更新时间:2023-12-21 GMT+08:00

华为云网络全景

华为云拥有丰富的网络服务,提供安全、可扩展的云上网络环境,同时提供了高速、可靠的云上云下连接服务,能够方便的连接互联网和本地数据中心。

图1 华为云网络全景

虚拟私有云VPC

虚拟私有云(Virtual Private Cloud,以下简称VPC),为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。

每个VPC由一个私网网段、路由表和至少一个子网组成。用户在创建VPC时需要指定私网网段,且云资源必须部署在子网内,系统会自动生成默认路由表,保证同一个VPC下的所有子网互通。

图2 VPC

VPC为云上资源提供隔离的虚拟网络环境,同时VPC配合其他网络服务提供强大的网络连接功能:

  • 与互联网连接

    通过弹性公网IP,VPC中的资源都能与互联网连接通信;还可以通过NAT网关的网络地址转换能力,使得VPC内多个资源共享弹性公网IP。

  • 与本地数据中心网络连接

    通过云专线DC虚拟私有网络VPN企业交换机,可以构建VPC与本地数据中心的连接。

  • 云上VPC相互连接

    通过VPC对等连接功能,VPC可以与同一个区域之间其他VPC之间建立对等连接。

    通过云连接CC服务,可以在不同区域的VPC之间建立高速、稳定的网络连接。

VPC的详细信息请参见什么是虚拟私有云

弹性公网IP

弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。

使用弹性公网IP,除了给公网IP固定带宽和流量外,还有如下三种套餐:

  • 共享带宽

    共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力,同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源。

  • 共享流量包

    共享流量包是一款带宽流量套餐产品,使用方便,价格实惠。购买共享流量包后立即生效,并自动抵扣按需计费(按流量计费)的EIP带宽产生的流量资费,直到流量包用完或到期。

  • 带宽加油包

    带宽加油包用来临时调大带宽上限,适用于在有效期内的包年包月独享带宽和共享带宽。

EIP的详细信息请参见什么是弹性公网IP

NAT网关

公网NAT网关

NAT网关(NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器、云桌面)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供最高20Gbit/s能力的网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。

NAT网关提供源地址转换(Source NAT)和目的地址转换(Destination NAT)功能:

  • 源地址转换(Source NAT,以下简称SNAT)

    SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内跨可用区的多个云主机共享弹性公网IP,安全,高效的访问互联网。

  • 目的地址转换(Destination NAT,以下简称DNAT)

    DNAT功能绑定弹性公网IP,可通过IP映射或端口映射两种方式,实现VPC内跨可用区的多个云主机共享弹性公网IP,为互联网提供服务。

图3 公网NAT网关

私网NAT网关

私网NAT网关(Private NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器、云桌面)提供网络地址转换服务,使多个云主机可以共享私网IP访问用户本地数据中心(IDC)或其他虚拟私有云,同时,也支持云主机面向私网提供服务。

私网NAT网关支持大小网段灵活组网,IP网段可重叠,业务零改造,可降低企业上云的成本和风险。

私网NAT网关也分为SNAT和DNAT两个功能:

  • SNAT功能通过绑定中转IP,可实现VPC内跨可用区的多个云主机共享中转IP,访问外部数据中心或其他VPC。
  • DNAT功能绑定中转IP,可通过IP映射或端口映射两种方式,实现VPC内跨可用区的多个云主机共享中转IP,为外部私网提供服务。
图4 私网NAT网关

NAT网关的详细信息请参见什么是NAT网关

弹性负载均衡ELB

弹性负载均衡(Elastic Load Balance,简称ELB)是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。

图5 弹性负载均衡

ELB的详细信息请参见什么是弹性负载均衡

云专线DC

云专线(Direct Connect)为用户搭建本地数据中心与云上VPC之间的专属连接通道,实现高速、稳定、安全可靠的混合云部署。

云专线是专用连接,流量不经过互联网。

图6 云专线物理连接

云专线提供以下物理连接接入方式:

  • 标准专线

    客户数据中心通过不同运营商专线,分别接入不同接入点,实现多链路多接入点互备,保障高可靠性。如果有特殊要求只能选择同一运营商,需确保不同物理路由。

    此方式独占华为云物理端口,您可以通过管理控制台自主申请物理连接。

  • 托管专线

    用户本地数据中心通过运营商拉通专线,运营商和云专线接入点已做好专线预连接,运营商为用户分配上云的连接。

    运营商和华为云连接端口是多租户共享的。

云专线的详细信息请参见云专线产品概述

虚拟私有网络VPN

虚拟专用网络(Virtual Private Network,以下简称VPN),用于在远端用户和VPC之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时,您可以通过VPN连通VPC。

与云专线DC不同,VPN是在公网上构建的加密隧道网络,其流量经过互联网。

图7 VPN组网图

企业交换机

企业交换机(Enterprise Switch,简称ESW)可以在虚拟私有云(Virtual Private Cloud, VPC)内提供大二层互联等增强网络转发能力,助力企业灵活构建大规模、高性能、高可靠的云上/云下网络。

企业交换机当前仅支持二层连接网关特性,该特性提供一种虚拟隧道网关,可基于虚拟专用网络(Virtual Private Network, VPN)或者云专线(Direct Connect, DC)建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。

企业交换机作为VPC的隧道网关,与云下IDC侧隧道网关对应,基于VPN或者云专线三层网络,在VPC与云下IDC之间建立二层网络,组网示意图如图8所示,您需要将VPC子网接入到企业交换机中,并指定企业交换机与IDC侧的隧道网关建立连接,使VPC子网与IDC侧子网建立二层通信。
图8 云下和云上二层网络组网

云连接CC

云连接(Cloud Connect)为用户提供一种能够快速构建跨区域VPC之间以及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。

图9 云连接组网

VPC终端节点

VPC终端节点(VPC Endpoint,简称VPCEP),您能够将VPC私密地连接到云上服务,使VPC中的云资源无需弹性公网IP就能够访问终端节点服务,保证访问服务流量安全。

VPCEP主要用于如下几种场景:

  • 在华为云内网开放服务

    通过创建VPC Endpoint Service暴露自己的服务。支持将ELB、弹性云服务器、裸金属服务器上提供的服务开放到VPC。

    客户端通过VPC Endpoint作为接入点访问服务。

  • 访问云内公共服务

    云服务注册VPC Endpoint Service,用户可以通过创建相应的VPC Endpoint访问云服务。

  • 通过VPN/专线访问云上服务

    购买VPN/专线后,可以通过VPC Endpoint访问云上的服务,打通云上/云下资源。如访问OBS、DNS、SWR等。

图10 VPC终端节点

VPC对等连接

不同VPC之间默认无法互访,可以通过对等连接功能连接VPC,使得VPC之间可以互相访问。您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。同一区域内,您可以在自己的VPC之间创建对等连接,也可以在自己的VPC与其他帐户的VPC之间创建对等连接。不同区域间的VPC之间不能创建对等连接。

详细的介绍与配置请参见对等连接简介对等连接路由配置方案

图11 对等连接组网示意图

对等连接与VPCEP的区别请参见VPC终端节点和对等连接有什么区别?