动漫网站开发毕业设计,情人节给女朋友做网站,动漫设计与制作专业大学排名,建筑考试一、云中网络
物理机的劣势#xff1a;
1#xff09;一旦需要扩容 CPU、内存、硬盘#xff0c;都需要去机房手动弄#xff0c;非常麻烦 2#xff09;采购的机器往往动不动几百 G 的内存#xff0c;而每个应用往往可能只需要 4 核 8G 3#xff09;一台机器#xff0c;…一、云中网络
物理机的劣势
1一旦需要扩容 CPU、内存、硬盘都需要去机房手动弄非常麻烦 2采购的机器往往动不动几百 G 的内存而每个应用往往可能只需要 4 核 8G 3一台机器一旦一个用户不用了给另外一个用户那就需要重装操作系统
虚拟机的网路
网络共享和互通 在数据中心里面采取的也是类似的技术只不过都是 Linux在每台机器上都创建网桥 br0虚拟机的网卡都连到 br0 上物理网卡也连到 br0 上所有的 br0 都通过物理网卡出来连接到物理交换机上。 在这种方式下不但解决了同一台机器的互通问题也解决了跨物理机的互通问题因为都在一个二层网络里面彼此用相同的网段访问就可以了。但是当规模很大的时候会存在问题。 你还记得吗在一个二层网络里面最大的问题是广播。一个数据中心的物理机已经很多了广播已经非常严重需要通过 VLAN 进行划分。如果使用了虚拟机假设一台物理机里面创建 10 台虚拟机全部在一个二层网络里面那广播就会很严重所以除非是你的桌面虚拟机或者数据中心规模非常小才可以使用这种相对简单的方式。 NAT 虚拟机是你的电脑路由器和 DHCP Server 相当于家用路由器或者寝室长的电脑物理网卡相当于你们宿舍的外网网口用于访问互联网。所有电脑都通过内网网口连接到一个网桥 br0 上虚拟机要想访问互联网需要通过 br0 连到路由器上然后通过路由器将请求 NAT 成为物理网络的地址转发到物理网络。 如果是你自己登录到物理机上做个简单配置你可以简化一下。例如将虚拟机所在网络的网关的地址直接配置到 br0 上不用 DHCP Server手动配置每台虚拟机的 IP 地址通过命令 iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE直接在物理网卡 ethX 上进行 NAT所有从这个网卡出去的包都 NAT 成这个网卡的地址。通过设置 net.ipv4.ip_forward 1开启物理机的转发功能直接做路由器而不用单独的路由器这样虚拟机就能直接上网了。 隔离问题 如果一台机器上的两个虚拟机不属于同一个用户怎么办呢好在 brctl 创建的网桥也是支持 VLAN 功能的可以设置两个虚拟机的 tag这样在这个虚拟网桥上两个虚拟机是不互通的。
但是如何跨物理机互通并且实现 VLAN 的隔离呢由于 brctl 创建的网桥上面的 tag 是没办法在网桥之外的范围内起作用的于是我们需要寻找其他的方式。
有一个命令vconfig可以基于物理网卡 eth0 创建带 VLAN 的虚拟网卡所有从这个虚拟网卡出去的包都带这个 VLAN如果这样跨物理机的互通和隔离就可以通过这个网卡来实现。
首先为每个用户分配不同的 VLAN例如有一个用户 VLAN 10一个用户 VLAN 20。在一台物理机上基于物理网卡为每个用户用 vconfig 创建一个带 VLAN 的网卡。不同的用户使用不同的虚拟网桥带 VLAN 的虚拟网卡也连接到虚拟网桥上。
这样是否能保证两个用户的隔离性呢不同的用户由于网桥不通不能相互通信一旦出了网桥由于 VLAN 不同也不会将包转发到另一个网桥上。另外出了物理机也是带着 VLAN ID 的。只要物理交换机也是支持 VLAN 的到达另一台物理机的时候VLAN ID 依然在它只会将包转发给相同 VLAN 的网卡和网桥所以跨物理机不同的 VLAN 也不会相互通信。 二、软件定义网络SDN 可以这样比喻云计算就像大家一起住公寓要共享小区里面的基础设施其中网络就相当于小区里面的电梯、楼道、路、大门等大家都走往往会常出现问题尤其在上班高峰期出门的人太多对小区的物业管理就带来了挑战。 物业可以派自己的物业管理人员到每个单元的楼梯那里将电梯的上下行速度调快一点可以派人将隔离健身区、景色区的栅栏门暂时打开让大家可以横穿小区直接上地铁还可以派人将多个小区出入口改成出口多、入口少等等。等过了十点半上班高峰过去再派人都改回来。 如果物业管理人员有一套智能的控制系统在物业监控室里就能看到小区里每个单元、每个电梯的人流情况然后在监控室里面只要通过远程控制的方式拨弄一个手柄电梯的速度就调整了栅栏门就打开了某个入口就改出口了。 这就是软件定义网络SDN OpenFlow 和 OpenvSwitch(SDN的实现方式) OpenFlow 是 SDN 控制器和网络设备之间互通的南向接口协议OpenvSwitch 用于创建软件的虚拟交换机。OpenvSwitch 是支持 OpenFlow 协议的当然也有一些硬件交换机也支持 OpenFlow 协议。它们都可以被统一的 SDN 控制器管理从而实现物理机和虚拟机的网络连通。 对于 OpenvSwitch 来讲网络包到了我手里就是一个 Buffer我想怎么改怎么改想发到哪个端口就发送到哪个端口。 下面我们实验一下通过 OpenvSwitch 实现 VLAN 的功能
在 OpenvSwitch 中端口 port 分两种。 在网络中VLAN虚拟局域网用于将一个物理网络划分为多个逻辑网络提供更好的管理、隔离和安全性。Open vSwitchOVS是一种用于管理和控制虚拟网络交换机的软件可以实现VLAN功能。理解access port和trunk port的工作原理对于配置和管理VLAN至关重要。下面是对它们的通俗解释和举例说明
Access Port
定义
Access port配置一个特定的VLAN tag。从这个端口进来的网络包会被打上这个VLAN tag。如果一个网络包本身带有的VLAN ID等于配置的tag则会从这个port发出。从access port发出的包不带VLAN ID。
举例 假设你有一个Open vSwitch的端口port1它被配置为VLAN 10的access port。 从port1进入的包 一个无VLAN标签的包进入port1。OVS会给这个包打上VLAN 10的标签。这个包现在是一个VLAN 10的包。 从port1发出的包 一个带有VLAN 10标签的包从port1发出。OVS会移除VLAN标签使其变为一个无标签的包。这个包现在没有VLAN标签发送到下一个目的地。
Trunk Port
定义
Trunk port不配置固定的VLAN tag而是配置允许通过的VLAN IDtrunks。如果trunks为空表示所有VLAN的包都可以通过不限制。如果trunks不为空则只有配置的VLAN ID的包可以通过。Trunk port的包会保留其原有的VLAN ID。
举例 假设你有一个Open vSwitch的端口port2它被配置为trunk port允许VLAN 10和VLAN 20通过。 从port2进入的包 一个带有VLAN 10标签的包进入port2。 OVS检查这个包的VLAN ID发现它在允许通过的范围内VLAN 10和20。 这个包继续保持其VLAN 10标签传输到网络中的其他位置。 一个带有VLAN 30标签的包进入port2。 OVS检查这个包的VLAN ID发现它不在允许通过的范围内VLAN 10和20。 这个包被丢弃不会通过port2。 从port2发出的包 一个带有VLAN 10标签的包从port2发出。OVS保持其VLAN 10标签直接发送。这个包到达另一个trunk port或其他设备时仍然带有VLAN 10标签。
综合示例
假设我们有一个简单的网络包含两个端口port1和port2配置如下
port1配置为VLAN 10的access portport2配置为允许VLAN 10和VLAN 20的trunk port 接入设备A通过port1发送数据 设备A发送一个没有VLAN标签的数据包到port1。OVS给这个包打上VLAN 10标签并发送到网络中。 来自网络的VLAN 10包经过port2传输 一个带有VLAN 10标签的数据包进入port2。OVS检查包的VLAN标签发现允许通过。包保持VLAN 10标签继续传输到下一设备或端口。 来自网络的VLAN 30包经过port2传输 一个带有VLAN 30标签的数据包进入port2。OVS检查包的VLAN标签发现不允许通过。包被丢弃不会传输。
通过上述例子可以看到access port主要用于将单个设备连接到特定的VLAN而trunk port则用于在不同的VLAN之间传输数据确保VLAN隔离和管理。
实验二用 OpenvSwitch 模拟网卡绑定连接交换机
为了高可用可以使用网卡绑定连接到交换机OpenvSwitch 也可以模拟这一点。
三、云中网络安全
对于公有云上的虚拟机我的建议是仅仅开放需要的端口而将其他的端口一概关闭。这个时候你只要通过安全措施守护好这个唯一的入口就可以了。采用的方式常常是用ACLAccess Control List访问控制列表来控制 IP 和端口。
设置好了这些规则只有指定的 IP 段能够访问指定的开放接口就算有个有漏洞的后台进程在那里也会被屏蔽黑客进不来。在云平台上这些规则的集合常称为安全组。
当一个网络包进入机器 有了这个 Netfilter 框架就太好了你可以在 IP 转发的过程中随时干预这个过程只要你能实现这些 hook 函数。
一个著名的实现就是内核模块 ip_tables。它在这五个节点上埋下函数从而可以根据规则进行包的处理。按功能可分为四大类连接跟踪conntrack、数据包的过滤filter、网络地址转换nat和数据包的修改mangle。其中连接跟踪是基础功能被其他功能所依赖。其他三个可以实现包的过滤、修改和网络地址转换。
在用户态还有一个你肯定知道的客户端程序 iptables用命令行来干预内核的规则。内核的功能对应 iptables 的命令行来讲就是表和链的概念。
iptables的作用
当使用iptables时通常会针对不同的需求和场景设置不同的规则。以下是一些针对上述提到的iptables功能的例子 防火墙功能 允许特定IP地址的访问 iptables -A INPUT -s 192.168.1.100 -j ACCEPT阻止特定IP地址的访问 iptables -A INPUT -s 10.0.0.5 -j DROP允许某个端口的访问拒绝其他所有访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP网络地址转换NAT 将内部IP地址转换为外部IP地址 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE设置端口转发规则将外部访问的某个端口转发到内部主机 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80端口转发Port Forwarding 将外部访问的某个端口转发到内部主机的特定端口iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80流量控制和限制 限制某个IP地址的流量速率 iptables -A INPUT -s 192.168.2.50 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT限制某个端口的总流量 iptables -A INPUT -p tcp --dport 443 -m quota --quota 1000M -j ACCEPT包过滤和监控 监控特定端口的进出流量 iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH Traffic: 设置一个计数器来统计特定流量的包数量 iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j ACCEPT
iptables -nvL这些例子展示了如何使用iptables来实现防火墙、NAT、端口转发、流量控制和监控等功能。通过这些例子可以更好地理解iptables的实际应用场景。
安全组
这些规则都可以在虚拟机里自己安装 iptables 自己配置。但是如果虚拟机数目非常多都要配置对于用户来讲就太麻烦了能不能让云平台把这部分工作做掉呢
当然可以了。在云平台上一般允许一个或者多个虚拟机属于某个安全组而属于不同安全组的虚拟机之间的访问以及外网访问虚拟机都需要通过安全组进行过滤。 我们会创建一系列的网站都是前端在 Tomcat 里面对外开放 8080 端口。数据库使用 MySQL开放 3306 端口。 为了方便运维我们创建两个安全组将 Tomcat 所在的虚拟机放在安全组 A 里面。在安全组 A 里面允许任意 IP 地址 0.0.0.0/0 访问 8080 端口但是对于 ssh 的 22 端口仅仅允许管理员网段 203.0.113.0/24 访问。 我们将 MySQL 所在的虚拟机在安全组 B 里面。在安全组 B 里面仅仅允许来自安全组 A 的机器访问 3306 端口但是对于 ssh 的 22 端口同样允许管理员网段 203.0.113.0/24 访问。 这些安全组规则都可以自动下发到每个在安全组里面的虚拟机上从而控制一大批虚拟机的安全策略。 所有从外网网口出去的都转换成为这个 IP 地址。那又一个问题来了都变成一个公网 IP 了当 163 网站返回结果的时候给谁呢再 nat 成为哪个私网的 IP 呢
这就是 Netfilter 的连接跟踪conntrack功能了。对于 TCP 协议来讲肯定是上来先建立一个连接可以用“源 / 目的 IP 源 / 目的端口”唯一标识一条连接这个连接会放在 conntrack 表里面。当时是这台机器去请求 163 网站的虽然源地址已经 Snat 成公网 IP 地址了但是 conntrack 表里面还是有这个连接的记录的。当 163 网站返回数据的时候会找到记录从而找到正确的私网 IP 地址。 这是虚拟机做客户端的情况如果虚拟机做服务器呢也就是说如果虚拟机里面部署的就是 163 网站呢 这个时候就需要给这个网站配置固定的物理网的 IP 地址和公网 IP 地址了。这时候就需要显示的配置 Snat 规则和 Dnat 规则了。 当外部访问进来的时候外网网口会通过 Dnat 规则将公网 IP 地址转换为私网 IP 地址到达虚拟机虚拟机里面是 163 网站返回结果外网网口会通过 Snat 规则将私网 IP 地址转换为那个分配给它的固定的公网 IP 地址。 四、 云中的网络QoS 这一节细节没有研究
本来合租共享 WIFI一个人狂下小电影从而你网都上不去是不是很懊恼
在云平台上也有这种现象好在有一种流量控制的技术可以实现QoSQuality of Service从而保障大多数用户的服务质量。
QoS的关键指标
带宽Bandwidth指网络能够提供的最大数据传输速率。 延迟Latency指数据包从源端到达目的端所需的时间。 抖动Jitter指数据包到达目的端的时间间隔的变动。 丢包率Packet Loss指数据包在传输过程中丢失的比例。 云中的流量控制主要通过队列进行的队列分为两大类无类别队列规则和基于类别的队列规则。 在云中网络 Openvswitch 中主要使用的是分层令牌桶规则HTB将总的带宽在一棵树上按照配置的比例进行分配并且在一个分支不用的时候可以借给另外的分支从而增强带宽利用率。 五、云中网络的隔离GRE、VXLAN 【没仔细看】
好的让我尝试用一个简单的比喻来解释GRE和VXLAN这两种网络Overlay技术。
想象一下你有一家大型公司公司里有多个部门比如销售部、市场部和研发部。每个部门都有自己的办公区域员工们在各自的办公区域内可以互相交流。但是有时候销售部的员工需要和市场部的员工交流或者研发部的员工需要和市场部的员工交流。由于他们不在同一个办公区域直接交流就不太方便。
这时候你可以想象成每个部门是一个独立的网络VLAN但是由于物理空间网络设备和端口数量的限制不能无限制地划分更多的独立网络。这时就需要一种方法来让不同部门的员工能够方便地交流这就是Overlay网络技术发挥作用的地方。
GREGeneric Routing Encapsulation Protocol
GRE可以被看作是一种“点对点”的快递服务。就像你从一个部门给另一个部门发送一个包裹你需要把这个包裹交给快递公司快递公司会在包裹外面加一个外包装封装写上收件人和发件人的地址然后通过他们的运输网络送到目的地。在这个例子中
包裹 原始数据包外包装 GRE封装快递公司 隧道Tunnel运输网络 底层物理网络
GRE隧道的两端Tunnel Endpoints就像两个快递公司的分拣中心负责把包裹加上外包装发送出去或者接收包裹后去掉外包装把原始的包裹交给正确的收件人。
VXLANVirtual Extensible Local Area Network
VXLAN则可以被看作是一种更高级的快递服务它支持“组播”的快递方式。这就像是你有一个包裹需要同时发送给多个部门的联系人。在VXLAN中
包裹 原始数据包外包装 VXLAN封装快递公司 隧道Tunnel运输网络 底层物理网络
VXLAN的特点是可以在一个包裹上写多个收件人的地址然后通过快递公司的网络这里可以想象成支持组播的网络一次性地将包裹的副本发送给所有指定的收件人。这样即使这些收件人不在同一个物理位置他们也能同时收到包裹。
在实际的网络环境中GRE和VXLAN都是用来在不同网络之间创建逻辑上的连接使得原本不能直接通信的设备能够互相通信就像不同部门的员工能够互相交流一样。VXLAN相比于GRE提供了更好的扩展性可以支持更多的终端设备并且更适合大规模的云计算环境。
六、容器网络
cgroup也即明明整台机器有很多的 CPU、内存而一个应用只能用其中的一部分。 cgroup 全称 control groups是 Linux 内核提供的一种可以限制、隔离进程使用的资源机制。
