玩转腾讯云-云上网络实操

原创

hsp

修改于 2023-11-21 18:40:42

8.1K0

文章被收录于专栏：玩转腾讯云玩转腾讯云

1.实操笔记

本文带大家一起通过实操方式来学习腾讯云私有网络管理，通过弹性公网IP、NAT网关访问Internet，通过安全组、ACL进行网络访问控制。对等连接、云联网实现跨地域网络访问等网络互联实操请参阅：玩转腾讯云-网络互联实操。

1.1.腾讯云网络总览

正式实操之前我们来总体了解下腾讯云网络私有网络腾讯云网络总览 - 文档中心 - 腾讯云

1.2.云上网络实操

1.2.1.私有网络管理

私有网络是自主可控、安全隔离的云上专属网络空间。私有网络内部默认互通，私有网络间默认不能通过内网互访，需要借助对等连接、云联网等方式进行互访。

1、在广州地域创建私有网络vpc-gz01（规划网段为10.1.0.0/16），在广州三区添加默认子网net-z3-30（规划网段为10.1.30.0/24）

2、在vpc-gz01下添加广州四区子网net-z4-40（规划网段为10.1.40.0/24）

1.2.2.无公网IP服务器准备

在广州地域、广州三区关联vpc-gz01、net-z3-30购买一台无公网IP、默认安全组放通全部端口的服务器。

1、网络&带宽选择

2、选择“默认安全组放通全部端口“

3、创建成功

4、修改实例名称提升实例可识别度

1.2.3.弹性公网IP验证

弹性公网IP可灵活绑定/解绑云资源，常用于单台云资源与公网互访的场景，以下通过实操演示无外网IP云服务器通过弹性公网IP提供公网访问。

例如，绑定了弹性公网 IP 的云服务器可与公网互访。

1、进入“私有网络-》IP与网卡-》公网IP“页面，购买广州地域弹性公网IP

2、服务器绑定公网IP并调整带宽

绑定弹性公网IP

服务器带宽从0调整成5Mb

本地ping 106.53.113.86（绑定的弹性公网IP）验证网络联通性-》可正常访问

1.2.4.安全组访问控制

安全组用于实例级别的访问控制，用于控制云服务器、负载均衡等实例的进出流量，以下通过实操演示通过安全组控制服务器实例外网访问。

1、在广州地域新建安全组default-deny，设置入站规则、出站规则均添加0.0.0.0/0 ALL 拒绝

新建安全组

设置入站规则添加0.0.0.0/0 ALL 拒绝

设置出站规则添加0.0.0.0/0 ALL 拒绝

2、给服务器添加安全组规则default-deny

3、使用实例端口验通进行测试-》端口策略显示放通

4、调整安全组规则顺序将default-deny移至最前

5、使用实例端口验通进行测试-》端口策略显示未放通

6、删除该实例的default-deny安全组策略（请务必执行该操作，否则会影响后面实操）

1.2.5.ACL子网访问控制

1、vpc-gz01，net-z4-40购买一台按量的带公网IP服务器备用，并修改服务器名称为gz-az4-15增加识别度

2、在本地ping gz-az3-04外网网IP或者在腾讯云控制台登录gz-az4-15服务器ping gz-az3-04内网IP验证连通性-》可以访问

本地ping

腾讯云同vpc服务器服务器ping

3、进入“私有网络-》安全-》网络ACL“页面，创建gz01-acl-1 -》选择vpc-gz01（ACL默认禁止入流量与出流量）

4、gz01-acl-1关联子网net-z3-30

5、重复第2步ping动作验证连通性-》网络不通

本地ping

腾讯云同vpc服务器服务器ping

6、进入“私有网络-》子网“页面，点击net-z3-30进入子网管理页面解除ACL关联（请务必执行该操作，否则会影响后面实操）

1.2.6.NAT网关

NAT 网关快速入门 - 文档中心 - 腾讯云

NAT主要配置包括创建NAT网关、配置相关子网所关联路由、新建端口转发等，以下为实操过程。

1、先解绑gz-az3-04的弹性公网IP（用于验证NAT网关）（实验过程中如果没有进行1.2.3实操可以忽略此步骤）

2、创建所属网络为vpc-gz01的NAT网关nat-gz01，关联第1步解绑的公网IP

3、进入“私有网络-》子网“页面，找到gz-az3-04服务器所在子网（net-z3-30），点击列表中对应的路由表id进入子网路由基本信息界面，点击“新增路由策略”，目的端配置为0.0.0.0/0，下一跳类型为NAT网关，下一跳选择刚才创建的NAT网关

4、进入“私有网络-》NAT网关“页面，点击刚才创建的NAT网关进行配置界面，新建端口转发（DNAT），配置10.1.30.4服务器ssh 22端口通过NAT弹性网卡2204端口转发

5、本地telnet 106.53.113.86 2204（NAT网关IP和转发端口）验证网络联通性-》可以访问（实验截图）

6、ssh -p 2204 root@106.53.113.86登录该服务器，ping qq.com正常回包（实验截图）

7、可以第3步配置子网路由策略的进行启用、停用路由表控制路由的有效性（实验截图）

2.学习笔记

2.1.要点信息

1、腾讯云网络总览非常全面介绍了腾讯云网络产品及典型使用场景，入门必看：私有网络腾讯云网络总览 - 文档中心 - 腾讯云

2、私有网络(VPC)间完全逻辑隔离，可以通过对等连接等方式进行网络互通；VPC支持安全组和网络ACL两种级别的访问控制；

3、VPC CIDR（主）创建后不可修改，当 VPC 的主 CIDR 不满足业务分配时，您可以创建辅助 CIDR 来扩充网段，辅助CIDR相关信息请参见编辑 IPv4 CIDR。同一个VPC下子网不论属于住CIDR还是辅助CIDR均默认互通，但也有诸多限制，强烈建议创建VPC时做好CIDR规划私有网络网络规划-快速入门-文档中心-腾讯云-腾讯云，不要过度依赖辅助CIDR。

4、私有网络具有地域（Region）属性（如广州），而子网具有可用区（Zone）属性（如广州一区），您可以为私有网络划分一个或多个子网，同一私有网络下不同子网默认内网互通，不同私有网络间（无论是否在同一地域）默认内网隔离。

5、几种常见的VPC连接方案：

通过弹性公网 IP 和 NAT 网关等，实现 VPC 内的云服务器、云数据库等资源连接公网。
通过对等连接和云联网，实现不同 VPC 间的通信。
通过 VPN 连接、专线接入和云联网，实现 VPC 与本地数据中心的互联。
不同地域的各分支机构可通过 SD-WAN 的 Edge 设备关联至云联网，通过云联网实现混合云网络互联。

SD-WAN 接入服务产品概述 - 产品简介 - 文档中心 - 腾讯云

6、IPv4 地址和 IPv6 地址

普通公网IP可以转EIP，每个账户每个地域EIP配额20，且EIP需要收取IP资源费，弹性公网 IP 不可转换为普通公网 IP，不要把所有服务器公网IP转EIP普通公网 IP 转 EIP
您可以找回您使用过、且未被其它用户使用的普通公网 IP/弹性公网 IP，详情请参见找回公网 IP 地址。
腾讯云的 IPv6 地址，可同时作为内网 IPv6 地址和公网 IPv6 地址，默认情况下是内网 IPv6 地址，当需要开通公网能力时，可参考管理 IPv6 公网，将该内网 IPv6 地址变更为公网 IPv6 地址。如果您不主动做释放、重新分配操作，该 IPv6 地址不会改变。

7、配额限制

私有网络配额限制 - 产品简介 - 文档中心 - 腾讯云

网络规划：在您使用腾讯云私有网络前，为避免临时扩容带来的问题，您需要结合业务来规划私有网络的数量及网段等。如果您需要建立多个私有网络，且私有网络间或私有网络与 IDC 间有通信需求时，请避免私有网络网段与互通的网段重叠。在多私有网络场景下的相关建议：

请尽量给不同私有网络规划不同的网段。
若无法给不同私有网络规划不同的网段，请尽量给不同私有网络的子网规划不同的网段。
若无法给不同私有网络的子网规划不同的网段，请确保规划通信子网网段不同。

8、节约网络成本

共享带宽包支持资源
设备带宽包支持的资源类型：云服务器、负载均衡。
IP 带宽包支持的资源类型：普通公网 IP、弹性公网 IP（支持绑定云服务器、NAT 网关）、弹性公网 IPv6、负载均衡。
共享流量包支撑资源
抵扣同地域内公网网络计费模式为按流量计费的云服务器、弹性公网 IP、弹性公网 IPv6、负载均衡和 NAT 网关的流量费用，直到共享流量包用完或到期为止。

9、安全组

安全组策略如果需要设置拒绝需要把拒绝策略放前面
设置完安全组后可通过“实例端口验通”来确认安全组策略生效情况

2.2.重点概念

1、CIDR：CIDR（Classless Inter-Domain Routing）即无类别域间路由，由您指定的独立网络空间地址块，通过 IP 和掩码结合，实现对网络的整体划分。以10.1.0.0/16为例，其中10.1.0.0为网络块的 IP，16为网络块的掩码。通过设定掩码的大小，可以调整网络块的大小设定。网络块包括的 IP 数 = 2 ^( 32 - 掩码)，因此10.1.0.0/16网络块最多包含65536个 IP 地址。

2、安全组：安全组是一种有状态的包过滤虚拟防火墙，用于控制实例级别的出入流量，是重要的网络安全隔离手段。

3、网络 ACL：网络 ACL 是一个子网级别的、无状态的包过滤虚拟防火墙，用于控制进出子网的数据流，可以精确到协议和端口粒度。

4、访问管理（CAM）：访问管理提供用户安全管理腾讯云账户下所有资源的访问权限。通过访问管理，您可以对私有网络的访问进行权限管理，例如，通过身份管理和策略管理控制用户访问私有网络的权限。