网络传输速度的问题以及如何测试?

如果你想测试网站的 ping 值. 你可以用 ping.chinaz.com 工具测试一下全国到达该 IP 的速度。 如果是测试主机下载速度,可以试试尝试下载国内的 link ,例如:

wget http://mirrors.163.com/ubuntu/ls-lR.gz

另外,国际出口慢的问题是因为我们的带宽中不包含国际专线(国际专线成本大约是国内 10 倍)。而国际出口带宽是有限的,但高峰期来临时,就会出现不稳定的状况。我们会通过部署海外节点来解决这个问题。

青云如何防御大流量攻击?

你好,小规模的 DDOS 我们能抗,但是 10 Gbps 以上的,用户需要使用专门的抗 D 服务。例如安全宝/加速乐等。 一般用户的使用方式都是,主机可以托管在这边,但是对外的域名会切到抗D的服务商。 我们正在和第三方厂商合作,希望以一种更简便的方式做防护,不过需要比较长的时间。其实你只要合理部署,即便有人攻击,基本是不会有问题的。

给个部署参考:

  • 在青云中部署你的应用/服务,使用青云提供的负载均衡器来进行应用/服务的均衡;
  • 使用专业的 anti-ddos 服务放置在你的应用/服务之前,比如 安全宝、青松、牛盾等服务。可以在控制台『应用中心』安装使用。

北京宽带附加费如何计算?

每个账户下可以免费使用两个 IP 。 超出部分收取 IP 附加费,为 60 元/ IP /月,相当于 0.083 元/每 IP /每小时;一个账户内带宽使用超过 30Mbps 时,超出部分会收取带宽附加费,附加费为 70 元/ Mbps /月,即相当于 0.097 元/每 Mbps 每小时。

青云QingCloud 机房的 BGP 网络?

广东一区: BGP 四线,包括:电信、联通、移动和铁通。 北京一区: BGP 多线,包括:电信、联通、移动、铁通、教育网、长宽、电信通、歌华等 北京二区, BGP 四线,包括:电信、联通、移动和教育网。 亚太一区:国际线路,国内 BGP 四线:电信,联通,移动, 教育

DNS 相关使用问题

基础网络由全局 DHCP Server 来自动进行网络配置,包括分配 IP 地址、设定 DNS 服务器、设定缺省网关等。 如果你需要自行管理网络,你得使用私有网络,点击左边导航中的 网络 项目,就可以看到了。你可以创建一个路由器,创建一个私有网络,并把这个私有网络连接到这个路由器。然后把全部主机从 基础网络 中移出、放入这个私有网络。等这些主机重新获得 IP 地址之后,你可以在路由器的 DHCP 服务中指定 DNS 服务器。

在青云 QingCloud 的平台中,路由器过滤控制规则?

缺省情况下,路由器所管理的私有网络之间是相互连通的。如果添加了过滤控制规则,那么这些规则就会起作用,可以控制两个私有网络之间通还是不通。 假设你有两个网络 192.168.1.x 和 192.168.2.x ,希望网络间只有 192.168.1.2:3306 提供服务,而其他都隔离,你可以加如下四条规则:

源IP 源端口 目的IP 目的端口 行为 优先级
192.168.2.0/24 192.168.1.2 3306 接受 1
192.168.1.2 3306 192.168.2.0/24 接受 2
192.168.2.0/24 192.168.1.0/24 拒绝 3
192.168.1.0/24 192.168.2.0/24 拒绝 4

在青云 QingCloud 的平台中,FTP 服务如何搭建?

FTP 服务首先需要在青云防火墙打开下行 TCP 21 端口,用于 FTP 指令传输。如果你的 FTP Client 位于 NAT 之后,则还需要打开被动模式(passvie mode),被动模式会指定一个端口范围用于数据传输,设置后记得在青云防火墙中添加规则打开对应的端口。 Linux 系统下 vsftpd 和 proftpd 的安装配置可参见文档: https://docs.qingcloud.com/faq/index.html#ftp Windows 下 server-u 的设置可以参见 http://www.xuebuyuan.com/2046092.html

青云QingCloud 宽带价格的问题

  • 北京1区的带宽价格是线性的,计费方式为:

0.03元/每Mbps/每小时。 但当账户内总带宽超过30Mbps时,超出部分会收取附加费用,费用为0.098元/每Mbps/每小时。

  • 广东1区的带宽是非线性的,计费方式为:

1Mbps:0.03元/每小时 2Mbps:0.06元/每小时 3Mbps:0.098元/每小时 4Mbps:0.13元/每小时 5Mbps:0.17元/每小时 6Mbps:0.28元/每小时 7Mbps:0.41元/每小时 8Mbps:0.53元/每小时 9Mbps:0.65元/每小时 10Mbps:0.78元/每小时 11Mbps:0.9元/每小时 12Mbps:1.03元/每小时 12Mbps: 0.0875元/每Mbps/每小时 广东1区不再收取带宽附加费。

  • 北京2区的带宽是非线性的,计费方式为:

1Mbps:0.03元/每小时 2Mbps:0.06元/每小时 3Mbps:0.098元/每小时 4Mbps:0.13元/每小时 5Mbps:0.17元/每小时 6Mbps:0.31元/每小时 7Mbps:0.45元/每小时 8Mbps:0.59元/每小时 9Mbps:0.725元/每小时 10Mbps:0.865元/每小时 11Mbps:1元/每小时 12Mbps:1.145元/每小时 12Mbps: 0.0975元/每Mbps/每小时 北京2区不再收取带宽附加费。

在青云QingCloud 中自管网络、受管网络有什么区别?

自管网络,就相当于我们给你提供了一个交换机,然后所有在这个网络里面的主机都连接到这个交换机上,交换通道是建立了,但是没有任何配置,具体让这个网络做什么事情取决于你。也就是说,路由、IP分配、端口转发、VPN隧道建设等功能,都需要你基于这个基础的网络去实现,当然是以软件的方式实现。相应的,你需要去了解这些功能的实现方式。 简单配置的话,你可以参考:https://docs.qingcloud.com/faq/index.html#id5 关于IP的配置可以参考: https://docs.qingcloud.com/faq/index.html#linux-ip 一般情况下受管网络能够满足网络配置的需求,如果受管网络路由器功能无法满足您对网络管理的需求, 可以创建自管私有网络,并自行配置和管理该网络。 我们推荐使用受管网络,自管网络对用户网络管理配置能力要求比较高。 提供自管网络的目的是,有些发烧友用户希望自己手工管理自己的网络,例如你也许希望在青云系统上用几台主机做网络实验,在这种情况下,自管网络给你最大的自由,但是用起来难度也最高。

在青云 QingCloud 控制台的 WEB 终端无法连接,怎么办?

首先,建议使用 Chrome 或 Firefox 浏览器,如果都无法打开,也可能是你那边的防火墙导致的,从企业内部访问可能会有这个问题。因为我们 WEB 终端的连接端口不是知名的,范围是 HTTPS 协议的10000-15000 。

为什么在青云QingCloud 私有网络中无法获得 IP ?

主机的 DHCP 租约时间超时是很长的。当主机从一个网络换到另一个网络时,你需要主动重启一下网络,或者重启主机,不然你只能等它超时(大约 30 分钟)。 重启方式,根据发行版不同,可能是:

RHEL/CentOS
# service NetworkManager restart

Fedora
# systemctl restart NetworkManager

Debian
# service network-manager restart

Ubuntu
# restart network-manager

在青云QingCloud 中自管网络如何配置网卡?

我们的网卡目前是通过 Network Manager 自动进行管理的,他会和你的手动管理网卡发生冲突。配置应该是这样:

1.禁用NM:

service NetworkManager stop
chkconfig NetworkManager off

2.手动配置所有网卡(假设eth0对应基础网络,eth1对应自管网络)

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
TYPE=Ethernet
NM_CONTROLLED=no

vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
NM_CONTROLLED=no
IPADDR=192.168.100.11
NETMASK=255.255.255.0
NETWORK=192.168.100.0
BROADCAST=192.168.100.255

3.重启网络或者重启主机:

/etc/init.d/network restart
reboot

为什么下载速度达不到申请的公网 IP 带宽值?

网速不仅仅和你配置的公网带宽有关系,还和数据源的带宽限制有关系,你可以下载这个试试看:

wget http://mirrors.aliyun.com/ubuntu-releases/14.04/ubuntu-14.04.2-desktop-amd64.iso

关于 QingCloud 虚拟机中进程带宽的问题

安装 nethogs 软件,便于查看占用带宽的进程,其使用方式可参考:http://www.cyberciti.biz/faq/linux-find-out-what-process-is-using-bandwidth/

为什么青云QingCloud 内网中主机的 IP 会变动?

基础网络的内网 IP 是有可能发生变化的,例如主机重启或者主机发生迁移时。具体可以看这里: https://docs.qingcloud.com/faq/index.html#id7 如果你需要固定 IP ,建议你使用我们的私有网络。 IP 都是固定的,而且更加安全。

在青云QingCloud 中如何安装VNC

yum groupinstall Desktop
yum install gnome-core xfce4 firefox
yum install tigervnc-server

然后启动:

vncserver

设置好密码,然后查看端口:

netstat -anp | grep 59

我看到的是 5901,所以我添加了一条防火墙规则 5901 然后用 VNC Client 访问: <公网 IP >: 1 就可以进入 VNC 了

在青云QingCloud 中如何设置主机 DNS ?

如果是私有网络,可以在路由器详情页里面设置每台主机的DNS服务器 如果是基础网络,你可以在修改后,通过 chattr +i /etc/resolv.conf 命令防止被修改。

青云QingCloud 的基础网络和私有网络有什么区别?

  • 基础网络:基础网路是三层隔离的。在基础网络里面,如果别的用户抓取二层包的话,还是有可能看到其他用户的数据。类似 Internet 公网。
  • 私有网络:而包括“自管网络” 和 “受管网络”,私有网络是二层隔离的,在私有网络里面传输的数据别的用户没有办法可以截取到,你可以理解为你的内网。“受管网络”是由青云来帮用户配置好了路由器,用户只要加入就可以连通了。但“自管网络”需要用户自行配置和管理网络才能连通。

私有网络的主机无法访问外部服务器?

请检查您的外部服务器是否开启了下面的sysctl选项:

net.ipv4.tcp_tw_recycle = 1

它会造成基于位于NAT后面的主机无法跟外部服务器建立连接。请关闭这个选项。

如何防止 DDOS 攻击?

首先你要合理的部署后端资源,使用负载均衡器来分发你的请求到后端多台主机,并根据负载情况增减主机。这个过程可以手动来做,或者使用我们的 auto-scaling 来自动扩展。 其次如果你的业务容易遭受大规模的 ddos 攻击,建议在前面挡一个专业的安全防护产品,目前在青云的应用市场里,可以选择“牛盾”,提供 5G 峰值的免费抗 D 服务。 当然你还要在系统和业务层来做防护,比如写一个脚本定期 check 访问日志,用 iptables 屏蔽一些恶意来源 IP。 亚太一区的用户,不能使用大陆厂商的安全服务,建议使用 Nexusguard 的抗 D 服务。

在云计算平台中,内网拷贝文件慢该怎么办?

Windows 主机间通过远程桌面共享驱动方式,在内网拷贝文件速度不到 10MB 是正常现象。这是由于远程桌面使用加密连接,传输过程中对文件加密。传输瓶颈在 CPU ,而不是网络带宽。 建议 Windows 用户使用共享文件夹的方式在内网传输文件。

在青云QingCloud 平台中主机无法访问网络

应该是你主机的 NetworkManager 服务没有启动或者被删除了, 青云系统需要通过DHCP来获取地址。 如果 NetworkManager 不能启用, 你就需要在 /etc/sysconfig/network-scripts/ifcfg-eth0 里面配置 eth0 通过 dhcp 获取地址:

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes

然后用 ifup eth0 来启动网络

在青云QingCloud 中如何把两个区的网络通过 GRE 相连?

简单的对连拓扑

如下图所示,假设您在青云中的路由器使用的公网 IP 是 3.3.3.3,您自己数据中心的路由器使用的公网 IP 是 6.6.6.6,这两个路由器背后各连接有两个私有网络,它们将通过 GRE 隧道连接在一起。

  1. 在青云中的操作

登录 WEB 控制台,点击左边导航条中的“网络”,在右边主显示区域 “路由器” 项下点击您的路由器,进入其详情页,切换至“隧道服务”页签,然后点击“添加隧道规则”。

在弹出的对话框里,填写以下项目:

  • 协议: 默认为 GRE 协议
  • 名称: 为该隧道起个名字,比如 tun36
  • 远端路由器 IP: 在本例中为您数据中心路由器的公网 IP 6.6.6.6
  • 密钥: 一个两端共同使用的约定整型数字,比如 12345
  • 本地点对点 IP: 隧道在青云路由器这边的地址,比如 10.254.0.1
  • 对端点对点 IP: 隧道在您数据中心的地址,比如 10.254.0.2
  • 目标网络: 在本例中为您数据中心的两个私有网络 192.168.5.0/24、192.168.6.0/24

确认无误后,点击“提交”,然后点击页面上方的“应用修改”按钮,以完成路由器的配置更新。这样就完成了在青云这端的隧道配置。

另外,还需要去该路由器使用的防火墙规则中打开 GRE 协议。并记得 应用更改 。

  1. 在您数据中心设备上的操作

因为隧道的对称性,还需要在您自己数据中心的路由器上进行隧道配置,具体配置方法取决于您使用的网络设备,请查询厂商的手册。这里给一个 Huawei 路由器的配置过程,供参考:

[Quidway] interface Tunnel 0/0/0
[Quidway-Tunnel0/0/0] ip address 10.254.0.2 255.255.255.0
[Quidway-Tunnel0/0/0] tunnel-protocol gre
[Quidway-Tunnel0/0/0] source 6.6.6.6
[Quidway-Tunnel0/0/0] destination 3.3.3.3
[Quidway-Tunnel0/0/0] gre key 12345
[Quidway-Tunnel0/0/0] quit
[Quidway] ip route-static 192.168.1.0 255.255.255.0 Tunnel0/0/0
[Quidway] ip route-static 192.168.2.0 255.255.255.0 Tunnel0/0/0

青云作为中心节点的星型拓扑

如下图所示,假设您在青云中的路由器使用的公网 IP 是 3.3.3.3,您自己有两个数据中心,它们对外路由器使用的公网 IP 分别是 6.6.6.6、9.9.9.9,这三个路由器背后各连接有两个私有网络,它们将通过 L3 GRE 隧道连接在一起。

上图中,黑色的路由器表示是这个星型网络的中心节点,蓝色的路由器表示接入节点。

  1. 在青云中的操作

参照 简单的对连拓扑 一节中“1.在青云中的操作”的部分,创建一条到 6.6.6.6 的隧道后,在“隧道服务”标签页中点击“添加隧道规则”按钮,可以新建一条到 9.9.9.9 的隧道。

在弹出的对话框里,填写以下项目:

  • 协议: 默认为 GRE 协议
  • 名称: tun39
  • 远端路由器 IP: 9.9.9.9
  • 密钥: 87654
  • 本地点对点 IP: 10.254.1.1
  • 对端点对点 IP: 10.254.1.2
  • 目标网络: 172.19.1.0/24、172.19.2.0/24

确认无误后,点击“提交”,然后点击页面上方的“应用修改”按钮,以完成路由器的配置更新。这样就完成了在青云这端的隧道配置。

另外,还需要去该路由器使用的防火墙规则中打开 GRE 协议。并记得 应用更改 。

  1. 在您数据中心设备上的操作

因为隧道的对称性,还需要在您自己数据中心的这两台路由器上进行相应的隧道配置,具体配置方法取决于您使用的网络设备,请查询厂商的手册。

青云作为接入节点的星型拓扑

如下图所示,网络构成与 青云作为中心节点的星型拓扑 一节相同,唯一的不同之处是,这次 6.6.6.6 是中心节点,青云网络(3.3.3.3)的身份是一个接入节点。为了醒目,依然用黑色的路由器表示是这个星型网络的中心节点,蓝色的路由器表示接入节点。

参照 简单的对连拓扑 一节中“1.在青云中的操作”的部分,创建一条到 6.6.6.6 的隧道。即完成了在青云中的操作。

剩余的各条隧道均需要在您自己数据中心的这两台路由器上进行相应的配置,具体配置方法取决于您使用的网络设备,请查询厂商的手册。

如何为CentOS 7配置静态 IP 地址?

例:在 VPC 网络,如192.168.0.0/16,然后自定义一个私有网络192.168.1.0/24 创建主机时绑定的是私有网络192.168.1.0/24,并制定了IP地址,192.168.1.10, 登录主机看到该IP192.168.1.10在 网卡eth0上,但 /etc/sysconfig/network-scripts/目录下没有该eth0的配置文件,请问我如何找到这个配置文件(centos7)。 需求是因为我要找到这个网卡禁用DHCP,然后配置一个桥接网络绑定到eth0上

如果你想要为CentOS 7中的某个网络接口设置静态IP地址,有几种不同的方法,这取决于你是否想要使用网络管理器。

网络管理器(Network Manager)是一个动态网络的控制器与配置系统,它用于当网络设备可用时保持设备和连接开启并激活。默认情况下,CentOS/RHEL 7安装有网络管理器,并处于启用状态。

CentOS 7系统配置上的变化解析 http://www.linuxidc.com/Linux/2014-09/107375.htm

CentOS 7下搭建高可用集群 http://www.linuxidc.com/Linux/2014-10/107698.htm

使用下面的命令来验证网络管理器服务的状态:

$ systemctl status NetworkManager.service

运行以下命令来检查受网络管理器管理的网络接口:

$ nmcli dev status

如果某个接口的nmcli的输出结果是“已连接”(如本例中的enp0s3),这就是说该接口受网络管理器管理。你可以轻易地为某个特定接口禁用网络管理器,以便你可以自己为它配置一个静态IP地址。

下面将介绍在CentOS 7上为网络接口配置静态IP地址的两种方式,在例子中我们将对名为enp0s3的网络接口进行配置。

不使用网络管理配置静态IP地址

进入/etc/sysconfig/network-scripts目录,找到该接口的配置文件(ifcfg-enp0s3)。如果没有,请创建一个。

打开配置文件并编辑以下变量:

在上图中,“NM_CONTROLLED=no”表示该接口将通过该配置文件进行设置,而不是通过网络管理器进行管理。“ONBOOT=yes”告诉我们,系统将在启动时开启该接口。

保存修改并使用以下命令来重启网络服务:

# systemctl restart network.service

现在验证接口是否配置正确:

# ip add

使用网络管理器配置静态IP地址

如果你想要使用网络管理器来管理该接口,你可以使用nmtui(网络管理器文本用户界面),它提供了在终端环境中配置配置网络管理器的方式。

在使用nmtui之前,首先要在/etc/sysconfig/network-scripts/ifcfg-enp0s3中设置“NM_CONTROLLED=yes”。

现在,请按以下方式安装nmtui。

# yum install NetworkManager-tui

然后继续去编辑enp0s3接口的网络管理器配置:

# nmtui edit enp0s3

在下面的屏幕中,我们可以手动输入与/etc/sysconfig/network-scripts/ifcfg-enp0s3中所包含的内容相同的信息。

使用箭头键在屏幕中导航,按回车选择值列表中的内容(或填入想要的内容),最后点击屏幕底部右侧的确定按钮。

最后,重启网络服务。

# systemctl restart network.service

好了,现在一切都搞定了。

在青云QingCloud 中删除了一台主机,然后又从回收站恢复了这台主机。恢复出来的这台主机的基础网络IP地址没有了。该怎么恢复?

在主机栏右键选择「网络」->「加入」。

青云QingCloud 负载均衡器能不能加载SSL证书?

青云QingCloud LB 使用的是 haproxy 技术,可以加载 https 的证书 SSL。

青云主机之间的网络带宽是多少?

为了保证用户之间的公平,青云对主机之间的网络带宽限制为: 平均限制为 512Mbps,峰值限制为 1Gbps。

青云的公网带宽上下行速率是对称相等的吗?

为了提高用户在青云中的下载体验,对于公网IP的带宽小于 10Mbps 的,上行速率等同带宽,下载带宽自动提高到 10Mbps; 带宽大于 10Mbps 的,上下行带宽保持和申请带宽相同。

欠费后的公网 IP 会被如何处理?

对于通过青云备案信息验证的公网 IP,我们会在欠费之后为用户保留3天, 并发出欠费提醒的邮件;对于不需要备案或备案信息没有通过验证的公网 IP, 一旦欠费就会被系统释放回资源池。

公网 IP 流量计费的具体统计方法是什么?

如果公网 IP 的计费模式是按流量计费,则除了固定的 IP 地址价格外, 流量数据会每小时自动统计一次,统计方法是: 在即将扣费的时间范围内,分别对进、出数据量求和,然后取其中较大的值作为扣费依据。

为了保持跟带宽计费一致的优惠策略(请见: 青云的公网带宽上下行速率是对称相等的吗 ) ,只有当下行速率超出 10Mbps 时才会对其扣费。例如:

一个按流量计费的、带宽上限是 20Mbps 的公网IP,在一个扣费周期内有 30 分钟其下行速率一直保持在 18Mbps ,有 10 分钟其上行速率一直保持在 10Mbps , 则在即将扣费的时间范围内对进、出数据量求和结果如下(这里为了方便举例, 上下行速率假设一直稳定在一个固定值,而实际计算时使用的是采样间隔为1分钟的速率数据):

进数据量之和 = 8Mbps(18 Mbps 减去优惠的 10 Mbps) * 1800(秒数) / 8 = 1800 MB (megabyte)

出数据量之和 = 10Mbps * 600(秒数) / 8 = 750 MB (megabyte)

因为进数据量之和大于出数据量之和,所以此1小时的实际扣费是 1800 MB / 1024 * 流量单价(每GB ** 元)

警告 公网 IP 计费模式不能频繁切换,24小时内只能改一次。

在青云QingCloud 为什么 80 端口被禁用?

根据上级网管要求,对于一些对备案要求较为严格的区域,例如北京2区 (PEK2),用户需要完成备案才能使用 80 端口提供服务,在完成备案之前,80端口将被禁用。 在完成备案流程之后,用户需要将申请到的备案号填入公网 IP 对应的 “ICP备案” 信息字段中 (具体操作在公网 IP 的右键菜单 “设置 ICP 备案信息” 中), 待管理员审核通过之后,才能正常使用 80 端口的服务。

在青云QingCloud 中 LB 的策略按域名转发问题

规则内容为 “XXXX.com”, 表示匹配任何 “*.XXXX.com” 的域名的请求都会被转发,例如 “www.XXXX.com” 和 “site1.XXXX.com” 等。我们支持正则表达式(Perl Compatible Regular Expressions),例如你可以通过 “^XXXX.com$” 来实现精确匹配。

Docker 1.9 以后加入了 networking 组件,支持了 overlay 模式,那么 1.9 以后我们如果要用 overlay 网络还需要借助第三方开源方案吗?

其实在Docker的1.9中版本中已经加入了官方支持的跨节点通信解决方案,而这种内置的跨节点通信技术正是使用了Overlay网络的方法。所以单纯使用Docker或者Swarm方案的时候就不需要了,但是其他的框架,比如Kubernetes依然需要。

另外如果想对网络有更多的控制,比如指定IP地址之类的需求的话,也得换第三方的Overlay实现

怎么样让基础网络的主机 访问 私有网络的主机

需要先在路由器做端口转发,然后基础网络的主机再去访问路由器内网 IP 或内网域名别名(路由器ip可能会变,推荐内网域名)。

这样经过端口转发,就能访问到内网对应的主机。

创建的主机,设置的是基础网络,这个可以修改成私有网络么?

可以,在主机详情页【绑定资源】处修改。

如何使用 WEB 控制台来快速组织网络,实现复杂拓扑

为了行文方便,假设我们的任务是创建四台主机, 并两两放置在两个不同的二层网络里, 这两个二层网络还需要通过一个路由器在三层上连通,并将该路由器连接至互联网。

network_for_multi_instance.gif

第一步:创建两个二层网络

登录 WEB 控制台,点击左边导航条中的“计算与网络 -> 私有网络”, 在右边主显示区域点击“新建”按钮,即可创建二层网络。 分别命名为 开发环境网络 和 生产环境网络。

第二步:创建一个路由器

点击左边导航条中的“计算与网络 -> 路由器”, 在右边主显示区域点击“新建”按钮,指明名称、防火墙、数量, 点击“提交”,即可。通常需要20秒左右来完成。

虽然路由器可以复用任何防火墙, 但是强烈建议为路由器专门新建防火墙、并设立规则, 这样能更清晰地针对不同的云资源(主机或路由器) 来管理防火墙规则。

第三步:将两个二层网络连接至路由器

在私有网络的列表页中分别右键点击前面创建的两个二层网络, 选择”连接路由器“,在弹出的对话框中指定网络地址和路由器。 按前面总览中所设计的拓扑结构,开发环境网络使用 192.168.100.0/24 地址, 生产环境网络使用 192.168.200.0/24 地址, 它们都连接第二步中所创建的同一路由器。

至此,我们就完成了网络拓扑,下面就可以开始创建主机了。

第四步:创建主机,分别放置于两个二层网络

创建主机的步骤已经在快速上手指南中描述过了,这里不再重复。 只有一个地方是有区别的,在指定将主机连接至哪个网络时, 不要使用默认的基础网络 vxnet-0 了, 而应该分别使用我们在第一步中创建的两个二层私有网络。

第五步:申请一个公网 IP,并分配给路由器

申请公网 IP 的操作已经在快速上手指南中描述过了,这里不再重复。

申请到手的公网 IP 会出现在公网 IP 列表页中,右键点击它, 选择“分配到路由器”,在弹出的对话框中选定您创建的路由器,即可。

这样,经由私有网络连接至这台路由器的主机就都能通过这台路由器 访问互联网(Internet)了。

第六步:将私有网络内服务暴露在互联网上

假定我们希望将主机 192.168.200.2 的 TCP 80 暴露出来, 依然使用 80 号端口,将主机 192.168.100.2 的 TCP 80 暴露出来, 并修改为 8080 号端口。

打开路由器的详情页,在右边主显示区域里点击“端口转发”项, 再点击“添加规则”,在弹出的对话框中分别输入:

源端口 内网IP 内网端口
8080 192.168.100.2 80
80 192.168.200.2 80

然后,点击页面上方的“应用修改”以使得刚才添加的规则生效。

注意:请确保打开了该路由器使用的防火墙配置里的 TCP 8080 和 TCP 80 两个下行规则。

第七步:清理

我们已经完成了组建网络拓扑的演示任务, 可以在以上各个资源的列表页中删除/销毁您不再需要的资源。

既然基础网络的IP不会漂移了.那么私有网络存在的意义是?

私有网络是二层隔离的网络,即是真正的“私有网络”; 而基础网络是“共享网络”,三层是互通的,只是说你得通过防火墙做IP层隔离,但不是真正二层隔离,同时安全级别不一样。

VPN服务使用中,如何修改本地路由表?

连接上 VPN 后,有个类似 "Send all traffic over VPN connection" 的选项可以勾上。如果有其它 VPN 的话,就得自己修改本地路由表了。

关于负载均衡器自定义转发策略的问题

按照负载均衡器指南,负载均衡器自定义转发策略中,策略规则按域名转发时,如果两台主机不是处于基础网络,而是处于私有受管网络中,那么如何做到用户访问不同域名的相同80端口时,负载均衡器分别按域名转发给相应的主机? 因为路由器转发规则中只允许有一个80端口转发,所以我觉得好像不行,或者说如果可以,是不是路由器根本不需要转发,由负载均衡器来完成呢? 请问以上想法可以实现吗?

负载均衡器监听80端口,然后根据域名转发给后端的两个80端口的server 在负载均衡器设定后端的时候,你可以设置路由器的两个端口(如,8080,8081) 然后在路由器的端口转发里将这两个端口分别转到私网里两台服务器的80

创建私网的负载均衡问题

  1. 创建负载均衡时,如果选择私网的,只能选择一个私有网络;我的应用虚拟机在一个路由器下的2个私有网络内,是不是无法使用负载均衡?
  2. 使用公网,可以绑定多个公网IP ,绑定多个有什么好处吗?
  3. 绑定多个公网IP的话,我要是申请域名的话,域名指在哪一个公网 IP 上呢?
  1. 可以使用,LB 后端可以加另一个私网的 IP + 端口。只要两个私网是互通的就行。不过这样配置的话,网络拓扑容易交叉在一块;
  2. 单 IP 上限 500Mbps,LB 可以绑定多个公网 IP,这样方便业务量大时扩展;
  3. 解析到 4 个(一个 LB 最多可以绑定 4 个公网 IP;LB 上有几个 IP,域名就解析到几个 IP 上。)IP,由 DNS 做轮询。

私有网络中的两台主机如何通过单独的公网IP访问。

我们现在有一个私有网络,其中包括两台生产服务器,beta服务器以及其他内部使用的服务器,出口是一个带宽为4M的公网IP。 为了保证用户访问网站的速度,希望将生产服务器的带宽与其他服务器隔离,新增一个公网IP,用户通过它访问这两台生产服务器,请问应该如何设置网络拓扑?

有几种方案: 生产环境和内部使用的服务器单独部署在两个路由器、两个私网内; 或者是使用 LB,LB 后端接生产环境,LB 绑定一个公网 IP,提供对外服务。 这两种方案,一个是从私网方面隔离生产、内部环境,一个是从公网方面隔离。

我们由两台基础网络的虚拟机挂载在负载均衡起上,无法后去remote_ip,这个有什么好的解决方案?

TCP 协议的话,基础网络主机目前还不能获取到真实client_ip,需要私网内的主机。如果是http协议的话可以通过header中的x-http-forwarded-for来获取。