Planejamento e design de rede
Quando você implementa cargas de trabalho na nuvem, precisa considerar o isolamento, a escalabilidade e a conectividade da rede.
- Isolamento
O isolamento é o requisito básico para o planejamento e projeto da rede. Por padrão, as VPCs são isoladas umas das outras e não podem se comunicar entre si em uma rede privada, independentemente de estarem na mesma região.
Geralmente, diferentes cargas de trabalho estão em diferentes VPCs. Diferentes departamentos ou ambientes (como desenvolvimento, teste e produção) usam VPCs diferentes.
Você pode criar várias sub-redes em uma VPC para cargas de trabalho com requisitos diferentes e configurar Network ACLs para garantir a segurança entre as sub-redes.
- Escalabilidade
Considere a escalabilidade da rede a partir dos seguintes aspectos, pois os requisitos de carga de trabalho mudam constantemente ao longo do tempo:
- Reserve endereços IP suficientes para expansão de capacidade.
- Crie VPCs para conectividade.
- Conectividade
A conectividade de rede está intimamente relacionada ao isolamento e à escalabilidade da rede. Você precisa considerar a conectividade de rede entre:
- A VPC e a Internet
- VPCs na mesma região e em regiões diferentes
- Um data center local e uma VPC
As seções anteriores descrevem alguns princípios básicos de planejamento de rede. Para obter detalhes sobre os conceitos de regiões da Huawei Cloud , consulte Região e AZ . A seguir, descrevemos o planejamento e o projeto de rede em termos de planejamento de VPC, planejamento de sub-rede, conectividade com a Internet, conectividade entre VPCs e entre um data center local e uma VPC.
Planejamento de VPC
Quando você planeja VPCs:
- Selecione a região onde uma VPC é criada mais próxima dos seus serviços. As VPCs são específicas da região. Por padrão, as VPCs não podem se comunicar entre si em uma rede privada, independentemente de estarem na mesma região.
- Determine o número de VPCs necessários.
- Se seus diferentes tipos de cargas de trabalho precisarem ser isolados uns dos outros, implante-os em diferentes VPCs. Se houver apenas um tipo de carga de trabalho, uma VPC é suficiente.
- Se você precisar de ambientes diferentes para implantar suas cargas de trabalho, por exemplo, ambientes de desenvolvimento, teste e produção, precisará criar várias VPCs.
- Se seus recursos tiverem requisitos de gerenciamento de permissões, implante-os em diferentes VPCs para simplificar o gerenciamento de permissões.
- Selecione um bloco CIDR da VPC.
- Reserve endereços IP suficientes para cargas de trabalho para evitar o impacto da expansão da carga de trabalho na rede.
- Evite conflitos de endereço IP se precisar conectar uma VPC a um data center local ou conectar duas VPCs.
Tabela 1 Número de endereços IP Bloco CIDR da VPC
Intervalo de endereços IP
Número máximo de endereços IP
10.0.0.0/8-24
10.0.0.0-10.255.255.255
2^24-2=16777214
172.16.0.0/12-24
172.16.0.0-172.31.255.255
2^20-2=1048574
192.168.0.0/16-24
192.168.0.0-192.168.255.255
2^16-2=65534
Planejamento de sub-rede
Uma sub-rede é uma série de endereços IP em uma VPC. Todos os recursos em uma VPC devem ser implementados em sub-redes e as sub-redes em uma VPC não podem se sobrepor. Depois que uma sub-rede é criada, seu bloco CIDR não pode ser modificado.
As sub-redes usadas para implementar seus recursos devem residir no bloco CIDR da VPC, e as máscaras de sub-rede usadas para defini-las podem estar entre a máscara de rede do bloco CIDR da VPC e a máscara de rede /29. A VPC oferece suporte aos seguintes blocos CIDR.
- 10.0.0.0/8-24
- 172.16.0.0/12-24
- 192.168.0.0/16-24
Ao planejar sub-redes:
- Recomendamos que você crie sub-redes diferentes para módulos diferentes numa VPC. Por exemplo, você pode criar diferentes sub-redes para servidores Web, de aplicações e de banco de dados. Um servidor Web está numa sub-rede acessível ao público, e os servidores de aplicações e bancos de dados estão em sub-redes não acessíveis ao público. Você pode aproveitar Network ACLs para ajudar a controlar o acesso aos servidores em cada sub-rede.
- Se você precisar planejar apenas sub-redes para VPCs e a comunicação entre VPCs e data centers locais não for necessária, crie sub-redes em qualquer um dos blocos CIDR listados acima.
- Se a VPC precisar se comunicar com um data center local por meio de VPN ou Direct Connect, o bloco CIDR da VPC não poderá se sobrepor ao bloco CIDR do data center local. Portanto, ao criar uma VPC ou uma sub-rede, certifique-se de que seu bloco CIDR não se sobreponha a nenhum bloco CIDR no data center.
- Ao determinar o tamanho de uma VPC ou bloco CIDR de sub-rede, certifique-se de que o número de endereços IP disponíveis no bloco CIDR atenda aos seus requisitos da carga de trabalho.
Roteamento
Uma tabela de rotas contém um conjunto de de rotas usadas para controlar para onde o tráfego de sub-rede de entrada e saída é encaminhado em uma VPC. Quando você cria uma VPC, ela tem automaticamente uma tabela de rotas padrão, que permite a comunicação interna dentro dessa VPC.
- Se não for necessário controlar explicitamente como cada sub-rede roteia o tráfego de entrada e saída, você poderá usar a tabela de rotas padrão.
- Se você precisar controlar explicitamente como cada sub-rede roteia o tráfego de entrada e saída em uma VPC, adicione rotas personalizadas à tabela de rotas.
Conectar VPCs
Você pode usar o seguinte para conectar duas VPCs.
- Emparelhamento de VPC
Você pode criar uma conexão de emparelhamento de VPC para conectar duas VPCs na mesma região. Uma conexão de emparelhamento de VPC utiliza endereços IP privados para rotear o tráfego entre duas VPCs. Os ECSs em qualquer VPC podem se comunicar uns com os outros como se estivessem na mesma rede.
Os blocos CIDR de duas VPCs conectadas por uma conexão de emparelhamento de VPC não podem se sobrepor. Caso contrário, a conexão de emparelhamento da VPC não terá efeito. Para obter detalhes, consulte Visão geral da conexão de emparelhamento de VPC .
- Ponto de extremidade da VPC
O serviço VPCEP fornece canais seguros e privados para permitir que seus recursos em uma VPC sejam acessíveis de outras VPCs. Além disso, você pode acessar os serviços da Huawei Cloud , como OBS, SWR e DNS, por meio de pontos de extremidade da VPC na rede privada.
Para obter detalhes, consulte O que é VPC Endpoint?
Figura 1 Usar o serviço VPCEP para acessar serviços entre VPCs de maneira unidirecional
- Cloud Connect
A Cloud Connect permite que você crie rapidamente redes de alta qualidade que possam conectar VPCs em regiões e trabalhe com a Direct Connect para conectar VPCs e data centers locais. Com a Cloud Connect, você pode construir uma rede de nuvem globalmente conectada com capacidade de escalabilidade e comunicação de classe empresarial.
Os blocos CIDR de VPCs conectados por uma conexão de nuvem não podem se sobrepor. Caso contrário, as comunicações de rede falharão. Para obter detalhes, consulte O que é Cloud Connect?
Figura 2 Conectar VPCs entre regiões
Conectar uma VPC a um data center local
Se sua VPC precisar se comunicar com seu data center local, você poderá usar a Direct Connect ou a VPN junto com um L2CG.
- A Direct Connect estabelece uma conexão dedicada e seus dados não serão transferidos pela Internet.
- A VPN estabelece um túnel criptografado que transfere dados pela Internet.
- Os comutadores empresariais suportam apenas gateways de conexão da Camada 2 (L2CGs) agora. Um L2CG é um gateway de túnel virtual que pode funcionar com a Direct Connect ou VPN para estabelecer comunicações de rede entre redes na nuvem e no local na Camada 2. O gateway permite migrar cargas de trabalho em data centers ou nuvens privadas para a nuvem sem alterar sub-redes e endereços IP.
Conectar-se à Internet
- Use EIPs para permitir que um pequeno número de ECSs acesse a Internet.
Quando apenas alguns ECSs precisam acessar a Internet, você pode vincular EIPs a esses ECSs Isso irá fornecer-lhes acesso à Internet. Você também pode desvincular dinamicamente os EIPs dos ECSs e vinculá-los a gateways da NAT e balanceadores de carga, o que também fornecerá acesso à Internet. O processo não é complicado. Diferentes EIPs na mesma região podem compartilhar uma largura de banda, reduzindo seus custos de largura de banda.
Você pode obter endereços IPv4 e IPv6 para comunicação privada ou pela Internet se ativar a pilha dual de IPv4 e IPv6 ou o EIP IPv6.Figura 4 Pilha dual de IPv4 e IPv6
Para obter mais informações sobre o EIP, consulte Visão geral do EIP .
- Use um gateway da NAT para permitir que um grande número de ECSs acesse a Internet.
Quando um grande número de ECSs precisar acessar a Internet, você poderá usar gateways da NAT para seus ECSs. Com os gateways da NAT, você não precisa atribuir um EIP a cada ECS. Os gateways da NAT reduzem os custos, pois você não precisa de tantos EIPs. Os gateways da NAT oferecem SNAT e DNAT. SNAT permite que vários ECSs na mesma VPC compartilhem um ou mais EIPs para acessar a Internet. SNAT impede que os EIPs dos ECSs sejam expostos à Internet. DNAT pode implementar o encaminhamento de dados em nível de porta. Ela mapeia portas EIP para portas ECS para que os ECSs em uma VPC possam compartilhar o mesmo EIP e largura de banda para fornecer serviços acessíveis pela Internet.
Para obter mais informações, consulte Guia de usuário do Gateway NAT .
- Use o ELB para acessar a Internet se houver um grande número de solicitações simultâneas.
Em cenários de alta concorrência, como o comércio eletrônico, você pode usar balanceadores de carga fornecidos pelo serviço ELB para distribuir uniformemente o tráfego de entrada entre vários ECSs, permitindo que um grande número de usuários acesse simultaneamente seu sistema ou aplicativo de negócios. O ELB é implementado no modo de cluster. Ele fornece tolerância a falhas para seus aplicativos equilibrando automaticamente o tráfego em várias AZs. O ELB se integra profundamente ao serviço Auto Scaling (AS), que permite o dimensionamento automático com base no tráfego do serviço e garante a estabilidade e a confiabilidade do serviço.
Para obter mais informações, consulte Guia de usuário do Elastic Load Balance .
