云计算应用开发（高级） 课件 ch04 公有云网络资源的管理与调用

第四章公有云网络资源的管理与调用计算应用开发1+X证书制度系列教材云计算应用开发（中级）01私有网络和负载均衡的管理与调用PARTONE1知识准备VPC的配置方法下面介绍VPC的核心组成部分、VPC的多种连接方案及安全性。②一个VPC由至少一个子网组成，VPC中的所有云资源（如CVM、云数据库等）都必须部署在子网内，子网的CIDR必须在VPC的CIDR内。VPC具有地域属性（如南京），而子网具有可用区属性（如南京一区），用户可以为VPC划分一个或多个子网，同一VPC下不同子网默认内网互通，不同VPC之间（无论是否在同一地域内）默认内网隔离。

～55（掩码范围需为16～28）。

～55（掩码范围需为16～28）。

～55（掩码范围需为16～28）。01VPC有3个核心组成部分：VPC网段、子网、路由表。①VPC网段，用户在创建VPC时，需要用无类别域间路由（ClasslessInter-DomainRouting，CIDR）作为VPC指定IP地址组。知识准备1VPC的配置方法下面介绍VPC的核心组成部分、VPC的多种连接方案及安全性。01VPC有3个核心组成部分：VPC网段、子网、路由表。腾讯云VPC的架构③用户在创建VPC时，系统会自动为其生成一个默认路由表，以保证同一个VPC下的所有子网互通，当默认路由表中的路由策略无法满足应用时，用户可以创建自定义路由表。知识准备02腾讯云提供丰富的VPC连接方案，以满足不同用户的场景需求：下面介绍VPC的核心组成部分、VPC的多种连接方案及安全性。1VPC的配置方法通过EIP和NAT网关等来实现VPC内的CVM、云数据库等资源连接公网。通过对等连接和云联网来实现不同VPC之间的通信。通过VPN连接、专线接入和云联网来实现VPC与本地数据中心的互联。知识准备下面介绍VPC的核心组成部分、VPC的多种连接方案及安全性。1VPC的配置方法③访问管理（CloudAccessManagement，CAM）：访问管理用于帮助用户安全地管理腾讯云账号下所有资源的访问权限。通过访问管理，用户可以对VPC的访问进行权限管理，如可以通过身份管理和策略管理来控制用户访问VPC的权限。03VPC是云上逻辑隔离的网络空间，不同VPC之间相互隔离，以保障用户的业务安全。②网络ACL：网络ACL是一个子网级别的、无状态的包过滤虚拟防火墙，用于控制进出子网的数据流，可以精确到协议和端口粒度。①安全组：安全组是一种有状态的包过滤虚拟防火墙，用于控制实例级别的出入流量，是重要的网络安全隔离手段。2知识准备CLB的配置方法

CLB是可以对多台CVM进行流量分发的服务。CLB可以通过流量分发来扩展应用系统对外的服务能力，通过消除单点故障来提升应用系统的可用性。CLB服务通过设置虚拟服务地址（VirtualIP，VIP），将位于同一地域的多台CVM资源虚拟成一个高性能、高可用的应用服务池，并根据应用指定的方式，将来自客户端的网络请求分发到CVM池中。知识准备2CLB的配置方法VPC/基础网络：整体网络环境。0403Backend/RealServer：后端一组CVM实例，用于实际处理请求。02VIP：CLB向客户端提供服务的IP地址。01LoadBalancer：CLB实例，用于流量分发。一个提供服务的CLB组通常由以下部分组成。知识准备2CLB的配置方法下面介绍常见的CLB相关概念。01负载均衡（CloudLoadBalancer）：腾讯云提供的一种网络负载均衡服务，可以结合CVM为用户提供基于TCP/UDP及HTTP协议的负载均衡服务。负载均衡监听器（LoadBalanceListener）：负载均衡服务监听器，包括监听端口、负载均衡策略和健康检查配置等，每个监听项对应后端的一个应用服务。02后端服务器（RealServer）：用于接收CLB分发请求的一组CVM实例，负载均衡服务将访问请求按照用户设定的规则转发到这一组后端CVM实例上进行处理。03知识准备2CLB的配置方法下面介绍常见的CLB相关概念。虚拟服务地址（VirtualIP）：系统分配的服务地址，当前为IP地址。用户可以通过选择该服务地址是否对外公开，来分别创建公网和私网类型的负载均衡服务。04①公网VIP。常规IP：普通BGPIP地址，用于平衡网络质量与成本。静态单线IP：通过单个网络运营商访问公网，成本低且便于自主调度。②内网VIP。VPC网络：VPC内的IP地址。基础网络：基础网络内网IP地址。知识准备2CLB的配置方法

客户端请求通过域名访问服务，在请求被发送到负载均衡器之前，DNS服务器将会解析CLB域名，并将收到请求的CLB的IP地址返回客户端。当负载均衡监听器收到请求时，将会使用不同的CLB算法把请求分发到后端CVM实例上。

CLB的工作原理是：由负载均衡器接收来自客户端的传入流量，并将请求路由到一个或多个可用区的后端CVM实例上进行处理。负载均衡服务主要由负载均衡监听器提供。知识准备CLB与以下服务一起使用，可以提高应用程序的可用性和可扩展性。弹性伸缩

弹性地控制实例数量。如果在弹性伸缩中启用CLB实例，则伸缩的实例将自动加入CLB组，同时终止的实例将自动被移出CLB组。02域名注册和DNS解析DNSPod

通过将用户自定义的域名转换为网络通信所用的IP地址（如），快速便捷地将请求路由至CLB实例上。04CVM实例

应用程序在云上运行的虚拟服务器。01云监控

帮助用户监控CLB及所有后端CVM实例的运行状况并执行所需操作。032CLB的配置方法02NAT网关和弹性公网IP的管理与调用PARTTWO知识准备1NAT网关的配置方法NAT网关（NetworkAddressTransformGateway）是一种支持IP地址转换的服务，可以为VPC内的资源提供安全、高性能的Internet访问服务。NAT网关支持高达99.99%的高可用性、5Gbps的带宽及1000万以上的并发连接数，其典型应用场景如下：（1）大带宽、高可用的公网出口服务。例如，网络爬虫、访问Internet公共服务等。（2）安全的公网出口服务。例如，CVM需要与公网通信，但是出于安全性考虑，不希望CVM绑定公网IP地址。知识准备1NAT网关的配置方法VPC内的CVM可以通过NAT网关或公网网关访问Internet。NAT网关与公网网关的区别知识准备1NAT网关的配置方法NAT网关与公网网关的区别VPC内的CVM可以通过NAT网关或公网网关访问Internet。知识准备

NAT网关具有如下优势。1NAT网关的配置方法双机热备高可用：单机故障自动切换，相对于公网网关的手动切换，NAT网关实现了自动容灾，保障99.99%的服务可用性。0201大容量：最大支持1000万并发连接数、5Gbps带宽和10个弹性公网IP，满足大规模用户诉求。03省成本：提供高、中、低三种配置，用户可以按需购买，弹性计费，更省成本。知识准备1NAT网关的配置方法

NAT网关具有如下优势。安全高防：腾讯云可以在NAT网关中提供DDoS高防包，可以为用户提供超大带宽的DDoS和CC防护，能够防御高达310Gbps的攻击流量。0504网关流控：可以为NAT网关开启网关流控，网关流控可以对某内网IP地址与NAT网关之间的带宽进行限制，提供IP网关粒度的“监”与“控”能力。06支持SNAT和DNAT。知识准备1NAT网关的配置方法

NAT网关的主要工作就是进行网络地址转换，而网络地址转换可以分成源网络地址转换（SourceNetworkAddressTranslation，SNAT）和目的网络地址转换（DestinationNetworkAddressTranslation，DNAT）。SNAT支持VPC内多个CVM通过同一公网IP地址主动访问互联网。在安全防护中，分布式拒绝服务（DistributedDenialofService，DDoS）攻击是指攻击者通过网络远程控制大量僵尸主机，向一个或多个目标发送大量攻击请求，堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源，导致其无法响应正常的服务请求的攻击方式。CC（ChallengeCollapsar）攻击主要是通过恶意占用目标服务器的应用层资源，消耗处理性能，导致其无法正常提供服务的攻击方式。

EIP是可以被独立购买和持有的、在某个地域下固定不变的公网IP地址。EIP可以与CVM、NAT网关、弹性网卡和高可用虚拟IP绑定，提供访问公网和被公网访问的能力。知识准备２EIP的配置方法知识准备腾讯云支持常规BGPIP、精品BGPIP、加速IP和静态单线IP等多种类型的EIP。２EIP的配置方法静态单线IP：通过单个网络运营商访问公网，成本低且便于自主调度。0403加速IP：采用Anycast加速，使公网访问更稳定、可靠、低延迟。02精品BGPIP：专属线路，避免绕行国际运营商出口，网络延时更低。01常规BGPIP：普通BGPIP，用于平衡网络质量与成本。知识准备公网IP地址是Internet上的非保留地址，有公网IP地址的CVM可以和Internet上的其他计算机互相访问。普通公网IP和EIP均为公网IP地址，二者均可以为云资源提供访问公网和被公网访问的能力。以下是普通公网IP和EIP的区别。（1）普通公网IP：普通公网IP仅能在CVM被购买时分配且无法与CVM解绑，如果CVM被购买时未分配普通公网IP,则无法获得。（2）EIP：EIP是可以被独立购买和持有的公网IP地址资源，其可以随时与CVM、NAT网关、弹性网卡和高