云计算

IaaS云计算特征点

• 虚拟化

当用户购买资源时，买的其实是一个虚拟机，指定内存、CPU网络带宽就行了；如果想租赁物理机，可以购买阿里云的神龙裸金属

• 负载均衡

用户购买的资源不直接暴露在公网上，只有一个内网IP地址，通过VPC进行串联，外部需要访问它时要通过负载均衡器SLB（可能是四层的网络负载均衡器，也可能是七层的HTTP负载均衡器），负载均衡器外面有WAF防御，DDoS防御，CDN网络加速等等

• 自动扩展

SLB通常和一个组相关，通过组就可以实现自动扩展、弹性伸缩

基础架构自动化

创建自动化脚本，从而实现资源的创建

• 特点：易于使用、终态声明、基础架构即代码、不可变基础架构、支持传参、乐高编程

  • 终态声明：不用记录已经创建过多少个节点、已经创建了多少个CPU，只用设置一个最终目标
  • 不可变基础架构：基础架构里的资源不能改动，可以先定义一些变量，然后在实际部署过程中再传参

• 三大自动化平台：Terraform，CloudFormation，ROS

• 模版格式：JSON/YAML（CloudFormation、ROS）、TF（Terraform）

CloudFormation：

乐高拼积木的方式来进行脚本和代码的配置

Terraform：

代码解释：

• 前4行：指定系统在azurerm平台运行
• 6-13行：创建计算资源
• 15 - 21行：创建azurerm的VPC网络

IaaS做云网络互通

二层互联互通 —— 多中心网络互联

• 上图有两个数据中心，一个包含了Host A和B，另一个包含了Host C，192.168开头的是内网网段
• 为了让两个数据中心互通，于是在内部网络之上架一个虚拟VLAN，VLAN只在一个大的网络内部划分，无法穿透整个数据中心网络

缺点：

1. 性能差，每个子网加解密处理完之后上层还有一层封帧处理
2. VXLAN要互通的数据很多，无法支持过多的数据中心互通

三层互联互通 —— 多中心网络互联

BGP：三层路由网络路由交换协议

• IBGP形成一个自治域，内部路由协议是互通的
• 外部可以选择性的把某些路由转移给对方，最终实现几个子域（子网）之间互联
• 可以满足多数据中心、单元化、云上云下、云和云之间互联

这样一来，就对架构师提出了高要求，架构师要了解网络

网络架构图

• 每一个子网（子数据中心）都叫做VPC，相当于单元化的一个单元，里面还可以划分出更小的subnet，subnet之间通过BGP路由协议进行沟通，和外部的沟通通过VPN来实现；
• 为了安全，引入了security group，每一个ECS上都要跑一些应用服务，服务有源地址、端口、协议、目标地址、端口，可以通过黑白名单来对五元组进行访问控制；
• 大部分物理机没有公网地址，于是就无法访问互联网，所以要引入VPC NAT，把内网IP转成公网IP，就可以向公网发起数据请求了

进来走SLB -> ECS，出去走ECS -> NAT，完成数据流转

• 管理数据流走SG -> ECS，只要在SG里描述过允许访问，就可以通过管理节点尝试访问

防火防盗

• ACL防火墙
  • 一处问题不延伸到别处
• 安全组
  • 只有白名单才能访问内部数据中心