2.1.3 虛拟網絡
網絡的高速聯通是所有使用者需要的,也是越來越多的叢集類應用在互聯互通時的要求。另外,雲上自帶多租戶環境的屬性,而多租戶的隔離性和特殊場景下的互通性是大規模雲上營運的基礎。這一切都是依靠虛拟網絡實作的,可以說虛拟網絡對于雲計算來說,就如同一座城市的道路規劃一樣重要,是基礎中的基礎。借助虛拟網絡技術的互聯互通功能,彈性計算的資料得以高效流轉,多台雲伺服器得以協同工作,保32
障彈性計算能夠建構豐富多樣的上層業務和應用系統。虛拟網絡的基礎功能包括網絡的安全隔離、可自定義、高性能、高可用和易管理,基于虛拟網絡的基礎功能,再加上各種業務場景下的業務需求,進一步衍生出了一系列的網絡産品。
虛拟專有網絡(Virtual Private Cloud, VPC)是使用者基于雲平台建構的一個隔離的網絡環境,專有網絡之間在邏輯上是徹底隔離的。使用者可以自定義VPC 的拓撲和IP 位址,相當于使用者自己建構了一個資料中心網絡,有自己的路由、交換機和通路政策。使用者可以通過操作VPC 實作内網互通、公網通路、連接配接專線網絡、通路雲服務等多個場景的互聯互通功能。
彈性網卡(Elastic Network Interface,ENI)是雲伺服器的網卡裝置,可以熱插拔。實際上,ENI 還承載了大量的網絡屬性和功能,具備如Metadata、DHCP 等功能,是雲伺服器和虛拟網絡互相連接配接的一個橋梁。
彈性IP 位址是虛拟網絡完成流量轉發的實體,支援 IPv4 和 IPv6 兩種協定,允許多租戶之間使用重疊的私網位址,便于搭建超大規模和靈活自定義的私有網絡。私網 IP 位址承載 VPC 内網流量,隻在 VPC 内部可見,和外部網絡之間是完全隔離的。如果使用者需要通路公網,可以使用彈性 IP 位址,在公網網關上建構私網 IP 位址和公網 IP 位址的映射關系,外部可見的是彈性 IP 位址,VPC 内部實際依然使用私網 IP 位址進行通信。彈性 IP 位址可以在多台雲伺服器之間切換,隻需進行簡單的解綁和再綁定操作即可,具體可參見第5 章。
安全組和安全通路政策(ACL)是 VPC 提供的安全隔離政策,一個安全組内可以有多台雲伺服器,同一個安全組組内是預設互通的,不需要額外的授權。使用者可以通過安全組配置統一的ACL。安全組的一份配置可以對組内所有的成員生效,這個功能極大地簡化了使用者的網絡配置操作,可以幫助使用者完成大規模的雲伺服器運維管理工作。
通過操作 VPC 路由表,使得使用者具備網絡管理運維能力,可以實作 VPC 對等連接配接、 專線通路政策、自建 NAT 網關、自建防火牆、自建 VPN 網關等。通過子網路由(多路由表),使用者可以進行更加靈活的業務流量編排。
虛拟網絡的相關産品和傳統IDC 裡面的路由器、交換機、防火牆配置十分類似, 都是為了解決路由聯通,以及隔離、外網互通、内網互通等一系列問題,并且可以兼顧安全可控等特性而産生出來的。
2.1.4 鏡像
使用者使用雲伺服器最終使用的是一種“應用環境”, 可以把鏡像了解為應用環境第2 章 彈性計算産品家族33
配置的一個典型配置組合。使用者在建構完自己的應用所需要的基礎環境後,可以将環境儲存成鏡像,并基于此鏡像快速啟動運作更多的執行個體,這樣所有的執行個體即可具有相同的軟體配置。通過鏡像,使用者可以啟動以該軟體配置為環境的執行個體。從鏡像的供給者來看,鏡像的大體分類如下。
公共鏡像:雲服務提供商官方提供的鏡像,皆為正版授權,安全性好、穩定性高。公共鏡像包含Windows Server 系統鏡像和主流的Linux 系統鏡像。這些鏡像是雲平台負責維護的“官方版本”鏡像,一般新使用者上雲的鏡像選擇皆出自公共鏡像。
鏡像市場:鏡像市場的鏡像根據供應商不同,可分為兩種:由雲平台官方賬号提供的鏡像和由第三方服務商(Independent Software Vendor,ISV)通過雲市場授權提供的鏡像。鏡像市場的鏡像包括作業系統和預裝軟體等,均經過服務商與雲服務提供商的嚴格測試,以保證鏡像内容的安全。
自定義鏡像:使用者使用ECS 執行個體或快照建立出的鏡像,或從本地導入的自定義鏡像。隻有自定義鏡像的建立者可以使用、共享、複制和删除該鏡像。自定義鏡像是雲上使用者深度使用雲資源并将自己的應用調優之後的必經之路。使用者可以将官方鏡像+ 自定義配置+ 應用形成自定義鏡像,并以此作為環境的基礎副本進行使用。
共享鏡像:其他賬号共享給使用者的鏡像。當多個賬号之間有可共享資源時, 可以通過這種方式獲得其他賬号已有的資源,加速應用部署。
鏡像是所有使用者基本都會使用的功能。彈性計算雲伺服器的鏡像不僅在豐富度、功能上給使用者提供了最大的幫助,更在啟動效率、性能優化、安全防護等方面投入了大量精力,使使用者能夠在雲平台上獲得基礎運作環境以外更好的體驗和技術回饋。
2.1.5 快照
上雲後,使用者最關心的無疑是資料的可靠性,雖然彈性塊存儲從底層能力上極大地解決了使用者擔心的資料丢失問題(可靠性為99.9999999%),但還有一系列問題有待解決,如應用是否會将資料寫亂;是否會有病毒導緻資料被改寫,使其變得不可用; 是否會有0.0000001% 的可能性,資料丢失了怎麼辦;是否會有黑客修改資料,導緻資料無法使用。
快照就是解決這一系列問題的一個關鍵産品。它是某一時間點一塊雲盤或共享塊存儲的資料狀态檔案,常用于資料備份、資料恢複和制作自定義鏡像等。作為一種便捷高效的資料保障手段,使用者一般在以下業務場景中使用快照。34
容災備份:為某塊雲盤建立快照,将資料作為其他雲盤的基礎資料,實作同城容災和異地容災。
版本回退:當更新版本後出現系統問題時,使用者能使用快照復原雲盤實作版本回退。
環境複制:如果使用者希望新購執行個體與已有執行個體有完全相同的環境,則可以使用快照建立自定義鏡像,再使用自定義鏡像建立執行個體。
資料開發:通過對生産資料建立快照,可以為資料挖掘、報表查詢和開發測試等應用提供近實時的真實生産資料。
提高操作容錯率:如果團隊成員不慎在雲盤上存儲了錯誤的資料,ECS 執行個體被誤釋放,應用錯誤導緻資料錯誤,或者黑客利用應用漏洞惡意讀寫資料, 則使用者可以使用快照将雲盤上的資料恢複到期望狀态。
周期性備份:利用快照定期備份雲盤上重要的業務資料,以應對誤操作、攻擊和病毒等導緻的資料丢失風險。
重要操作前備份:在更換作業系統、更新應用軟體或遷移業務資料等重大操作前,成熟的雲伺服器運維人員會建立一份或多份快照。一旦更新或者遷移過程中出現問題,就通過快照及時恢複到正常的系統資料狀态。
如今,快照已不是一個新産品,随着使用者使用量的不斷增加,在ESSD 雲盤使用場景下,彈性塊存儲提供了秒級制作快照的能力,對于資料的備份、恢複效率有了質的提升。基于這樣的産品能力,使用者可以在更多的場景下依賴快照完成對資料的保護。
2.1.6 專有主控端
在典型的雲場景下,一台實體機經過虛拟化後,上面的虛拟計算資源可以被售賣給多個租戶;而在一些特定場景下,比如金融場景出于合規的要求,使用者需要保證實體機的獨占特性,這時,使用者需要将整台實體機上的所有虛拟資源都買走,進而對虛拟資源進行按需劃分(前提依然是所有資源都屬于一個租戶),這就是專有主控端(Dedicated Host,DDH)。它是雲計算平台專為企業使用者定制的解決方案,具有實體資源獨享、部署更靈活、配置更豐富、成本效益更高等特點,可以有效地降低企業上雲的總擁有成本(Total Cost of Ownership,TCO)。專有主控端與普通ECS 執行個體的購買方式從技術棧角度來看并無差别,兩者的差別僅在于整台實體機的資源是否都歸屬單一租戶,以使使用者在特定業務場景下獲得最優的成本效益,如圖2-3 所示。
圖2-3 共享主控端與專有主控端
![Windows下VS開發環境環境安裝工程項目設定關于Debug和Release的提示[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)