玩转腾讯云-云上网络实操

1.实操笔记

本文带大家一起通过实操方式来学习腾讯云私有网络管理,通过弹性公网IP、NAT网关访问Internet,通过安全组、ACL进行网络访问控制。对等连接、云联网实现跨地域网络访问等网络互联实操请参阅:玩转腾讯云-网络互联实操。

1.1.腾讯云网络总览

正式实操之前我们来总体了解下腾讯云网络私有网络 腾讯云网络总览 - 文档中心 - 腾讯云

1.2.云上网络实操

1.2.1.私有网络管理

私有网络是自主可控、安全隔离的云上专属网络空间。私有网络内部默认互通,私有网络间默认不能通过内网互访,需要借助对等连接、云联网等方式进行互访。

1、在广州地域创建私有网络vpc-gz01(规划网段为10.1.0.0/16),在广州三区添加默认子网net-z3-30(规划网段为10.1.30.0/24)

2、在vpc-gz01下添加广州四区子网net-z4-40(规划网段为10.1.40.0/24)

1.2.2.无公网IP服务器准备

在广州地域、广州三区关联vpc-gz01、net-z3-30购买一台无公网IP、默认安全组放通全部端口的服务器。

1、网络&带宽选择

2、选择“默认安全组放通全部端口“

3、创建成功

4、修改实例名称提升实例可识别度

1.2.3.弹性公网IP验证

弹性公网IP可灵活绑定/解绑云资源,常用于单台云资源与公网互访的场景,以下通过实操演示无外网IP云服务器通过弹性公网IP提供公网访问。

例如,绑定了弹性公网 IP 的云服务器可与公网互访。

1、进入“私有网络-》IP与网卡-》公网IP“页面,购买广州地域弹性公网IP

2、服务器绑定公网IP并调整带宽

  • 绑定弹性公网IP
  • 服务器带宽从0调整成5Mb
  • 本地ping 106.53.113.86(绑定的弹性公网IP)验证网络联通性-》可正常访问

1.2.4.安全组访问控制

安全组用于实例级别的访问控制,用于控制云服务器、负载均衡等实例的进出流量,以下通过实操演示通过安全组控制服务器实例外网访问。

1、在广州地域新建安全组default-deny,设置入站规则、出站规则均添加0.0.0.0/0 ALL 拒绝

  • 新建安全组
  • 设置入站规则添加0.0.0.0/0 ALL 拒绝
  • 设置出站规则添加0.0.0.0/0 ALL 拒绝

2、给服务器添加安全组规则default-deny

3、使用实例端口验通进行测试-》端口策略显示放通

4、调整安全组规则顺序将default-deny移至最前

5、使用实例端口验通进行测试-》端口策略显示未放通

6、删除该实例的default-deny安全组策略(请务必执行该操作,否则会影响后面实操)

1.2.5.ACL子网访问控制

1、vpc-gz01,net-z4-40购买一台按量的带公网IP服务器备用,并修改服务器名称为gz-az4-15增加识别度

2、在本地ping gz-az3-04外网网IP或者在腾讯云控制台登录gz-az4-15服务器ping gz-az3-04内网IP验证连通性-》可以访问

  • 本地ping
  • 腾讯云同vpc服务器服务器ping

3、进入“私有网络-》安全-》网络ACL“页面,创建gz01-acl-1 -》选择vpc-gz01(ACL默认禁止入流量与出流量)

4、gz01-acl-1关联子网net-z3-30

5、重复第2步ping动作验证连通性-》网络不通

  • 本地ping
  • 腾讯云同vpc服务器服务器ping

6、进入“私有网络-》子网“页面,点击net-z3-30进入子网管理页面解除ACL关联(请务必执行该操作,否则会影响后面实操)

1.2.6.NAT网关

NAT 网关 快速入门 - 文档中心 - 腾讯云

NAT主要配置包括创建NAT网关、配置相关子网所关联路由、新建端口转发等,以下为实操过程。

1、先解绑gz-az3-04的弹性公网IP(用于验证NAT网关)(实验过程中如果没有进行1.2.3实操可以忽略此步骤)

2、创建所属网络为vpc-gz01的NAT网关nat-gz01,关联第1步解绑的公网IP

3、进入“私有网络-》子网“页面,找到gz-az3-04服务器所在子网(net-z3-30),点击列表中对应的路由表id进入子网路由基本信息界面,点击“新增路由策略”,目的端配置为0.0.0.0/0,下一跳类型为NAT网关,下一跳选择刚才创建的NAT网关

4、进入“私有网络-》NAT网关“页面,点击刚才创建的NAT网关进行配置界面,新建端口转发(DNAT),配置10.1.30.4服务器ssh 22端口通过NAT弹性网卡2204端口转发

5、本地telnet 106.53.113.86 2204(NAT网关IP和转发端口) 验证网络联通性-》可以访问(实验截图)

6、ssh -p 2204 root@106.53.113.86登录该服务器,ping qq.com正常回包(实验截图)

7、可以第3步配置子网路由策略的进行启用、停用路由表控制路由的有效性(实验截图)

2.学习笔记

2.1.要点信息

1、腾讯云网络总览非常全面介绍了腾讯云网络产品及典型使用场景,入门必看:私有网络 腾讯云网络总览 - 文档中心 - 腾讯云

2、私有网络(VPC)间完全逻辑隔离,可以通过对等连接等方式进行网络互通;VPC支持安全组和网络ACL两种级别的访问控制;

3、VPC CIDR(主)创建后不可修改,当 VPC 的主 CIDR 不满足业务分配时,您可以创建辅助 CIDR 来扩充网段,辅助CIDR相关信息请参见 编辑 IPv4 CIDR。同一个VPC下子网不论属于住CIDR还是辅助CIDR均默认互通,但也有诸多限制,强烈建议创建VPC时做好CIDR规划私有网络 网络规划-快速入门-文档中心-腾讯云-腾讯云,不要过度依赖辅助CIDR。

4、私有网络具有 地域(Region) 属性(如广州),而子网具有 可用区(Zone) 属性(如广州一区),您可以为私有网络划分一个或多个子网,同一私有网络下不同子网默认内网互通,不同私有网络间(无论是否在同一地域)默认内网隔离。

5、几种常见的VPC连接方案:

  • 通过弹性公网 IP 和 NAT 网关等,实现 VPC 内的云服务器、云数据库等资源连接公网。
  • 通过对等连接和云联网,实现不同 VPC 间的通信。
  • 通过 VPN 连接、专线接入和云联网,实现 VPC 与本地数据中心的互联。
  • 不同地域的各分支机构可通过 SD-WAN 的 Edge 设备关联至云联网,通过云联网实现混合云网络互联。

SD-WAN 接入服务 产品概述 - 产品简介 - 文档中心 - 腾讯云

6、IPv4 地址和 IPv6 地址

  • 普通公网IP可以转EIP,每个账户每个地域EIP配额20,且EIP需要收取IP资源费,弹性公网 IP 不可转换为普通公网 IP,不要把所有服务器公网IP转EIP普通公网 IP 转 EIP
  • 您可以找回您使用过、且未被其它用户使用的普通公网 IP/弹性公网 IP,详情请参见 找回公网 IP 地址
  • 腾讯云的 IPv6 地址,可同时作为内网 IPv6 地址和公网 IPv6 地址,默认情况下是内网 IPv6 地址,当需要开通公网能力时,可参考 管理 IPv6 公网,将该内网 IPv6 地址变更为公网 IPv6 地址。如果您不主动做释放、重新分配操作,该 IPv6 地址不会改变。

7、配额限制

私有网络 配额限制 - 产品简介 - 文档中心 - 腾讯云

网络规划:在您使用腾讯云私有网络前,为避免临时扩容带来的问题,您需要结合业务来规划私有网络的数量及网段等。如果您需要建立多个私有网络,且私有网络间或私有网络与 IDC 间有通信需求时,请避免私有网络网段与互通的网段重叠。在多私有网络场景下的相关建议:

  • 请尽量给不同私有网络规划不同的网段。
  • 若无法给不同私有网络规划不同的网段,请尽量给不同私有网络的子网规划不同的网段。
  • 若无法给不同私有网络的子网规划不同的网段,请确保规划通信子网网段不同。

8、节约网络成本

  • 共享带宽包支持资源
  • 设备带宽包支持的资源类型:云服务器、负载均衡。
  • IP 带宽包支持的资源类型:普通公网 IP、弹性公网 IP(支持绑定云服务器、NAT 网关)、弹性公网 IPv6、负载均衡。
  • 共享流量包支撑资源
  • 抵扣同地域内公网网络计费模式为按流量计费的云服务器、弹性公网 IP、弹性公网 IPv6、负载均衡和 NAT 网关的流量费用,直到共享流量包用完或到期为止。

9、安全组

  • 安全组策略如果需要设置拒绝需要把拒绝策略放前面
  • 设置完安全组后可通过“实例端口验通”来确认安全组策略生效情况

2.2.重点概念

1、CIDR:CIDR(Classless Inter-Domain Routing)即无类别域间路由,由您指定的独立网络空间地址块,通过 IP 和掩码结合,实现对网络的整体划分。以10.1.0.0/16为例,其中10.1.0.0为网络块的 IP,16为网络块的掩码。通过设定掩码的大小,可以调整网络块的大小设定。网络块包括的 IP 数 = 2 ^( 32 - 掩码),因此10.1.0.0/16网络块最多包含65536个 IP 地址。

2、安全组:安全组是一种有状态的包过滤虚拟防火墙,用于控制实例级别的出入流量,是重要的网络安全隔离手段。

3、网络 ACL:网络 ACL 是一个子网级别的、无状态的包过滤虚拟防火墙,用于控制进出子网的数据流,可以精确到协议和端口粒度。

4、访问管理(CAM):访问管理提供用户安全管理腾讯云账户下所有资源的访问权限。通过访问管理,您可以对私有网络的访问进行权限管理,例如,通过身份管理和策略管理控制用户访问私有网络的权限。

3.课后实验

3.1.实验一:无公网IP服务器通过NAT访问互联网

3.1.1.操作过程

1、完成“1.2.1. 私有网络管理”全部操作

2、完成“1.2.2. 无公网IP服务器准备“全部操作

3、完成“1.2.6. NAT网关”

3.1.2.通过标准

1、“1.2.6. NAT网关”章节5、6、7三个步骤的截图