《公有云技术与应用》课件-项目四：云网络架构与互联

公有云技术与应用1.云网络架构概述目录CATALOG定义核心技术组成核心优势应用场景云网络架构的定义01

云网络架构云网络架构通过虚拟化、软件定义等技术，打破了传统硬件网络的局限，为云端业务提供灵活、高效、安全的连接能力。01云网络架构的定义

定义指基于云计算平台构建的虚拟化网络体系，通过软件定义网络、网络功能虚拟化等技术，实现计算资源、存储资源与用户端的逻辑连接。它将传统网络的硬件设备抽象为软件功能，支持通过API接口动态配置网络拓扑、带宽、安全策略等，满足云端业务的弹性需求。

01云网络架构的定义

与传统网络相比，云网络架构的核心差异在于“逻辑与物理分离”——用户无需关注底层硬件设备，只需通过控制台或代码定义网络规则，即可快速构建符合业务需求的网络环境。

01云网络架构的定义

云网络包含虚拟私有云

、

弹性负载均衡

、

虚拟专用网络

、

云专线

、对等连接。1.虚拟私有云2.弹性负载均衡3.虚拟专用网络4.云专线5.对等连接01云网络架构的定义

核心优势02网络资源（如带宽、子网、负载均衡器）可随业务流量动态调整，例如电商大促时自动扩容带宽至10Gbps，峰值过后自动回缩，避免资源浪费。

1.弹性与按需扩展

02核心优势通过虚拟私有云（VPC）实现不同业务的网络隔离，结合安全组、网络ACL（访问控制列表）设置细粒度访问规则，例如禁止数据库服务器直接暴露在公网。

2.安全隔离与精细管控

02核心优势云厂商在全球部署数据中心（可用区），通过高速骨干网实现跨区域网络互联，例如阿里云全球加速网络可将跨国访问延迟降低60%以上。

3.全局互联与低延迟

02核心优势支持网络配置的自动化脚本（如Terraform模板），实现“一键部署”网络环境；通过云监控实时追踪网络性能指标（如丢包率、时延），故障响应时间缩短至分钟级。

4.简化运维与自动化管理

02核心优势核心技术组成031.基础设施层

物理网络设备：包括光纤交换机、路由器、防火墙等，构成云网络的硬件基础，支持万兆/25Gbps高速传输；

虚拟化层：通过SDN控制器将物理网络资源抽象为虚拟网络元素，实现逻辑网络与物理硬件的解耦。03核心技术组成2.服务层

虚拟私有云：为用户提供隔离的私有网络空间，支持自定义子网、路由表、网关等；

负载均衡：分发流量至多台云服务器，避免单点过载，如阿里云SLB支持每秒百万级并发连接；

弹性公网IP：为云资源提供固定公网访问地址，支持动态绑定/解绑；

网络安全服务：包括DDoS防护、Web应用防火墙（WAF）、VPN网关等，保障网络边界安全。

03核心技术组成3.编排层

通过网络编排工具（如AWSCloudFormation、华为云CloudFormation）实现网络资源的自动化部署与配置；

支持网络拓扑可视化，用户可直观查看VPC、子网、实例的连接关系，简化复杂网络的管理。03核心技术组成应用场景04

（一）企业混合云部署

需求：企业本地数据中心需与公有云资源安全通信，核心数据保留本地，弹性业务部署在云端。

方案：

搭建VPN网关或专线（如阿里云高速通道）连接本地机房与公有云VPC；

配置路由表实现本地网段与云端子网的互通，通过安全组限制仅允许数据库端口的访问。

04典型应用场景

（二）高可用分布式架构

需求：电商平台需跨地域部署应用，确保单区域故障时业务不中断。

方案：

在华东、华南两个地域创建VPC，通过云企业网（CEN）实现跨地域网络互联；

部署负载均衡器跨地域分发流量，结合弹性伸缩自动调整各区域的实例数量。

04典型应用场景

（三）多租户隔离环境

需求：云服务商需为不同客户提供独立的网络环境，避免资源争抢与数据泄露。

方案：

为每个客户分配独立VPC，通过网络ACL限制租户间的网络通信；

采用共享带宽池实现租户带宽的动态分配，保障公平使用。

04典型应用场景总结与实践任务05

云网络架构是云计算的“血管系统”，其弹性、安全、自动化特性直接决定了云端业务的运行效率与可靠性。

理解云网络的核心技术（如VPC、SDN）是设计高可用、低成本云端架构的基础。05总结与实践任务

1.登录云控制台，创建一个VPC并划分两个子网（公有子网用于部署Web服务器，私有子网用于部署数据库）；

2.设计方案：某在线教育平台需支持全国学生同时访问，如何通过云网络架构降低访问延迟并保障安全性？05总结与实践任务

公有云技术与应用2.私有云和弹性公网IP介绍目录CATALOG虚拟私有云(VPC)VPC+EIP协同应用场景弹性公网IP(EIP)技术总结虚拟私有云(VPC)01

公有云网络架构的两大核心组件：虚拟私有云和弹性公网IP在云上构建安全、灵活的网络环境中扮演着关键角色。01虚拟私有云（VPC）：您的专属云上网络

定义VPC是一种逻辑隔离的私有网络空间，允许用户在公有云中自定义IP地址范围、子网划分、路由策略和安全规则，如同在云端搭建专属的企业局域网。

01虚拟私有云（VPC）：您的专属云上网络

核心能力与优势

1.逻辑隔离

通过软件定义网络（SDN）实现多租户隔离，不同VPC之间默认不互通。

应用场景：企业各部门独立部署系统（如财务VPC、生产VPC），避免数据泄露风险。

01虚拟私有云（VPC）：您的专属云上网络

核心能力与优势

2.灵活组网

-自定义IP网段（如/16）、子网（公有子网/私有子网）、路由表。

VPC（/16）├─

公有子网（/24）[含公网IP资源]└─

私有子网（/24）[仅内网访问]-支持VPN/云专线打通本地IDC与云上VPC，构建混合云。01虚拟私有云（VPC）：您的专属云上网络

核心能力与优势

3.精细化安全控制

安全组（实例级防火墙）+网络ACL（子网级防火墙）双重防护。

示例：仅开放Web服务器的80端口，数据库仅允许内网访问。

01虚拟私有云（VPC）：您的专属云上网络

01虚拟私有云（VPC）：您的专属云上网络

弹性公网IP(EIP)02定义EIP是可独立申请的公网IP地址，支持与云资源（如云服务器、NAT网关）动态绑定/解绑，实现IP与资源的解耦。

02弹性公网IP（EIP）：动态公网接入方案

核心价值

1.IP地址保留

资源释放后IP可保留并重新绑定，避免业务中断（如服务器故障迁移）。

2.灵活调度

秒级绑定到新实例，支持负载均衡切换与容灾。

应用场景：电商大促时，将EIP从低配服务器切换到高性能集群。

3.成本优化

按实际使用时长计费，闲置IP可释放节省成本。02弹性公网IP（EIP）：动态公网接入方案

VPC+EIP协同应用场景03场景1：多层Web应用架构

安全设计要点：1.Web层通过EIP+负载均衡暴露公网2.数据库置于私有子网，安全组仅开放3306端口给Web服务器IP3.网络ACL阻断私有子网所有出向公网流量

03VPC+EIP协同应用场景

场景2：混合云连接

核心价值：1.本地数据中心通过专线同步数据至云上灾备库2.业务切换时，EIP指向云上服务，实现分钟级容灾

03VPC+EIP协同应用场景

技术总结0404技术总结组件核心作用关键技术点虚拟私有云构建隔离网络环境子网划分、路由表、安全组/ACL弹性公网IP提供灵活公网访问能力动态绑定、地址保留、带宽可调未来演进：VPC正向IPv6、SRv6等新协议演进，EIP将结合5G和边缘计算实现更低延迟的公网接入。总结与实践任务05

虚拟私有云（VPC）是云端业务的“安全容器”，通过隔离与自定义保障网络可控性；弹性公网IP（EIP）是“灵活接口”，实现公私网高效互联。

二者结合是构建云端网络的基础，也是设计高可用、高安全架构的核心。05总结与实践任务

1.登录云控制台，创建一个VPC并划分公有/私有子网，为公有子网中的云服务器绑定EIP，测试公网访问与私网隔离效果；

2.设计方案：某医疗平台需部署在线问诊系统，要求Web服务可公网访问、患者数据存储在私有子网，如何通过VPC与EIP实现？05总结与实践任务

公有云技术与应用3.弹性负载均衡目录CATALOG定义核心技术组成核心优势应用场景弹性负载均衡的定义01

弹性负载均衡01弹性负载均衡的定义

在高并发业务场景中，单台服务器难以承载海量请求，而弹性负载均衡通过将流量分发到多台实例，既能避免单点故障，又能充分利用资源。定义一种通过虚拟化技术实现的流量分发服务，它部署在客户端与后端服务器之间，根据预设策略（如轮询、权重、源IP哈希）将请求分配到多台云服务器、容器或函数实例，同时具备健康检查、自动扩缩容联动等能力。

01弹性负载均衡的定义

与传统硬件负载均衡相比，弹性负载均衡的核心差异在于“弹性”—可根据流量自动调整处理能力，无需人工干预，完美适配云端业务的动态变化。例如，阿里云SLB可在1分钟内完成从1000并发到10万并发的扩容，应对突发流量冲击。

01弹性负载均衡的定义

指标四层ELB七层ELB延迟<1ms3~5ms最大连接数100万/实例50万/实例适用业务IoT/视频流电商/移动APP

核心优势02通过多实例分发流量，单台服务器故障时自动将请求路由至健康实例，业务中断概率降低至0.001%以下。某电商平台通过负载均衡实现“零停机维护”，服务器升级时流量无缝切换至备用节点。

1.提升业务可用性

02核心优势支持与弹性伸缩服务联动，当负载均衡检测到后端实例CPU利用率过高时，自动触发扩容；流量下降时则缩减实例，实现“按需分配资源”，成本降低30%-50%。

2.弹性适配流量波动

02核心优势提供统一入口，客户端无需关心后端实例数量与地址变化；支持可视化控制台配置转发规则，新增服务器时只需加入后端池，无需修改客户端配置。

3.简化架构与运维

02核心优势隐藏后端实例的私有IP，减少直接暴露在公网的风险；集成DDoS防护、WAF等安全功能，过滤恶意请求（如SQL注入、CC攻击）。

4.增强安全性02核心优势核心技术组成031.负载均衡算法

轮询：按顺序将请求分配到后端实例，适合实例性能相近的场景；

权重：性能强的实例分配更高权重，实现资源合理利用；

源IP哈希（SourceIPHash）：同一客户端请求固定分配到同一实例，适合会话保持场景（如购物车功能）。03核心技术组成2.健康检查机制

定期通过TCP端口探测、HTTP/HTTPS请求等方式检查实例状态（默认每2秒一次）；检测到实例异常（如连续3次无响应）时，自动将其从后端池移除，恢复后再重新加入，确保流量仅分发至健康节点。03核心技术组成3.会话保持与粘性

通过Cookie或会话ID将同一客户端的请求绑定到特定实例，避免分布式场景下的会话数据不一致（如登录状态丢失）。

负载均衡节点跨可用区部署，单可用区故障时自动切换至其他可用区，服务可用性达99.99%。

03核心技术组成4.多可用区部署

应用场景04

（一）高并发Web应用

需求：新闻网站需应对日均千万级访问量，峰值时并发用户超10万。

方案：部署四层负载均衡分发流量至Web服务器集群；

配置“权重算法”，将60%流量分配至高性能实例，40%分配至标准实例；

联动弹性伸缩，当负载均衡的平均响应时间>500ms时，自动新增2台实例。

04典型应用场景

（二）微服务架构流量分发

需求：电商微服务需独立扩展，不同服务承受不同流量压力。

方案：

使用七层负载均衡，通过URL路径将请求路由至对应微服务集群；

为支付服务配置更高优先级的健康检查，确保核心业务稳定性。

04典型应用场景

（三）跨地域灾备

需求：金融交易系统需跨地域部署，主区域故障时流量自动切换至灾备区域。

方案：

主区域与灾备区域分别部署负载均衡，通过全局流量管理实现跨地域路由；

主区域正常时，90%流量走主区域负载均衡；检测到主区域故障后，100%流量切换至灾备区域，RTO<5分钟。

04典型应用场景总结与实践任务05

弹性负载均衡是云端高可用架构的“交通指挥官”，通过智能分发流量、联动弹性伸缩、保障业务连续性，成为支撑高并发业务的核心组件。

选择合适的负载均衡类型（四层/七层）与算法，是优化云端性能的关键。05总结与实践任务

1.登录云控制台，创建负载均衡实例并添加2台后端云服务器，配置轮询算法，测试流量分发效果；

2.设计方案：某直播平台需支持百万级并发观看，如何通过弹性负载均衡与CDN配合提升用户体验？

05总结与实践任务

公有云技术与应用4.VPN与NAT网关应用目录CATALOG核心定义核心技术组成核心优势应用场景核心定义01

VPN（虚拟专用网络）01核心定义在混合云与跨网络通信场景中，VPN为数据传输构建加密通道，NAT网关则实现私有网络的可控公网访问，二者共同构成了灵活且安全的网络连接体系。定义VPN是通过公网建立的加密通信隧道，利用隧道封装协议和加密算法，实现本地数据中心、远程设备与公有云VPC之间的私密通信。其核心是“在公共网络上构建逻辑私有链路”，确保数据传输过程不被窃听或篡改，如同为跨网络数据包裹一层“加密防护罩”。

（一）VPN（虚拟专用网络）

01核心定义例如，企业可通过IPsecVPN将总部机房与公有云VPC连接，使财务系统与云端ERP安全同步数据，无需担忧公网传输的安全风险。

（一）VPN（虚拟专用网络）

01核心定义定义NAT网关是部署在VPC边缘的网络地址转换服务，通过将私有IP地址转换为公网IP地址，实现私有子网内的云资源访问公网，同时隐藏私有IP以避免直接暴露。其核心是“地址映射与集中管控”，所有私有网络的公网访问通过统一出口进行，便于流量审计与安全防护。

（二）NAT网关

01核心定义例如，私有子网中的应用服务器需调用公网API时，NAT网关会将其私有IP转换为绑定的弹性公网IP，外部服务仅能识别公网IP，无法直接访问私有资源。

（二）NAT网关

01核心定义核心优势021.安全加密传输

采用端到端加密（如IPsecESP协议）和数据完整性校验（如HMAC-SHA256），确保跨公网传输的敏感数据（如用户密码、交易记录）不泄露、不篡改。

（一）VPN的优势

02核心优势2.低成本跨网连接

相比专线（如MPLS），VPN通过现有公网基础设施建立连接，初期部署成本降低60%-80%，且支持按需扩容，适合中小企业混合云接入。

（一）VPN的优势

02核心优势3.灵活部署与扩展

支持站点到站点（机房到云）、远程访问（员工到云）等多种场景，配置过程通过可视化控制台完成，新增分支机构时无需复杂硬件调试。

（一）VPN的优势

02核心优势1.私有IP隐藏与防护

所有私有资源通过NAT网关的公网IP访问外部网络，避免私有IP直接暴露，减少被扫描和攻击的风险。（二）NAT网关的优势

02核心优势2.公网资源高效利用

多个私有IP可共享一个公网IP（通过端口映射），降低对公网IP地址的依赖，尤其适合IP地址紧张的场景。（二）NAT网关的优势

02核心优势3.精细化流量管控

支持配置访问控制列表（ACL）限制公网访问范围（如仅允许访问特定域名或端口），并记录所有出入站流量日志，满足合规审计需求。

（二）NAT网关的优势

02核心优势核心技术组成03（一）VPN的核心技术

1.隧道协议

IPsec：适用于站点到站点连接，通过隧道模式封装整个IP数据包，隐藏私有网络拓扑；支持主模式/野蛮模式密钥协商，适配不同网络环境。

SSLVPN：适用于远程用户接入，基于HTTPS协议建立加密通道，无需配置客户端网络参数，通过浏览器即可访问内网资源。

03核心技术组成2.密钥管理

采用IKE（互联网密钥交换）协议自动协商加密密钥，支持定期密钥更新（如每8小时更换），防止长期使用同一密钥导致的安全风险。

03核心技术组成（一）VPN的核心技术

（二）NAT网关的核心技术

1.地址转换机制

源地址转换（SNAT）：将私有IP转换为公网IP，用于私有资源主动访问公网（如服务器更新系统、下载依赖）。

目的地址转换（DNAT）：将公网IP的特定端口映射到私有IP，用于公网主动访问私有资源（如对外开放内部API服务）。03核心技术组成（二）NAT网关的核心技术

2.高可用架构

采用主备双节点部署，单节点故障时自动切换至备用节点，切换时间<1秒，确保公网访问不中断，服务可用性达99.99%。

03核心技术组成应用场景04

（一）企业混合云数据同步

需求：企业本地ERP系统需与公有云电商平台实时同步订单数据，要求通信安全且成本可控。

安全设计要点：业务服务器仅部署在私有子网，通过NAT网关SNAT出网仅堡垒机开放DNAT端口VPN隧道加密同步IDC与VPC数据04典型应用场景

（二）远程办公安全接入需求：员工出差时需访问公司内网CRM系统，确保数据传输安全且权限可控。

方案：部署SSLVPN服务，员工通过账号密码认证后建立加密连接，访问权限受VPC安全组限制；

禁止CRM服务器直接暴露公网地址，所有远程访问通过VPN隧道转发，避免直接攻击。

04典型应用场景

员工通过SSLVPN客户端（如OpenVPN）安全接入云上业务系统

统一身份认证+访问控制策略04典型应用场景

（三）多环境网络隔离

需求：企业需区分开发、测试、生产环境的公网访问权限，避免测试环境影响生产系统。

方案：为三个环境创建独立VPC，通过NAT网关分配不同公网IP，便于流量区分与审计；

生产环境NAT网关仅开放80/443端口，测试环境限制仅工作时间可访问公网，降低安全风险。

04典型应用场景总结与实践任务05

VPN与NAT网关是云网络的“安全连接中枢”——VPN解决了跨网络私密通信问题，NAT网关实现了私有网络的可控公网访问。

二者结合既能保障数据安全，又能灵活适配业务的网络需求，是混合云架构的核心组件。

05总结与实践任务

1.登录云控制台，创建VPN网关并配置与模拟本地网络的连接，测试私有子网互通效果；

2.设计方案：某医疗机构需让异地专家访问内部病例系统，同时限制病例系统仅能访问特定医学数据库，如何通过VPN与NAT网关实现？

05总结与实践任务

公有云技术与应用5.全球加速服务和云专线介绍目录CATALOG核心定义核心技术组成核心优势应用场景核心定义01

全球加速服务和云专线前者通过优化网络路径提升全球用户访问速度，后者则为企业构建专属的私有通信链路，二者共同构成了全球化业务的网络支撑体系。01核心定义

（一）全球加速服务定义：全球加速服务是通过优化跨地域网络传输路径，缩短用户与云端业务之间通信距离的加速服务。01核心定义

（一）全球加速服务它依托云厂商的全球骨干网和边缘节点，将用户请求从“公网绕行”转为“骨干网直连”，并通过智能路由算法选择最优路径，最终降低访问延迟、减少丢包率。01核心定义例如，某美国用户访问部署在阿里云上海地域的应用，未加速时通过公网传输延迟约200ms，启用全球加速后，流量经阿里云全球骨干网直连，延迟可降至50ms以内。

01核心定义

（二）云专线定义：云专线是指通过物理专线或MPLSVPN等方式，将企业本地数据中心、分支机构与公有云VPC建立的私有连接。01核心定义

（二）云专线

它绕开公网，为数据传输提供专属通道，具备带宽稳定、安全性高的特点，就像为企业与云端搭建了一条“私有高速公路”。

01核心定义例如，某银行通过云专线将总行机房与公有云金融专区连接，所有核心交易数据通过专线传输，避免公网波动影响。

01核心定义核心优势021.毫秒级全球覆盖

利用边缘节点（EdgeLocation）就近接入：02核心优势（一）全球加速服务的优势

实测对比：美国→中国延迟从220ms降至80ms2.智能路由优化BGP+AI实时选路：自动避开拥塞节点（如绕开故障海底光缆）协议优化：TCP加速减少握手次数（如阿里云GA的QUIC支持）02核心优势（一）全球加速服务的优势

3.安全与成本统一内置DDoS防护（T级清洗能力）对比自建CDN：节省60%跨国带宽成本02核心优势（一）全球加速服务的优势

1.高安全性与私密性

数据传输不经过公网，减少被窃听、篡改的风险；支持与VPC、安全组联动，实现端到端安全防护。

02核心优势（二）云专线的优势

2.带宽稳定可控

提供固定带宽（如10Mbps-10Gbps），无公网带宽争抢问题，适合传输大量数据（如数据库同步、备份文件）。

02核心优势（二）云专线的优势

3.长期成本优化

按带宽和租期付费，长期使用成本低于VPN或公网传输，尤其适合高频、大额数据交互场景。02核心优势（二）云专线的优势

指标互联网VPN云专线带宽<200Mbps1Mbps~100Gbps“”延迟50~300ms<10ms丢包率0.5%~3%<0.01%安全性加密隧道物理隔离

核心技术组成031.智能路由与边缘接入

通过BGP（边界网关协议）动态选择最优路径，避开网络拥塞节点；边缘节点负责流量接入与转发，减少用户到骨干网的距离。

（一）全球加速服务的核心技术

03核心技术组成2.传输层优化

采用TCP协议优化（如动态调整拥塞窗口、重传机制），解决长距离传输中的TCP性能衰减问题，吞吐量提升3-5倍