云路由网络使用教程

云路由网络使用教程产品版本 ZStack 2.6.0

云路由网络使用教程 / 版权声明版权声明版权所有上海云轴信息科技有限公司 2018 保留一切权利非经本公司书面许可任何单位和个人不得擅自摘抄复制本文档内容的部分或全部并不得以任何形式传播商标说明 ZStack商标和其他云轴商标均为上海云轴信息科技有限公司的商标本文档提及的其他所有商标或注册商标由各自的所有人拥有注意您购买的产品服务或特性等应受上海云轴公司商业合同和条款的约束本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定上海云轴公司对本文档内容不做任何明示或暗示的声明或保证由于产品版本升级或其他原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本文档中的所有陈述信息和建议不构成任何明示或暗示的担保 I

云路由网络使用教程 / 目录目录版权声明... I 1 介绍...1 2 前提...4 3 基本部署... 5 4 应用场景... 24 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 多租户隔离...24 多层Web服务器... 48 多公网... 56 安全组... 67 弹性IP... 76 端口转发... 82 负载均衡... 94 IPsec隧道...104 术语表... 115 II

云路由网络使用教程 / 1 介绍 1 介绍云路由网络主要使用定制的Linux云主机作为路由设备提供DHCP DNS SNAT 弹性IP 端口转发负载均衡 IPsec隧道安全组等网络服务云路由网络拓扑云路由主要涉及以下3个基本网络公有网络用于提供弹性IP 端口转发负载均衡 IPsec隧道等网络服务需要提供虚拟IP的网络公有网络一般要求可直接接入互联网管理网络用于管理控制对应的物理资源例如物理机镜像服务器主存储等需提供IP进行访问的资源时使用的网络私有网络也称之为业务网络或接入网络是云主机使用的内部网络云路由网络部署方式公有网络和管理网络合并私有网络独立部署如图 1: 部署方式-1所示图 1: 部署方式-1 公有网络管理网络私有网络均独立部署 1

云路由网络使用教程 / 1 介绍如图 2: 部署方式-2所示图 2: 部署方式-2 云路由网络服务云路由提供了DHCP DNS SNAT 弹性IP 端口转发负载均衡 IPsec隧道安全组等网络服务 DHCP 在云路由器中默认由扁平网络服务模块提供分布式DHCP服务 DNS 云路由器可作为DNS服务器提供DNS服务在云主机中看到的DNS地址默认为云路由器的IP地址由用户设置的DNS地址由云路由器负责转发配置 SNAT 云路由器可作为路由器向云主机提供原网络地址转换云主机使用SNAT可直接访问外部互联网弹性IP 使用云路由器可通过公有网络访问云主机的私有网络端口转发提供将指定公有网络的IP地址端口流量转发到云主机对应协议的端口负载均衡将公网地址的访问流量分发到一组后端的云主机上并自动检测并隔离不可用的云主机 IPsec隧道使用IPsec隧道协议实现虚拟私有网络 VPN 的连接 2

云路由网络使用教程 / 1 介绍安全组由安全组网络服务模块提供安全组服务使用iptables进行云主机防火墙的安全控制 3

云路由网络使用教程 / 2 前提 2 前提在此教程中假定已安装最新版本ZStack 并完成基本的初始化包括区域集群物理机镜像服务器主存储等基本资源的添加具体方式请参考用户手册安装部署章节和Wizard引导设置章节本教程将详细介绍云路由网络的基本部署以及典型应用场景 4

云路由网络使用教程 / 3 基本部署 3 基本部署背景信息搭建云路由网络的基本流程如下 1. 创建二层公有网络并加载此二层网络到相应集群 2. 创建三层公有网络 3. 创建二层管理网络并加载此二层网络到相应集群 4. 创建三层管理网络用于与物理资源通信例如物理机主存储镜像服务器等 5. 添加云路由镜像 6. 创建云路由规格 7. 创建二层私有网络并加载此二层网络到相应集群 8. 创建云路由类型的三层私有网络 9. 使用此私有网络创建云主机创建云主机过程中会自动创建云路由器云路由器会提供云路由网络的各种网络服务 10.验证云路由网络连通性假定客户环境如下 1. 公有网络表 1: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.108.10.0~10.108.11.255 子网掩码 255.0.0.0 网关 10.0.0.1 2. 管理网络 5

云路由网络使用教程 / 3 基本部署表 2: 管理网络配置信息管理网络配置信息网卡 em02 VLAN ID 非VLAN IP地址段 192.168.29.30~192.168.29.40 子网掩码 255.255.255.0 网关 192.168.29.1 注: 出于安全和稳定性考虑建议部署独立的管理网络并与公有网络隔离此管理网络与ZStack私有云中的管理网络为相同概念即管理物理机主存储镜像服务器的网络如果已创建可直接复用 3. 私有网络表 3: 私有网络配置信息私有网络配置信息网卡 em01 VLAN ID 2700 IP CIDR 192.168.10.0/24 云路由网络架构如图 3: 云路由网络架构图所示图 3: 云路由网络架构图 6

云路由网络使用教程 / 3 基本部署以下介绍搭建云路由网络的实践步骤操作步骤 1. 在ZStack私有云界面创建L2-公有网络在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 1: 公有网络配置信息填写如下名称设置L2-公有网络名称简介可选项可留空不填类型选择L2NoVlanNetwork 网卡 em01 集群选择集群如Cluster-1 如图 4: 创建L2-公有网络所示点击确定创建L2-公有网络图 4: 创建L2-公有网络 7

云路由网络使用教程 / 3 基本部署 2. 在ZStack私有云界面创建L3-公有网络在ZStack私有云界面点击网络资源 > 三层网络 > 公有网络进入公有网络界面点击创建公有网络在弹出的创建公有网络界面参考上述表 1: 公有网络配置信息填写如下名称设置L3-公有网络名称简介可选项可留空不填二层网络选择已创建的L2-公有网络网络服务选择是否需要DHCP服务添加网络段选择IP范围起始IP 10.108.10.0 结束IP 10.108.11.255 子网掩码 255.0.0.0 8

云路由网络使用教程 / 3 基本部署网关 10.0.0.1 DNS 可选项可留空不填也可设置如114.114.114.114 如图 5: 创建L3-公有网络所示点击确定创建L3-公有网络图 5: 创建L3-公有网络 9

云路由网络使用教程 / 3 基本部署 10

云路由网络使用教程 / 3 基本部署 3. 在ZStack私有云界面创建L2-管理网络在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 2: 管理网络配置信息填写如下名称设置L2-管理网络名称简介可选项可留空不填类型选择L2NoVlanNetwork 网卡 em02 集群选择集群如Cluster-1 如图 6: 创建L2-管理网络所示点击确定创建L2-管理网络图 6: 创建L2-管理网络 11

云路由网络使用教程 / 3 基本部署 4. 在ZStack私有云界面创建L3-管理网络在ZStack私有云界面点击网络资源 > 三层网络 > 系统网络进入系统网络界面点击创建系统网络在弹出的创建系统网络界面参考上述表 2: 管理网络配置信息填写如下名称设置L3-管理网络名称简介可选项可留空不填二层网络选择已创建的L2-管理网络 DHCP服务选择是否需要DHCP服务添加网络段选择IP范围起始IP 192.168.29.30 结束IP 192.168.29.40 子网掩码 255.255.255.0 网关 192.168.29.1 DNS 可选项可留空不填也可设置如114.114.114.114 如图 7: 创建L3-管理网络所示点击确定创建L3-管理网络图 7: 创建L3-管理网络 12

云路由网络使用教程 / 3 基本部署 5. 添加云路由镜像 13

云路由网络使用教程 / 3 基本部署在ZStack私有云主菜单点击网络资源 > 路由资源 > 云路由镜像进入云路由镜像界面点击添加云路由镜像在弹出的添加云路由镜像界面可参考以下示例输入相应内容名称设置云路由镜像名称简介可选项可留空不填镜像服务器选择待存放云路由镜像的镜像服务器如BS-1 镜像路径支持添加URL路径或本地文件上传两种方式 1. URL 输入云路由镜像的可下载路径注: ZStack提供专用的云路由镜像供用户使用可在ZStack官方网站上找到最新的云路由镜像下载地址文件名称 zstack-vrouter-2.6.0.qcow2 下载地址点击这里查看 2. 本地文件选择当前浏览器可访问的云路由镜像直接上传注: 支持上传到镜像仓库和Ceph镜像服务器采用本地浏览器作为中转上传镜像请勿刷新或关闭当前浏览器也不可停止管理节点服务否则会添加失败如图 8: 添加云路由镜像所示点击确定添加云路由镜像图 8: 添加云路由镜像 14

云路由网络使用教程 / 3 基本部署 6. 创建云路由规格在ZStack私有云主菜单点击网络资源 > 路由资源 > 云路由规格进入云路由规格界面点击创建云路由规格在弹出的创建云路由规格界面可参考以下示例输入相应内容名称设置云路由规格名称简介可选项可留空不填 CPU 设置CPU个数生产环境中建议个数设置为8以上内存设置内存大小单位包括 M G T 生产环境中建议设置为8G以上镜像选择已添加的云路由镜像管理网络从网络列表中选择已创建的L3-管理网络公有网络从网络列表中选择已创建的L3-公有网络如图 9: 创建云路由规格所示点击确定创建云路由规格图 9: 创建云路由规格 15

云路由网络使用教程 / 3 基本部署 7. 在ZStack私有云界面创建L2-私有网络云路由网络在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 3: 私有网络配置信息填写如下名称设置L2-私有网络名称简介可选项可留空不填类型选择L2VlanNetwork 16

云路由网络使用教程 / 3 基本部署 Vlan ID 2700 网卡 em01 集群选择集群如Cluster-1 如图 10: 创建L2-私有网络所示点击确定创建L2-私有网络图 10: 创建L2-私有网络 8. 在ZStack私有云界面创建L3-私有网络云路由网络在ZStack私有云界面点击网络资源 > 三层网络 > 私有网络进入私有网络界面点击创建私有网络在弹出的创建私有网络界面参考上述表 3: 私有网络配置信息填写如下 17

云路由网络使用教程 / 3 基本部署名称设置L3-私有网络名称简介可选项可留空不填二层网络选择已创建的L2-私有网络 DHCP服务选择是否需要DHCP服务网络类型选择云路由网络云路由规格选择已创建的云路由规格添加网络段选择CIDR CIDR 192.168.10.0/24 DNS 可选项可留空不填也可设置如114.114.114.114 如图 11: 创建L3-私有网络所示点击确定创建L3-私有网络图 11: 创建L3-私有网络 18

云路由网络使用教程 / 3 基本部署 9. 使用云路由网络创建私有云云主机 19

云路由网络使用教程 / 3 基本部署在ZStack私有云界面点击云资源池 > 云主机进入云主机界面点击创建云主机在弹出的创建云主机界面可参考以下示例输入相应内容以创建单个云主机为例添加方式单个注: 如需批量创建云主机请选择多个并输入需批量创建云主机的数量名称设置私有云云主机名称例如VM-1 简介可选项可留空不填计算规格选择已创建的计算规格镜像选择已添加的镜像网络从网络列表中选择已创建的L3-私有网络云路由网络如图 12: 创建私有云云主机所示点击确定创建私有云云主机图 12: 创建私有云云主机 20

云路由网络使用教程 / 3 基本部署 10.使用云路由网络创建私有云云主机过程中系统会自动创建云路由器云路由器会提供云路由网络的各种网络服务 11.验证云路由网络连通性公网连通性验证登录VM-1 检查是否能够ping通公网如图 13: VM-1 ping通公网所示图 13: VM-1 ping通公网 21

云路由网络使用教程 / 3 基本部署内网连通性验证 1. 使用该云路由网络创建另一台私有云云主机例如VM-2 2. 登录VM-1 检查是否能够ping通VM-2 如图 14: VM-1 ping通 VM-2所示图 14: VM-1 ping通 VM-2 3. 登录VM-2 检查是否能够ping通VM-1 如图 15: VM-2 ping通 VM-1所示图 15: VM-2 ping通 VM-1 22

云路由网络使用教程 / 3 基本部署至此云路由网络的基本部署实践介绍完毕 23

4 应用场景云路由网络可用于以下典型应用场景多租户隔离多层Web服务器多公网安全组弹性IP 端口转发负载均衡 IPsec隧道 4.1 多租户隔离前提条件使用VLAN或VXLAN技术可提供多租户在二层网络上的隔离表 4: VLAN与VXLAN的比较 VLAN VXLAN VLAN最多支持4096个VLAN ID 即一套环境 VXLAN基于客户机房现有的网络拓扑提中最多提供4096个隔离的租户网络难以满足大规模云计算数据中心的需求各厂商交换机配置VLAN方式各不相同供16M个逻辑网络用于多租户隔离 VXLAN是基于现有三层网络之上Overlay虚拟出的二层网络该Overlay虚拟过程可由软件方式实现也可由支持VXLAN的交换机实现客户可按需选择相较于VLAN VXLAN性能损耗较大网络延迟也较高背景信息本场景主要介绍VXLAN-云路由网络提供多租户隔离的实践搭建VXLAN-云路由网络的基本流程 1. 创建二层公有网络并加载此二层网络到相应集群 2. 创建三层公有网络 3. 创建二层管理网络并加载此二层网络到相应集群 4. 创建三层管理网络用于与物理资源通信例如物理机主存储镜像服务器等 5. 添加云路由镜像 24

6. 创建云路由规格 7. 创建VXLAN网络池并加载到相应集群 8. 基于VXLAN网络池创建VXLAN网络1 虚拟的二层私有网络 9. 使用VXLAN网络1创建云路由类型的三层私有网络1 10.基于VXLAN网络池创建VXLAN网络2 虚拟的二层私有网络 11.使用VXLAN网络2创建云路由类型的三层私有网络2 12.使用私有网络1创建云主机1 使用私有网络2创建云主机2 13.验证两台云主机的网络连通性注: VXLAN网络池和VXLAN网络共同提供了VXLAN网络类型的配置使用VXLAN网络需先创建VXLAN网络池 VXLAN网络对应了VXLAN网络池里的一个虚拟网络 VXLAN网络池不能用于创建三层网络只表示VXLAN网络的集合 VXLAN网络可用于创建三层网络假定客户环境如下 1. 公有网络表 5: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.108.12.0~10.108.13.255 子网掩码 255.0.0.0 网关 10.0.0.1 2. 管理网络表 6: 管理网络配置信息管理网络配置信息网卡 em02 25

管理网络配置信息 VLAN ID 非VLAN IP地址段 192.168.29.30~192.168.29.40 子网掩码 255.255.255.0 网关 192.168.29.1 注: 出于安全和稳定性考虑建议部署独立的管理网络并与公有网络隔离此管理网络与ZStack私有云中的管理网络为相同概念即管理物理机主存储镜像服务器的网络如果已创建可直接复用 3. VXLAN网络池表 7: VXLAN网络池配置信息 VXLAN网络池配置信息 Vni范围 20-1200 VTEP CIDR 192.168.29.1/24 4. 私有网络1 表 8: 私有网络1配置信息私有网络配置信息 Vni 100 IP CIDR 192.168.10.0/24 5. 私有网络2 表 9: 私有网络2配置信息私有网络配置信息 Vni 200 IP CIDR 192.168.11.0/24 以下介绍搭建VXLAN-云路由网络的实践步骤操作步骤 26

1. 在ZStack私有云界面创建L2-公有网络在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 5: 公有网络配置信息填写如下名称设置L2-公有网络名称简介可选项可留空不填类型选择L2NoVlanNetwork 网卡 em01 集群选择集群如Cluster-1 如图 16: 创建L2-公有网络所示点击确定创建L2-公有网络图 16: 创建L2-公有网络 27

2. 在ZStack私有云界面创建L3-公有网络在ZStack私有云界面点击网络资源 > 三层网络 > 公有网络进入公有网络界面点击创建公有网络在弹出的创建公有网络界面参考上述表 5: 公有网络配置信息填写如下名称设置L3-公有网络名称简介可选项可留空不填二层网络选择已创建的L2-公有网络 DHCP服务选择是否需要DHCP服务添加网络段选择IP范围起始IP 10.108.12.0 结束IP 10.108.13.255 子网掩码 255.0.0.0 网关 10.0.0.1 DNS 可选项可留空不填也可设置如114.114.114.114 如图 17: 创建L3-公有网络所示点击确定创建L3-公有网络图 17: 创建L3-公有网络 28

3. 在ZStack私有云界面创建L2-管理网络 29

在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 6: 管理网络配置信息填写如下名称设置L2-管理网络名称简介可选项可留空不填类型选择L2NoVlanNetwork 网卡 em02 集群选择集群如Cluster-1 如图 18: 创建L2-管理网络所示点击确定创建L2-管理网络图 18: 创建L2-管理网络 4. 在ZStack私有云界面创建L3-管理网络 30

在ZStack私有云界面点击网络资源 > 三层网络 > 系统网络进入系统网络界面点击创建系统网络在弹出的创建系统网络界面参考上述表 6: 管理网络配置信息填写如下名称设置L3-管理网络名称简介可选项可留空不填二层网络选择已创建的L2-管理网络 DHCP服务选择是否需要DHCP服务添加网络段选择IP范围起始IP 192.168.29.30 结束IP 192.168.29.40 子网掩码 255.255.255.0 网关 192.168.29.1 DNS 可选项可留空不填也可设置如114.114.114.114 如图 19: 创建L3-管理网络所示点击确定创建L3-管理网络图 19: 创建L3-管理网络 31

5. 添加云路由镜像 32

在ZStack私有云主菜单点击网络资源 > 路由资源 > 云路由镜像进入云路由镜像界面点击添加云路由镜像在弹出的添加云路由镜像界面可参考以下示例输入相应内容名称设置云路由镜像名称简介可选项可留空不填镜像服务器选择待存放云路由镜像的镜像服务器如BS-1 镜像路径支持添加URL路径或本地文件上传两种方式 1. URL 输入云路由镜像的可下载路径注: ZStack提供专用的云路由镜像供用户使用可在ZStack官方网站上找到最新的云路由镜像下载地址文件名称 zstack-vrouter-2.6.0.qcow2 下载地址点击这里查看 2. 本地文件选择当前浏览器可访问的云路由镜像直接上传注: 支持上传到镜像仓库和Ceph镜像服务器采用本地浏览器作为中转上传镜像请勿刷新或关闭当前浏览器也不可停止管理节点服务否则会添加失败如图 20: 添加云路由镜像所示点击确定添加云路由镜像图 20: 添加云路由镜像 33

6. 创建云路由规格在ZStack私有云主菜单点击网络资源 > 路由资源 > 云路由规格进入云路由规格界面点击创建云路由规格在弹出的创建云路由规格界面可参考以下示例输入相应内容名称设置云路由规格名称简介可选项可留空不填 CPU 设置CPU个数生产环境中建议个数设置为8以上内存设置内存大小单位包括 M G T 生产环境中建议设置为8G以上镜像选择已添加的云路由镜像管理网络从网络列表中选择已创建的L3-管理网络公有网络从网络列表中选择已创建的L3-公有网络如图 21: 创建云路由规格所示点击确定创建云路由规格图 21: 创建云路由规格 34

7. 在ZStack私有云界面创建VXLAN网络池在ZStack私有云界面点击网络资源 > 二层网络资源 > VXLAN Pool 进入VXLAN Pool界面点击创建VXLAN Pool 在弹出的创建VXLAN Pool界面参考上述表 7: VXLAN网络池配置信息填写如下名称设置VXLAN网络池名称简介可选项可留空不填 35

起始Vni 可从1-16777214之间选择一个数字作为起始Vni 结束Vni 可从1-16777214之间选择一个数字作为结束Vni 需大于或等于起始Vni 注: VXLAN网络池最大可支持16M 16777216 个虚拟网络 Vni范围支持1-16777216 最后两个Vni 即 16777215 16777216 为系统保留集群可选项可在创建VXLAN网络池时直接加载相应集群也可在创建VXLAN网络池后再加载集群注: 加载的集群内物理机需存在VTEP IP VTEP CIDR 设置VTEP相应的CIDR 例如192.168.29.1/24 注: 创建VXLAN网络池加载集群需设置相应的VTEP VXLAN隧道端点 VTEP一般对应于集群内物理机的某一网卡IP地址设置VTEP是基于相应的CIDR来配置 VXLAN网络池加载到集群时检查的是VTEP IP 与物理的二层设备无关如图 22: 创建VXLAN网络池所示点击确定创建VXLAN网络池图 22: 创建VXLAN网络池 36

8. 基于VXLAN网络池创建VXLAN网络1 虚拟的L2-私有网络在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网络在弹出的创建二层网络界面参考上述表 8: 私有网络1配置信息填写如下名称设置VXLAN网络1名称例如L2-VXLAN网络1 简介可选项可留空不填类型选择VxlanNetwork VXLAN网络池选择已创建的VXLAN网络池 Vni 可选项从VXLAN网络池指定Vni 可在创建VXLAN网络1时直接指定例如100 也可留空不填由系统随机指定 37

如图 23: 创建L2-VXLAN网络1所示点击确定创建L2-VXLAN网络1 图 23: 创建L2-VXLAN网络1 9. 使用L2-VXLAN网络1创建云路由类型的L3-私有网络1 在ZStack私有云界面点击网络资源 > 三层网络 > 私有网络进入私有网络界面点击创建私有网络在弹出的创建私有网络界面参考上述表 8: 私有网络1配置信息填写如下名称设置L3-私有网络1名称例如L3-VXLAN-云路由网络1 简介可选项可留空不填二层网络选择已创建的L2-VXLAN网络1 DHCP服务选择是否需要DHCP服务网络类型选择云路由网络云路由规格选择已创建的云路由规格 38

添加网络段选择CIDR CIDR 192.168.10.0/24 DNS 可选项可留空不填也可设置如114.114.114.114 如图 24: 创建L3-VXLAN-云路由网络1所示点击确定创建L3-VXLAN-云路由网络1 图 24: 创建L3-VXLAN-云路由网络1 39

10.基于VXLAN网络池创建VXLAN网络2 虚拟的L2-私有网络 40

在ZStack私有云界面点击网络资源 > 二层网络资源 > 二层网络进入二层网络界面点击创建二层网路在弹出的创建二层网络界面参考上述表 9: 私有网络2配置信息填写如下名称设置VXLAN网络2名称例如L2-VXLAN网络2 简介可选项可留空不填类型选择VxlanNetwork VXLAN网络池选择已创建的VXLAN网络池 Vni 可选项从VXLAN网络池指定Vni 可在创建VXLAN网络2时直接指定Vni 例如200 也可留空不填由系统随机指定Vni 如图 25: 创建L2-VXLAN网络2所示点击确定创建L2-VXLAN网络2 图 25: 创建L2-VXLAN网络2 11.使用L2-VXLAN网络2创建云路由类型的L3-私有网络2 41

在ZStack私有云界面点击网络资源 > 三层网络 > 私有网络进入私有网络界面点击创建私有网络在弹出的创建私有网络界面参考上述表 9: 私有网络2配置信息填写如下名称设置L3-私有网络2名称例如L3-VXLAN-云路由网络2 简介可选项可留空不填二层网络选择已创建的L2-VXLAN网络2 DHCP服务选择是否需要DHCP服务网络类型选择云路由网络云路由规格选择已创建的云路由规格添加网络段选择CIDR CIDR 192.168.11.0/24 DNS 可选项可留空不填也可设置如114.114.114.114 如图 26: 创建L3-VXLAN-云路由网络2所示点击确定创建L3-VXLAN-云路由网络2 图 26: 创建L3-VXLAN-云路由网络2 42

12.使用L3-VXLAN-云路由网络1创建云主机VM-1 使用L3-VXLAN-云路由网络2创建云主机VM-2 43

基于云路由网络创建云主机详情可参考本教程基本部署章节创建的云主机如图 27: VM-1 VM-2所示图 27: VM-1 VM-2 13.验证两台云主机的网络连通性 1. 登录VM-1 用ping命令验证网络连通性预期结果 ping baidu.com 可以成功 ping VM-2 会失败两套VXLAN-云路由环境二层隔离注: 在VM-1系统中手动添加VM-2的IP地址到/etc/hosts文件路径下 [root@vm-web ~]# vim /etc/hosts... 192.168.11.212 VM-2... 实际结果如图 28: 验证VM-1网络连通性所示图 28: 验证VM-1网络连通性 44

2. 登录VM-2 用ping命令验证网络连通性预期结果 ping baidu.com 可以成功 ping VM-1 会失败两套VXLAN-云路由环境二层隔离实际结果如图 29: 验证VM-2网络连通性所示图 29: 验证VM-2网络连通性 14.通过配置路由表可让二层隔离的云主机VM-1与VM-2互相访问 a) 创建路由表在ZStack私有云界面点击网络资源 > 路由资源 > 路由表进入路由表界面点击创建路由表在弹出的创建路由表界面可参考以下示例输入相应内容名称设置路由表名称简介可选项可留空不填路由器选择VM-1 VM-2相应的云路由器如图 30: 创建路由表所示图 30: 创建路由表 45

b) 添加两条自定义路由条目自定义路由条目1 自定义路由条目2 目标网段下一跳 VM-2相应的云路由器挂载的 VM-2相应的云路由器的公私有网络CIDR 网IP VM-1相应的云路由器挂载的 VM-1相应的云路由器的公私有网络CIDR 网IP 在路由表界面点击已创建的路由表进入路由表详情页点击路由条目进入路由条目界面点击操作 > 添加路由条目弹出添加路由条目界面可依次添加上述两条自定义路由条目如图 31: 添加两条自定义路由条目所示图 31: 添加两条自定义路由条目 46

c) 验证两台云主机的网络连通性 1. 登录VM-1 验证是否ping通VM-2 预期结果 ping VM-2 成功通过配置的路由表进行转发实际结果如图 32: VM-1 ping通 VM-2所示图 32: VM-1 ping通 VM-2 2. 登录VM-2 验证是否ping通VM-1 预期结果 ping VM-1 成功通过配置的路由表进行转发实际结果如图 33: VM-2 ping通 VM-1所示图 33: VM-2 ping通 VM-1 47

至此基于VXLAN-云路由网络提供多租户隔离的部署实践介绍完毕 4.2 多层Web服务器前提条件基于云路由类型的三层网络架构可提供多层Web服务器的三层隔离部署例如可将网页服务器应用服务器数据库服务器分别部署在不同的网络层面即展示层应用层数据库层从而保证网络隔离和安全多层Web服务器网络架构如图 34: 多层Web服务器网络架构图所示图 34: 多层Web服务器网络架构图背景信息 48

云路由环境下部署多层Web服务器的基本流程 1. 分别搭建三个云路由类型的三层网络 Web网络应用网络数据库网络注: 三个云路由网络的私有网络段不可重叠 2. 基于三个云路由网络分别创建三台云主机 VM-web VM-app VM-database VM-web 加载两张网卡一张接入Web网络一张接入应用网络 VM-app 加载两张网卡一张接入应用网络一张接入数据库网络 VM-database 加载一张网卡仅接入数据库网络 3. 验证三台云主机的网络连通性假定客户环境如下 1. 公有网络表 10: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.108.12.0~10.108.13.255 子网掩码 255.0.0.0 网关 10.0.0.1 2. 管理网络表 11: 管理网络配置信息管理网络配置信息网卡 em02 VLAN ID 非VLAN IP地址段 192.168.29.10~192.168.29.20 子网掩码 255.255.255.0 网关 192.168.29.1 49

注: 出于安全和稳定性考虑建议部署独立的管理网络并与公有网络隔离此管理网络与ZStack私有云中的管理网络为相同概念即管理物理机主存储镜像服务器的网络如果已创建可直接复用 3. Web网络云路由网络1 表 12: Web网络配置信息私有网络配置信息网卡 em01 VLAN ID 2850 IP CIDR 192.168.10.0/24 4. 应用网络云路由网络2 表 13: 应用网络配置信息私有网络配置信息网卡 em01 VLAN ID 2860 IP CIDR 192.168.11.0/24 5. 数据库网络云路由网络3 表 14: 数据库网络配置信息私有网络配置信息网卡 em01 VLAN ID 2870 IP CIDR 192.168.12.0/24 以下介绍云路由环境下部署多层Web服务器的实践步骤操作步骤 1. 分别搭建三个云路由类型的三层网络 Web网络应用网络数据库网络详情可参考本教程基本部署章节 50

注: 三个云路由网络的私有网络段不可重叠搭建的三个云路由网络如图 35: 三个云路由网络所示图 35: 三个云路由网络 2. 基于三个云路由网络分别创建三台云主机 VM-web VM-app VM-database 如图 36: 创建三台云主机所示 VM-web 加载两张网卡一张接入Web网络默认一张接入应用网络 VM-app 加载两张网卡一张接入应用网络默认一张接入数据库网络 VM-database 加载一张网卡仅接入数据库网络默认图 36: 创建三台云主机 51

基于云路由网络创建云主机详情可参考本教程基本部署章节创建的云主机如图 37: VM-web VM-app VM-database所示图 37: VM-web VM-app VM-database 注: 云主机加载多网卡可在创建云主机时直接加载多网卡也可在创建云主机后再加载其它网卡本例中使用了CentOS 7.2镜像云主机加载多网卡后需自行配置网卡信息以VM-web为例 [root@vm-web ~]# ip r default via 192.168.10.1 dev eth0 52

192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.153 # 配置eth1网卡信息 [root@vm-web ~]# cd /etc/sysconfig/network-scripts/ [root@vm-web network-scripts]# vim ifcfg-eth1... TYPE=Ethernet BOOTPROTO=dhcp NAME=eth1 DEVICE=eth1 ONBOOT=yes... # 重启网络服务生效 [root@vm-web network-scripts]# systemctl restart network [root@vm-web network-scripts]# ip r default via 192.168.10.1 dev eth0 169.254.0.0/16 dev eth0 scope link metric 1002 169.254.0.0/16 dev eth1 scope link metric 1003 192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.153 192.168.11.0/24 dev eth1 proto kernel scope link src 192.168.11.153 3. 验证三台云主机的网络连通性 1. 登录VM-web 用ping命令验证网络连通性预期结果 ping baidu.com 可以成功 ping VM-app 可以成功 ping VM-database 会失败不可访问数据库网络注: 在VM-web系统中手动添加VM-app VM-database的IP地址到/etc/hosts文件路径下 [root@vm-web ~]# vim /etc/hosts... 192.168.11.208 VM-app 192.168.12.222 VM-database... 实际结果如图 38: 验证VM-web网络连通性所示图 38: 验证VM-web网络连通性 53

2. 同理登录VM-app 用ping命令验证网络连通性预期结果 ping baidu.com 可以成功 ping VM-web 可以成功 ping VM-database 可以成功实际结果如图 39: 验证VM-app网络连通性所示图 39: 验证VM-app网络连通性 54

3. 登录VM-database 用ping命令验证网络连通性预期结果 ping baidu.com 可以成功 ping VM-web 会失败不可访问Web网络 ping VM-app 可以成功实际结果如图 40: 验证VM-database网络连通性所示图 40: 验证VM-database网络连通性 55

至此多层Web服务器的部署实践介绍完毕 4.3 多公网前提条件通过给云路由器添加多公网并配置相关路由表和路由条目可实现多公网场景例如本地机房的业务云主机与阿里云上的业务云主机互通且与异地机房的业务云主机互通背景信息本场景中本地机房部署一套ZStack私有云环境通过IPsec VPN方式实现本地云路由网络与阿里云VPN网络互通同时异地机房部署另一套ZStack私有云环境通过给本地云路由器添加多公网并配置双向路由实现本地云路由网络与异地机房云路由网络的互通基于云路由网络部署多公网场景的基本流程 1. 本地机房部署一套ZStack私有云环境并依次搭建公有网络用于与阿里云互通管理网络私有网络云路由类型 56

2. 使用本地云路由网络创建一台业务云主机 VM-业务-本地机房创建云主机过程中会自动创建云路由器 3. 在阿里云上创建一台ECS业务云主机 ECS-业务-阿里云 4. 搭建IPsec VPN隧道实现本地云路由网络与阿里云VPN网络的互通 5. 验证本地业务云主机与阿里云上的ECS业务云主机是否互通 6. 在本地ZStack环境里搭建另一套公有网络用于与异地机房互通并将该公有网络加载到本地业务云主机对应的云路由器上 7. 异地机房部署另一套ZStack私有云环境并依次搭建公有网络用于与本地机房互通管理网络私有网络云路由类型 8. 使用异地机房云路由网络创建一台业务云主机 VM-业务-异地机房 9. 在本地机房与异地机房之间配置双向路由 10.验证本地业务云主机与异地机房的业务云主机是否互通假定客户环境如下本地机房 1. 公有网络用于与阿里云互通表 15: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 3 IP地址段 180.169.211.117~180.169.211.118 子网掩码 255.255.255.240 网关 180.169.211.113 2. 管理网络表 16: 管理网络配置信息管理网络配置信息网卡 em03 VLAN ID 非VLAN IP地址段 192.168.210.10~192.168.210.20 57

管理网络配置信息子网掩码 255.255.240.0 网关 192.168.208.1 注: 出于安全和稳定性考虑建议部署独立的管理网络并与公有网络隔离此管理网络与ZStack私有云中的管理网络为相同概念即管理物理机主存储镜像服务器的网络如果已创建可直接复用 3. 私有网络表 17: 私有网络配置信息私有网络值网卡 em01 VLAN ID 1982 IP CIDR 172.31.0.0/18 4. 公有网络用于与异地机房互通表 18: 公有网络配置信息公有网络配置信息网卡 em02 VLAN ID 非VLAN IP地址段 10.0.108.10~10.0.108.20 子网掩码 255.255.0.0 网关 10.0.0.1 阿里云端 1. 已购买的阿里云VPN网关IP地址为106.14.13.45 2. 阿里云VPN网关所在的VPC的CIDR为192.168.0.0/16 异地机房 1. 公有网络用于与本地机房互通 58

表 19: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.0.108.100~10.0.108.110 子网掩码 255.255.0.0 网关 10.0.0.1 2. 管理网络表 20: 管理网络配置信息管理网络配置信息网卡 em02 VLAN ID 非VLAN IP地址段 192.168.29.30~192.168.29.40 子网掩码 255.255.255.0 网关 192.168.29.1 3. 私有网络表 21: 私有网络配置信息私有网络配置信息网卡 em01 VLAN ID 2200 IP CIDR 172.18.0.10/24 多公网场景网络架构如图 41: 多公网场景网络架构图所示图 41: 多公网场景网络架构图 59

以下介绍基于云路由网络部署多公网场景的实践步骤操作步骤 1. 本地机房部署一套ZStack私有云环境并依次搭建公有网络用于与阿里云互通管理网络私有网络云路由类型详情可参考本教程基本部署章节搭建的公有网络用于与阿里云互通管理网络云路由网络如图 42: 公有网络-用于与阿里云互通图 43: 管理网络和图 44: 云路由网络所示图 42: 公有网络-用于与阿里云互通图 43: 管理网络 60

图 44: 云路由网络 2. 使用本地云路由网络创建一台业务云主机 VM-业务-本地机房创建云主机过程中会自动创建云路由器基于云路由网络创建云主机详情可参考本教程基本部署章节创建的本地业务云主机如图 45: 本地业务云主机所示图 45: 本地业务云主机 3. 在阿里云上创建一台ECS业务云主机 ECS-业务-阿里云创建ECS云主机详情请参考混合云使用教程的创建ECS云主机章节创建的ECS业务云主机如图 46: ECS业务云主机所示图 46: ECS业务云主机 4. 搭建IPsec VPN隧道实现本地云路由网络与阿里云VPN网络的互通可利用操作向导快速创建阿里云VPN连接详情请参考混合云使用教程的IPsec VPN实践章节搭建的IPsec VPN隧道如图 47: IPsec VPN隧道搭建完成所示图 47: IPsec VPN隧道搭建完成 61

注: VPN连接的就绪状态显示为第二阶段协商成功表示IPsec VPN隧道搭建完成只有互通验证通过 IPsec VPN隧道才创建成功 5. 验证本地业务云主机与阿里云上的ECS业务云主机是否互通 a) 登录本地业务云主机检查是否能够ping通ECS业务云主机如图 48: 本地业务云主机 ping通 ECS业务云主机所示图 48: 本地业务云主机 ping通 ECS业务云主机 b) 登录ECS业务云主机检查是否能够ping通本地业务云主机如图 49: ECS业务云主机 ping通本地业务云主机所示图 49: ECS业务云主机 ping通本地业务云主机 62

6. 在本地ZStack环境里搭建另一套公有网络用于与异地机房互通并将该公有网络加载到本地业务云主机对应的云路由器上 a) 在本地ZStack环境里搭建另一套公有网络用于与异地机房互通详情可参考本教程基本部署章节搭建的公有网络用于与异地机房互通如图 50: 公有网络-用于与异地机房互通所示图 50: 公有网络-用于与异地机房互通 b) 将公有网络用于与异地机房互通加载到本地业务云主机对应的云路由器上在ZStack私有云主菜单点击网络资源 > 路由资源 > 云路由器进入云路由器界面选择本地业务云主机对应的云路由器展开其详情页点击配置信息进入配置信息子页面点击操作 > 加载将公有网络用于与异地机房互通加载到该云路由器上如图 51: 云路由器加载多公网所示图 51: 云路由器加载多公网 63

7. 异地机房部署另一套ZStack私有云环境并依次搭建公有网络用于与本地机房互通管理网络私有网络云路由类型详情可参考本教程基本部署章节搭建的公有网络用于与本地机房互通管理网络云路由网络如图 52: 公有网络-用于与本地机房互通图 53: 管理网络和图 54: 云路由网络所示图 52: 公有网络-用于与本地机房互通图 53: 管理网络图 54: 云路由网络 8. 使用异地机房云路由网络创建一台业务云主机 VM-业务-异地机房基于云路由网络创建云主机详情可参考本教程基本部署章节创建的异地业务云主机如图 45: 本地业务云主机所示图 55: 异地业务云主机 64

9. 在本地机房与异地机房之间配置双向路由在本地机房配置路由表和路由条目 a) 创建路由表在ZStack私有云主菜单点击网络资源 > 路由资源 > 路由表进入路由表界面点击创建路由表在弹出的创建路由表界面可参考以下示例输入相应内容名称设置路由表名称简介可选项可留空不填路由器选择本地业务云主机对应的云路由器 b) 添加自定义路由条目目标网段自定义路由条目下一跳异地业务云主机对应的云路由异地业务云主机对应的云路由器挂载的私有网络CIDR 器的公网IP 在路由表界面点击已创建的路由表进入路由表详情页点击路由条目进入路由条目界面点击操作 > 添加路由条目弹出添加路由条目界面可添加上述自定义路由条目如图 56: 本地机房配置路由所示图 56: 本地机房配置路由同理在异地机房配置路由表和路由条目如图 57: 异地机房配置路由所示图 57: 异地机房配置路由 65

10.验证本地业务云主机与异地机房的业务云主机是否互通 a) 登录本地业务云主机检查是否能够ping通异地业务云主机如图 58: 本地业务云主机 ping通异地业务云主机所示图 58: 本地业务云主机 ping通异地业务云主机 b) 登录异地业务云主机检查是否能够ping通本地业务云主机如图 59: 异地业务云主机 ping通本地业务云主机所示图 59: 异地业务云主机 ping通本地业务云主机至此基于云路由网络的多公网场景部署实践介绍完毕 66

4.4 安全组前提条件安全组给云主机提供三层网络防火墙控制控制TCP/UDP/ICMP等数据包进行有效过滤对指定网络的指定云主机按照指定的安全规则进行有效控制扁平网络云路由网络和VPC均支持安全组服务安全组服务均由安全组网络服务模块提供使用方法均相同使用iptables进行云主机防火墙的安全控制安全组实际上是一个分布式防火墙每次规则变化加入/删除网卡都会导致多个云主机上的防火墙规则被更新安全组规则安全组规则按数据包的流向分为两种类型入方向 Ingress 代表数据包从外部进入云主机出方向 Egress 代表数据包从云主机往外部发出安全组规则对通信协议支持以下类型 ALL 表示涵盖所有协议类型此时不能指定端口 TCP 支持1-65535端口 UDP 支持1-65535端口 ICMP 默认起始结束端口均为-1 表示支持全部的ICMP协议安全组规则支持对数据来源的限制目前源可以设置为CIDR和安全组 CIDR作为源仅允许指定的CIDR才可通过安全组作为源仅允许指定的安全组内的云主机才可通过注: 如果两者都设置只取两者交集如图 60: 安全组所示图 60: 安全组 67

背景信息使用安全组的基本流程为选择三层网络设置相应的防火墙规则选择指定的云主机加入规则中以下介绍云路由环境下安全组的使用方法包括两个场景对云主机设置入方向规则对云主机设置出方向规则操作步骤 1. 搭建云路由网络详情可参考本教程基本部署章节 2. 使用云路由网络创建三台私有云云主机例如VM-1 VM-2 VM-3 详情可参考本教程基本部署章节创建的云主机如图 61: VM-1 VM-2 VM-3所示图 61: VM-1 VM-2 VM-3 68

登录VM-1 可通过SSH默认的22端口远程登录VM-2 VM-3 如图 62: SSH远程登录成功所示图 62: SSH远程登录成功 3. 对VM-2 VM-3设置入方向规则 a) 创建安全组在ZStack私有云主菜单点击网络服务 > 安全组进入安全组界面点击创建安全组在弹出的创建安全组界面可参考以下示例输入相应内容名称设置安全组名称简介可选项可留空不填网络选择已创建的云路由网络规则可选项防火墙规则可在创建安全组时直接设置也可在创建安全组后再设置本场景以前者为例详见设置入方向规则网卡可选项选择云主机加入安全组云主机网卡可在创建安全组时直接添加也可在创建安全组后再添加本场景以前者为例详见选择VM-2 VM-3加入安全组 69

如图 63: 创建安全组所示图 63: 创建安全组 b) 设置入方向规则 70

在创建安全组界面点击规则栏里的加号按钮弹出设置规则界面可参考以下示例输入相应内容类型入方向协议 TCP 开始端口 23 结束端口 1024 CIDR 可选项仅允许指定的CIDR才可通过可留空不填源安全组可选项仅允许指定的安全组内的云主机才可通过可留空不填如图 64: 设置规则所示点击确定设置入方向规则图 64: 设置规则 c) 选择VM-2 VM-3加入安全组 71

在创建安全组界面点击网卡栏里的加号按钮弹出选择网卡界面选择VM-2 VM-3 如图 65: VM-2 VM-3加入安全组所示依次点击确定 VM-2 VM-3加入安全组图 65: VM-2 VM-3加入安全组 d) 入方向规则验证此时VM-2 VM-3只允许外部通过端口23~1024访问 1. 登录VM-1 尝试SSH默认的22端口远程登录VM-2 VM-3失败 2. 登录VM-1 尝试使用nc命令与VM-2 VM-3建立通信连接例如使用规则范围内的端口23 VM-1可与VM-2成功通信注: 需将VM-2中原先的iptables规则清除可使用命令iptables -F 如图 66: VM-1在端口23向VM-2发送信息和图 67: VM-2在端口23接收信息成功所示图 66: VM-1在端口23向VM-2发送信息 72

图 67: VM-2在端口23接收信息成功 4. 对VM-2 VM-3设置出方向规则 a) 添加出方向规则到安全组在安全组界面选择已创建的安全组展开详情页点击规则进入规则子页面点击操作 > 添加规则添加出方向规则到安全组如图 68: 添加出方向规则所示图 68: 添加出方向规则 b) 设置出方向规则弹出设置规则界面可参考以下示例输入相应内容类型出方向协议 TCP 开始端口 23 结束端口 1024 CIDR 可选项仅允许指定的CIDR才可通过可留空不填 73

源安全组可选项仅允许指定的安全组内的云主机才可通过可留空不填如图 69: 设置规则所示点击确定设置出方向规则图 69: 设置规则 c) 出方向规则验证此时云主机VM-2 VM-3只允许通过端口23~1024访问外部地址 1. 登录VM-2或VM-3 尝试使用nc命令与VM-1建立通信连接例如使用规则范围外的端口21 VM-2与VM-1通信失败如图 70: VM-2在端口21尝试连接VM-1失败和图 71: VM-1在端口21接收信息失败所示图 70: VM-2在端口21尝试连接VM-1失败 74

图 71: VM-1在端口21接收信息失败 2. 登录VM-2或VM-3 尝试使用nc命令与VM-1建立通信连接例如使用规则范围内的端口23 VM-2与VM-1通信成功如图 72: VM-2在端口23向VM-1发送信息和图 73: VM-1在端口23接收信息成功所示图 72: VM-2在端口23向VM-1发送信息图 73: VM-1在端口23接收信息成功后续操作安全组有以下约束条件安全组可以挂载到多个云主机它们会共享相同的安全组规则安全组可以挂载到多个三层网络它们会共享相同的安全组规则安全组支持白名单机制即设置的所有规则均为允许机制一旦对指定端口设置了允许机制那么没有被允许的端口就无法通过 75

新建安全组时默认配置了两条规则即协议类型为ALL的进口规则和出口规则用于设置组内互通用户可以删除这两条默认规则取消组内互通新建安全组时如果没有设置任何规则则默认所有的外部访问均禁止进入安全组内的云主机安全组内云主机访问外部不受限制至此安全组的使用方法介绍完毕 4.5 弹性IP 前提条件弹性IP EIP 定义了通过公有网络访问内部私有网络的方法内部私有网络是隔离的网络空间不能直接被外部网络访问弹性IP基于网络地址转换 NAT, 将一个网络通常是公有网络的IP地址转换成另一个网络通常是私有网络的IP地址通过弹性IP 可对公网的访问直接关联到内部私网的云主机IP 弹性IP可动态绑定到一个云主机或从一个云主机解绑云主机使用的扁平网络云路由网络 VPC均可使用弹性IP服务扁平网络分布式EIP实现的弹性IP地址可通过公有网络访问内部私有网络云路由网络/VPC 使用云路由器/VPC路由器可通过公有网络访问云主机的私有网络内部私有网络是隔离的网络空间不能直接被外部网络访问弹性IP基于网络地址转换 NAT, 将一个网络通常是公有网络的IP地址转换成另一个网络通常是私有网络的IP地址通过弹性IP 可对公网的访问直接关联到内部私网的云主机IP 弹性IP可动态绑定到一个云主机或从一个云主机解绑云主机使用的扁平网络云路由网络 VPC均可使用弹性IP服务扁平网络分布式EIP实现的弹性IP地址可通过公有网络访问内部私有网络云路由网络/VPC 使用云路由器/VPC路由器可通过公有网络访问云主机的私有网络扁平网络分布式EIP实现的弹性IP地址可通过公有网络访问内部私有网络云路由网络/VPC 使用云路由器/VPC路由器可通过公有网络访问云主机的私有网络云路由网络/VPC下弹性IP的应用场景如图 74: 云路由网络/VPC下弹性IP的应用场景所示图 74: 云路由网络/VPC下弹性IP的应用场景 76

背景信息以下介绍云路由环境下弹性IP的使用方法包括两个场景创建弹性IP并绑定一个云主机将弹性IP绑定其它云主机操作步骤 1. 搭建云路由网络详情可参考本教程基本部署章节 2. 使用云路由网络创建两台私有云云主机例如VM-1 VM-2 详情可参考本教程基本部署章节创建的云主机如图 75: VM-1 VM-2所示图 75: VM-1 VM-2 3. 创建弹性IP并绑定VM-1 a) 创建弹性IP 在ZStack私有云主菜单点击网络服务 > 弹性IP 进入弹性IP界面点击创建弹性IP 在弹出的创建弹性IP界面可参考以下示例输入相应内容 77

名称设置弹性IP名称例如EIP-1 简介可选项可留空不填选择虚拟IP 通过虚拟IP提供弹性IP服务使用虚拟IP的方法有以下两种新建虚拟IP 如选择新建虚拟IP 需设置以下内容网络选择提供虚拟IP的公有网络指定IP 可选项可指定虚拟IP 若留空不填系统会自动分配虚拟IP 如图 76: 新建虚拟IP所示图 76: 新建虚拟IP 已有虚拟IP 如选择已有虚拟IP 需设置以下内容虚拟IP 选择已有的虚拟IP地址如图 77: 已有虚拟IP所示图 77: 已有虚拟IP 78

注: 云路由器提供的系统虚拟IP不支持用于弹性IP服务如图 78: 创建弹性IP所示图 78: 创建弹性IP b) 点击确定跳转到绑定云主机网卡界面 79

c) 将EIP-1绑定VM-1 在弹出的绑定云主机网卡界面点击云主机栏里的加号按钮弹出选择云主机界面选择VM-1 点击确定如图 79: 选择VM-1和图 80: 将EIP-1绑定VM-1所示图 79: 选择VM-1 图 80: 将EIP-1绑定VM-1 d) 通过EIP-1登录VM-1 使用某一可访问云路由网络公网网段 10.108.12.0~10.108.13.255 的主机SSH登录EIP-1 10.108.12.198 也就是登录到私网IP为192.168.10.226的VM-1 如图 81: 通过EIP-1登录VM-1所示图 81: 通过EIP-1登录VM-1 80

4. 将EIP-1绑定VM-2 a) 将EIP-1从VM-1解绑在弹性IP界面选择EIP-1 点击更多操作 > 解绑弹出解绑云主机确认窗口点击确定如图 82: 将EIP-1从VM-1解绑所示图 82: 将EIP-1从VM-1解绑 b) 将EIP-1绑定VM-2 在弹性IP界面选择EIP-1 点击更多操作 > 绑定弹出选择云主机窗口选择VM-2 点击确定如图 83: 选择VM-2和图 84: 将EIP-1绑定VM-2所示图 83: 选择VM-2 图 84: 将EIP-1绑定VM-2 c) 通过EIP-1登录VM-2 再次SSH登录EIP-1 10.108.12.198 可发现此时登录到私网IP为192.168.10.167的VM-2 81

如图 81: 通过EIP-1登录VM-1所示图 85: 通过EIP-1登录VM-2 至此弹性IP的使用方法介绍完毕 4.6 端口转发前提条件端口转发 PF 基于云路由器/VPC路由器提供的三层转发服务可将指定公有网络的IP地址端口流量转发到云主机对应协议的端口在公网IP地址紧缺的情况下通过端口转发可提供多个云主机对外服务节省公网IP地址资源启用SNAT服务的私有网络中云主机可访问外部网络但不能被外部网络所访问使用端口转发规则允许外部网络访问SNAT后面云主机的某些指定端口弹性端口转发规则可动态绑定到云主机或从云主机解绑端口转发服务限于云路由器/VPC路由器提供端口转发规则创建于云路由器/VPC路由器公有网络和云主机私有网络之间如图 86: 端口转发所示图 86: 端口转发 82

通过虚拟IP提供端口转发服务虚拟IP对应于公网IP地址资源池中的一个可用IP 端口转发使用虚拟IP有两种方法新建虚拟IP 使用已有虚拟IP 端口转发指定端口映射有两种方法单个端口到单个端口的映射端口区间的映射如图 87: 虚拟IP-端口转发所示图 87: 虚拟IP-端口转发背景信息 83

以下介绍云路由环境下端口转发的使用方法包括三个场景创建端口转发规则并绑定一个云主机将端口转发规则绑定其它云主机绑定同一虚拟IP的不同端口到不同云主机操作步骤 1. 搭建云路由网络详情可参考本教程基本部署章节 2. 使用云路由网络创建两台私有云云主机例如VM-1 VM-2 详情可参考本教程基本部署章节创建的云主机如图 88: VM-1 VM-2所示图 88: VM-1 VM-2 3. 创建端口转发规则并绑定VM-1 a) 创建端口转发规则在ZStack私有云主菜单点击网络服务 > 端口转发进入端口转发界面点击创建端口转发在弹出的创建端口转发界面可参考以下示例输入相应内容名称设置端口转发规则名称例如PF-1 简介可选项可留空不填选择虚拟IP 通过虚拟IP提供端口转发服务使用虚拟IP的方法有以下两种新建虚拟IP 如选择新建虚拟IP 需设置以下内容网络选择提供虚拟IP的公有网络指定IP 可选项可指定虚拟IP 若留空不填系统会自动分配虚拟IP 如图 89: 新建虚拟IP所示图 89: 新建虚拟IP 84

已有虚拟IP 如选择已有虚拟IP 需设置以下内容虚拟IP 选择已有的虚拟IP地址如图 90: 已有虚拟IP所示图 90: 已有虚拟IP 注: 云路由器提供的系统虚拟IP支持用于端口转发服务协议选择协议类型包括 TCP UDP TCP 支持1-65535端口 UDP 支持1-65535端口端口支持两种端口映射方法包括单个端口到单个端口的映射端口区间的映射指定端口 85

如选择指定端口需设置以下内容源起始端口可从1-65535端口之间选择一个端口作为源端口源结束端口系统自动填写默认与源起始端口一致云主机起始端口可从1-65535端口之间选择一个端口作为云主机端口云主机结束端口系统自动填写默认与云主机起始端口一致允许CIDR 可选项仅允许指定的CIDR才可通过可留空不填例如源端口选择24 云主机端口选择22 表示对公网IP的24端口访问会转发到云主机的22端口如图 91: 创建端口转发规则-指定端口所示图 91: 创建端口转发规则-指定端口端口区间如选择端口区间需设置以下内容源起始端口可从1-65535端口之间选择一个端口作为源起始端口 86

源结束端口可从1-65535端口之间选择一个端口作为源结束端口云主机起始端口系统自动填写默认与源起始端口一致云主机结束端口系统自动填写默认与源结束端口一致允许CIDR 可选项仅允许指定的CIDR才可通过可留空不填例如源端口区间选择22-80 云主机端口区间也默认为22-80 表示对公网IP的22-80 端口访问会转发到云主机的22-80端口如图 92: 创建端口转发规则-端口区间所示图 92: 创建端口转发规则-端口区间本场景下创建的端口转发规则PF-1如图 93: 创建端口转发规则PF-1所示图 93: 创建端口转发规则PF-1 87

b) 点击确定跳转到绑定云主机网卡界面 c) 将PF-1绑定VM-1 在弹出的绑定云主机网卡界面点击云主机栏里的加号按钮弹出选择云主机界面选择VM-1 点击确定如图 94: 选择VM-1和图 95: 将PF-1绑定VM-1所示图 94: 选择VM-1 图 95: 将PF-1绑定VM-1 d) 通过PF-1登录VM-1 使用某一可访问云路由网络公网网段 10.108.12.0~10.108.13.255 的主机SSH登录公网IP 10.108.13.216的24端口也就是登录到私网IP为192.168.10.226的VM-1的22端口如图 96: 通过PF-1登录VM-1所示图 96: 通过PF-1登录VM-1 4. 将PF-1绑定VM-2 89

a) 将PF-1从VM-1解绑在端口转发界面选择PF-1 点击更多操作 > 解绑弹出解绑云主机确认窗口点击确定如图 97: 将PF-1从VM-1解绑所示图 97: 将PF-1从VM-1解绑 b) 将PF-1绑定VM-2 在端口转发界面选择PF-1 点击更多操作 > 绑定弹出选择云主机窗口选择VM-2 点击确定如图 98: 选择VM-2和图 99: 将PF-1绑定VM-2所示图 98: 选择VM-2 图 99: 将PF-1绑定VM-2 c) 通过PF-1登录VM-2 再次SSH登录公网IP 10.108.13.216的24端口可发现此时登录到私网IP为192.168.10.167 的VM-2的22端口 90

如图 100: 通过PF-1登录VM-2所示图 100: 通过PF-1登录VM-2 5. 绑定同一虚拟IP的不同端口到不同云主机 a) 使用同一虚拟IP创建端口转发规则PF-2 在端口转发界面点击创建端口转发在弹出的创建端口转发界面可参考以下示例输入相应内容名称设置端口转发规则名称例如PF-2 简介可选项可留空不填选择虚拟IP 已有虚拟IP 虚拟IP 与端口转发规则PF-1同一虚拟IP 协议选择协议类型例如TCP 端口选择端口映射方法例如端口区间源起始端口可从1-65535端口之间选择一个端口作为源起始端口例如5900 源结束端口可从1-65535端口之间选择一个端口作为源结束端口例如5910 云主机起始端口系统自动填写默认与源起始端口一致云主机结束端口系统自动填写默认与源结束端口一致允许CIDR 可选项仅允许指定的CIDR才可通过可留空不填如图 93: 创建端口转发规则PF-1所示图 101: 创建端口转发规则PF-2 91

b) 点击确定跳转到绑定云主机网卡界面 92

c) 将PF-2绑定VM-1 在弹出的绑定云主机网卡界面点击云主机栏里的加号按钮弹出选择云主机界面选择VM-1 点击确定如图 102: 选择VM-1和图 103: 将PF-2绑定VM-1所示图 102: 选择VM-1 图 103: 将PF-2绑定VM-1 d) 可见同一虚拟IP 10.108.13.216 通过不同的端口转发规则绑定到不同云主机 e) 通过PF-2向VM-1发送信息使用某一可访问云路由网络公网网段 10.108.12.0~10.108.13.255 的主机通过nc命令向公网IP 10.108.13.216的5900~5910某端口发送信息可在私网IP为192.168.10.226 的VM-1相应端口接收信息例如使用规则范围内的源端口5900发送信息在VM-1的端口5900接收信息注: 需将VM-1中原先的iptables规则清除可使用命令iptables -F 如图 104: 在源端口5900发送信息和图 105: 在VM-1的端口5900接收信息所示图 104: 在源端口5900发送信息 93

图 105: 在VM-1的端口5900接收信息后续操作端口转发有以下约束条件端口转发要求云主机内部的防火墙策略对指定的转发端口开放同一个虚拟IP 在提供端口转发服务时该虚拟IP所用的端口之间不可重复同一个虚拟IP 可对同一个三层网络上的多个云主机网卡的不同端口提供端口转发服务同一个云主机只能使用一个虚拟IP来提供端口转发服务虚拟IP从云主机解绑后再次绑定云主机时只能选择解除绑定关系前的同一个三层网络上的云主机网卡端口转发区间需一一对应例如设置了源端口22-80端口的端口区间在云主机私网默认也选择22-80端口至此端口转发的使用方法介绍完毕 4.7 负载均衡前提条件负载均衡 LB 将公网地址的访问流量分发到一组后端的云主机并支持自动检测并隔离不可用的云主机从而提高业务的服务能力和可用性负载均衡自动把访问用户应用的流量分发到预先设置的多个后端云主机以提供高并发高可靠的访问服务根据实际情况动态调整负载均衡监听器中的云主机来调整服务能力且不会影响业务的正常访问负载均衡监听器支持TCP/HTTP/HTTPS三种协议 94

当监听协议为HTTPS 需绑定证书使用支持上传证书和证书链负载均衡器支持灵活配置多种转发策略实现高级转发控制功能如图 106: 虚拟IP-负载均衡所示云路由网络/VPC下虚拟IP提供负载均衡服务图 106: 虚拟IP-负载均衡背景信息负载均衡的基本使用流程 1. 创建负载均衡器 2. 创建并添加监听器指定公网端口到云主机端口的对应关系设置规则及算法等 3. 选择指定三层网络的云主机网卡绑定到监听器使负载均衡器生效以下介绍云路由环境下负载均衡的使用方法场景如下创建负载均衡器添加一个监听器并绑定三台云主机基于默认的轮询算法向三台云主机提供负载均衡服务操作步骤 1. 搭建云路由网络详情可参考本教程基本部署章节 2. 使用云路由网络创建三台私有云云主机例如VM-1 VM-2 VM-3 详情可参考本教程基本部署章节 95

创建的云主机如图 107: VM-1 VM-2 VM-3所示图 107: VM-1 VM-2 VM-3 3. 创建负载均衡器在ZStack私有云主菜单点击网络服务 > 负载均衡 > 负载均衡器进入负载均衡器界面点击创建负载均衡器在弹出的创建负载均衡器界面可参考以下示例输入相应内容名称设置负载均衡器名称简介可选项可留空不填选择虚拟IP 通过虚拟IP提供负载均衡服务使用虚拟IP的方法有以下两种新建虚拟IP 如选择新建虚拟IP 需设置以下内容网络选择提供虚拟IP的公有网络指定IP 可选项可指定虚拟IP 若留空不填系统会自动分配虚拟IP 如图 108: 新建虚拟IP所示图 108: 新建虚拟IP 96

已有虚拟IP 如选择已有虚拟IP 需设置以下内容虚拟IP 选择已有的虚拟IP地址如图 109: 已有虚拟IP所示图 109: 已有虚拟IP 注: 云路由器提供的系统虚拟IP支持用于负载均衡服务监听器可选项监听器可在创建负载均衡器时点击创建监听器按钮直接添加也可在创建负载均衡器后再添加本场景以前者为例详见添加监听器如图 110: 创建负载均衡器所示图 110: 创建负载均衡器 97

4. 添加监听器在创建负载均衡器界面点击创建监听器按钮弹出添加监听器界面可参考以下示例输入相应内容 98

名称设置监听器名称简介可选项可留空不填协议选择协议类型包括 TCP HTTP HTTPS TCP 支持1-65535端口 HTTP 支持1-65535端口 HTTPS 支持1-65535端口负载均衡端口可从1-65535端口之间选择一个端口作为负载均衡器公网端口云主机端口可从1-65535端口之间选择一个端口作为云主机端口例如公网端口选择80 云主机端口选择5000 表示对负载均衡器公网IP的80端口访问会转发到云主机的5000端口如图 111: 添加监听器所示图 111: 添加监听器 99

高级可对高级选项进行设置空闲连接超时没有数据传输时触发负载均衡器终止服务器和客户端连接的超时时间默认设置为60秒健康检查阈值对不健康的云主机如果连续检查成功次数超过阈值则认定其健康默认设置为2次非健康检查阈值对云主机健康检查失败次数超过阈值则认定其不健康默认设置为2次健康检查间隔对云主机进行检查的时间间隔默认设置为5秒最大连接数量设置监听器最大的连接数量默认设置为5000条负载均衡算法对网络包设定不同的路由规则默认设置为roundrobin 轮询支持的负载均衡算法包括 roundrobin 轮询通过轮询调度算法将外部请求按顺序轮流分配到负载均衡规则指定的云主机中它均等地对待每一台云主机而不管其上实际的连接数和系统负载 leastconn 最少连接通过最少连接调度算法将网络请求动态地调度到已建立的连接数最少的云主机上如果集群中的服务器云主机具有相近的系统性能采用最少连接调度算法可以较好地均衡负载 source 源地址哈希源地址哈希算法根据请求的源IP地址作为散列键 Hash Key 从静态分配的散列表找出对应的服务器若该服务器可用且未超载将请求发送到该服务器否则返回空如图 112: 添加监听器-高级选项所示图 112: 添加监听器-高级选项 100

5. 绑定VM-1 VM-2 VM-3的云主机网卡到监听器 a) 进入绑定云主机网卡界面在ZStack私有云主菜单点击网络服务 > 负载均衡 > 监听器按钮进入监听器页面选择一个监听器点击更多操作 > 绑定云主机网卡进入绑定云主机网卡界面如图 113: 进入监听器详情页所示图 113: 进入监听器详情页 101

b) 在弹出的绑定云主机网卡界面可参考以下示例输入相应内容网络选择云路由挂载的三层私有网络云主机网卡选择VM-1 VM-2 VM-3的云主机网卡如图 114: 绑定云主机网卡到监听器所示点击确定绑定VM-1 VM-2 VM-3的云主机网卡到监听器图 114: 绑定云主机网卡到监听器 6. 负载均衡器以默认的轮询方式向三台云主机发送信息使用某一可访问云路由网络公网网段 10.108.12.0~10.108.13.255 的主机通过nc命令向负载均衡器公网IP 10.108.13.216的80端口发送信息可在VM-1 私网IP 192.168.10.226 VM-2 私网IP 192.168.10.167 VM-3 私网IP 192.168.10.99 的5000端口以默认的轮询方式接收信息注: 需将VM-1 VM-2 VM-3中原先的iptables规则清除可使用命令iptables -F 102

1. 开启VM-1 VM-2 VM-3的5000端口侦听如图 115: 开启三台云主机的5000端口侦听所示图 115: 开启三台云主机的5000端口侦听 2. 向负载均衡器公网IP的80端口发送三条信息如图 116: 向负载均衡器公网IP的80端口发送三条信息所示图 116: 向负载均衡器公网IP的80端口发送三条信息 3. VM-1 VM-2 VM-3的5000端口分别接收到一条信息如图 117: 三台云主机的5000端口分别接收到一条信息所示图 117: 三台云主机的5000端口分别接收到一条信息 103

后续操作负载均衡有以下约束条件一个负载均衡器可以支持多个监听器一个负载均衡器支持的监听器指定的云主机网卡必须在同一个三层网络当监听协议为HTTPS 一个监听器同一时间只能绑定一个证书如需更换证书需先解绑当前证书 ZStack支持内部访问业务流量的负载均衡如果内部用户希望通过虚拟IP访问负载均衡需进行如下设置进入设置 > 全局设置 > 高级设置将三层网络安全默认规则设置为accept 且重连云路由器生效至此负载均衡的使用方法介绍完毕 4.8 IPsec隧道前提条件 IPsec隧道透过对IP协议的分组加密和认证来保护IP协议的网络传输数据实现站点到站点 siteto-site 的虚拟私有网络 VPN 连接云路由网络下IPsec隧道的典型场景 104

在两套隔离的ZStack私有云环境中使用云路由网络两套环境中云主机的私有网络无法直接通信使用IPsec隧道可实现两套云主机的私有网络互相通信背景信息云路由网络下IPsec隧道的基本使用流程 1. 在第一套环境中创建IPsec隧道指定第一套网络的本地公网IP 并指定本地可用的私有网络输入第二套网络指定的公网IP作为远端IP 并输入第二套网络指定的私有网络作为远端网路 2. 在第二套环境中创建IPsec隧道指定第二套网络的本地公网IP 并指定本地可用的私有网络输入第一套网络指定的公网IP作为远端IP 并输入第一套网络指定的私有网络作为远端网络注: 两套云路由网络环境中的私有网络段不可重叠假定客户环境如下第一套ZStack 1. 公有网络表 22: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.108.12.0~10.108.13.255 子网掩码 255.0.0.0 网关 10.0.0.1 2. 管理网络表 23: 管理网络配置信息管理网络配置信息网卡 em02 VLAN ID 非VLAN 105

管理网络配置信息 IP地址段 192.168.29.10~192.168.29.20 子网掩码 255.255.255.0 网关 192.168.29.1 注: 出于安全和稳定性考虑建议部署独立的管理网络并与公有网络隔离此管理网络与ZStack私有云中的管理网络为相同概念即管理物理机主存储镜像服务器的网络如果已创建可直接复用 3. 私有网络表 24: 私有网络配置信息私有网络配置信息网卡 em01 VLAN ID 2800 IP CIDR 192.168.10.0/24 第二套ZStack 1. 公有网络表 25: 公有网络配置信息公有网络配置信息网卡 em01 VLAN ID 非VLAN IP地址段 10.108.14.0~10.108.15.255 子网掩码 255.0.0.0 网关 10.0.0.1 2. 管理网络 106

表 26: 管理网络配置信息管理网络配置信息网卡 em02 VLAN ID 非VLAN IP地址段 192.168.29.110~192.168.29.120 子网掩码 255.255.255.0 网关 192.168.29.1 3. 私有网络表 27: 私有网络配置信息私有网络配置信息网卡 em01 VLAN ID 2900 IP CIDR 192.168.100.0/24 IPsec隧道网络架构如图 118: IPsec隧道网络架构图所示图 118: IPsec隧道网络架构图以下介绍云路由环境下搭建IPsec隧道的实践步骤操作步骤 1. 搭建第一套ZStack的云路由网络并使用该云路由网络创建一台私有云云主机例如VM-1 详情可参考本教程基本部署章节 107

创建的云主机如图 119: VM-1所示图 119: VM-1 2. 同理搭建第二套ZStack的云路由网络并使用该云路由网络创建一台私有云云主机例如VM-2 创建的云主机如图 120: VM-2所示图 120: VM-2 3. 检测VM-1与VM-2的连通性登录VM-1 尝试SSH默认的22端口远程登录VM-2失败也不能ping通VM-2 如图 121: VM-1尝试连通VM-2失败所示图 121: VM-1尝试连通VM-2失败登录VM-2 尝试连通VM-1亦失败 4. 在第一套ZStack中创建IPsec隧道 a) 创建IPsec隧道-1 ZStack网络服务 > IPsec隧道进入IPsec隧道界面点击创建IPsec隧道在弹出的创建IPsec隧道界面可参考以下示例输入相应内容名称设置IPsec隧道名称例如IPsec隧道-1 简介可选项可留空不填 108

选择虚拟IP 通过虚拟IP提供IPsec服务使用虚拟IP的方法有以下两种新建虚拟IP 如选择新建虚拟IP 需设置以下内容网络选择提供虚拟IP的公有网络指定IP 可选项可指定虚拟IP 若留空不填系统会自动分配虚拟IP 如图 122: 新建虚拟IP所示图 122: 新建虚拟IP 已有虚拟IP 如选择已有虚拟IP 需设置以下内容虚拟IP 选择已有的虚拟IP地址如图 123: 已有虚拟IP所示图 123: 已有虚拟IP 109

注: 云路由器提供的系统虚拟IP支持用于IPsec服务本地子网选择本地云路由挂载的私有网络如果云路由仅挂载一个私网则会默认选中该私网远端网络IP 填写远端网络用于IPsec服务的公网IP 远端网络CIDR 填写远端网络指定的私有网络CIDR 认证密钥设置密钥建议设置强度较高的密钥高级选项可对高级选项进行设置以下默认选项为可连通双边私网的选项认证模式 psk 默认工作模式 tunnel 默认 IKE 验证算法 sha1 默认 IKE 加密算法 3des 默认 IKE 完整前向保密 2 默认传输安全协议 esp 默认 ESP 认证算法 sha1 默认 ESP 加密算法 3des 默认完全正向保密(PFS) dh-group2 默认注: 如果客户场景设计ZStack私有云的云路由与支持IPsec隧道的第三方设备对接则需两端协商具体的高级配置信息创建IPsec隧道时需根据远端网络设备IPsec配置内容调整本地高级设置内容 110

如图 124: 创建IPsec隧道-1所示图 124: 创建IPsec隧道-1 b) IPsec隧道-1创建完成 111

如图 125: IPsec隧道-1所示图 125: IPsec隧道-1 5. 同理在第二套ZStack中创建IPsec隧道 a) 创建IPsec隧道-2 如图 126: 创建IPsec隧道-2所示图 126: 创建IPsec隧道-2 112

b) IPsec隧道-2创建完成如图 127: IPsec隧道-2所示图 127: IPsec隧道-2 113

6. 检测VM-1与VM-2的连通性登录VM-1 可通过SSH默认的22端口远程登录VM-2 以及ping通VM-2 如图 128: VM-1成功连通VM-2所示图 128: VM-1成功连通VM-2 登录VM-2 亦可通过SSH默认的22端口远程登录VM-1 以及ping通VM-1 至此 IPsec隧道的使用方法介绍完毕 114

云路由网络使用教程 / 术语表术语表区域 Zone ZStack中最大的一个资源定义包括集群二层网络主存储等资源集群 Cluster 一个集群是类似物理主机 Host 组成的逻辑组在同一个集群中的物理主机必须安装相同的操作系统虚拟机管理程序 Hypervisor 拥有相同的二层网络连接可以访问相同的主存储在实际的数据中心一个集群通常对应一个机架 Rack 管理节点 Management Node 安装系统的物理主机提供UI管理云平台部署功能计算节点 Compute Node 也称之为物理主机或物理机为云主机实例提供计算网络存储等资源的物理主机主存储 Primary Storage 用于存储云主机磁盘文件的存储服务器支持本地存储 NFS Ceph FusionStor Shared Mount Point等类型镜像服务器 Backup Storage 也称之为备份存储服务器主要用于保存镜像模板文件建议单独部署镜像服务器镜像仓库 Image Store 镜像服务器的一种类型可以为正在运行的云主机快速创建镜像高效管理云主机镜像的版本变迁以及发布实现快速上传下载镜像镜像快照以及导出镜像的操作云主机 VM Instance 运行在物理机上的虚拟机实例具有独立的IP地址可以访问公共网络运行应用服务镜像 Image 云主机或云盘使用的镜像模板文件镜像模板包括系统云盘镜像和数据云盘镜像 115

云路由网络使用教程 / 术语表云盘 Volume 云主机的数据盘给云主机提供额外的存储空间共享云盘可挂载到一个或多个云主机共同使用计算规格 Instance Offering 启动云主机涉及到的CPU数量内存网络设置等规格定义云盘规格 Disk Offering 创建云盘容量大小的规格定义二层网络 L2 Network 二层网络对应于一个二层广播域进行二层相关的隔离一般用物理网络的设备名称标识三层网络 L3 Network 云主机使用的网络配置包括IP地址范围网关 DNS等公有网络 Public Network 由因特网信息中心分配的公有IP地址或者可以连接到外部互联网的IP地址私有网络 Private Network 云主机连接和使用的内部网络 L2NoVlanNetwork 物理主机的网络连接不采用Vlan设置 L2VlanNetwork 物理主机节点的网络连接采用Vlan设置 Vlan需要在交换机端提前进行设置 VXLAN网络池 VXLAN Network Pool VXLAN网络中的 Underlay 网络一个 VXLAN 网络池可以创建多个 VXLAN Overlay 网络即 VXLAN 网络这些 Overlay 网络运行在同一组 Underlay 网络设施上 VXLAN网络 VXLAN 使用 VXLAN 协议封装的二层网络单个 VXLAN 网络需从属于一个大的 VXLAN 网络池不同 VXLAN 网络间相互二层隔离 116

云路由网络使用教程 / 术语表云路由 vrouter 云路由通过定制的Linux云主机来实现的多种网络服务安全组 Security Group 针对云主机进行第三层网络的防火墙控制对IP地址网络包类型或网络包流向等可以设置不同的安全规则弹性IP EIP 公有网络接入到私有网络的IP地址快照 Snapshot 某一个时间点上某一个磁盘的数据备份包括自动快照和手动快照两种类型 117

云路由网络 使用教程