网络云服务-编程知识

网络云服务

网络是指多个计算机或其他设备连接在一起，以便它们可以互相通信和共享资源的系统。

网络可以是局域网（Local Area Network，LAN）、广域网（Wide Area Network，WAN）或互联网（Internet）等不同类型。

华为云拥有丰富的网络服务，提供安全、可扩展的云上网络环境，同时提供了高速、可靠的云上云下连接服务，能够方便的连接互联网和本地数据中心。

网络服务

虚拟私有云（Virtual Private Cloud，VPC）为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。

互联互通：多种方式连接公网（EIP、NAT网关、弹性公网IP等）；依靠对等连接，使用私有IP在两个VPC间通信。

安全可靠：安全组、网络ACL、安全通道等多重安全防护（SG(安全组)、ACL(访问控制列表)、VPN(虚拟专用网络)等）。

高速访问：全动态BGP协议接入多个运营商；寻路协议实时自动故障切换。

灵活配置：自定义虚拟私有网络；支持跨可用区部署弹性云服务器。

VPC架构

VPC组成部分：每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。

IP分为IPv4和IPv6，其中IPv4地址分为A、B、C、D、E五类，其中A(0-127)、B(128-191)、C(192-223)三类地址用于主机，D类地址(224-239)用于多播，E类地址(240-255)保留。

路由表：路由表由一系列路由规则组成，用于控制虚拟私有云内子网的出流量走向。每个子网都必须关联一个路由表，一个子网一次智能关联一个路由表，但一个路由表可以关联多个子网。

路由表

子网: 子网是VPC中的一个逻辑划分，每个子网对应一个可用区，子网内的云资源可以互相访问，不同子网之间的云资源需要通过路由器进行通信。

弹性公网IP：可以提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。

弹性公网IP

安全组：安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。

安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

安全组可分两种：默认安全组和自定义安全组。可以控制两个方向的流量：入方向和出方向。有两种行为：允许和拒绝。

安全组根据条件三元组（协议类型、端口号、IP地址）进行匹配，匹配成功后，根据规则的行为（允许或拒绝）来决定是否允许流量通过。

安全组

对等连接是指两个VPC之间的网络连接。实质是实现同一区域间，不同VPC之间的互通。

对等连接

只是创建对等连接没有意义，还需要在两个VPC的路由表中添加路由规则，才能实现两个VPC之间的通信。

网络ACL是对一个子网或多个子网的访问控制策略系统，是子网级别的安全层，通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网。

网络ACL

网络ACL与安全组的防护范围不同，安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。

网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。

网络ACL创建完成后，需要将网络ACL关联至目标子网，网络ACL规则才能控制出入该子网的流量。网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。
网络ACL是有状态的，即网络ACL规则是有序的，按照规则的顺序依次匹配，匹配成功后，不再继续匹配。
网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。

对比项目	安全组	网络ACL
防护对象	实例级别操作	子网级别操作
配置策略	支持允许、拒绝策略	支持允许、拒绝策略
优先级	多个规则冲突，取其并集生效	多个规则冲突，优先级高的规则优先生效
应用操作	创建实例时必须选择安全组，安全组自动应用到实例	创建子网没有网络ACL选项，如果创建网络ACL，需要添加关联子网、添加出入规则，并启用网络ACL，才可应用到关联子网及子网下的实例
报文组	仅支持报文三元组（即协议、端口和对端地址）过滤	支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤