玩转腾讯云-云上网络实操

1.实操笔记

本文带大家一起通过实操方式来学习腾讯云私有网络管理，通过弹性公网IP、NAT网关访问Internet，通过安全组、ACL进行网络访问控制。对等连接、云联网实现跨地域网络访问等网络互联实操请参阅：玩转腾讯云-网络互联实操。

1.1.腾讯云网络总览

正式实操之前我们来总体了解下腾讯云网络私有网络 腾讯云网络总览 - 文档中心 - 腾讯云

1.2.云上网络实操

1.2.1.私有网络管理

私有网络是自主可控、安全隔离的云上专属网络空间。私有网络内部默认互通，私有网络间默认不能通过内网互访，需要借助对等连接、云联网等方式进行互访。

1、在广州地域创建私有网络vpc-gz01（规划网段为10.1.0.0/16），在广州三区添加默认子网net-z3-30（规划网段为10.1.30.0/24）

2、在vpc-gz01下添加广州四区子网net-z4-40（规划网段为10.1.40.0/24）

1.2.2.无公网IP服务器准备

在广州地域、广州三区关联vpc-gz01、net-z3-30购买一台无公网IP、默认安全组放通全部端口的服务器。

1、网络&带宽选择

2、选择“默认安全组放通全部端口“

3、创建成功

4、修改实例名称提升实例可识别度

1.2.3.弹性公网IP验证

弹性公网IP可灵活绑定/解绑云资源，常用于单台云资源与公网互访的场景，以下通过实操演示无外网IP云服务器通过弹性公网IP提供公网访问。

例如，绑定了弹性公网 IP 的云服务器可与公网互访。

1、进入“私有网络-》IP与网卡-》公网IP“页面，购买广州地域弹性公网IP

2、服务器绑定公网IP并调整带宽

• 绑定弹性公网IP

• 服务器带宽从0调整成5Mb

• 本地ping 106.53.113.86（绑定的弹性公网IP）验证网络联通性-》可正常访问

1.2.4.安全组访问控制

安全组用于实例级别的访问控制，用于控制云服务器、负载均衡等实例的进出流量，以下通过实操演示通过安全组控制服务器实例外网访问。

1、在广州地域新建安全组default-deny，设置入站规则、出站规则均添加0.0.0.0/0 ALL 拒绝

• 新建安全组

• 设置入站规则添加0.0.0.0/0 ALL 拒绝

• 设置出站规则添加0.0.0.0/0 ALL 拒绝

2、给服务器添加安全组规则default-deny

3、使用实例端口验通进行测试-》端口策略显示放通

4、调整安全组规则顺序将default-deny移至最前

5、使用实例端口验通进行测试-》端口策略显示未放通

6、删除该实例的default-deny安全组策略（请务必执行该操作，否则会影响后面实操）

1.2.5.ACL子网访问控制

1、vpc-gz01，net-z4-40购买一台按量的带公网IP服务器备用，并修改服务器名称为gz-az4-15增加识别度

2、在本地ping gz-az3-04外网网IP或者在腾讯云控制台登录gz-az4-15服务器ping gz-az3-04内网IP验证连通性-》可以访问

• 本地ping

• 腾讯云同vpc服务器服务器ping

3、进入“私有网络-》安全-》网络ACL“页面，创建gz01-acl-1 -》选择vpc-gz01（ACL默认禁止入流量与出流量）

4、gz01-acl-1关联子网net-z3-30

5、重复第2步ping动作验证连通性-》网络不通

• 本地ping

• 腾讯云同vpc服务器服务器ping

6、进入“私有网络-》子网“页面，点击net-z3-30进入子网管理页面解除ACL关联（请务必执行该操作，否则会影响后面实操）

1.2.6.NAT网关

NAT 网关 快速入门 - 文档中心 - 腾讯云

NAT主要配置包括创建NAT网关、配置相关子网所关联路由、新建端口转发等，以下为实操过程。

1、先解绑gz-az3-04的弹性公网IP（用于验证NAT网关）（实验过程中如果没有进行1.2.3实操可以忽略此步骤）

2、创建所属网络为vpc-gz01的NAT网关nat-gz01，关联第1步解绑的公网IP

3、进入“私有网络-》子网“页面，找到gz-az3-04服务器所在子网（net-z3-30），点击列表中对应的路由表id进入子网路由基本信息界面，点击“新增路由策略”，目的端配置为0.0.0.0/0，下一跳类型为NAT网关，下一跳选择刚才创建的NAT网关

4、进入“私有网络-》NAT网关“页面，点击刚才创建的NAT网关进行配置界面，新建端口转发（DNAT），配置10.1.30.4服务器ssh 22端口通过NAT弹性网卡2204端口转发

5、本地telnet 106.53.113.86 2204（NAT网关IP和转发端口） 验证网络联通性-》可以访问（实验截图）

6、ssh -p 2204 root@106.53.113.86登录该服务器，ping qq.com正常回包（实验截图）

7、可以第3步配置子网路由策略的进行启用、停用路由表控制路由的有效性（实验截图）

2.学习笔记

2.1.要点信息

1、腾讯云网络总览非常全面介绍了腾讯云网络产品及典型使用场景，入门必看：私有网络 腾讯云网络总览 - 文档中心 - 腾讯云

2、私有网络(VPC)间完全逻辑隔离，可以通过对等连接等方式进行网络互通；VPC支持安全组和网络ACL两种级别的访问控制；

3、VPC CIDR（主）创建后不可修改，当 VPC 的主 CIDR 不满足业务分配时，您可以创建辅助 CIDR 来扩充网段，辅助CIDR相关信息请参见 编辑 IPv4 CIDR。同一个VPC下子网不论属于住CIDR还是辅助CIDR均默认互通，但也有诸多限制，强烈建议创建VPC时做好CIDR规划私有网络 网络规划-快速入门-文档中心-腾讯云-腾讯云，不要过度依赖辅助CIDR。

4、私有网络具有 地域（Region） 属性（如广州），而子网具有 可用区（Zone） 属性（如广州一区），您可以为私有网络划分一个或多个子网，同一私有网络下不同子网默认内网互通，不同私有网络间（无论是否在同一地域）默认内网隔离。

5、几种常见的VPC连接方案：

• 通过弹性公网 IP 和 NAT 网关等，实现 VPC 内的云服务器、云数据库等资源连接公网。
• 通过对等连接和云联网，实现不同 VPC 间的通信。
• 通过 VPN 连接、专线接入和云联网，实现 VPC 与本地数据中心的互联。
• 不同地域的各分支机构可通过 SD-WAN 的 Edge 设备关联至云联网，通过云联网实现混合云网络互联。

SD-WAN 接入服务 产品概述 - 产品简介 - 文档中心 - 腾讯云

6、IPv4 地址和 IPv6 地址

• 普通公网IP可以转EIP，每个账户每个地域EIP配额20，且EIP需要收取IP资源费，弹性公网 IP 不可转换为普通公网 IP，不要把所有服务器公网IP转EIP普通公网 IP 转 EIP
• 您可以找回您使用过、且未被其它用户使用的普通公网 IP/弹性公网 IP，详情请参见 找回公网 IP 地址。
• 腾讯云的 IPv6 地址，可同时作为内网 IPv6 地址和公网 IPv6 地址，默认情况下是内网 IPv6 地址，当需要开通公网能力时，可参考 管理 IPv6 公网，将该内网 IPv6 地址变更为公网 IPv6 地址。如果您不主动做释放、重新分配操作，该 IPv6 地址不会改变。

7、配额限制

私有网络 配额限制 - 产品简介 - 文档中心 - 腾讯云

网络规划：在您使用腾讯云私有网络前，为避免临时扩容带来的问题，您需要结合业务来规划私有网络的数量及网段等。如果您需要建立多个私有网络，且私有网络间或私有网络与 IDC 间有通信需求时，请避免私有网络网段与互通的网段重叠。在多私有网络场景下的相关建议：

• 请尽量给不同私有网络规划不同的网段。
• 若无法给不同私有网络规划不同的网段，请尽量给不同私有网络的子网规划不同的网段。
• 若无法给不同私有网络的子网规划不同的网段，请确保规划通信子网网段不同。

8、节约网络成本

• 共享带宽包支持资源
• 设备带宽包支持的资源类型：云服务器、负载均衡。
• IP 带宽包支持的资源类型：普通公网 IP、弹性公网 IP（支持绑定云服务器、NAT 网关）、弹性公网 IPv6、负载均衡。
• 共享流量包支撑资源
• 抵扣同地域内公网网络计费模式为按流量计费的云服务器、弹性公网 IP、弹性公网 IPv6、负载均衡和 NAT 网关的流量费用，直到共享流量包用完或到期为止。

9、安全组

• 安全组策略如果需要设置拒绝需要把拒绝策略放前面
• 设置完安全组后可通过“实例端口验通”来确认安全组策略生效情况

2.2.重点概念

1、CIDR：CIDR（Classless Inter-Domain Routing）即无类别域间路由，由您指定的独立网络空间地址块，通过 IP 和掩码结合，实现对网络的整体划分。以10.1.0.0/16为例，其中10.1.0.0为网络块的 IP，16为网络块的掩码。通过设定掩码的大小，可以调整网络块的大小设定。网络块包括的 IP 数 = 2 ^( 32 - 掩码)，因此10.1.0.0/16网络块最多包含65536个 IP 地址。

2、安全组：安全组是一种有状态的包过滤虚拟防火墙，用于控制实例级别的出入流量，是重要的网络安全隔离手段。

3、网络 ACL：网络 ACL 是一个子网级别的、无状态的包过滤虚拟防火墙，用于控制进出子网的数据流，可以精确到协议和端口粒度。

4、访问管理（CAM）：访问管理提供用户安全管理腾讯云账户下所有资源的访问权限。通过访问管理，您可以对私有网络的访问进行权限管理，例如，通过身份管理和策略管理控制用户访问私有网络的权限。

3.课后实验

3.1.实验一：无公网IP服务器通过NAT访问互联网

3.1.1.操作过程

1、完成“1.2.1. 私有网络管理”全部操作

2、完成“1.2.2. 无公网IP服务器准备“全部操作

3、完成“1.2.6. NAT网关”

3.1.2.通过标准

1、“1.2.6. NAT网关”章节5、6、7三个步骤的截图