企业大数据云平台运维解决方案
目录
1. 运维方案 (3)
1.1概述 (3)
1.2运维服务方案 (3)
1.2.1 平台层运维 (3)
2. 其他功能描述 (92)
2.1其他优化需求 (92)
2.2非功能性需求 (93)
2.2.1 范围 (93)
2.2.2 可用性 (93)
2.2.3 易用性 (93)
2.2.4 可维护性 (94)
2.2.5 低耦合性 (95)
2.2.6 可伸缩性 (95)
2.2.7 架构约束 (95)
1.运维方案
1.1概述
优化完善和运维方案重点描述我公司在本项目实施过程中针对于大数据云平台按照招标文件的要求是如何开展运维服务和优化完善先关工作的,将分别从平台层、数据层、功能应用优化、数据服务优化等多个维度展开相应的叙述。
1.2运维服务方案
1.2.1平台层运维
1.2.1.1硬件设备运行维护
云平台硬件设备可分为服务器设备和网络设备两类,服务器设备包括服务器磁盘、内存条、机器主板等设备,网络设备包括网卡、交换机、网线、分光器、分流器等设备。针对硬件设备的运行维护我们制定完善的巡检维护管理机制,通过云平台Alimonitor监控平台和集群自定义监控脚本每个工作日早中晚定时进行5次以上巡检监控,针对于出现如磁盘故障、内存故障、主板故障等服务器设备故障或网口松动、网卡故障、网线故障等网络设备故障的情况,定期联系硬件厂商人员到机房进行更换或插拔,并配合更换前的停服务、关机、下电等工作。
硬件设备更换申请需提供设备所在的产品集群、机房机柜、标准机型、服务器IP地址、带外ip地址、SN号等信息,具体申请单如下:
巡检中发现有硬件故障后,续将详细硬件故障点填写至以上表格,以邮件形式通知硬件厂商协商具体时间入场进行硬件更换。
1.2.1.2大数据产品运维
1.2.1.2.1云服务器ECS运维
充分掌握云服务器的系统架构、安全防护、运维管理、资源管理等内容。掌握云服务器资源分配和管理、自定义镜像创建和管理、实例备份恢复机制管理等实际操作技能。
云平台弹性计算软件ECS(下文简称云服务器)是云平台服务中非常重要的组成部分,它以云平台分布式云操作系统为基础,基于虚拟化等云计算技术,将普通基础资源整合在一起,以集群的方式给各行各业提供的计算能力服务。
云服务器基于云平台自主研发的云平台分布式云操作系统,具有自助管理、数据安全保障、自动故障恢复和防网络攻击等功能,能够简化开发部署过程,降低运维成本。构建纵向或横向按需扩展的网站架构,从而更适应业务应用快速多变的特性。
一、系统架构
虚拟化平台与分布式存储:虚拟化是云服务器的基础,云平台采用通用虚拟化技术,将物理资源进行虚拟化,通过虚拟化后的虚拟资源,对外提供弹性计算服务。云服务器包括两个重要的模块:计算资源资源模块和存储资源模块。计算资源指 CPU,内存,带宽等资源,通过将物理机上的计算资源虚拟化再分配给云服务器使用。通过资源的 QoS,可保证同一台物理机上不同云服务器间可相互不影响。存储则采用了大规模分布式存储系统,将整个集群中的存储资源虚拟化后,整合在一起对外提供服务。同一台云服务器的数据,保存在整个集群中。在分布式存储系统中,每份数据都提供三份副本,当单份数据损坏后可实现数据的自动拷贝。具体原理图见下图:
ECS多副本存储机制
控制系统:控制系统是弹性计算平台的核心,它决定着云服务器启动在哪一台物理服务器上且云服务器的所有功能及信息都需要通过控制中心统一处理与维护。
数据采集:负责整个虚拟化平台的数据采集,包括计算资源,存储资源,网络资源等使用情况,通过数据采集可以对集群的资源使用情况进行统一的监控管理,并作为资源调度的一个重要的依据。
资源调度系统:决定云服务器启动的位置,在创建云服务器时,会根据物理机的资源负载情况,合理的调度云服务器。且在云服务器发生故障时,决定云服务器再此启动的位置。
云服务器管理模块:管理及控制云服务器的。例如启动、关闭、重启云服务。以及云服务器相关增值服务功能也通过云服务器管理模块提供。
安全控制模块:进行整个集群的网络安全监控与管理。
运维及监控系统:完善的运维与监控是云服务的关键。运维与监控系统主要对 ECS 平台进行监控,主要监控项包括:云服务器性能的监控,资源使用监控,平台健康检查以及网络监控。当集群资源不足或云服务器网络遭受攻击时,将会进行报警提示,以方便运维人员对集群进行管理。
二、云服务器镜像
镜像是启动云服务器的基础。镜像即一块母盘,包含操作系统以及应用软件配置,创建云服务器必须基于一个镜像,创建成功后的系统盘内容即为此镜像的完全克隆VM(系统配置及大小)。
自定义镜像指用户可以将现有云服务器系统盘保存为一个镜像,并可以此镜像作为一个模板,快速创建与已有云服务器系统配置完全相同的机器。
基于镜像创建的云服务器具有相同的系统盘配置(数据+大小),但是计算资源配置及云磁盘配置可定制化。通过自定义镜像,可以保存现有云服务器系统盘数据;并可将其作为一个母盘,方便实现云服务器快速克隆。综上产品体系描述,可用一张图来表示各子系统模块之间的关系:
三、ECS服务安全防护
安全组防火墙:ECS服务以用户为单位,使用安全组防火墙进行网络隔离。安全组是一个逻辑上的分组,这个分组是由同一个地域内具有相同安全保护需求并相互信任的ECS实例组成。安全组防火墙用于设置单台或多台云服务器的网络访问控制,它是重要的安全隔离手段。每个用户的所有云服务器默认在同一个安全组里。用户可以自行划分多个安全组。每个ECS实例至少属于一个安全组,在创建的时候就需要指定。安全组内可以互访,不同安全组的ECS实例之间默认不通。用户可以根据需要自行配置安全组防火墙规则授权两个安全组之间互访。
数据高可靠性:云服务器镜像文件、快照文件均默认存储三份,分布在不同交换机下的不同物理服务器上,数据可靠性高达99.999%。
故障自动恢复:云服务器部署在宿主机(承载云服务器的物理服务器)上,宿主机可能因性能异常或者硬件原因导致故障,当检测到云服务器所在的宿主机发生故障时,系统会启动保护性迁移,把云服务器迁移到正常的宿主机上,自动恢复,保障应用的高可用性。
快照:快照是云服务器上的数据在某一个时间点的拷贝。云服务器可以按照用户事先设定的策略定时自动创建快照,也可以由用户创建自定义快照。用户可使用快照回滚来恢复以往磁盘数据,加强数据安全,提高系统可用性。常见快照使用场景:1)云服务器系统变更前做好快照,在变更出现问题后可以快速回退;2)对已安装应用软件包的云服务器打快照,从快照创建自定义镜像,可以批量创建服务器,简化用户管理部署工作。
多用户安全隔离:内存隔离:在虚拟化层,Hypervisor隔离内存。云服务器运行时,使用硬件辅助的EPT(Extended Page Tables,扩展页表)技术,确保云服务器之间无法互访对方内存。云服务器释放后,它的所有内存会被
Hypervisor清零。这样防止云服务器关闭后释放的物理内存页内容被其他云服务器访问到。存储隔离:云服务器运行时,对于磁盘内容,每个云服务器只能看到物理服务器分配给自己的虚拟磁盘,而虚拟磁盘之间不会共享内容。云服务器释放后,原有磁盘的内容在被删除的时候由宿主机的文件系统回收,当再次分配的时候,由宿主机的文件系统负责清空对应的磁盘内容,所以也不会出现泄露。
防IP/MAC/ARP欺骗:在传统网络里,ip/mac/arp欺骗一直是网络面临的严峻考验。通过ip/mac/arp欺骗,黑客可以扰乱网络环境,窃听网络机密。云平台云平台通过宿主机上的网络底层技术机制,彻底解决了这些问题:在宿主机数据链路层隔离由云服务器向外发起的异常协议访问并阻断云服务器arp/mac欺骗,在宿主机网络层防止云服务器ip欺骗。
1.2.1.2.2负载均衡软件SLB运维
充分理解负载均衡软件SLB的技术特点,掌握四层负载均衡协议和七层负载均衡协议架构原理,在日常运维工作中能根据项目需求做好产品选型,发挥产品优势。
云平台服务器负载均衡管理软件SLB是云平台提供的一种云负载均衡技术。SLB通过设置虚拟服务器IP,将后端多台真实服务器的应用资源虚拟成一台高性能、高可用的应用服务器;通过负载分配算法将大量来自客户端的应用请求分配到后端的服务器进行处理。
SLB会持续对服务器上的应用状态进行检查,并自动隔离无效的服务器,从而解决单台服务器处理性能不足、扩展性不够和可靠性较低的问题。SLB和云服务器结合使用,是云服务器的一个增值服务。
根据不同应用的特点,云平台SLB可同时提供四层及七层负载均衡服务。其系统架构及功能如下:
一、四层负载均衡
SLB四层负载均衡系统架构如下:
四层负载均衡由前端负载均衡器和后端服务器池组成,一组服务器池对应一个应用。前段负载均衡器采用LVS+Keepalived的架构,用两台LVS机器互为备份(Master/Backup)的角色,Master和Backup之间通过VRRP协议自动切换从而实现Fail-Over。对后端服务器应用的访问都会通过LVS进入,LVS采用DR模式,将流量分担到服务器池中不同服务器进行处理,但处理完成后由相应服务器直接返回结果给客户端,从而提高了系统效率。采用DR模式,为了使客户端收到的数据为负载均衡的源VIP地址,在相应服务器返回结果时需要进行源地址与目的地址的转换,转换由SLB控制系统控制,且为了配合控制程序生效,需要用户在将VM加入四层负载均衡后进行机器重启。
二、七层负载均衡
七层负载均衡架构如下:
七层服务均衡主要针对应用层服务提供负载均衡,例如HTTP服务等。对于HTTP服务而言,请求不仅仅通过LVS进行转发,而是在LVS和Web Server之间增加一层HAProxy转发服务。HAProxy作为应用层的负载平衡服务,在收到LVS 转发的连接后,对HTTP头进行分析,根据规则配置(域名)转发到相应的后端Web Server去。七层负载均衡出流量不同于四层直接从服务器出去,需要服务器转发流量到前端HAProxy,由Haproxy负责转发,因此七层负载均衡可以不配置公网IP。
1.2.1.2.3云数据RDS运维
总局云平台建设期已创建使用云数据库RDS 90个实例,服务于总局、省局和各司局业务上云需求,建设期间共提交处理RDS相关运维工单40个,涉及RDS 系统变更、使用故障、参数优化等各方面。充分掌握了云数据库RDS产品架构、使用场景及特点,协助总局在RDS运维管理方面达到最佳实践。
关系型数据库(即云数据库,简称RDS)是云平台提供的一种稳定可靠、可
弹性伸缩的在线数据库服务。RDS采用即开即用方式,兼容MySQL关系型数据库,并提供数据库在线扩容、备份回滚、性能监控及分析等功能。
一、系统架构
云数据库主要包括6大核心组件,包括: 云数据库代理模块,数据链路服务(DNS与LVS),调度系统,备份系统,高可用控制系统,在线迁移系统,监控系统。每个组件各自负责其预先设计的功能。
1、云数据库代理:主要通过对SQL语句的分析,可以做到对SQL注入监测,防暴力攻击,SQL日志查询,慢SQL日志查询等功能,如果某些SQL语句匹配了常见的SQL注入模型的话,将会被截获。本模块在提供系统安全性的同时,用户还可以使用此模块对自己执行的SQL语句进行查询和管理,并可根据监测结果对SQL语句进行优化。
2、数据链路服务:本组件主要负责用户访问实例时,数据链路的问题。其中DNS模块负责DNS的解析功能;而LVS模块则负责IP映射和端口转发,并提供网络防护、流量控制等功能。当用户实例遭到网络攻击,则会大量向该服务端口发送请求,而真正用户的请求就会被中断或响应缓慢;通过LVS流量探测功能
我们可以发现这种行为,并把目标IP置于黑名单中。
3、调度系统:调度系统中最为核心的部分,全面负责整个系统中所有任务的调度,以前各大组件之间的协调工作;他首先要处理的是各个任务之间的互斥关系,防止并发任务带来的任务之间冲突;另外要处理的是自身体系的高可用以及稳定性;它可以支持多服务节点任务抢占模式进行工作,并在服务节点之间的健康检查和任务接管;使得整个系统更安全可靠。
4、备份系统:主要负责所有集群内所有实例数据的备份 ,并进行集中存储;系统自身有高可用保护,在多个备份管理机之间有健康检查;发现有成员不健康会自动接管其任务;备份任务可以并发地进行,并发度可以受到精确控制,这样可以防止IO资源,网络资源撑满。
5、高可用控制系统:负责所有实例主备之间的健康检查以及实时切换。同时对于集群扩展,新节点会自动探测压力大的节点,并接管任务。
6、在线迁移系统:在线迁移系统主要负责实例在不同主机之间的迁移工作,触发迁移作业的常见原因是物理机已接近饱和时,为保障用户使用,RDS后台会自动将部分实例进行迁移。另外,如果用户主动发起数据库扩容申请,然而所在设备的物理资源不满足需求时,RDS将会自动触发迁移工作,将数据库迁移到资源充裕的设备节点。
7、监控系统:负责系统正常运转的检查,以及实例相关状态和性能数据收集;如实例监控、物理资源监控、实例使用资源监控、系统一致性监控、网络监控及报警功能。
二、RDS特性
防DDoS攻击:当RDS为公网访问时,云平台安全体系会自动判断RDS是否正在遭受DDoS攻击,并启动流量清洗的功能,若攻击达到黑洞阈值或清洗失效,将会进行黑洞处理。
SQL注入告警:RDS会通过解析SQL语句,判断是否遭受SQL注入攻击,并提示修改应用程序。
IP访问白名单:白名单可以使RDS实例得到最高级的访问安全保护;建议设置访问源IP地址或者IP段,最多设置100个。
将数据迁移至RDS:RDS for MySQL提供在线迁移数据的方式,可以不停止
原有数据库运行的情况下完成数据迁移操作;RDS for SQL Server提供上传备份文件迁移至RDS的迁移方式,可便捷的完成数据的导入操作。
实例在线升级:RDS提供的在线升级服务,包括实例配置的升级和数据库版本的升级,升级过程无需用户介入。
系统性能监控:RDS提供近20个系统性能的监控视图,如磁盘容量、IOPS、连接数、CPU利用率、网络流量等,用户可以轻松查看实例的负载。
优化建议:RDS提供多种优化建议,如存储引擎检查、主键检查、大表检查、索引偏多、缺失索引等,用户可以根据优化建议并结合自身的应用来对数据库进行优化。
备份管理:RDS自动提供多重备份,同时RDS支持用户通过RDS管理控制台或OPEN API灵活变更备份的时间。数据回溯:RDS通过备份和日志,用户可以选择7天内的任意时间点创建一个临时实例,临时实例生成后验证数据无误,即可将数据迁移到RDS实例,从而完成数据回溯操作。
1.2.1.2.4安全云盾运维
云安全软件(云盾)则是在云平台上为税务的业务系统安全护航的首要和关键组件。依靠云平台自身的安全特性以及云盾为云上客户提供的攻击防御特性,云盾先后取得了国内外多项云安全认证:
1、全球首家获得云安全国际认证金牌(CSA STAR Certification)的云服务供应商。
2、全国首家获得ISO27001信息安全管理体系国际认证的云安全服务供应商。
3、全国首个通过公安部等级保护测评(DJCP)的云计算系统。
4、全国首批获得可信云权威机构认证。
5、本白皮书将介绍云平台云盾产品在云安全方面的各项特性和应用价值。
一、云环境下的安全威胁
云计算的虚拟化资源池、弹性架构、服务可度量、灵活接入和按需服务等特性让计算资源(包括网络,服务器,存储,应用软件,服务)变得像自来水一样随时、随地、随需可得,极大的优化了IT资源效率,但同时也对云上用户的IT 系统安全性提出了新的挑战。
1、网络入侵威胁
云计算平台是互联网的基础设施,客户的业务都是以数据的形式承载于云计算平台上,数据是云平台上最重要的资产。攻击者往往以数据为攻击目标,通过各种网络渗透攻击手段获取或者篡改客户的业务数据,从而达到非法目的。因此在云平台上防御攻击者的入侵行为是云计算环境下保护客户业务系统安全的重中之重。
在云环境中常见的网络入侵行为有:
(1)攻击者通过暴力破解或者其他方式获得操作系统、服务或者Web应用的访问权限,从而非法登录系统,直接获取敏感数据。或者在登录系统后直接篡改系统中的敏感数据已达到个人非法目的。
(2)攻击者利用系统或者Web应用漏洞发起远程攻击,窃取敏感数据数据。例如:攻击者利用Web系统漏洞,上传WebShell后门程序,从而获得服务器操作权限,利用系统权限直接下载数据库文件(拖库攻击)。攻击者通过同样的手段也可以直接修改系统中的敏感数据,例如利用Web应用漏洞发起SQL注入攻击,直接篡改数据库中存储的敏感数据。
(3)攻击者在云服务器上放置监听程序,监听网络中的数据包,从而获取敏感数据。同样攻击者也在云服务器上放置WebShell等木马后门程序,利用所获得的信息发起中间人攻击,或者钓鱼攻击。
2、内部威胁
随着业务系统访问、网络应用行为日益频繁,系统维护人员能够直接接触重要业务系统,产生内部威胁的概率也越来越高。这些内部行为,安全防护体系往往不能及时发现,定位源头,给企业带来了极大的困扰。
经常遇到的内部威胁有如下几种:
(1)内部系统维护人员对业务应用系统个的越权访问、违规操作,损害业务系统的运行安全;
(2)重要业务数据库,被员工或系统维护人员篡改牟利、外泄,给企业造成巨大的经济损失。
3、云盾安全防护能力
云平台云盾结合云计算平台强大的数据分析能力,为云用户提供多层面一体化的安全防护服务。
云盾企业版由云网络流量监控系统、主机入侵防御系统和安全审计等功能模块组成,结合云平台专业的安全运营服务为云用户提供了入侵防御、安全审计和集中管控等一站式安全保障。
4、主机安全防御
云平台云盾主机安全防御由C/S架构的主机防御系统,其中云服务器上部署Client端负责信息搜集,由统一的Server端进行检测数据分析,主机安全防御服务提供:密码暴力破解防御、木马文件检测和处理、异地登陆告警、高危漏洞主动修复等四大功能。
云盾主机安全防御具有以下特点和优势:
(1)海量的暴力破解防御能力
云盾主机安全防御基于云平台大数据处理能力,实时识别出暴力破解攻击行为,在公有云环境下日均拦截暴力破解行为超过8.5亿次。支持SSH/RDP/MYSQL/FTP/MSSQL等常见应用的暴力破解防护。
(2)精准的Web木马检测
利用动静结合的检测方式,对网页木马进行分析检测:
通过HTML和javascript引擎对可疑的代码进行解析,利用基于云平台数百万量级的恶意文件特征库进行静态模式匹配识别。
同时通过模拟浏览器对被检测页面进行访问,动态地分析代码的恶意行为,从而发现未知木马,及时地主动隔离,实现木马检测的“0”误报。
(3)异地登陆告警
据统计在服务器异地登录事件中,有超过半数事件是入侵或者攻击行为。异地登录告警功能基于用户的登录行为模型,准确识别出异地(精确到地市级)、
异地登录行为,对疑似的非管理员登录系统行为通过手机短信进行告警。
(4)高危漏洞主动修复
借助云平台大数据计算能力,云盾可第一时间获取0day漏洞的技术细节,并在主机上自动完成高危漏洞修复。覆盖范围包括:Web应用漏洞修复、系统文件修复、rookit后门清除等。
5、安全审计
云盾的安全审计系统是基于云计算平台的一体化解决方案。对标信息系统安全等级保护基本要求,从物理服务器层面,网络设备层面,云计算平台应用层面分别进行,实现了行为日志的收集,存储,分析,报警等功能。
该服务具有以下特点和优势:
(1)行为日志全面无死角
云盾的安全审计能够覆盖云计算的多个业务,以及网络和物理宿主机,能够从各个角度对行为进行收集分析,确保了不会因为覆盖面不够导致的审计缺失。日志收集中心集中准实时同步回收行为日志,确保了。
(2)日志存储可靠
日志的存储基于云计算存储业务,集群化三备份。存储安全稳定性有保障。存储空间也快速可扩充。
(3)海量数据实时查询
通过对海量日志数据构建全文索引,具备了大量数据的快速检索查询能力。目前已经实现了500亿条日志的同时索引,各种查询响应在1-3秒返回结果。
(4)海量数据分析
基云平台大数据分析业务ODPS的数据分析实现,完成海量数据的规则学习,通过大数据分析任务实现海量数据的风险事件识别。
二、云盾应用价值
通过网络流量监控系统和应用防火墙在网络层对恶意的攻击行为进行识别,实时地阻断网络攻击行为。
在主机层对Web木马和恶意文件进行实时查杀,避免云服务器被攻击者利用。实时拦截暴力破解行为,并对异常的登录行为进行告警,避免攻击者利用弱口令登录系统窃取或者破坏客户业务数据。同时云盾还可以在第一时间发现高危
漏洞,并在主机上进行自动修复,避免高危漏洞被攻击者利用。
云盾由多个功能模块组成,在专有云网络出口、专有云网络中、云服务器上实现纵深防御,多点联动。为了方便用户集中管理和实时掌握云平台安全风险,云盾集中管控系统为用户提供了统一的管理视图,用户可以在集中管控系统上对所有安全防护模块中的安全策略进行统一管理。同时还可以在集中管控系统上对日志进行关联分析。
1.2.1.2.5虚拟专有网络软件VPC运维
虚拟专有网络软件(VPC)有效地将云平台资源在网络层面划分为生产、测试等多个环境,实现各个系统间资源隔离互不影响。
虚拟专有网络软件(VPC)是基于云平台构建出一个隔离的网络环境。您可以完全掌控自己的虚拟网络,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。此外您也可以通过专线/ VPN 等连接方式将 VPC 与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。
专有网络与经典网络的区别:
经典网络类型的云产品,统一部署在云平台的公共基础网络内,网络的规划和管理由云平台负责,更适合对网络易用性要求比较高的客户。
专有网络,是指用户在云平台的基础网络内建立一个可以自定义的专有隔离网络,用户可以自定义这个专有网络的网络拓扑和IP地址,与经典网络相比,专有网络比较适合有网络管理能力和需求的客户。
一、体系架构
基于目前主流的隧道技术,专有网络(Virtual Private Cloud,简称VPC)隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一张虚拟化网络。一个VPC内的ECS之间的传输数据包都会加上隧道封装,带有唯一的隧道ID标识,然后送到物理网络上进行传输。不同VPC内的ECS因为所在的隧道ID不同,本身处于两个不同的路由平面,从而使得两个不同的隧道无法进行通信,天然的进行了隔离。
基于隧道技术,云平台的研发团队自研了交换机,软件自定义网络(Software Defined Network,简称SDN)技术和硬件网关,在此基础上实现了VPC产品。
如上图所示,在VPC架构里面包含交换机、网关和控制器三个重要的组件。
1、交换机和网关组成了数据通路的关键路径,控制器使用自研的协议下发转发表到网关和交换机,完成了配置通路的关键路径,整体架构里面,配置通路和数据通路互相分离。
2、交换机是分布式的结点,网关和控制器都有集群部署并且是多机房互备的,所有链路上都有冗余容灾,提升了VPC产品的整体可用性。
3、交换机和网关性能在业界都是领先的,自研的SDN协议和控制器,能轻松管控公有云成千上万张虚拟网络。
在产品上,除了给用户一张独立的虚拟化网络,云平台还为每个VPC提供了独立的路由器、交换机组件,让用户可以更加丰富的进行组网。针对有内网安全需求的用户,还可以使用安全组技术在一个VPC进行更加细粒度的访问控制和隔离。缺省情况下,VPC内的ECS只能和本VPC内其他ECS通信,或者和VPC内的其他云服务之间进行通信。用户可以使用云平台提供的VPC相关的EIP功能、高速通道功能,使得VPC可以和Internet、其他VPC、用户自有的网络(如用户办公网络、用户数据中心)之间进行通信。
二、功能特性
1、子网划分
可以通过交换机将专有网络的私有IP 地址划分成一个或多个子网,根据需要将应用程序和其他服务部署在对应的交换机下。
2、自定义路由规则
根据业务需求配置虚拟路由器的路由规则,管理专有网络流量的转发路径。
3、弹性公网 IP
弹性公网 IP ,是可以独立申请使用的公网 IP 地址。弹性公网 IP 可以按需的绑定到相同地域下专有网络类型的云产品实例上,绑定和解绑操作都即时生效。
4、安全组
使用安全组功能,可以将专有网络中的产品实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则。
5、支持高速通道,构建混合云
专有网络与高速通道结合,在实现网络拓扑灵活性的基础上保证跨网络通信的质量和安全性
(1)通过高速通道可以实现跨地域/跨用户的专有网络间内网互通,实现用户网络在云平台上的扩展。
(2)通过专线接入实现专有网络与自有机房的私网通信,轻松构建混合云。
6、支持自建 VPN 网关
支持通过云服务器ECS 搭建用户VPN 网关实现专有网络与外部网络的连接,您可以自行搭建 VPN 网关,也可以通过云市场提供的多种 VPN 产品进行搭建。
7、支持 NAT 网关
可以使用 NAT 网关作为 VPC 的公网网关,实现 SNAT / DNAT / 共享带宽
1、通过 NAT 网关的 DNAT 功能,可以实现公网 IP 与 ECS 之间的端口级映射或者 IP 级映射,使对外提供服务的 IP / 端口 / ECS 在规划实施时更加灵活。
2、通过 NAT 网关的 SNAT 功能,可以实现无公网 IP 的 ECS 安全的访问互联网。(即将上线)
3、NAT 网关上的公网 IP 和公网带宽抽象为共享带宽包,支持多 IP 共享公网带宽。
三、适用场景
1、在云平台上管理用户专属的网络
首先按照网络规划创建专有网络、交换机,并在该专有网络中创建云产品实例(如ECS、RDS、SLB、OSS等)并使用。
2、VPC中跨可用区部署资源
用户可以通过将资源部署在处于不同可用区的交换机中,从而实现利用云平台可用区进行容灾。