPC防火墙
  • 在VPC防火墙添加入/出方向规则集
  • 在规则集中添加对应规则

创建VPC防火墙

ZStack私有云主菜单,点击网络服务 > VPC防火墙,进入VPC防火墙界面,点击创建VPC防火墙,在弹出的创建VPC防火墙界面,可参考以下示例输入相应内容:
  • 名称:设置VPC防火墙的名称
  • 简介:可选项,可留空不填
  • VPC路由器:选择需要防护的VPC路由器
    说明: 创建防火墙需要VPC路由器需处于运行状态,且未绑定任何防火墙;
图 2所示:
图 2. 创建VPC防火墙


添加规则集

在VPC防火墙界面勾选需要添加规则集的防火墙,点击更多操作 > 添加规则集,在弹出的添加规则集界面,可参考以下示例输入相应内容:
  • 名称:设置规则集的名称
  • 默认行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
    • 接受:允许VPC路由器上的网络请求通过
    • 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
    • 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
  • 网络:选择需要加载规则集的网络
说明:
  • 仅支持新建出方向规则集,作用于网卡出方向;
  • 入方向规则集已由系统默认创建,支持在入方向规则集中添加自定义规则;
  • 入方向规则集不支持删除操作。
图 3所示:
图 3. 添加规则集


添加规则

在规则集界面勾选需要添加规则的网络,点击规则集操作 > 添加规则,在弹出的添加规则界面,可参考以下示例输入相应内容:
  • 规则集:选择需要添加规则的规则集
  • 优先级:设置规则优先级
    说明:
    • 优先级支持输入范围:1001-2999,数字越小表示优先级越高
    • 优先级范围1-1000、4000-9999是支持系统服务的预置规则,系统规则不支持添加、修改或删除
    • 同一规则集内,规则优先级不能相同
  • 行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
    • 接受:允许VPC路由器上的网络请求通过
    • 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
    • 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
  • 报文状态:可选项,选择VPC防火墙需要匹配规则的报文,例如:若勾选new选项,则所有new状态的报文将按照当前规则设置的行为来处理
    • new:新连接请求
    • established:已建立的连接
    • invalid:无法识别的连接
    • related:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
  • 协议:必选项,选择VPC防火墙需要匹配规则的协议,例如:若选择TCP,则所有TCP协议的请求将按照当前规则设置的行为来处理
  • 源IP地址/目的IP地址:可选项,设置当前规则需要匹配的源IP地址和目的IP地址
    • 支持输入固定IP地址、IP地址范围或CIDR,若使用IP地址范围格式需要以-分隔,如:192.168.0.1-192.168.0.100
    • 源IP地址/目的IP地址最多添加10条,支持固定IP地址、IP地址范围或IP/掩码格式的混合输入,以英文逗号隔开
    • 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围;
  • 添加后立即生效:勾选后,当前规则将在添加后立即生效。若不勾选,当前规则在添加后将为停用状态,需手动启用后才能生效
图 4所示:
图 4. 添加规则




VPC防火墙详情页

VPC防火墙管理界面,点击相应VPC防火墙的名称,可展开其详情页。包含以下子页面:基本属性、规则集和审计,如图 5所示:
图 5. VPC防火墙详情页


  • 基本属性:
    该子页面显示了当前VPC防火墙的基本情况,包括:名称、简介、所有者、VPC路由器名称和UUID等。本页面支持修改VPC防火墙的相关参数:
    • 名称和简介:支持修改VPC防火墙的名称和简介
  • 规则集:
    规则集是VPC防火墙网络防护规则的集合,包括入方向规则集和出方向规则集,入方向规则集已由系统默认创建,支持在入方向规则集中添加自定义规则,在出方向规则集内创建多个规则,如图 6所示,具体请参考添加规则集
    图 6. 规则集


  • 审计:

    该子页面显示了对当前VPC防火墙的操作日志。

规则集详情页

VPC防火墙管理界面,点击相应VPC防火墙的名称,展开其详情页,点击规则集,进入规则集页面,点击相应的规则集名称,可以展开其详情页,包含以下子页面:基本属性、规则集和审计,如图 7所示:
图 7. 规则集详情页


  • 基本属性:
    该子页面显示了当前规则集的基本情况,包括:名称、简介、默认行为和UUID等。本页面支持修改规则集的相关参数:
    • 名称和简介:支持修改规则集的名称和简介
  • 规则:
    VPC防火墙的网络防护规则,可在规则集内创建多个规则,如图 8所示,具体请参考添加规则
    图 8. 规则


  • 网络:
    规则集作用的网络,支持绑定和解绑操作。
    说明: 仅支持出方向规则集绑定/解绑网络操作。
  • 审计:

    该子页面显示了对当前规则集的操作日志。

规则页

VPC防火墙管理界面,点击相应VPC防火墙的名称,展开其详情页,点击规则集,进入规则集页面,点击规则,进入规则页面,如图 9所示:
图 9. 规则


  • 优先级:展示规则的优先级,数字越小表示优先级越高,系统规则优先级范围:1-1000、4000-9999;自定义规则支持的优先级范围:1001-2999
  • 规则类型:系统规则是支持系统服务的预置规则,不支持添加、修改或删除系统规则操作;自定义规则是用户自行创建的规则,支持添加、修改和删除自定义规则

VPC防火墙支持的操作

VPC防火墙支持以下操作:
  • 创建VPC防火墙:创建一个新的VPC防火墙
  • 更新配置:更新VPC防火墙的配置
    说明: 当VPC路由器添加新的网络服务时(如OSPF)会随之创建一些防火墙规则,这些规则不会展示在UI上,需要手动点击更新配置,将规则从VPC路由器中同步到云平台的数据库,才会在UI上展示。
  • 添加规则集:为VPC防火墙添加规则集
  • 添加规则:选择规则集并添加规则
  • 删除:删除VPC防火墙

规则集支持的操作

规则集支持以下操作:
  • 添加规则集:为当前VPC防火墙添加规则集
  • 添加规则:选择规则集并添加规则
  • 绑定网络:为规则集绑定网络
  • 删除:删除规则集
    说明: 入方向规则集不支持删除操作。

注意事项

防火墙注意事项:
  • 一个VPC路由器只能创建一个防火墙
  • 一个网卡包含入(inbond)、出(outbond)两个防护方向,每个防护方向只能设置一个规则集
  • VPC防火墙的防护机制会限制外部通过非EIP方式访问内部云主机,对于使用静态路由、OSPF的用户,若停用优先级9999的规则,则静态路由、OSPF服务将无法使用。若仍需使用静态路由、OSPF服务,请在停用后手动配置公有网络网卡入方向放行规则。
规则集注意事项:
  • 一个规则集下最多可以挂载9999个规则
  • 仅支持新建出方向规则集,作用于网卡出方向
  • 规则集的出入方向是针对VPC路由器而言,请谨慎操作
  • 入方向规则集已由系统默认创建,支持在入方向规则集中添加自定义规则,入方向规则集不支持删除操作
  • 同一出方向规则集可以在多个网卡上复用
规则注意事项:
  • 规则隶属于规则集,不能复用在多个规则集上
  • 系统规则是支持系统服务的预置规则,优先级范围:1-1000、4000-9999;自定义规则支持的优先级范围:1001-2999,系统预留优先级范围:3000-3999,数字越小表示优先级越高
  • 不支持添加、修改或删除系统规则操作

安全组

安全组:给云主机提供三层网络安全组控制,控制TCP/UDP/ICMP等数据包进行有效过滤,对指定网络的指定云主机按照指定的安全规则进行有效控制。
  • 扁平网络、云路由网络和VPC均支持安全组服务,安全组服务均由安全组网络服务模块提供,使用方法均相同:使用iptables进行云主机的安全控制。
  • 安全组实际上是一个分布式防火墙;每次规则变化、加入/删除网卡都会导致多个云主机上的安全组规则被更新。
安全组规则:
  • 安全组规则按数据包的流向分为两种类型:
    • 入方向(Ingress):代表数据包从外部进入云主机。
    • 出方向(Egress):代表数据包从云主机往外部发出。
  • 安全组规则对通信协议支持以下类型:
    • ALL:表示涵盖所有协议类型,此时不能指定端口。
    • TCP:支持1-65535端口。
    • UDP:支持1-65535端口。
    • ICMP:默认起始结束端口均为-1,表示支持全部的ICMP协议。
  • 安全组规则支持对数据来源的限制,目前源可以设置为CIDR和安全组。
    • CIDR作为源:仅允许指定的CIDR才可通过
    • 安全组作为源:仅允许指定的安全组内的云主机才可通过
    注: 如果两者都设置,只取两者交集。
图 1所示:
图 1. 安全组


安全组的使用方法

使用安全组的基本流程为:选择三层网络,设置相应的安全组规则,选择指定的云主机加入规则中。

创建安全组

ZStack私有云主菜单,点击 网络服务 > 安全组,进入安全组界面,点击创建安全组,在弹出的创建安全组界面,可参考以下示例输入相应内容:
  • 名称:设置安全组名称
  • 简介:可选项,可留空不填
  • 网络:选择已创建的三层网络,包括:公有网络、私有网络和VPC网络
    注: 支持添加多个同种类型的三层网络;不支持同时添加不同类型的三层网络。
  • 规则:可选项,安全组规则可在创建安全组时直接设置,也可在创建安全组后再设置
  • 网卡:可选项,选择云主机网卡加入安全组,云主机网卡可在创建安全组时直接添加,也可在创建安全组后再添加
图 2所示,点击确定按钮,创建安全组。
图 2. 创建安全组


设置安全组规则

以创建安全组时直接设置安全组规则为例。在创建安全组界面,点击规则栏里的加号按钮,弹出设置规则界面,可参考以下示例输入相应内容:
  • 类型:选择安全组规则类型,例如入方向
  • 协议:选择协议类型,例如TCP
  • 开始端口:可从1-65535端口之间选择一个端口作为开始端口,例如23
  • 结束端口:可从1-65535端口之间选择一个端口作为结束端口,例如1024
  • 网络地址类型:选择网络地址类型,包括:IPv4、IPv6
  • CIDR:可选项,仅允许指定的CIDR才可通过,可留空不填
  • 源安全组:可选项,仅允许指定的安全组内的云主机才可通过,可留空不填
图 3所示:
图 3. 设置规则


添加云主机网卡到安全组

以创建安全组时直接添加云主机网卡为例。在创建安全组界面,点击网卡栏里的加号按钮,弹出选择网卡界面,选择需要添加的云主机网卡。

图 4所示:
图 4. 添加云主机网卡到安全组


安全组支持的操作

安全组支持以下操作:
  • 启用:启用安全组,将启用所有的安全组规则和相关安全组服务。
  • 停用:停用安全组,停用后,安全组规则和相关安全组服务不再生效。
  • 修改名称和简介:修改安全组规则的名称和简介。
  • 加载三层网络:安全组支持挂载到多个三层网络,它们会共享相同的安全组规则。
  • 卸载三层网络:将安全组上的三层网络卸载。
  • 添加规则:添加新的安全组规则到安全组。
  • 删除规则:将安全组上的安全组规则删除。
  • 绑定云主机网卡:安全组支持挂载到多个云主机,它们会共享相同的安全组规则。
  • 解绑云主机网卡:将安全组上的云主机网卡解绑。
  • 删除:删除安全组,将自动删除所有的安全组规则和相关安全组服务。
  • 审计:查看此安全组的相关操作。

安全组的约束条件

安全组有以下约束条件:
  • 安全组可以挂载到多个云主机,它们会共享相同的安全组规则。
  • 安全组可以挂载到多个三层网络,它们会共享相同的安全组规则。
  • 安全组支持白名单机制,即设置的所有规则均为允许机制,一旦对指定端口设置了允许机制,那么没有被允许的端口就无法通过。
  • 新建安全组时,默认配置了两条规则(即:协议类型为ALL的进口规则和出口规则),用于设置组内互通。用户可以删除这两条默认规则,取消组内互通。
  • 新建安全组时,如果没有设置任何规则,则默认所有的外部访问均禁止进入安全组内的云主机,安全组内云主机访问外部不受限制。
  • 若使用安全组同时使用其他网络服务(如负载均衡、路由表等),需确保其他网络服务所需要的安全组规则已添加至该安全组中。









学习路径

ZStack 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack 产品。

我知道了

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
登录观看培训视频
仅对注册用户开放,请 登录 或 填写资料 观看培训视频
填写资料

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

立即体验

联系我们

商务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

回到顶部

产品试用申请
请选择您要试用的产品
ZStack企业版
ZStack混合云版
ZStack信创云平台
ZStack Ceph企业版
ZStack Mini 边缘计算一体机
ZStack CMP 多云管理平台
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。