边缘网络概述

使用场景

边缘网络为边缘云场景下专享的网络子服务。通过虚拟私有云，构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。同时，通过弹性公网IP，使得虚拟私有云内的实例与公网Internet互通。如果您想在IEC上访问华为云区域上的其他云服务，也需要通过公网Internet进行访问。

IEC范畴下的边缘网络与华为云上其他网络相关的云服务，如虚拟私有云（Virtual Private Cloud，VPC）、弹性公网IP（Elastic IP，EIP）完全独立，没有关联关系，各自承载不同的业务。但从两者的功能维度来看，又是相类似的。

举例说明，通过IEC控制台或者API创建的虚拟私有云仅归属于华为云服务IEC的业务范畴，与通过华为云服务VPC创建的虚拟私有云没有关联关系。IEC上创建的虚拟私有云不能通过云服务VPC管理，云服务VPC上创建的虚拟私有云也不能通过IEC管理。

边缘网络架构图如图1所示。

图1 边缘网络架构图

虚拟私有云

虚拟私有云可以为您的边缘云资源构建隔离的、用户自主配置和管理的虚拟网络环境。用户可以通过虚拟私有云方便地管理、配置内部网络，进行安全、快捷的网络变更。

每个虚拟私有云由私网网段和子网组成。不同虚拟私有云之间逻辑隔离，网络不连通。

• 私网网段

  用户在创建虚拟私有云时，需要指定虚拟私有云使用的私网网段。

• 子网

  子网是用来管理边缘云资源网络平面的一个网络。边缘云资源，如计算实例，必须部署在子网内，其IP地址都属于该子网，且子网网段必须在私网网段内。同一个虚拟私有云可以被划分一个或多个子网，其中，子网分布可以跨边缘站点，但由于站点之间的物理隔离属性，归属于不同站点的子网之间是不连通的。

  如图2所示：由于虚拟私有云的逻辑隔离和站点的物理隔离原因，四个子网彼此互不连通。

  图2 虚拟私有云、子网以及站点之间网络连通关系
  

虚拟IP

虚拟IP（Virtual IP，VIP）是一个未分配给计算实例网卡的IP地址。计算实例除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此实例。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括虚拟私有云内正常通信，以及弹性公网IP等Internet接入。

同一个虚拟IP只能绑定到一个计算实例上。

网卡

网卡是一种可以绑定到虚拟私有云网络下实例的虚拟网卡。通过网卡，您可以实现实例的网络管理。网卡分为主网卡和扩展网卡。

• 主网卡

  创建实例时，随实例自动创建的网卡是主网卡。不支持解绑主网卡。一般操作系统的默认路由优先使用主网卡。

• 扩展网卡

  可以单独创建的网卡是扩展网卡，并支持将其绑定到实例上或从实例上解绑等操作。您在创建实例时，可以自主选择是否添加扩宽网卡以及添加的数量。

路由表

路由表由一系列路由规则组成，用于控制虚拟私有云内子网的出流量走向。VPC中的每个子网都必须关联一个路由表，一个子网一次只能关联一个路由表，但一个路由表可以关联多个子网。

用户创建虚拟私有云时，系统会自动为其生成一个默认路由表，在创建完边缘业务后系统自动为虚拟私有云适配生成子网后，子网会自动关联默认路由表。您可以直接使用默认路由表，也可以为具有相同路由规则的子网创建一个自定义路由表，并将自定义路由表与子网关联。

子网关联自定义路由表仅影响子网的出流量走向，入流量仍然匹配默认路由表。

路由

路由即路由规则，在路由中通过配置目的地址、下一跳类型、下一跳地址等信息，来决定网络流量的走向。路由分为系统路由和自定义路由。

• 系统路由：系统自动添加且无法修改或删除的路由。

  创建路由表后，系统会自动在路由表中添加如下的系统路由，表示VPC内实例互通。

  • 目的地址是100.64.0.0/10、198.19.128.0/20的路由。
  • 目的地址是子网网段的路由。

  除以上系统路由外，系统还会自动添加目的地址是127.0.0.0/8的路由，表示本地回环地址。

• 自定义路由：可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。

  您可以通过添加自定义路由来自定义网络流量的走向，您需要指定目的地址、下一跳类型、下一跳地址。

  当前支持的下一跳类型如下所示：

  • 边缘实例：将指向目的地址的流量转发到虚拟私有云内的一台边缘实例。
  • 虚拟IP：将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到绑定的边缘示例。
  • 互联网网关：将指向目的地址的流量转发到一个互联网网关。

带宽管理

IEC提供边缘站点级别的带宽共享及复用能力，对于单条运营商线路，所有弹性公网IP共用一条共享带宽，不同线路使用不同的带宽。共享带宽可以节省网络运营成本，同时方便运维统计。如图3所示。

图3 带宽、EIP和线路的关系示意图

创建弹性公网IP后，当使用该弹性公网IP的单条运营商线路不存在共享带宽时，系统自动为该线路分配一条共享带宽。不同线路使用不同的带宽。

弹性公网IP

弹性公网IP提供独立的公网IP地址资源，可以与计算实例、虚拟IP等资源灵活地绑定及解绑。

同一个弹性公网IP只能绑定到同一个边缘站点下的一个计算实例或者一个虚拟IP上。

安全组

安全组是一个逻辑上的分组，为同一个虚拟私有云下具有相同安全保护需求并相互信任的实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则（出方向规则和入方向规则），这些规则会对安全组内部的实例出入方向网络流量进行访问控制。当实例加入该安全组后，即受到这些访问规则的保护。

网络ACL

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。

网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组只有“允许”策略，但网络ACL可以“拒绝”和“允许”，两者结合起来，可以实现更精细、更复杂的安全访问控制。网络ACL与安全组的详细区别请参见安全组与网络ACL的区别。

网络ACL可以应用于类似如下几种场景：

• 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？

  解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。

• 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口

  解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。

• 子网内的通信无防护诉求，仅有子网间的访问限制。

  解决方案：通过网络ACL设置子网间的访问规则

• 对访问频繁的应用，调整安全规则顺序，提高性能。

  解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。