腾讯云通识-网络与安全
负载均衡(Cloud Load Balancer,CLB)提供安全快捷的流量分发服务,访问流量经由 CLB 可以自动分配到云中的多台后端服务器上,扩展系统的服务能力并消除单点故障。负载均衡支持亿级连接和千万级并发,可轻松应对大流量访问,满足业务需求。
什么是负载均衡
负载均衡(Cloud Load Balancer,CLB)是对多台后端服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
负载均衡服务通过设置虚拟服务地址(VIP),将位于同一地域的多台后端服务器资源虚拟成一个高性能、高可用的应用服务池。根据应用指定的方式,将来自客户端的网络请求分发到服务器池中。
负载均衡服务会检查服务器池中后端服务器实例的健康状态,自动隔离异常状态的实例,从而解决了后端服务器的单点问题,同时提高了应用的整体服务能力。
腾讯云提供的负载均衡服务具备自助管理、自助故障修复,防网络攻击等高级功能,适用于企业、社区、电子商务、游戏等多种用户场景。
组成部分
一个提供服务的负载均衡组通常由以下部分组成:
来自负载均衡外的访问请求,通过负载均衡实例并根据相关的策略和转发规则分发到后端服务器进行处理。
基本工作原理
负载均衡器接受来自客户端的传入流量,并将请求路由到一个或多个可用区的后端服务器实例上进行处理。
负载均衡服务主要由负载均衡监听器提供。监听器负责监听负载均衡实例上的请求、执行策略分发至后端服务器等服务,通过配置客户端 - 负载均衡和负载均衡 - 后端服务器两个维度的转发协议及协议端口,负载均衡可以将请求直接转发到后端服务器上。
建议您跨多个可用区配置负载均衡器的后端服务器实例。如果一个可用区变得不可用,负载均衡器会将流量路由到其他可用区正常运行的实例上去,从而避免可用区故障引起的服务中断问题。
请求路由选择
客户端请求通过域名访问服务,在请求发送到负载均衡器之前,DNS 服务器将会解析负载均衡域名,并将收到请求的负载均衡 IP 地址返回到客户端。当负载均衡监听器收到请求时,将会使用不同的负载均衡算法将请求分发到后端服务器中。目前腾讯云支持加权轮询和 ip_hash 加权最小连接数等多种均衡算法。
监控后端服务状态
负载均衡器还可以监控后端实例的运行状况,从而确保只将流量路由到正常运行的实例上去。当负载均衡器检测到运行不正常的实例时,它会停止向该实例路由流量,然后会在它再次检测到实例正常运行之后重新向其路由流量。
高性能
CLB 单集群(非单个 CLB 实例)支持亿级并发连接数,每秒处理百万级的包数据量,轻松应对日访问量超过千万的电商网站、社交平台和游戏业务等。
高可用
CLB 采用集群化部署,可用性高达99.95%。在单台 CLB 物理服务器可用的极端情况下,仍可支撑千万级的并发连接数。同时,集群系统会及时剔除故障实例,筛选出健康实例,确保后端服务器业务正常运行。
高弹性
CLB 集群根据业务负载横向伸缩,弹性扩展应用系统对外的服务能力,同时借助弹性伸缩(Auto Scaling)的动态伸缩组自动创建和释放 CVM 实例,结合动态监控情况和秒级计费系统,您无需手工干预和预估资源,即可实现您的计算资源合理分配,防止资源浪费。
安全稳定
CLB 依靠大禹分布式防御系统能够防御绝大多数网络攻击(例如 DDoS、Web 入侵),针对流量攻击实现秒级清洗,极大避免 IP 被封、带宽被占满等情况发生。CLB 自带的 synproxy 防攻击机制,避免了大禹系统生效之前后端 CVM 被攻击压垮,保护数据更安全稳定。
CLB 对每个租户的流量进行严格隔离,提供主动 DDoS 防护能力,公网 CLB 默认支持 DDoS 基础防护。CLB 还支持 DDoS 高防包、DDoS 高防 IP、Web 应用防火墙 等多种安全产品,保障业务安全性。
负载均衡主要适用于如下场景:
流量分发和消除单点故障
您可以通过负载均衡,将业务流量分发到多台后端服务器上:
横向扩展
负载均衡结合 弹性伸缩,可为您按需创建和释放 CVM 实例。
全局负载均衡
结合云解析 DNS,您可以将业务流量解析到全局各个地域的负载均衡,保障异地多活和容灾。
负载均衡 CLB 提供四层(TCP 协议/UDP 协议/TCP SSL 协议)和七层(HTTP 协议/HTTPS 协议)负载均衡。您可以通过 CLB 将业务流量分发到多个后端服务器上,消除单点故障并保障业务可用性。CLB 自身采用集群部署,可实现会话同步,消除服务器单点,提升系统冗余,保证服务稳定,可在同一个地域部署多个机房,实现同城容灾。
腾讯云负载均衡当前提供四层和七层的负载均衡服务:
负载均衡负责转发业务流量,由后端服务实际处理业务请求。CLB 与后端 CVM 之间是通过腾讯云内网进行通信的。TGW 和 STGW 均由多台服务器部署,通过集群来提供负载均衡服务。CLB 的转发路径如下图所示:
1、TCP/UDP协议:
TCP/UDP 协议由 TGW 集群处理转发逻辑。
业务流量到达后,由 TGW 通过腾讯云内网转发给后端 CVM,后端 CVM 的回包也是通过 TGW 返回给客户端。
2. 、TCP SSL 协议
处理 TCP SSL 协议时,业务流量会先经过 TGW 集群,而后由 STGW 集群来转发给后端 CVM。
新建会话时需经过加速卡集群来进行证书的验证和加解密等前置操作。
业务流量到达后,在腾讯云内网中依次通过 TGW、STGW、后端 CVM,回包也依次逆向返回给客户端。
3.、HTTP/HTTPS 协议
处理 HTTP/HTTPS 协议时,业务流量会先经过 TGW 集群,而后由 STGW 识别 HTTP 协议并转发给后端 CVM。
新建 HTTPS 会话时需经过加速卡集群来进行证书验证和加解密等前置操作,将 HTTPS 转换成 HTTP 协议,再转发给后端 CVM。
业务流量到达后,在腾讯云内网中依次通过 TGW、STGW、后端 CVM,回包也依次逆向返回给客户端。
私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,您可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。
私有网络有三个核心组成部分:私有网络网段、子网、路由表。
私有网络网段
用户在创建私有网络时,需要用 CIDR(无类别域间路由) 作为私有网络指定 IP 地址组。
腾讯云私有网络 CIDR 支持使用如下私有网段中的任意一个:
子网
一个私有网络由至少一个子网组成,私有网络中的所有云资源(如云服务器、云数据库等)都必须部署在子网内,子网的 CIDR 必须在私有网络的 CIDR 内。
私有网络具有 地域(Region) 属性(如广州),而子网具有 可用区(Zone) 属性(如广州一区),您可以为私有网络划分一个或多个子网,同一私有网络下不同子网默认内网互通,不同私有网络间(无论是否在同一地域)默认内网隔离。
路由表
用户创建私有网络时,系统会自动为其生成一个默认路由表,以保证同一个私有网络下的所有子网互通,当默认路由表中的路由策略无法满足应用时,您可以创建自定义路由表。
腾讯云为您提供丰富的 VPC 连接方案,以满足不同用户的场景需求:
私有网络为云上逻辑隔离的网络空间,不同私有网络间相互隔离,保障您的业务安全:
自定义网络
私有网络为您提供了强大的网络管理能力,您可以自定义网段,可以像传统网络一样按需划分子网,并通过灵活配置路由表和路由规则,定制化地部署您的云上业务。
腾讯云私有网络还提供可视化的网络拓扑,帮助您更好地规划网络。
弹性可扩展
使用私有网络,您可以根据业务需要进行弹性部署,通过在一个或多个私有网络内创建不同的子网来部署不同的业务部分。还可以通过将私有网络与您的本地数据中心、与其它 VPC、基础网络相连,按需扩展网络架构。
丰富接入
私有网络提供丰富的接入方式,可以满足您在云上的通信需求:
安全可靠
私有网络基于隧道技术,在物理网络上构造虚拟网络,使用虚拟化技术,实现不同私有网络之间内网完全隔离,为用户提供独立、隔离的安全云网络。
对于私有网络内云服务器,我们还为您提供安全组、网络 ACL 等不同层面的网络访问控制方式。
简单易用
您可以通过控制台、API 等方式,快速创建、管理私有网络,产品化的网络功能、丰富的排障功能,可以大幅降低您的运维成本。
单个云服务器访问公网
当您的业务量较小,仅有单个云服务器时,可以通过申请一个公网 IP 绑定在云服务器上,实现访问公网的功能。
多云服务器安全访问公网
当您有多个云服务器需要同时访问公网,且不希望暴露云服务器的内网地址时,可以使用 NAT 网关。NAT 网关具有 SNAT 功能,可以使多个云服务器都通过 NAT 网关上的公网 IP 实现访问公网,且在未配置 DNAT 功能时,外部用户无法直接访问 NAT 网关,保证了安全性。当 NAT 网关上有多个公网 IP 时,NAT 网关会自动做负载均衡。
单个云服务器提供服务
您可以将网站等服务托管在 VPC 中的云服务器上,并通过一个公网 IP 实现对外提供服务的功能。
多个云服务器负载均衡
当您有较多服务器来部署复杂业务、且公网流量较大时,可以使用 负载均衡 CLB。负载均衡 CLB 可以实现自动分配云中多个 CVM 实例间应用程序的访问流量,让您实现更高水平的应用程序容错能力。
跨可用区容灾
子网具有可用区属性,您可以在一个地域的私有网络下创建属于不同可用区的子网,同一个私有网络下不同子网默认内网互通,您可以在不同可用区的子网中部署资源,实现跨可用区容灾。
跨地域容灾
您可以跨地域部署业务,两个私有网络通过云联网打通。例如两地三中心方案,以实现跨地域的容灾。
连接本地数据中心
私有网络提供专线接入、VPN 连接等多种方式,可以将您的本地数据中心和云上私有网络连接,轻松构建混合云架构。使用本地数据中心,可以保证您核心数据的安全性。您还可以根据业务量扩展云上的资源数量(如云服务器、云数据库等),降低 IT 运维成本。
全国多点互联
当您在全国多地域都部署有业务,且各个地域需要进行互联时,可以使用 云联网、专线接入 等产品,通过单点接入,轻松实现全国多点互联。
弹性网卡(Elastic Network Interface,ENI)是绑定私有网络(Virtual Private Cloud,VPC)内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。弹性网卡对配置管理网络与搭建高可靠网络方案有较大帮助。您可以在云服务器上绑定同一可用区下的多个弹性网卡,实现高可用网络方案;也可以在弹性网卡上绑定多个内网 IP,实现单主机多 IP 部署。
多网卡
云服务器除创建时自动产生的主网卡外,支持绑定多个辅助弹性网卡。弹性网卡可以属于相同私有网络和可用区下的不同子网,每个网卡支持配置独立的安全组,网卡所在子网可以配置独立的路由转发策略。
灵活迁移
弹性网卡可以自由地在相同私有网络、可用区下的云服务器间自由迁移,弹性网卡与云服务器解绑时,保留已绑定内网 IP、弹性公网 IP 和安全组策略,迁移后无需重新配置关联关系。
多 IP
根据云服务器配置不同,弹性网卡最多可支持绑定30个内网 IP,每个内网 IP 可以绑定独立的弹性公网 IP。单台云服务器可以通过多个弹性公网 IP 开放多个相同端口。弹性网卡和内、外网 IP 的绑定关系不随弹性网卡解绑云服务器而变化。
独立路由转发
云服务器可以绑定位于相同私有网络、可用区下位于不同子网的弹性网卡,每个子网可以独立设定路由转发策略,从而实现网络隔离。您也可以在云服务器内设定路由策略,实现将特定目的端的网络流量指向不同网卡。
流日志
为弹性网卡创建流日志后,系统将自动采集弹性网卡的日志流,并将日志数据同步至日志服务 CLS。在 CLS 的主题中,每个弹性网卡有唯一的日志流,其中包含流日志记录。一个弹性网卡仅能创建一个流日志,具体使用请参见 创建弹性网卡的网络流日志。
主网卡或辅助网卡
主内网 IP
弹性网卡的主内网 IP,在弹性网卡创建时:
辅助内网 IP
弹性网卡主 IP 以外绑定的辅助内网 IP,由用户在创建或编辑弹性网卡时自行配置。
辅助内网 IP 支持绑定和解绑。
弹性公网 IP
与弹性网卡上的内网 IP 一一绑定。
安全组
弹性网卡支持绑定一个或多个安全组,可根据业务实际情况,为其配置合适的安全组。
MAC 地址
弹性网卡有全局唯一的 MAC 地址。
NAT 网关(NAT Gateway)是一种支持 IP 地址转换服务,提供 SNAT 和 DNAT 能力,可为私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。NAT 网关支持高达99.99%的高可用性、5Gbps的带宽以及1000 万以上的并发连接数。
NAT 网关(NAT Gateway)是一种支持 IP 地址转换服务,提供网络地址转换能力,主要包括 SNAT(Source Network Address Translation,源网络地址转换) 和 DNAT (Destination Network Address Translation,目的网络地址转换)能力,可为 私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。
NAT 网关分为公网 NAT 网关和私网 NAT 网关。公网 NAT 网关提供公网地址转换服务,而私网 NAT 网关提供私网地址转换服务。
NAT 网关支持高达99.99%的高可用性、5Gbps的带宽以及1000 万以上的并发连接数,其典型应用场景如下:
VPC 内的云服务器可以通过 NAT 网关或者公网网关访问 Internet。两种网关之间的差异如下表所示。
由上表可知,NAT 网关具有如下优势:
腾讯云 NAT 网关可以分为公网 NAT 网关和私网 NAT 网关,介绍如下:
公网 NAT 网关:为 VPC 内多个无公网 IP 的云服务器 CVM 提供主动访问公网的能力,同时也支持将弹性公网 IP 和端口映射到云服务器内网 IP 和端口,使得 VPC 内的云服务器可被公网访问。
私网 NAT 网关:为 VPC 内的云服务器 CVM 提供访问外部私有网络的能力,也支持云服务器 CVM 实例对外提供私网访问服务。
腾讯云 NAT 网关具备 SNAT(Source Network Address Translation,源网络地址转换)、DNAT(Destination Network Address Translation,目的网络地址转换)、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能。具有高性能、大容量、跨可用区的容灾能力。
SNAT
SNAT 支持 VPC 内多个云服务器通过同一公网 IP 主动访问互联网。NAT 网关可支撑单实例5Gbps级别的转发能力。
您可以为 NAT 网关绑定多个 EIP,绑定成功后,云服务器实例会随机通过 NAT 网关绑定的 EIP 访问公网。如您希望云服务器仅通过特定 EIP 访问公网时,您可以将特定 EIP 加入 SNAT 地址池,这时云服务器仅会通过 SNAT 地址池中的 EIP 访问公网。
DNAT
DNAT 将外网 IP、协议、端口映射到 VPC 内的云服务器内网 IP、协议、端口,使得云服务器上的服务可被外网访问。
共享带宽包
NAT 网关可以配合共享带宽包中的 IP 带宽包 使用,当您为 NAT 网关绑定了多个 EIP 时,可将 EIP 加入共享带宽包,实现多个 IP 共享公网带宽,可用于不同应用间流量错峰场景,有效降低带宽成本。
网关流控
您可以为 NAT 网关开启网关流控,网关流控可对某内网 IP 与 NAT 网关之间的带宽进行限制,提供 IP 网关粒度的 “监” 与 “控” 能力。精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP 粒度的限速能力帮助您快速排查故障,屏蔽异常流量,保障关键业务。
流量告警
您可以设置自定义流量告警,当指标超过一定阈值时自动告警,告警消息会通过电子邮件和短信发出,帮助您提前预警风险。监控和告警服务无需额外收费,同时当故障发生时,能帮助您快速定位问题。
安全高防
DDoS 高防包可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持310Gbps防护。您可以将高防包绑定到需要防护的 NAT 网关上,实现安全防护。
自动容灾
NAT 网关支持双机热备、自动容灾,单机出故障自动切换,业务无感知,服务可用性高达99.99% ,为您业务稳定运行保驾护航。
VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。最后 NAT 网关把绑定的弹性公网 IP(EIP)地址作为源 IP 地址,将流量发送到 Internet。公网NAT网关提供 IP 的安全转换,可用于下述场景:
隐藏 IP 的同时,能与公网通信。
隐藏 VPC 内主机的公网 IP ,防止暴露其网络部署。
此外,公网NAT网关可满足用户以下需求:
需要超大带宽。
公网 IP 使用量大。
部署服务较多的公网访问。
私网 NAT 网关的不同类型针对性支持以下场景:
专线网关:主要用于解决同地域内 VPC 与专线 IDC 的地址转换(例如北京地域内)。
云联网:主要用于解决跨地域 VPC 与 VPC 间,VPC 与专线 IDC 间的地址转换(例如北京到上海)。
私有网络:主要用于解决 VPC 内的地址转换。
场景举例
**场景一:**用户使用专线打通腾讯云和客户 IDC 实现资源访问,同时期望指定访问 IP 地址并无 IP 冲突,可以通过私网 NAT(专线网关) + 专线方案来实现。
详情可参考文档 通过专线接入+VPC NAT 网关实现本地 IDC 与云上资源互访。
场景二:用户使用专线 + 云联网打通腾讯云和客户远程 IDC 实现资源访问,同时期望指定访问 IP 地址并无 IP 冲突,可以通过私网 NAT(云联网) + 专线方案来实现。
详情可参考文档 通过专线接入+CCN+VPC NAT 实现远程 IDC 与云上资源互访。
网络流日志(Flow logs)为您提供全时、全流、非侵入的流量采集服务,可将采集的网络流量进行实时的存储、分析,适用于故障排查、合规审计、架构优化、安全检测等场景,让您的云上网络更加稳定、安全和智能。
您可以创建指定采集范围(例如弹性网卡、NAT 网关、云联网跨地域流量)的网络流日志,来采集该范围内传入/传出的流量。创建流日志后,您可以在 日志服务(CLS) 中查看和检索数据,也可以在高级分析仪表盘中直观查看日志数据。
Anycast 公网加速(Anycast Internet Acceleration,AIA)是一个覆盖多地的动态加速网络,可以大幅提升您业务的公网访问体验。AIA 不同于其他应用层加速服务,它能实现 IP 传输的质量优化和多入口就近接入,减少网络传输的抖动、丢包,最终提升云上应用的服务质量,扩大服务范围,精简后端部署。
低时延
AIA 用 Anycast 的方式同时把 IP 发布到多个地域,请求包根据传输协议会到达最优的 IP 发布地域,优先进入腾讯云,然后通过腾讯云内网到达主机,避开公网的拥堵,达到减少时延的效果。
高可靠
公网传输是不可靠的传输,而运营商线路中断导致的不可访问,一般用户只能等待恢复。使用 AIA 后,腾讯云内网、运营商网络、腾讯云 POP 点实现网络多路径和多入口,屏蔽单地域和单线路的故障,提高网络稳定性。
降低抖动
公网链路的性能不稳定,例如南北问题、跨境问题都会导致网络的抖动,从而影响服务体验。而AIA 将请求就近接入腾讯云后,通过腾讯云的内网专线进行跨地域传输,完美解决公网抖动问题,传输性能稳定。
简化部署
客户分散在多地又需要就近接入的服务,需要多地部署机器且配置 DNS 实现负载均衡,且不同地域的 IP 不同,部署繁琐。使用 AIA 后在 IP 层面收敛了地域属性,无需每个地域都配置 IP,且后端维护一套逻辑即可,各地域请求直接用专线加速到后端机器。
全局负载均衡
用 Anycast 的方式同时把 IP 发布到多个地域,请求包根据传输协议会到达最优的 IP 发布地域(通常是最近的地域),实现了全局的负载均衡。当发生流量型攻击时,由于 IP 多地发布,也达到了流量分摊的效果。
易于使用
使用 AIA 时购买一个加速型弹性公网 IP 即可兼容常见的 IP 操作。AIA 使用门槛低,支持自助设置外网带宽限速,方便根据成本或主机处理速度设置合适的带宽上限;支持流量监控,用于回溯和分析;支持绑定和解绑操作,方便后端资源变更。
共享带宽包(Bandwidth Package,BWP)是一种多 IP 聚合的计费模式,可大幅降低公网费用。当业务中公网流量高峰分布在不同时间段内,可通过共享带宽包实现带宽聚合计费,相比单独为每台设备购买带宽,可帮您节省带宽费用。
共享带宽包提供 预付费,后付费(后付费日结、后付费月结)两类计费模式,满足您不同业务场景。
共享流量包(Traffic Package,TP)是一款流量套餐产品,节省成本,使用方便。购买共享流量包后立刻生效,并自动抵扣同地域内公网网络计费模式为按流量计费的云服务器、弹性公网 IP、弹性公网 IPv6、负载均衡和 NAT 网关的流量费用,直到共享流量包用完或到期为止。
弹性公网 IPv6(Elastic IPv6,EIPv6)是云服务器 IPv6 的公网网关。通过弹性公网 IPv6,您可以为每一个云服务器的 IPv6 地址开通或者关闭公网,并设置公网带宽。
弹性公网 IP (Elastic IP,简称 EIP),是可以独立购买和持有的、某个地域下固定不变的公网 IP 地址。EIP 可以与 CVM、NAT 网关、弹性网卡和高可用虚拟 IP 绑定,提供访问公网和被公网访问的能力。
腾讯云支持常规 BGP IP、精品 BGP IP、加速 IP 和静态单线 IP 等多种类型的弹性公网 IP。
常规 BGP IP:国内多线 BGP 网络覆盖超过二十家网络运营商(三大运营商、教育网、广电等),BGP 公网出口支持秒级跨域切换,保证您的用户无论使用哪种网络,均能享受高速、安全的网络质量。
精品 BGP IP:专属线路,避免绕行国际运营商出口网络;延时更低,可有效提升境外业务对中国大陆用户覆盖质量。
加速 IP:采用 Anycast 加速,使公网访问更稳定、可靠、低延迟。
静态单线 IP:通过单个网络运营商访问公网,成本低且便于自主调度。
高防 EIP:云原生 DDos 防护 BGP IP,需配合企业版高防包使用,提供 Tbps 级别 DDos 全力防护。高防 EIP 分别与业务资源、高防资源绑定后,便可拥有 DDoS 防护能力。
公网 IP 地址是 Internet 上的非保留地址,有公网 IP 地址的云服务器可以和 Internet 上的其他计算机互相访问。普通公网 IP 和 EIP 均为公网 IP 地址,二者均可为云资源提供访问公网和被公网访问的能力。
普通公网 IP:仅能在 CVM 购买时分配且无法与 CVM 解绑,如购买时未分配,则无法获得。
EIP:可以独立购买和持有的公网 IP 地址资源,可随时与 CVM、NAT 网关、弹性网卡和高可用虚拟 IP 等云资源绑定或解绑。
私有连接(Private Link)提供腾讯云 VPC 通过内网访问同地域其他 VPC 的能力, 可以在同账号或者不同账户的跨 VPC 之间快速建立访问连接,相比公网服务,可以节约公网带宽,安全性更高,同时能够大幅简化网络架构。
您可以通过 Private Link,实现 VPC 与云上的服务建立安全稳定的私有连接,简化网络架构,避免通过公网访问服务带来的潜在安全风险。
产品组成
Private Link 涉及两个重要的产品对象:
专线接入(Direct Connect,DC)为您提供了一种便捷的连接企业数据中心与腾讯云的方法,您可通过专线接入建立与公网完全隔离的私有连接服务,相比公网,专线接入具备更安全、更稳定、更低时延、更大带宽等特性。您只需要一条运营商物理专线一点接入腾讯云,便可快速创建多条专用通道打通部署于腾讯云的计算资源,实现灵活可靠的混合云部署。
使用传统的专用通道打通用户 IDC 与云上 VPC。
如果一根物理专线需要打通多个 VPC,您需要通过不同的 VLAN ID 分别创建专用通道来连接多 个VPC。
使用云联网产品实现互通。
优势:您只需要创建一个通道连接云联网专线网关,然后把专线网关加载到云联网,即可实现云联网内的多个网络实例间全互通,操作简单。
专线接入由物理专线、专用通道和专线网关组成。
云联网(Cloud Connect Network,CCN)为您提供云上 私有网络 间(VPC)、VPC 与本地数据中心间(IDC)内网互联的服务,具备全网多点互联、路由自学习、链路选优及故障快速收敛等能力。云联网覆盖全球20+地域,支持100+Gbps带宽以及最高可达99.99%的可用性,为您轻松构建极速、稳定、安全、灵活的全球互联网络。
云联网有以下组成部分:
云联网具有以下功能:
通过全网多节点、多级路由的自动转发及学习、路由秒级收敛,可一步到位实现云联网上所有网络实例的互联,轻松管理。
基于全网多节点、链路 Full Mesh 互联,帮助您告别繁琐的路由维护。智能调度系统基于全网多级网络拓扑、路由、流量的统一检测,支持您本地业务就近接入、最短链路互通。
云联网多级路由可自动学习,当您的网络拓扑发生变化时,路由能够自动学习更新,您无需再进行配置、变更等繁琐的操作,管理简单,可以极大地提升您网络的可扩展性及运维效率。
与对等连接/专用通道的区别
使用腾讯云云联网之前,如果您想要实现多个 VPC 以及通过物理专线连接到云上的IDC 网络之间的互通,需要为 VPC 间两两分别建立对等连接,为物理专线与每一个 VPC 之间建立专用通道和专线网关,且各 VPC、IDC 网络的网段均不能重叠,否则无法建立连接。建立连接后,您还需管理各实例的路由表,手动添加路由策略后才能实现互通。
上述场景如果使用腾讯云云联网,您只需创建一个云联网实例,将需要互联的 VPC 和 专线网关(一条物理专线只需创建一个专用通道和一个专线网关)加入到该云联网中,即可实现所有网络之间的互通。云联网的路由自动转发及学习,使您只需一次操作将实例加入到云联网中,无需再手动配置、管理各实例的路由表。
对等连接(Peering Connection)是一种大带宽、高质量的云上资源互通服务,可以帮助您打通腾讯云上的资源通信链路。对等连接具有多区域、多账户、多种网络异构互通等特点,轻松实现云上两地三中心、游戏同服等复杂网络场景;支持 VPC 间互通、VPC 和黑石私有网络互通,满足您不同业务的部署需求。
对等连接服务与 Internet 传输对比有以下优势。
VPN 连接(VPN Connections)是指在 Internet 公共网络上建立的一个安全的网络连接,通过为企业提供基于公网的加密通道,从而实现将企业数据中心(IDC)、内部办公网络与腾讯云的私有网络 VPC 安全的连接起来。
腾讯云 VPN 支持 IPsec 和 SSL 网络安全协议,后文中我们将使用 IPsec 协议的 VPN 连接简称为 IPsec VPN,使用 SSL 协议的 VPN 连接 简称为 SSL VPN 。
腾讯云 VPN 连接分为如下组成部分:
VPN 网关:创建的 IPsec VPN 网关。
VPC 型 VPN 网关:当您需要与单个 VPC 通信时,可通过 VPC 型 VPN 网关接入 VPC。
CCN 型 VPN 网关:当您需要与多个 VPC 通信时,可通过 CCN 型 VPN 网关接入云联网,实现全流量互通。
对端网关:记录 IDC 端 IPsec VPN 网关公网 IP 地址的逻辑对象(IDC 端必须有固定公网 IP)。
VPN 通道:加密的 IPsec VPN 通道。
腾讯云 SSL VPN 连接分为如下组成部分:
SD-WAN 接入服务(SD-WAN Access Service)助力多分支轻松实现与云、数据中心的任意互联,具有即插即用、全球覆盖、智能管控等特性,为企业多分支提供更简单、可靠、智能的一站式的上云体验。
SD-WAN 接入服务由 Edge 设备和控制台两个部分组成。
Edge 设备:硬件设备形态,在用户 IDC、分支和门店安装 Edge 设备后,可自动与腾讯云网络连接。Edge 设备详情如下:
控制台:控制台提供配置网络接口、云联网及防火墙功能,还可以实时查看 Edge 设备的状态、网络链路及流量详情,同时可在线提升 SD-WAN 的接入带宽。
不同地域的各分支(如成都和上海分支)、腾讯云 VPC(如北京地域的 VPC)、用户 IDC(如广州的 IDC)可以通过云联网实现 Full Mesh 全互联的企业。
5G入云服务由 APN/DNN 和控制台两个部分组成。
客户 APN/DNN 下的物联终端通过5G云网关(5G入云服务的网络实例)与腾讯云 VPC、客户 IDC 互通。
5G云网关由用户通过腾讯云控制台创建,支持弹性带宽和秒级扩容,支持云监控和告警,与运营商核心网通过双路由大带宽专线对接,采用高可用的集群方式部署,无单点故障的风险,可用性高达99.95%。