您的当前位置：上海品茶 > 报告分类 > PDF报告下载

报告预览

阿里云：企业运维之云上网络原理与实践（183页）.pdf

编号：113364

PDF DOCX 183页 37.52MB 下载积分：VIP专享

下载报告请您先登录！

阿里云：企业运维之云上网络原理与实践（183页）.pdf

1、封面页（PDF 中更新）卷首语计算已成为承载数字化经济的基础设施，云网络是云计算的关键底座，对云网络的理解和应用成为企业和技术人员用好云的关键要素。区别于传统网络，云网络是因云而生的网络，伴随着操作系统、网络、虚拟化、SDN、NFV、可编程芯片等相关技术生态不断演进。而云原生技术、安全技术、边缘计算和 IoT 等领域的发展进一步增加了从“应用-云-网-边-端”体系的复杂度。对网络关键原理和应用实践的体系化介绍对能帮助业界相关读者由浅入深看到当前云网络技术的全貌。回顾云网络领域的发展，该领域是基于云计算的发展诞生和演进的一项技术领域。大约十年前，国内外头部厂商开始了该领域的生产上线。AWS 虚

2、拟网络 VPC 产品在 2009 年-2011 年间发布与上线，2014 年阿里云虚拟网络 VPC 产品正式上线，到目前仍然在基于需求和技术进步持续演进和迭代。业界没有统一的标准，云计算的头部厂商实际上定义了事实标准。将发展中的云网络技术描述清楚是一件不容易的工作，本书基于阿里云云网络的基本功能，结合试验环节，帮助读者尽量了解云网络的全貌。本书总体分为六个章节，内容覆盖了云上网络和跨域网络，包括负载均衡、VPC、EIP、NAT 和云企业网等主要云上产品。对主要产品的介绍，本书通过产品基础原理介绍和运维实践来帮助读者从入门到应用；产品基础原理介绍部分通过详细描述产品原理和功能，帮助读者充分了解产

3、品及使用场景；运维实践部分通过最佳实践和场景问题排查等内容为从业人员介绍日常运维工作中最需要的实践内容。希望广大从事企业云上网络运维的读者能在阅读本书的过程中有所收获。目录第一章云网络总览与概述 5 云网络总览与概述（上）6 云网络总览与概述（下）13 第二章负载均衡 CLB 20 负载均衡 CLB（上）-产品和架构 21 负载均衡 CLB（中）-最佳实践 32 负载均衡 CLB（下）-常见问题与解决思路 38 配套实验：访问 4 层&7 层 CLB 场景对比 44 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 57 云上网络 VPC&EIP&NAT&共享带宽&SLB（上）

4、58 云上网络 VPC&EIP&NAT&共享带宽&SLB（下）70 配套实验：ECS 通过 SNAT 访问 CLB 87 第四章负载均衡 ALB 101 负载均衡 ALB：课前答疑 102 负载均衡 ALB（上）107 负载均衡 ALB（下）125 配套实验：使用 ALB 实现灰度发布 130 第五章云上网络互连 139 云上网络互连（上）140 云上网络互连（中）150 云上网络互连（下）156 配套实验：通过现网的配置分析当前 CEN TR 的组网拓扑 165 第六章云服务与总结 173 云服务与总结 174 第一章云网络总览与概述 5 第一章云网络总览与概述（第一章间隔页，PD

5、F 中更新）第一章云网络总览与概述 6 云网络总览与概述（上）课程目标了解云网络的概念和特点了解阿里云网络产品的功能了解云网络支撑岗位的技能大图掌握常见的问题排查工具课程目录训练营课程简介阿里云网络概述运维技术排查手段视频地址 https:/ 一、训练营整体介绍训练营课程一览本次训练营共有六讲内容：第一讲：云网络总览与概述第一章云网络总览与概述 7 从最基础的云上网络概念开始讲起，帮助学员正确认识和理解云上网络的发展历程、原理、相关云产品概念，同时引出阿里云整个云产品大图。第二讲：负载均衡 CLB 主要介绍 CLB 产品，通过介绍该产品架构和产品特性，带领学员由浅

6、入深地学习产品功能与使用最佳实践，并通过实验来熟悉它的转发逻辑与技术原理。第三讲：云上网络 VPC&EIP&NAT&共享带宽主要介绍云上网络最基础最核心的几款产品，包括 VPC、EIP，NAT 等产品的核心概念，应用场景，配置方式等，并通过综合实验把这几款产品结合让流量跑通。第四讲：负载均衡 ALB 主要介绍 ALB 的由来，ALB 的特点、优势，以及常见的使用场景和案例，并通过实验来体验通过 ALB 实现灰度发布。第五讲：云上网络互联主要介绍如何通过 CEN TR 实现云上 VPC 间互通，CEN TR 的组成部分、优势以及简单排查案例，并通过实验进一步分析 CEN TR 的实现。第六讲

7、：云服务与总结介绍 Privatelink 产品，产品组成与现网场景，并通过 Privatelink 的一个简单问题排错出发，提炼云上网络排查的方法论，整体回顾整个训练营。二、阿里云网络概述 1.什么是云网络第一章云网络总览与概述 8 “云计算+传统网络”的结合称之为云网络。在传统的网络上，通过相关的技术抽象出 VPC 虚拟网络一层，供用户自由分配、自主创建，组成了云网络。云网络的四个特点：资源共享：所有用户，所有云网络，都是底层一张大的传统基础设施网络，在其之上搭建出来的个体；按量付费：传统的机房服务器，是按照周、月等来计费，耗时久，而云网络带有云的属性：用多少，创建多少，付多少费用；

8、弹性伸缩：可根据实际业务情况，进行扩容或者缩容；自助服务：可在控制台或 OpenAPI 自助的操作云上的各个产品功能。2.网络驱动应用发展网络驱动应用，按照业界整体发展趋势，结合应用同时进行驱动发展的过程，从基础设施上云，到办公 OA 等生产上云，逐步实现数字化、智能化、全球化。3.云网络的发展历程第一章云网络总览与概述 9 第一代经典网络：所有的设备都在一个大的二层网络下，云主机之间的隔离和安全性并不好；第二代 VPC 网络：VPC 是单个用户独享的，可以自由配置的实例，它解决了第一代网络的安全、隔离的痛点，不同的租户之间通过专有网络 VPC 完全隔离开；第三代云企业网：第二代 VPC

9、的网络设备只能在云上使用，而随着更多的设备需要上云，就诞生了云企业网。云企业网可在不同地域专有网络 VPC 之间、VPC 与本地数据中心间搭建私网通信通道，实现同地域或跨地域网络互通；同时，云企业网支持在地域内定义灵活的互通、隔离、引流策略，打造灵活、可靠、大规模的企业级全球互联网络；未来展望：5G/IoT/边缘网络，和云网络结合，或形成万物互联等未来网络。4.云网络产品 1)阿里云云网络产品大图第一章云网络总览与概述 10 专有网络 VPC：NAT 网关、弹性公网 IP（EIP）、私网连接 PrivateLink、共享带宽、共享流量包等；负载均衡 SLB：包含传统型负载均衡 CLB，和

10、应用型负载均衡 ALB；阿里云混合云：云企业网 CEN、全球加速 GA、高速通道 EC、VPN 网关、智能接入网关 SAG 等；云解析 PrivateZone；云服务器 ECS。2)VPC 内部模块与产品鸟瞰 VPC 内部模块与产品鸟瞰第一章云网络总览与概述 11 通过上图来看各云网络产品在拓扑图中的位置：VPC 边界有 3 个产品：公网 NAT 网关+弹性公网 IP、CLB&ALB+弹性公网 IP，其中公网NAT 网关和弹性公网 IP 结合才可以提供完整的 IP 地址和带宽能力，CLB&ALB+弹性公网 IP 也是如此。加上 VPN 网关，这三个产品处于 VPC 边界，是用来打通 VP

11、C 内部和外部的服务。VPC 内部 VPC 内部有若干交换机，每个交换机都有归属于自己的 ECS、云数据库 Redis、云数据库 RDS 等资源；交换机的边界处 VPC NAT 网关是私网转换。3)基于云网络实现业务、企业全球互联大图典型企业全球互联大图客户终端设备如手机、pad、电脑等，通过云解析引入到 CLB 中，作为业务入口供用户来访问；内部通过云企业网 CEN 打通所有 VPC，构成大网；一些企业出于安全考虑，会将部分数据放在线下 IDC，通过 VPN 网关或者专线打通云上、云下两个大网；第一章云网络总览与概述 12 最后，较多的门店或者分公司需要连入总公司大网，可以通过 SAG

12、或者 SAG-APP 等方式来上云。第一章云网络总览与概述 13 云网络总览与概述（下）视频地址 https:/ 三、运维技术 1.OSI 模型与 TCP/IP 协议栈 OSI 七层模型与 TCP/IP 四层模型 OSI 是理想化的模型，将网络通信拆分为 7 层，每层都严格执行 RFC 定义的逻辑。随着业务发展需求，OSI 模型发展成了 TCP/IP 协议模型，由上到下依次是应用层、传输层、网络层、数据链路层，相较于 OSI 模型，TCP/IP 协议栈根据既有的协议对协议层做了合并，每层对应的典型协议如右侧所示。2.云网络运维技术大图第一章云网络总览与概述 14 云网络运维技术大图在

13、云网络运维技术大图中，底层是物理网络，之上通过技术抽象出虚拟网络（阿里云内部称之为“洛神”），向用户交付机器或者云服务，用户可进行各种操作来实现自己的需求。绿色背景部分：阿里云用户可控制的内容；中间透明背景部分：阿里云负责的内容；底层灰色部分：由交换机、路由器等传统基础设施提供的物理网络。四、排查手段 1.常见的工具：ping&trace 1)排查工具：ping ping 是确定两点之间通讯是否正常的工具；基于 ICMP 协议（网络控制信息协议 internet control message protocol）Type=8&Code=0 的 Request 和 Type=0&Code=0 的

14、 Reply，即响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个 Type=8 的 ICMP报文，如果目标返回 Type=0 的 ICMP 报文，说明这台主机存在；典型的排查场景：探测连通性、探测链路 MTU。第一章云网络总览与概述 15 icmp 数据报文格式：类型（type）：占用了 8bit，是 ICMP 报文类型，用于标识错误类型的差错报文或者查询类型的报告报文；代码（code）：占用了 8bit，根据 ICMP 差错报文的类型，进一步细分错误的原因，代码值对应了不同的的错误，例如：类型为 11 且代码为 0，表示数据传输过程中超时了，超时的具体原因是 TT

15、L 值为 0，数据报文被丢弃；校验和（checksum）：占用了 16bit，数据发送到目的地后需要对 ICMP 数据报文做一个校验，用于检查数据报文在传输过程中的是否出现变化（即完整性校验）；标识符（Identifier）：占用了 16bit，对于每一个发送的数据报文进行标识；序列号（Sequence number）：占用了 16bit，对于发送的每一个数据报文进行编号。第一章云网络总览与概述 16 2)排查工具：mtr/traceroute/winmtr/tracert 在请求网络资源获取缓慢或者有丢包过程中，经常会使用到网络路径探测工具。linux 下最常用的有 mtr、tracero

16、ute 等；windows 下最常用的有 winmtr、tracert等。mtr：支持 Unix-like 平台，ICMP、TCP、UDP 协议，支持持续探测、多种输出格式；traceroute：支持 Unix-like 平台，ICMP、TCP、UDP 协议，历史悠久，代码稳健；winmtr：支持 windows 平台，ICMP 协议，支持持续探测；tracert：支持 windows 平台，ICMP 协议，windows 原生程序。2.抓包工具：wireshark wireshark 是基于命令行的图形化数据包抓包、查看、分析软件。第一章云网络总览与概述 17 1)wireshark 包含

17、的工具（均在 wireshark 安装目录下）tshark：分析抓包文件的命令行工具，wireshark 图形化界面可替代；mergecap：可以将若子干个包合并成一个包；editcap：可以将一个包拆封成若干个子包；dumpcap：抓包的命令行工具，wireshark 图形化界面可替代；capinfo：可以快速进行摘要分析，例如开始结束时间点以及所抓取的数量。注：使用命令行工具，可避免因使用图形化界面过度耗费资源。2)建议掌握的功能统计会话信息：Statistics-Conversation 个性化 Packet List，添加必要的列名（右击 Packet Details-Apply a

18、s Column）捕获过滤器：与 tcpdump 类似，可以从 man pcap-filter 命令中查看详情显示过滤器：tcp.port/ip.addr/icmp/dns/http.第一章云网络总览与概述 18 wireshark 操作示例：抓包过滤器：以抓 https 流为例，因为 https 跑在 tcp 协议上，在 wireshark 上海品茶界面可输入 tcp，选择相应流量网卡；显示过滤器：wireshark 开始抓包，但 wireshark 只提供了 http 的协议的流量，如果要查询 https，可以在抓到的包页面输入 tls 或 tcp.port=443；五元组：将所抓包分解成

19、不同的 tcp 会话，当我们要查询某一条流量时，右键选择“对话过滤器”-“TCP”，则过滤器会自动显示一条包含 5 个信息的内容（又称“五元组”），包括源 IP、源端口、目标 IP、目标端口、协议；定制界面参数：可以将关注的参数通过右键“应用为列”，即可在列表页显示；注：建议只抓自己感兴趣的流，因为全部都抓容易漏包，另外抓下来的包会特别大。3)进阶功能 TCP 图形分析：Statistics-TCP Stream Graphs 包染色：右击 Packet List-Colorize Conversation 过滤器按钮：Preferences-Filter Buttons 3.一般排查案例步骤

20、如果无法访问某个目标网址，如何进行排查？ping 一下该目标网址；如果 ping 不通，可以使用 mtr 查看是哪一跳出了问题；如第一跳是路由器网关，第二跳是运营商网关等等，在不同的设备上延迟和丢包是否正常，来判断哪一步出了问题；如果可以 ping 通，但无法访问某个网址，通过轻量的排查方法都无法找到原因，则可以使用 wireshark，通常抓包是比较重且耗时的排查方法。4.更多排查工具资料第一章云网络总览与概述 19 云网络二三事：GNU 类工具文章地址：https:/ 云网络二三事：老朋友，Wireshark 家族文章地址：https:/ 第二章负载均衡 CLB 20 第二章

21、负载均衡 CLB（第二章间隔页，PDF 中更新）第二章负载均衡 CLB 21 负载均衡 CLB（上）-产品和架构课程目标了解负载均衡 CLB 的产品功能了解负载均衡 CLB 的底层架构与相关技术掌握负载均衡 CLB 的最佳实践熟知负载均衡 CLB 的常见问题与解决思路课程目录概述相关概念与产品功能产品技术架构最佳实践常见问题与解决思路视频地址 https:/ 一、概述 CLB（Classic Load Balancer）通过设置虚拟服务地址，将同一地域的多台 ECS 实例组成一个高性能和高可用的后端服务池，并根据转发规则，将来自客户端的请求分发给后端服务器池中的 EC

22、S 实例。CLB 默认检查云服务器池中的 ECS 实例的健康状态，自动隔离异常状态的 ECS 实例，消除了单台 ECS 实例的单点故障，提高了应用的整体服务能力。此外，公网 CLB实例还具备抗 DDoS 攻击的能力，增强了应用服务的防护能力。1.为什么需要负载均衡第二章负载均衡 CLB 22 应对高流量的业务访问由于接入点 IP 的负载均衡器做了流量分发，大批量用户可以同时访问一个接入点 IP；消除单点故障一台服务器出现故障，其他服务器仍然对外可以提供正常服务，业务不受影响；对外提供统一的入口多个 IP 地址对外只暴露一个，对外的入口是统一的，运维管理较为容易；开箱即用云产品的特点，即买即

23、用，快速高效。2.负载均衡行业趋势与挑战第二章负载均衡 CLB 23 负载均衡云化趋势明显加速负载均衡越来越多以云方式部署，云提供商逐渐成为主要玩家，传统硬件厂家加速向云转型，提供基于云化的解决方案；5G/IoT 等技术带来机遇与挑战5G/IoT 将加速催生更大流量洪峰，底层通信协议的升级将网络瓶颈转移至应用层面，万物互联使得 IPv4 加速退出历史舞台，IPv6 时代到来；网络环境日益复杂安全性需求凸显愈加复杂的网络环境、越来越深入的面向应用系统交付，对安全提出了更高要求；云原生：从流量入口到面向应用交付面向云原生基于 7 层高级特性加速企业应用快速交付能力，负载均衡从面向网络层演进到面向

24、应用层；云原生 4 要素：微服务、容器化、DevOps、持续交付。二、相关概念与产品功能 1.负载均衡产品大图负载均衡产品第二章负载均衡 CLB 24 1)实例监听：负载均衡以监听为单位提供服务，如 TCP 监听、UDP 监听、HTTP（S）监听等，然后将请求分发至后端服务器；服务器组：负载均衡仅负责转发，并不是实际业务的承载者，它通过服务器组和负载均衡产生关联，将服务器组绑定到监听上，如默认服务器组、虚拟服务器组、主备服务器组等，其中虚拟服务器组支持转发策略；2)访问控制 ACL可以针对不同的监听，设置访问白名单或黑名单，如某些金融客户只允许特定的 IP地址访问。3)证书管理https

25、证书会对流量进行相应保护，在 https 监听下，负载均衡会对证书进行托管、加解密转发控制。4)日志访问日志：相当于 NGINX 的 access log，可以通过分析负载均衡的访问日志了解客户端用户行为、客户端用户的地域分布，排查问题等；健康检查日志：记录了 CLB 对后端服务器的探测结果。2.负载均衡 SLB 的核心能力：面向超大规模业务的流量入口1)IPv6/IPv4 公网入口第二章负载均衡 CLB 25 IPv6 采用 6To4 方案，前端对外暴露 IPv6 地址对外提供 V6 服务，后端采用 V4 连接到 ECS，轻松实现业务向从 V4 向 V6 的平滑迁移。2)最大 500 万并

26、发连接，应对大流量、大并发场景第二章负载均衡 CLB 26 丰富的实例规格，支持各种规模的业务场景，弹性计费，应对业务峰值的同时优化成本。三、产品技术架构 1.产品架构阿里云负载均衡 CLB 产品总体技术架构如下：双可用区容灾高可用架构双可用区部署，主备容灾实现高可用；海量 4 层业务处理能力 LVS 高性能集群处理 4 层业务流量应对海量业务洪峰；基于内容的 7 层业务路由 Tengine 集群处理 7 层业务流量，基于内容的业务路由。高性能 HTTPS 加解密硬解密卡实现高效 TLS 加密流量终结，节省后端服务器算力。2.全链路流量走向第二章负载均衡 CLB 27 所有流量都

27、需要经过 LVS 集群进行转发；LVS 集群内的每一台节点服务器均匀地分配海量访问请求；7 层监听会额外经过 Tengine 集群，HTTPS 协议首次请求还会经过 Key Server集群；CLB 与后端 ECS、ENI 通信走内网。3.健康检查健康检查是 CLB 集群对后端进行一个探测，多台 ECS 同时提供一个服务，通过健康检查可以追踪的故障服务，避免了后端 ECS 异常对总体服务的影响。健康检查可以感知到后端 ECS 的可用性；第二章负载均衡 CLB 28 探测源均是承载业务的转发集群；探测源 IP 段为 100.64.0.0/10。1)TCP 监听 CLB 向后端发起一个 TCP

28、三次握手，后端响应完成，以 RST 方式断开连接。请求方式：TCP 三次握手或 HTTP GET；判定成功逻辑：超时时间内收到了 SYN_ACK；判定失败逻辑：超时时间内未收到 SYN_ACK；关闭连接方式：发送 RST 数据包。问题一：为什么选择 RST 方式而不是四次挥手断开连接？因为健康检查是用 CLB 额外引入的逻辑，对后端 ECS 具有一定的负担，为了尽可能地减少健康检查的开销，采用了 RST 方式，只需要单向的一个包就可以立即断开，断开后两端的机器系统内核都不再去维护 TCP 五元组连接的管理。问题二：使用 RST 可能带来哪些问题？RST 在 TCP/IP 定义里属于非正常的链

29、接结束逻辑，在某些程序比如 java 程序会频繁提示“connection reset by peer”，只要确定探测源是 100.64.0.0/10，就可以认为这是健康检查探测的逻辑，可以忽略该异常信息。2)UDP 监听第二章负载均衡 CLB 29 UDP 是面向无连接的协议，一般用于如 DNS、syslog 协议场景，UDP 监听的规则是发出报文，在规定时间内，收到差错报文回应表示失败，未收到报文表示成功（也可以设置为返回特定字符串来判定成功）。请求方式：UDP 报文；判定成功逻辑：超时时间内没有收到 ICMP 端口不可达报文；判定失败逻辑：超时时间内收到了 ICMP 端口不可达报文。

30、3)HTTP（S）监听请求方式：HTTP GET 方法或 HEAD 方法，可能包含 Host 头，默认使用 HEAD方法（尽可能地降低健康检查给后端 ECS 带来的影响，HEAD 方式只返回响应头部字节数，开销也比较小）；判定成功逻辑：超时时间内收到了配置的预期状态码（如 200）；判定失败逻辑：除上述以外的情况（如收到了 502 状态码、收到了 RST、建连失败等）。第二章负载均衡 CLB 30 4)滞后性和探测频率滞后性：如果机器出现故障时，CLB 需要一定的时间才能感应到；探测频率：探测频率会根据 CLB 转发机器数量而倍增，需要在灵敏性和业务可容忍的范围内，适当设定该频率。4.服

31、务器组第二章负载均衡 CLB 31 默认服务器组（某监听上没有配置任何的转发策略，也没关联任何的虚拟服务器组，流量就会转发到此组，一个 CLB 实例只有一个默认服务器组）是“兜底”的服务器组虚拟服务器组（最灵活，操作成本最低）转发策略监听维度主备服务器组（比较灵活，不适合常见业务，只适合特定的主备业务）一主一备始终对主进行健康检查，失败时流量转发至备机 5.转发策略 CLB 转发策略流程图提高单个实例的使用率；统一管理入口；灵活调度流量。第二章负载均衡 CLB 32 负载均衡 CLB（中）-最佳实践视频地址 https:/ 一、负载均衡 CLB 典型使用场景 1.海量访问流量

32、分发负载均衡 SLB 作为业务流量入口处理超高并发流量。海量访问流量分发 2.多层次容灾架构 DNS 跨地域部署和双 AZ 多活实现不同层次的业务容灾。第二章负载均衡 CLB 33 多层次容灾架构无论是业务上直接把域名解析为 CLB 地址，还是使用 DNS 进行轮询，通过多个 A记录将流量分批转发给不同的实例，CLB 在拓扑架构中都处于比较靠近入口处的设备。二、存储日志开启访问日志及健康检查日志：第二章负载均衡 CLB 34 日志存储在日志服务云产品中，通过控制台可以进行条件筛选，获得相应的结果，简单，实时，弹性。三、配置监控 1.使用 HTTPS 监听 HTTP 1.0：增加 He

33、ader、状态码，增加 HEAD、POST 方法，默认 TCP 短连接；HTTP 1.1：默认 TCP 长连接，支持 Range，支持伪管道传输（Pipeline），增加了 Host 头；HTTP 2.0：基于二进制格式，支持多路复用，全双工通信；HTTP 3.0（GQUIC）：基于 UDP，强制加密。另外，CLB提供HTTP重定向到HTTPS的功能，部分高级功能依赖HTTPS（如HTTP2、WebSocket），因此建议尽可能使用 HTTPS，将证书可托管在 CLB。2.配置报警规则使用云监控配置报警规则，重点关注：时序类报警实例维度：后端不健康服务器数量；4 层监听维度：丢弃连接、丢弃

34、数据包、出入流量；7 层监听维度：5xx（服务端异常）、4xx 状态码（客户端异常）、XXX。事件类报警 7 层监听：证书到期提醒（提前 N 天）。3.获取客户端真实 IP 在不同的监听下，获取客户端真实的 IP 地址的方式不同，如下图：第二章负载均衡 CLB 35 IPv4 四层监听通过 toa 可直接获取到客户端真实 IP；可通过 Proxy Protocol 获取客户端真实 IP。IPv6 四层监听可通过 Proxy Protocol 获取客户端真实 IP。七层监听通过请求头中的 x-forwarded-for 获取客户端真实 IP。1)通过 toa 获取客户端真实 IP 目标

35、IP 为 VPC 下绑定了 EIP 的 SLB，五元组如下：120.195.13.68:12345-TCP-123.56.169.153:443 第二章负载均衡 CLB 36 TCP 三次握手第三个 ACK 包的完整十六进制 dump，加粗部分即为完整的 TCP Option：0000 00 16 3e 34 07 96 58 60 5f 72 1e 00 08 00 45 14 0010 00 3c ac a3 40 00 2f 06 e9 7b 64 79 b8 15 0a 19 0020 8e e1 7c da 01 bb 88 77 6a 56 ad 5c bc aa a0 10 0

36、030 00 e5 35 62 00 00 fc 14 30 39 78 c3 0d 44 19 70 0040 09 00 c0 a8 00 5b 01 bb 01 01 依次为：TCP Option Kind=252（0 xfc）长度（从 Kind 开始算）：20 字节（0 x14）客户端源端口：12345-30 39（网络字节序/大端）客户端 IP 地址：120.195.13.68-78 c3 0d 44 VPC TunnelID：618521-19 70 09 00（主机字节序/小端）Vip：192.168.0.91-c0 a8 00 5b Vport：443-01 bb（网络字节序/

37、大端）2)通过 Proxy Protocol 获取客户端真实 IP 五元组：120.195.13.68.34270-TCP-47.98.108.43.10086 0000 00 16 3e 12 90 f5 ee ff ff ff ff ff 08 00 45 00 0010 00 8c 7a b7 40 00 66 06 49 cb 78 c3 0d 44 c0 a8 0020 09 3a 85 de 01 bb 10 a9 24 18 c2 df 78 02 50 18 0030 13 88 64 6f 00 00 0d 0a Od 0a 00 Od 0a 51 55 49 0040 54

38、 0a 21 11 00 54 78 c3 0d 44 2f 62 6c 2b 85 de 0050 27 66 03 00 04 8a 65 79 c5 04 00 3e 0o 00 00 00 0060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0090 00 00 00 00 00 00 00 00 00 00 从加粗的第 0

39、 x36 个字节开始，是 TCP 的 payload（加粗部分），接下去就是：第二章负载均衡 CLB 37 12 个字节是 Proxy Protocol 的固定签名：x0Dx0Ax0Dx0Ax00 x0Dx0Ax51x55x49x54x0A 4bit 的版本号，这里是 0 x2，意为 V2 的版本 4bit 的 command，这里是 0 x1，意为 Proxy（0 x0=Local）4bit 的地址族，这里是 0 x1，意为 AF_INET（IPv4），其余的为 0 x0/AF_UNSPEC 0 x2/AF_INET6（IPv6）0 x3/AF_UNIX 4bit 的 transport

40、protocol，提示接下去是哪一种传输层的协议，这里是 0 x1，意为 STREAM（TCP），其余的为 0 x0/UNSPEC 0 x2/DGRAM（UDP）2 字节表明接下去的长度，网络字节序，这里是 0 x0054=84，说明接下去的 84字节都是 PP 本身的 payload（斜体部分）4 字节的源 IP，78 c3 0d 44 转换成点分十进制即为 120.195.13.68 4 字节的目标 IP，2f 62 6c 2b 转换成点分十进制即为 47.98.108.43 2 字节的源端口，网络字节序，0 x85de=34270 2 字节的目标端口，网络字节序，0 x2766=1008

41、6 3)通过请求头中的 x-forwarded-for 获取真实客户端 IP 在后端 ECS 上抓包，打印请求头中包含以下 key-value：X-Forwarded-For：用户真实 IP，代理服务器 1-IP，代理服务器 2-IP，第二章负载均衡 CLB 38 负载均衡 CLB（下）-常见问题与解决思路视频地址 https:/ 一、访问失败访问失败 1 问题表现：公网所有客户端 ping or telnet 均不通；可能的原因：CLB IP 被清洗或黑洞；处理方法：清洗：解除清洗；黑洞：迁移业务，等待黑洞结束。访问失败 2 问题表现：可以 ping 通 CLB IP；客户端报错：Co

42、nnection reset by peer 或 Connection refused 或 502 状态码；访问日志，upstream addr 显示为非 IP 地址；客户端抓包：SYN 发出后收到了 RST；第二章负载均衡 CLB 39 可能的原因：CLB 全部后端服务器健康检查失败；处理方法：后端 ECS 上排查健康检查失败的原因。访问失败 3 问题表现：ping or telnet 偶发不通；只有部分地域或部分运营商存在问题；可能的原因：公网链路质量问题；处理方法：获取 MTR 结果后请终端用户向当地运营商报障。访问失败 4 问题表现：可以 ping 通 CLB IP；是四层监听；访问

43、失败概率为（n-1）/n，n 为后端 ECS 服务器台数；客户端抓包 SYN 发出后没有收到 SYN ACK；可能的原因：服务器作为后端 ECS 的同时也作为访问 CLB 的客户端；处理方法：更改为 7 层监听；更改架构。二、健康检查失败第二章负载均衡 CLB 40 1.四/七层监听健康检查失败原因屏蔽了健康检查源 IP；后端 ECS 端口是否监听；后端 ECS 监听队列是否溢出；安全软件是否进行了拦截。2.七层监听健康检查失败原因除了上述可能的问题，七层监听默认使用 HEAD 请求，需要查看后端 Web Server是否允许 HEAD 请求；3.错误信息示例 TCP 监听：TCP c

44、onnect time out/TCP connect error；UDP 监听：UDP connect error；HTTP（s）监听：check protocol error/check time out。三、访问出现 4xx，5xx 第二章负载均衡 CLB 41 访问负载均衡出现 4xx、5xx 的处理思路（以下 proxy 均指 CLB 的转发机器）：1.400 Bad Request 请求头过大；Cookie 过大。2.500 Internal Server Error 指定域名和 url 时，没有精确匹配 url；在 proxy 向后端 ECS 发送数据的过程中，后端 ECS 主

45、动 RST 了 TCP 连接。3.502 Bad Gateway proxy 和后端 ECS 三次握手过程中，后端 ECS 主动回复了 RST；proxy 和后端 ECS 三次握手成功，但在等待响应的过程中后端 ECS 主动回复了RST；所有后端 ECS 健康检查失败。4.503 Service Unavailable proxy 超出单台限定的 QPS，upstream_response_time 和 upstream_addr 会填充为“-”；转发的目标集合中没有可用的 RS（如虚拟服务器中没有 RS，后端服务器中没有ECS），upstream_response_time 一般会填充为 0

46、.000，upstream_addr 会填充为“127.0.0.1:503”。5.504 Gateway Timeout proxy 和 RS 三次握手建连超时（CLB 默认超时时间为 5 秒），如 syn 一直在重传，upstream_response_time填充为5秒（可能会有正负一点误差，如5.001），upstream_status 为 504；第二章负载均衡 CLB 42 proxy 和 RS 三次握手成功，但是等待 HTTP 响应超时（CLB 默认超时时间为 60秒），upstream_response_time 填充为 60 秒（可能会有正负一点误差，如60.001），ups

47、tream_status 为 504。四、负载不均 1.负载不均的原因四层监听：业务存在长连接；新建连接数过少；七层监听：启用了 HTTP2；四/七层监听：后端健康检查抖动；会话保持；转发规则为最小连接数。2.解决思路访问日志；健康检查日志；寻求阿里云技术支持，查看底层数据。五、压测性能不符合预期第二章负载均衡 CLB 43 1.施压前观测指标：50 x 状态码（特别是 503 状态码）；丢弃连接、丢弃流量、50 x 状态码、upstream_response_time；upstream_response_time；施压方式：长时间的压测、施压的源 IP 足够多（建议 10 个以上）

48、。2.施压中施压工具：推荐使用 PTS、Jmeter；关闭健康检查；关闭会话保持。3.施压后查看压测报告：QPS、RT、TPS、VU；评估是否达到预期。4.可能的原因单 TCP 流压测：单个 TCP 链接速率峰值=CLB 总带宽的 1/（N-1）；客户端出现瓶颈：源端口不足、带宽受限；SLB 本身出现瓶颈：超过实例配额；后端 ECS 出现瓶颈。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 44 配套实验：访问 4 层&7 层 CLB 场景对比视频地址 https:/ 一、实验简介在大量真实业务场景（如微服务）中，在 CLB 后端提供服务的 ECS 之间存在服务上的依赖关

49、系（ECS 既做客户端又做服务端），本实验以 CLB 后端的一个 ECS 来访问CLB 的 4 层监听与 7 层监听的端口，以理解其转发规则的不同。实验网址：https:/ 二、实验步骤 1.创建资源在体验实验室页面左侧，单击创建资源，创建所需资源；在页面左侧导航栏中，单击云产品资源列表，查看本次实验资源相关信息。说明：资源创建过程需要 13 分钟。完成实验资源的创建后，您可以在云产品资源列表查看已创建的资源信息，例如：IP 地址、用户名和密码等。2.了解实验架构第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 45 3.实验准备注：后台已创建好了对应的云产品资源，这里仅了解和

50、核实环境和相关配置。如下仅供学员了解和参考，不需要去手动创建（如了解，可跳过）创建 ECS 参考文档：https:/ 私网 CLB 实例创建参考文档：https:/ 4.手动安装 nginx 并设置自定义上海品茶注：不少同学员会有属于自己的 ECS 实例（后台自动创建），请以实际配置中实例的信息（id、IP 等）为准。系统默认资源创建过程需要 13 分钟。完成实验资源的创建后，您可以在“云产品资源”列表查看已创建的资源信息，例如：IP 地址、用户名和密码等。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 46 本实验演示的 ECS 示例为杭州地域下的 ECS，以其 ECS IP 为：

51、192.168.11.180和 192.168.11.181 做样例演示；在系统内手动安装 nginx（yum install nginx）；在/usr/share/nginx/html 目录下使用本机的 hostname 替换原有的index.html 文件，内容为 ECS 本机的 hostname；cd/usr/share/nginx/html/hostname index.html 最后启动 nginx 服务；service nginx start 5.将 ECS1、ECS2 加入到 CLB 的默认服务器组第三章云上网络 VPC&EIP&NAT&共享宽带&SLB

52、 47 注：不同学员会有属于自己的 CLB 实例（后台自动创建），请以实际配置中实例的信息（id、IP 等）为准。本实验演示的杭州地域 clb 实例 ID 为 lb-bp1srfo9275l6vlxq9mg2，IP 地址为192.168.11.175；将 ECS1、ECS2 加入到 CLB 的默认服务器组内；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 48 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 49 6.创建 CLB 实例的监听，80 端口的 TCP 和 8080 端口的 HTTP，并配置默认服务器组第三章云上网络 VPC&EIP&NAT&共享宽带&S

53、LB 50 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 51 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 52 7.在 CLB 监听的后端服务器 ECS1 上安装 telnet，以便访问 4 层 CLB的 80 端口，同时在 ECS1 内部抓包抓包时注意需要抓取 any 网卡由于回包时目标 IP 为本机 IP，在当前的系统路由表中，本机 IP 的路由会走loop 网卡，若只抓 eth0，会出现回包无法被抓到的情况。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 53 思考：访问时为什么会出现时通时不通的现象？8.在 CLB 监听的后端服务器上测试

54、 ECS1 访问 4 层 CLB 的 80 端口，并在 ECS1 内部抓包抓包时注意需要抓取 any 网卡。rootECS1#tcpdump-nni any port 80 and not net 100.64.0.0/10 13:45:15.962843 IP 192.168.11.181.48092 192.168.11.175.80:Flags S,seq 3268167503,win 29200,options mss 1460,sackOK,TS val 818983 ecr 0,nop,wscale 7,length 0 13:45:15.964410 IP 192.168.11

55、.181.48092 192.168.11.181.80:Flags S,seq 3268167503,win 29200,options mss 1460,sackOK,TS val 818983 ecr 0,nop,wscale 7,length 0 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 54 13:45:15.964429 IP 192.168.11.181.80 192.168.11.181.48092:Flags S.,seq 1270453242,ack 3268167504,win 43690,options mss 65495,sackOK,TS val

56、818984 ecr 818983,nop,wscale 7,length 0 13:45:15.964439 IP 192.168.11.181.48092 192.168.11.181.80:Flags R,seq 3268167504,win 0,length 0 9.在 CLB 监听的后端服务器上测试 ECS1 访问 4 层 CLB 的 8080 端口，并在 ECS 内部抓包访问时建议需要使用 curl，因为 7 层监听是 http 层面的动作，如果只用 telnet来测试，三次握手建立好了之后，客户端和 proxy 集群（tengine 集群）进行了连接，没有发起任何数据的时候，在

57、 CLB 部分集群上不会向后端 ECS 建立连接发送数据的，所以必须用 curl 实际的发送一些 7 层的数据。抓包时我们关注的信息有哪些？除了 192 开头的 IP，我们还可以看到来自 100 网段的 IP 数据包，这些数据包正是 7 层监听交互的表现 14:24:03.135859 IP 192.168.11.181.34290 192.168.11.175.8080:Flags S,seq 1995438430,win 29200,options mss 1460,sackOK,TS val 3146156 ecr 0,nop,wscale 7,length 0 14:24:03.137

58、054 IP 192.168.11.175.8080 192.168.11.181.34290:Flags S.,seq 2376897256,ack 1995438431,win 29200,options mss 1440,nop,nop,sackOK,nop,wscale 9,length 0 14:24:03.137071 IP 192.168.11.181.34290 192.168.11.175.8080:Flags.,ack 1,win 229,length 0 14:24:03.137179 IP 192.168.11.181.34290 192.168.11.175.8080

59、:Flags P.,seq 1:84,ack 1,win 229,length 83:HTTP:GET/HTTP/1.1 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 55 14:24:03.138336 IP 192.168.11.175.8080 192.168.11.181.34290:Flags.,ack 84,win 58,length 0 14:24:03.139023 IP 100.122.64.142.2292 192.168.11.181.80:Flags S,seq 1176088477,win 28480,options mss 1424,sackOK,TS

60、 val 4003383056 ecr 0,nop,wscale 9,length 0 14:24:03.139038 IP 192.168.11.181.80 100.122.64.142.2292:Flags S.,seq 2293269875,ack 1176088478,win 28960,options mss 1460,sackOK,TS val 3146159 ecr 4003383056,nop,wscale 7,length 0 14:24:03.140054 IP 100.122.64.142.2292 192.168.11.181.80:Flags.,ack 1,win

61、56,options nop,nop,TS val 4003383058 ecr 3146159,length 0 14:24:03.140073 IP 100.122.64.142.2292 192.168.11.181.80:Flags P.,seq 1:162,ack 1,win 56,options nop,nop,TS val 4003383058 ecr 3146159,length 161:HTTP:GET/HTTP/1.1 14:24:03.140078 IP 192.168.11.181.80 100.122.64.142.2292:Flags.,ack 162,win 23

62、5,options nop,nop,TS val 3146160 ecr 4003383058,length 0 14:24:03.140254 IP 192.168.11.181.80 100.122.64.142.2292:Flags FP.,seq 1:264,ack 162,win 235,options nop,nop,TS val 3146160 ecr 4003383058,length 263:HTTP:HTTP/1.1 200 OK 14:24:03.141713 IP 100.122.64.142.2292 192.168.11.181.80:Flags F.,seq 16

63、2,ack 265,win 58,options nop,nop,TS val 4003383059 ecr 3146160,length 0 14:24:03.141732 IP 192.168.11.181.80 100.122.64.142.2292:Flags.,ack 163,win 235,options nop,nop,TS val 3146161 ecr 4003383059,length 0 14:24:03.141742 IP 192.168.11.175.8080 192.168.11.181.34290:Flags P.,seq 1:247,ack 84,win 58,

64、length 246:HTTP:HTTP/1.1 200 OK 14:24:03.141754 IP 192.168.11.181.34290 192.168.11.175.8080:Flags.,ack 247,win 237,length 0 14:24:03.141889 IP 192.168.11.181.34290 192.168.11.175.8080:Flags F.,seq 84,ack 247,win 237,length 0 14:24:03.143047 IP 192.168.11.175.8080 192.168.11.181.34290:Flags F.,seq 24

65、7,ack 85,win 58,length 0 14:24:03.143056 IP 192.168.11.181.34290 192.168.11.175.8080:Flags.,ack 248,win 237,length 0 三、实验分析 1.实验结果从以上的实验结果来看，ECS1 访问 CLB 的 80 端口，会出现时通时不通的表现，而访问 CLB 的 8080 端口，则是 100%连通。2.实验分析第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 56 由于四层 CLB 下，CLB 会将客户端的原始链接转发到后端服务器上，因此在这种情况下，ECS1 访问 CLB 内网

66、地址的 80 端口时相当于访问自己的 80 端口，从抓包可看到源目 IP 都是自己，在回 SYN_ACK 时直接由 lo 网卡转发到本机，内核未看到 SYN_ACK 包对应五元组的 SYN 包，导致内核直接发送了 RST；七层 CLB 下，由于 CLB 在中间隔离了 TCP 链接，因此 ECS1 看到的源 IP 均为CLB 的内网 IP，因此地址不会冲突。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 57 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB（第三章间隔页，PDF 中更新）第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 58 云上网络 VPC&E

67、IP&NAT&共享带宽&SLB（上）课程目标了解云上网络典型的组网架构；了解 VPC，EIP，NAT，共享带宽等产品核心特点和使用场景；学习综合使用各个 VPC 相关产品（综合实验）。课程目录 VPC EIP（弹性公网 IP）NAT 网关共享带宽综合实验视频地址 https:/ 一、概述 1.云上网络&数据中心产品下图列举了云上网络&数据中心产品所涵盖的知识内容：第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 59 2.阿里云网络场景全景图云网络是由云厂家构建的遍布全球各个区域的独立的一张超大规模网络，每个区域（region）有多个可用区（机房），每个可用区又包含很多台

68、服务器，用户所购买的资源会承载在某台服务器上，通过不同的网络进行通信，如混合云网络、跨地域网络、云上网络等。目前，阿里云在全球分布有 28 个 region，86 个可用区，200 多万台物理服务器。针对下层的用户网络，阿里云提供三种上云方式：专线、VPN 网关、SAG。专线：是独享的，不受公网的网络质量限制，其网络质量和稳定性有很好的表现，但成本相对高；VPN 网关：在公网上建立专用网络，网络质量受公网的影响，成本比较低廉；SAG：智能接入网关，属于 VPN 的一种，阿里云提供硬件设备实现一站式上云，适用于线下小门店。3.云上云下融合的阿里云网络第三章云上网络 VPC&EIP&NAT&共

69、享宽带&SLB 60 二、VPC 1.经典网络向专有网络的演进 1)经典网络共享、不安全的网络地址空间；网络由阿里云管理；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 61 不支持自定义路由；不支持混合云网络搭建。2)专有网络 VPC 独享、安全网络地址空间；自定义网络；支持自定义路由管理；支持混合云网络搭建。2.VPC 定义&特征 1)VPC 定义采用 Overlay 技术构建出一个隔离的网络环境，是用户在云上构建的一个免费私有的网络环境；用户完全掌控的虚拟网络，包括选择自有 IP 地址范围、划分网段、配置路由表和网关等；通过专线/VPN 等连接方式将专有网络与传统数据中心

70、组成一个按需定制的网络环境。2)VPC 特征 VPC 具有安全、隔离、私密、灵活、自定义、完全掌控、易扩展、按需定制、免费等特征。安全隔离：不同 VPC 之间网络完全隔离；可控：用户可以自主划分网段，自定义路由策略，部署网关以及连接外部网络构建混合云；特性丰富：丰富的路由、安全、运维功能，助力用户搭建云上网络；可拓展：用户可以在一个 VPC 内创建不同的子网，部署不同的业务，用户还可以将 VPC 和本地数据中心或其他 VPC 相连，扩展网络架构。3.VPC 基本原理第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 62 专有网络（Virtual Private Cloud，简称 V

71、PC）是基于阿里云创建的自定义私有网络，不同的专有网络之间逻辑上彻底隔离；在创建的专有网络内，可以创建和管理云资源，例如 ECS、SLB 和 RDS 等；专有网络是用户自己独有的云上私有网络，用户可以完全掌控自己的专有网络，例如选择 IP 地址范围、配置路由表和网关等；专有网络隔离了虚拟网络，每个 VPC 都有一个独立的隧道号（VXLAN 技术），一个隧道号对应一个虚拟化网络；可以将专有网络连接到其他专有网络或本地网络，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。4.网络虚拟化 VPC 引入 Overlay 技术（VXLAN 技术）和 SDN 技术。1)VM IP 地

72、址灵活分配 VM IP 地址与物理网络拓扑解耦；VM 的 IP 地址可以根据业务需要进行分配。2)VM IP 地址从寻址功能变成标记 VM 任意迁移，IP 地址保持不变；VM 迁移时，不需要配置物理交换机。3)多租户租户间可以相互隔离；租户可以自行设置安全策略。4)转发逻辑由自学习变成集中控制第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 63 OVS 由控制平面统一管理；路由信息由控制器集中控制。5)消除大二层网络问题二层网络由实变虚，不再仅仅是 Vlan；消除 ARP 广播域，去除二层环路；简化 VM 配置，减少网络故障。5.OVERLAY 技术阿里云借鉴了成熟的 OV

73、ERLAY 技术来实现隔离；基于 OVERLAY 技术，海量的租户被隔离开，所有的租户都是运行在这个网络之上；网络实际被分为上下两层，上层是虚拟网络，下层是物理网络，用户只需要关注上层虚拟网络；网络上下层中间引入 SDN 技术，SDN 的控制面和转发面相分离，通过软件的形式控制下层服务器中的交互，SDN 提供灵活、高效、智能、持续迭代的管控方式。6.VXLAN 协议第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 64 1)网络虚拟化基于 OVERLAY 技术在物理网络基础上构造虚拟网络。2)VPC 间完全隔离 VXLAN 协议作用是将二层报文在三层范围进行扩展使用；VXLAN

74、协议对每个 VPC 网络进行隔离，不同 VPC 之间保证安全隔离，无法进行通信；每个 VPC，一条隧道，隧道 ID 唯一，不同用户不同隧道，隧道之间无法直接通信。7.VPC 组成部分每个 VPC 都由三部分虚拟组件组成，一个路由器、至少一个私网网段和至少一个交换机。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 65 1)私网网段在 VPC 场景规划专有网络和交换机时，需要以 CIDR 地址块的形式指定专有网络使用的私网地址。网段可用私网 IP 数量（不包括系统保留地址）。192.168.0.0/16 65,532 172.16.0.0/12 1,048,572 10.0.0.

75、0/8 16,777,212 2)路由器（VRouter）路由器是专有网络的枢纽，作为专有网络中重要的功能组件，它可以连接 VPC 内的各个交换机，同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个路由器。一个 VPC 只有一台虚拟路由器。3)交换机（Vswitch）交换机是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，用户可以通过创建交换机为专有网络划分一个或多个子网，同一专有网络内的不同交换机之间内网互通，用户可以将应用部署在不同可用区的交换机内，提高应用的可用性。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 66 8.VP

76、C 应用场景【场景一】云上私网专有网络（VPC）是完全隔离的网络环境，配置灵活，可满足不同的应用场景；业务系统同时存在于本地机房和云上机房，基于阿里云 VPC 搭建不同的业务模块，构建完全隔离的云上环境，云上云下通过公网进行业务交互；解决的问题：灵活配置，安全隔离。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 67 【场景二】混合云架构云上云下数据高速互联：基于阿里云 VPC 搭建云上数据中心，通过专线与云下内部数据中心打通，进行用户核心数据安全保障，完美应对业务激增及数据快速同步，实现混合云方案；解决的问题：数据安全保障，应对业务激增，数据快速同步。【场景三】对外提供服务

77、多业务共享公网带宽：基于阿里云 VPC 搭建多个应用，各应用都需要对外提供服务，且波峰时间点不一致，希望多 IP 共享带宽，尽量减小波峰波谷效应来降低成本；解决的问题：对外提供服务，低成本，数据快速同步。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 68 【场景四】主动访问公网多 VPC 和 ECS 灵活访问公网：基于 VPC 构建云上互动模块，其他系统部署在多个云下 IDC 内，云上多台 VPC ECS 需主动访问公网将其云上处理内容同步给云下 IDC，为用户提供灵活、安全隔离的网络；解决的问题：易配置，安全。9.VPC 运维常见问题 Q：每个 VPC 可以有多个路由器吗?

78、第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 69 A：每个 VPC 有且只有一个路由器，每个路由器可维护多张路由表。Q：每张路由表可以建立多少条路由条目?A：默认情况下，每张路由表最多可以新建 200 条路由条目。用户可以通过以下任意方式自助提升配额：前往配额管理页面提升配额；前往配额中心提升配额，参见创建配额提升申请。Q：每个 VPC 能够容纳多少个交换机?A：默认情况下，每个 VPC 最多可以新建 150 个交换机。用户可以通过以下任意方式自助提升配额：前往配额管理页面提升配额；前往配额中心提升配额，参见创建配额提升申请。Q：同一 VPC 内不同交换机可以通信么?A：只要安

79、全组规则允许，同一 VPC 内的 ECS 实例均可以互相通信，无论交换机是否相同。Q：不同 VPC 之间能否内网互通?A：不同 VPC 之间逻辑上完全隔离，用户可以使用高速通道、VPN 网关、云企业网实现 VPC 内网互通。Q：VPC 可以访问公网服务么?A：用户可以使用以下方法从 VPC 访问公网服务：分配公网 IP；绑定弹性公网 IP；配置 NAT 网关。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 70 云上网络 VPC&EIP&NAT&共享带宽&SLB（下）视频地址 https:/ 三、EIP 1.产品介绍 EIP 是可以独立购买和持有的公网 IP 地址资源，可绑定 EC

80、S/NAT/SLB/ENI，让 ECS具备互联网访问能力。EIP 产品特性：独立持有的公网 IP 地址资源，可以灵活的绑定和解绑；支持绑定多种云资源（ECS/NAT/SLB/ENI）；可加入共享带宽，支持超大弹性（单共享带宽实例最大 500Gbps）；免费 DDoS 防护（大部分地域可达 5Gbps）；丰富的高级功能（连续 IP/指定 IP/网卡可见模式/秒级监控等）。2.精品 EIP 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 71 精品 EIP 只支持香港地域。与普通 EIP BGP 多线的区别在于，精品 EIP 通过底层网络直接连到国内，无需绕行国际运营商出口，网络时延降

81、低 60%+，抖动/丢包减少。产品优势：独立购买与持有用户可以单独持有一个 EIP，作为账号下一个独立的资源存在，无需与其它计算资源或存储资源绑定购买；弹性绑定用户可以在需要时将 EIP 绑定到指定的资源上，在不需要时将 EIP 解绑并释放，避免不必要的计费；灵活配置的网络能力用户可以根据业务需求随时调整 EIP 的带宽峰值，带宽峰值的修改即时生效；计费灵活、成本低多种计费策略，支持包年包月，按固定带宽和按使用流量计费，EIP 加入共享带赛后可以降低带案成本。3.Anycast EIP 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 72 任播弹性公网 IP（Anycast

82、 Elastic IP Address，简称 Anycast EIP）是一款覆盖全球多个地域的公网可用性提升产品，依托阿里云优质的 BGP 带宽和全球传输网络，实现全球多个地域的网络入口就近接入，提升公网访问质量；Anycast EIP 是可以独立购买和持有的公网 IP 地址资源。每一个 Anycast EIP实例会被分配一个可访问公网的 IP 地址，此 IP 地址可在整个接入区域内发布，不受地域限制；在将此 IP 地址与后端资源进行绑定后，接入区域内的用户流量将通过该 IP 地址从就近接入点进入阿里云网络；进入阿里云网络后，Anycast EIP 可以智能选择路由并自动完成网络调度，将用户的

83、网络访问请求送达至后端资源节点，提升用户的公网访问体验；Anycast EIP 主要针对除中国内地以外区域的公网可用性提升，暂不支持中国内地接入点。Anycast EIP 具有易使用、高安全，稳定可靠、低抖动的优势。4.多线 BGP 互联网行业用户，如社交/游戏/生活服务（购物/出行/外卖）/娱乐媒体等可以在云上部署应用或 web 服务，并通过 EIP 为其终端用户提供 Internet 访问服务。核心优势：线路丰富第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 73 全球多达 89 条覆盖的优质 BGP 线路，中国大陆公网质量最优，各地域均提供电信/联通/移动等至少 8 条线路

84、直连覆盖；IP 充足公网 IP 数量全球排名第二，仅次于 AWS；可提供连续 IP 地址段分配；可提供指定 IP 地址申请；支持 ENI 网卡绑定，可通过单服务器多网卡提升服务器利用率，快速扩容，降低成本。节省成本唯一一个支持共享带宽的产品，通过多 IP 共享一份带宽，可节省至少20%+成本；计费灵活，提供按带宽/按流量的预/后付费方式，满足企业规划弹性需要。5.EIP 运维常见问题 Q：EIP 可以绑定到哪些云资源?A：目前，EIP 支持绑定到专有网络类型的 ECS 实例、专有网络类型的私网 SLB 实例、专有网络类型的辅助弹性网卡、NAT 网关和高可用虚拟 IP 上。第三章云上网络

85、VPC&EIP&NAT&共享宽带&SLB 74 Q：新申请的 EIP 的分配策略是什么?A：默认是随机分配 EIP，但对于频繁申请又释放的用户，会优先分配之前使用过的EIP。Q：为什么无法访问 EIP?A：无法访问 EIP 的可能有以下原因：EIP 没有绑定到云资源；ECS 实例配置了安全策略，例如 ECS 实例所在的安全组策略禁止 80 端口的访问，则无法访问该 EIP 的 80 端口；IP 已经欠费。Q：一个 EIP 同时能绑定多个云资源吗?A：不能，一个 EIP 同时只能绑定一个云资源。Q：EIP 是否支持跨区域绑定?A：不支持。EIP 和要绑定的云资源必须在同一个地域，例如华北 2（北

86、京）的 EIP不能绑定到华东 1（杭州）的云资源上。Q：EIP 是否支持跨可用区绑定?A：支持。EIP 本身没有可用区属性，云资源只要和 EIP 属于同一个地域，EIP 都可以绑定该云资源。四、NAT 网关 1.NAT 网关产品概述 1)行业痛点 ECS 无公网地址无法访问公网大量无公网地址 ECS 有公网访问的需求；不想为所有的 ECS 申请绑定 EIP。直接暴露 ECS 容易被攻击暴露 ECS 绑定 EIP 的方式容易被攻击；不希望公网的出口被公网访问。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 75 公网出口不统一对外暴露统一的公网出口（ACL 场景）；运维管理少量

87、的对公网地址。自建 NAT 网关的问题自建 NAT 网关的弹性扩展能力不足；运维管理成本高。2)什么是 NAT 网关 NAT 网关（NAT Gateway）是一款企业级的 VPC 公网网关，提供 NAT 代理（SNAT&DNAT）、跨可用区的容灾能力。NAT 网关与共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级网关。3)NAT 网关总体架构 NAT 网关需要绑定 EIP，为了应对不同 EIP 的高峰期，合理规划资源，会运用共享带宽，以降低成本。4)NAT 网关核心优势第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 76 NAT 网关（NAT Gateway）是一款企业

88、级的 VPC 公网网关，提供 SNAT 和 DNAT 功能，支持绑定多 IP，具备 Tbps 级别的集群转发能力和 region 级别的高可用性。NAT网关与 EIP 需要配合使用，组合成高性能、配置灵活的企业级网关。简单易用&便捷开通作为企业级 VPC 公网网关，NAT 网关提供 SNAT 和 DNAT 功能。无需用户基于云服务器自己搭建，功能灵活、简单易用、稳定可靠。高可用 NAT 网关跨可用区部署，可用性高。单个可用区的任何故障都不会影响 NAT网关的业务连续性。高性能基于阿里云自研分布式网关，使用 SDN 技术虚拟化推出的一款虚拟网络硬件。NAT 网关支持 Tbs 级别的转发能力，

89、为大规模公网应用提供支撑，和百万级别的并发访问。共享带宽&省成本支持绑定多个 EIP，EIP 可加入一份共享带宽中，对于应用存在流量错峰效应的业务，可有效降低带宽成本。5)NAT 网关应用场景【场景一】搭建访问公网服务的 SNAT 网关如果云上网络只希望主动访问公网上的业务，而不希望云上的业务直接暴露在公网导致被攻击的风险，用户可以选用公网 NAT 网关为业务提供安全防护能力；如果业务具有突增的访问公网的流量需求，可以选用公网 NAT 网关提供灵活和弹性生的扩容能力，并且只需要按使用量付费，节省企业成本；如果有大量访问公网的机器，可以通过公网 NAT 网关统一公网出口，并通过公网 NAT

90、网关准确和精细化的运维监控能力管理企业访问公网的流量。解决方案第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 77 创建公网 NAT 网关，并为其绑定 EIP，然后通过公网 NAT 网关的 SNAT 功能，实现 VPC 内的多个 ECS 实例共享 EIP 上网，节省公网 IP 资源；具体操作参见使用公网 NAT 网关 SNAT 功能访问互联网，网址：https:/ 为公网 NAT 网关绑定多个 EIP，绑定成功后，ECS 实例会随机通过 SNAT 地址池中的 EIP 访问公网。当其中一个 EIP 被攻击时，ECS 实例可以随机使用其他EIP 访问公网，最大程度保障业务的正常运

91、行，避免出现在单 EIP 场景下，EIP故障导致的全业务中断。说明：指定多个 EIP 配置至 SNAT IP 地址池时，业务连接会通过哈希算法分配到多个EIP，由于每个连接的流量不同，可能会出现多 EIP 业务流量不均匀的情况，建议用户将每个 EIP 加入到同一个共享带宽中以避免单 EIP 带宽达到上限导致业务受第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 78 损。具体操作，请参见加入与移出共享带宽。https:/ 【场景二】搭建提供公网服务的 DNAT 网关创建公网 NAT 网关，并为其绑定 EIP，然后配置公网 NAT 网关的 DNAT 功能。配置成功后，VPC 内的

92、ECS 实例可以通过端口映射或 IP 映射面向公网提供服务。具体操作请参见通过公网 NAT 网关 DNAT 功能实现 ECS 对外提供服务https:/ 说明：端口映射：公网 NAT 网关会将以指定协议和端口访问 EIP 的请求转发到目标ECS 实例的指定协议和端口上；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 79 IP 映射：公网 NAT 网关会将所有访问 EIP 的请求都转发到目标 ECS 实例上，目标 ECS 实例也可以使用该公网 IP 主动访问公网。如果公网 NAT 网关既配置了 DNAT IP 映射方式，又配置了 SNAT 条目，则 ECS 实例会优先通过 DNA

93、T IP映射方式的公网 IP 访问公网。【场景三】共享公网带宽如果部署在 ECS 实例的应用需要面向公网提供服务，需要为该应用购买公网带宽。为了应对业务流量可能发生的变化，在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时，为每个应用购买冗余带宽会造成资源和成本的浪费。创建公网 NAT 网关，并为公网 NAT 网关绑定 EIP，然后将绑定到公网 NAT 网关的EIP 加入到同一共享带宽中，不仅可以统一管理和监控公网流量，还可以降低公网带宽使用成本。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 80 2.产品部署流程 3.典型案例：通过 NATGW 实

94、现超大并发背景用户出云访问高并发业务，需要从 ECS 发起大量长连接，如果使用 ECS 的公网访问能力，用户 ECS 的并发连接数最大达到 6.6w，但是绑定单个 EIP 最大连接数仅为 5.5w，无法达到要求。解决方案用户开始使用 NAT 网关做公网出口，并绑定了 5 个 EIP，通过建立 SNAT 规则的时候选择使用多个公网地址的功能（IP pool）最终用户 VPC 的并发能力可以达到 5*55000 个，并且这个统一的公网出口的并发能力，还可以随着绑定的EIP 的数量增多线性的扩容。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 81 4.VPC NAT VPC NA

95、T 网关能够为 VPC 内的 ECS 实例提供私网地址转换服务，使多个 ECS实例可以通过中转私网地址（即 NAT IP 地址）访问用户的本地数据中心 IDC或其他 VPC；ECS 实例也可以通过使用 VPC NAT 网关的中转私网地址对外提供私网访问服务。1)应用场景【场景一】混合云使用指定地址互访场景问题随着金融证券行业云上业务规模的扩大，多网络间进行私网互通时，会遇到被监控机构要求使用固定私网地址访问的场景。解决方案使用 VPC NAT 网关的 SNAT 功能和 DNAT 功能实现固定私网地址访问的场景。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 82 【场景二】

96、VPC 互访地址冲突问题由于早期网络规划单一或后期的业务合并，云上可能存在需要互通的两个业务VPC 地址冲突的情况。解决方案为两个业务 VPC 各配置一个 VPC NAT 网关，并配置两个不冲突的中转私网地址。主动访问的业务 VPC 使用 SNAT 功能，将源地址转换为 VPC NAT 网关的中转地址，被访问的业务 VPC 通过 DNAT 功能，使用 VPC NAT 网关的中转私网地址对外提供私网服务，从而实现地址冲突的两个业务 VPC 互访。5.NAT 运维-常见问题 Q：ECS 实例分配了固定公网 IP 且创建了 SNAT 条目，如何实现 ECS 实例优先通过 SNAT 的公网 IP

97、访问互联网?A：可以为 ECS 实例单独分配一块弹性网卡，并将固定公网 IP 转为 EIP，然后将 EIP绑定到弹性网卡，以实现 ECS 实例优先通过 SNAT 的公网 IP 访问互联网，互联网通过弹性网卡主动访问 ECS 实例。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 83 详细信息，请参见为已分配固定公网 IP 的 ECS 实例统一公网出口 IP，网址：https:/ Q：EIP 支持创建 SNAT IP 地址池吗?A：支持。目前仅支持通过 API 创建 SNAT IP 地址池。详细信息，请参见创建 SNAT IP 地址池，https:/ Q：NAT 网关绑定 EIP，

98、为什么流量达不到带宽峰值?A：NAT 网关绑定的 EIP 数限制 NAT 网关的最大并发数，绑定单个 EIP 最大连接数为55000，当ECS通过NAT网关访问公网上同一个目的IP和端口的带宽大于2Gbps时，建议用户为 NAT 网关绑定 48 个 EIP 并构建 SNAT IP 地址池，避免单个 EIP 的端口数量限制可能产生的丢包。Q：当多条 SNAT 条目的源网段重叠时，如何匹配 SNAT 条目的优先级?A：系统会根据最长掩码匹配规则确定优先为哪一条 SNAT 条目提供互联网代理服务。使用 ECS 粒度配置的 SNAT 条目中，源网段的子网掩码为/32，长度最长，优先级最高，优先匹配；使

99、用其他粒度配置的 SNAT 条目会根据源网段的子网掩码长度进行匹配，长度越长，优先级越高，越先匹配。Q：同时有 PublicIP/EIP 和 NAT 网关对接公网的优先级是什么？A：PublicIP/EIP 优先。如果需要使用 NAT 网关，需要先解绑 PublicIP/EIP，PublicIP不可用直接解绑，需要先转换成 EIP。五、共享带宽 1.产品概述 1)共享带宽面临的核心痛点多个公网出口，维护复杂；买多份小公网带宽，带宽峰值受限；自行构建统一公网出口，可靠性差。2)不使用共享带宽 VS 使用共享带宽不使用共享带宽：每台服务器单独购买公网带宽；第三章云上网络 VPC&EIP&NA

100、T&共享宽带&SLB 84 使用共享带宽：同地域下多个弹性公网 IP 共享宽带，进而让绑定弹性公网 IP的云服务共享。3)共享带宽产品特点多个 EIP 加入共享带宽后即可实现同地域内多个 ECS、NAT、SLB 的带宽共享。2.部署方式详见下节综合实验部分。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 85 3.添加 EIP 的前提条件和注意事项 1)前提条件已经创建 EIP，且 EIP 满足以下条件：EIP 的计费方式需为按量计费；EIP 的地域与要加入的共享带宽的地域相同；EIP 的线路类型与要加入的共享带宽的线路类型一致；2)背景信息 EIP 添加到共享带宽实例后：E

101、IP 绑定的 ECS 实例、SLB 实例和 NAT 网关共享已购买的共享带宽；EIP 原本的带宽峰值无效，与共享带宽实例的带宽峰值相同；EIP 原本的计费方式无效，EIP 变为一个公网 IP，不额外收取 EIP 的流量费和带宽费；EIP 的实例费与其是否加入共享带宽无关；当 EIP 绑定至专有网络类型 ECS 实例时，将免除 EIP 实例费；当 EIP 绑定至 NAT 网关、SLB 实例、辅助弹性网卡和高可用虚拟 IP 时，仍正常收取 EIP 实例费。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 86 说明：如果 EIP 已经绑定了 NAT 网关，将该 EIP 添加到共享带宽实例

102、中，会造成 EIP 的流量闪断，请谨慎操作；单个共享带宽实例最多可添加 100 个 EIP。如需添加更多 EIP，请在控制面板申请配额。3)内容小结第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 87 配套实验：ECS 通过 SNAT 访问 CLB 视频地址 https:/ 一、实验概述创建 ECS 客户端通过 SNAT pool（NAT 网关绑定 EIP）访问 CLB（转发规则策略）。实验网址：https:/ 二、实验目的了解 VPC，EIP，NAT 网关产品的基本使用方法和基本原理；了解 CLB 监听和转发策略的设置以及基本原理。三、实验步骤 1.创建资源第三章云上网

103、络 VPC&EIP&NAT&共享宽带&SLB 88 在体验实验室页面左侧，单击创建资源，创建所需资源；在页面左侧导航栏中，点击“云产品资源”列表，查看本次实验资源相关信息。说明：资源创建过程需要 13 分钟。完成实验资源的创建后，您可以在云产品资源列表查看已创建的资源信息，例如：IP 地址、用户名和密码等。2.了解实验架构实验之前需要理解相关理论概念，然后了解整体的实验架构，即 ECS 客户端访问WEB 页面的过程：ECS 客户端NAT 网关（SNAT)CLB（转发策略）访问不同的路径指向不同的后端服务器。3.实验准备注：由于创建资源权限的合规性，后台会默认创建好对应的云产品资源及其配置，

104、这里仅了解和后续查看并核实环境和相关配置。不同学员会有独立的云产品，比如，属于自己的 ECS 实例，请以实际配置中实例的id 为准。系统默认资源自动创建过程需要 13 分钟。完成实验资源的自动创建后，您可以在“云产品资源”列表查看已创建的资源信息，例如：IP 地址、用户名和密码等。如下仅供学员了解和参考，不需要去手动创建（如了解，可跳过）：参考相关文档，参考文档 https:/ 创建 VPC，交换机参考文档https:/ 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 89 公网 NAT 网关创建、EIP 绑定、SNAT 条目添加，参考文档https:/ https:/ CLB 实

105、例创建，参考文档：https:/ 4.作为客户端 ECS 如果已拥有公网 IP，将其转换为弹性公网 IP，并解绑点击“转换为弹性公网 IP”，弹出提示后点击“确认”；5.绑定 EIP 地址到公网 NAT 网关点击专用网络控制台弹性公网 IP具体 EIP 实例，右边绑定资源；绑定弹性公网 IP 至资源；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 90 绑定弹性公网 IP 成功；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 91 6.将 ECS 客户端加入 SNAT 条目本实验演示中 NAT 网关为北京地域下的 NAT 网关，绑定的 EIP 实例为：eip-2z

106、ecel1p36sba4t4eik01（47.95.218.132），从下面这里的 NAT 实例点进去。注：不同学员会有属于自己的云产品实例，请以实际环境中实例的 IP 为准。点击创建 SNAT 条目；创建 SNAT 条目选择具体粒度和转换后的公网 IP 地址；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 92 查看刚创建的 SNAT 条目；7.在 ECS 客户端上测试公网访问能力测试 ECS 的公网访问能力。8.配置 CLB 实例监听第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 93 本实验手册演示中 CLB 实例的详情；注：不同学员会有属于自己的云产品实例，

107、请以实际环境中实例的 IP 为准。点击创建监听；配置监听设置监听协议和监听端口；创建监听配置服务器组（若没有，需要新建服务器组）；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 94 创建监听配置健康检查；点击“提交”，监听创建完成；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 95 创建虚拟服务器组选择后端 ECS（若没有，选择右边购买云服务器）；查看刚创建的虚拟服务器组。9.配置 CLB 实例转发规则点击“配置转发策略”；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 96 点击“添加规则”添加多个路径，点击“虚拟服务器组”选择要转发到的服务器组，最

108、后点击“添加转发策略”；打开转发规则高级配置，不开启情况下使用监听的配置。第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 97 第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 98 10.配置 CLB 后端服务器 nginx 三台服务器的 nginx 配置文件分别增加/a、/b、/c 虚拟目录，如下是 CLB-test1 服务器 nginx 的参考配置：11.测试客户端 ECS 访问 CLB 公网地址+不同路径第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 99 在客户端 ECS 上访问 CLB 公网地址+路径，分别测试路径为/a/、/b/、/c 的路径时

109、的具体访问情况：四、实验分析 ECS 通过加入到 NAT 网关的 SNAT 中便可访问公网；第三章云上网络 VPC&EIP&NAT&共享宽带&SLB 100 在 CLB 上添加不同的转发规则后，可将客户端的不同访问路径转发到不同的后端服务器上，使转发更具灵活性。第四章负载均衡 ALB 101 第四章负载均衡 ALB（第四章间隔页，PDF 中更新）第四章负载均衡 ALB 102 负载均衡 ALB：课前答疑视频地址 https:/ 一、SLB 在 ACK 和 EDAS 中的应用场景 1.场景一：K8s 中的 Service 场景 ACK 是 K8s 版本的容器服务，具有高性能可伸缩的容器

110、应用管理能力，支持企业级容器化应用的全生命周期管理。K8s 全称为 kubernetes，是一个开源的，用于管理云平台中多个主机上的容器化的应用。目标是让部署容器化的应用简单并且高效，K8s 提供了应用部署、规划、更新和维护的机制。K8s 中比较重要的组件就是 Service（服务），Service 是 K8s 中的专有名词。Service中有很多 pod，pod 是容器里面直接安装的应用或服务，一个 pod 相当于一个容器组，Service 是很多 pod 的集合，相当于一个虚拟的负载均衡 SLB。1)什么是 Service？Service 是 Kubernetes 中的服务发现与负载均衡。

111、为什么需要服务发现？Kubernetes 应用应如何相互调用？Kubernetes 应用应如何相互调用？第四章负载均衡 ALB 103 Pod 生命周期短暂，IP 地址随时变化；Deployment 等的 Pod 组需要统一访问入口和做负载均衡；应用间在不同环境部署时，保持同样的部署拓扑和访问方式；集群内可以通过 service name 直接访问。2)创建 Service 暴露服务 Service 为外部请求提供了一个访问入口，外部请求需要通过 Service 才能访问到内部的 pod；因为 pod 的调度和生成是随机的，也就是说 pod 没有固定的 IP，不需要 pod固定在服务器上，p

112、od 的数量是根据业务（请求数量）的多少进行自动增减的，外部请求很难找到对应的 pod；因为 service 是 pod 的集合，随着 pod 的增加和减少，自动更新它的规则和策略，外部请求可以通过 sevice 快速找到相应的 pod。3)Service 类型 K8s 的 Service 具有以下三种类型的外部访问方式：ClusterIP 在集群内单独分配给 service 使用的 IP 就叫 ClusterIP，只有在集群内部才能访问到 ClusterIP，在集群外部是没有办法访问到 ClusterIP 的。NodePort 分配一个集群内部的 IP 地址，并在每个节点上启用一个端口来暴露

113、服务，可以在集群外部被访问。LoadBanancer 分配一个集群内部的 IP 地址，并在每个节点上启用一个端口来暴露服务，除此之外，kubernetes 会请求底层云平台上的负载均衡器，把 Node 节点作为后端添加进去。LoadBanancer 具有 Cluster 模式和 Local 模式。Cluster 模式：所有节点都加入 SLB 后端，如果第一次转发没有命中业务，则需要二次转发；Local 模式：SLB 可以精确转发到后端业务。第四章负载均衡 ALB 104 2.场景二：Ingress Controller 工作原理 1)Ingress Controller 的概念 Ingres

114、s 是一种 K8s 资源对象，用于对外暴露服务，该资源对象定义了不同主机名（域名）及 URL 和对应后端 Service（K8s Service）的绑定，根据不同的路径路由http 和 https 流量。而 Ingress Contoller 是一个 pod 服务，封装了一个 web 前端负载均衡器，同时在其基础上实现了动态感知 Ingress，并根据 Ingress 的定义，动态生成前端 web 负载均衡器的配置文件，比如 Nginx Ingress Controller 本质上就是一个 Nginx，只不过它能根据 Ingress 资源的定义动态生成 Nginx 的配置文件，然后动态 Rel

115、oad。具体实现反向代理及负载均衡的程序，对 Ingress 定义的规则进行解析，根据配置的规则来实现请求转发。为了使得 Ingress 资源正常工作，集群中必须要有个 Ingress Controller 来解析Ingress 的转发规则。Ingress Controller 收到请求，匹配 Ingress 转发规则转发到后端 Service，而 Service 转发到 Pod，最终由 Pod 处理请求。Kubernetes 中 Service、Ingress 与 Ingress Controller 有着以下关系：第四章负载均衡 ALB 105 Service 是后端真实服务的抽象，一个

116、 Service 可以代表多个相同的后端服务；Ingress 是反向代理规则，用来规定 HTTP/HTTPS 请求应该被转发到哪个Service 上。例如：根据请求中不同的 Host 和 URL 路径，让请求落到不同的Service 上。2)Ingress 基本操作 Name：Ingress 的名称，本例为 test-ingress；Host：指定服务访问域名；Path：指定访问的 url 路径。SLB 将流量转发到 backend 之前，所有的入站请求都要先匹配 host 和 path；Backend：由服务名称和服务端口组成；服务名称：Ingress 转发的 backend 服务名称；服务

117、端口：服务暴露的端口。可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS，以及提供基于名称的虚拟主机等能力。Ingress 控制器通常负责通过负载均衡器来实现 Ingress。第四章负载均衡 ALB 106 3)最佳实践：部署高可靠 Ingress Controller 原则：pod 多副本，避免单点故障；ingress controller 部署在单独的节点，避免其他应用抢占资源；根据业务流量水平扩缩容 ingress 节点或者 ingress controller 水平伸缩。以上是 SLB 结合 ACK 的场景，SLB 结合 EDAS 的场景也

118、是类似的，因为 EDAS 本身就是一个分布式服务的框架，可以加 ECS 节点，也可以加 K8s 容器集群，然后加入到 SLB 的后端。第四章负载均衡 ALB 107 负载均衡 ALB（上）课程目标了解应用型负载均衡 ALB 的产品功能了解应用型负载均衡 ALB 底层架构与相关技术掌握应用型负载均衡 ALB 的产品优势熟悉应用型负载均衡 ALB 的使用场景课程目录概述相关概念与产品功能技术架构产品优势场景与案例实验视频地址 https:/ 一、概述 1.用户核心痛点与诉求第四章负载均衡 ALB 108 随着网络的发展，从 2000 年初的 web 应用、音视频应用，

119、发展今天的短视频、直播等应用。从业务和用户角度而言，这些应用的特点在于流量大，交互快，同时在线人数多，用户要求延时性能更高，响应更快；从技术角度而言，之前是将所有业务都打包到一个 APP 中，现在则是可分布式，提供高可用，容量更大，从单体扩展到微服务或者云上的架构。为了安全和容灾，甚至会部署到多云或者混合云上，有故障时，可以快速切换。对架构和网络的要求都更加的高。1)超高可用：Always Online 对业务高可用提出更高要求健康检查；可用区容灾；地域级容灾。2)超强弹性：5G/IOT 时代的来临互联网将迎来更大的流量洪峰更大的并发连接；更大的带宽；系统有着更好的弹性。3)安全可靠：复杂

120、的网络环境对安全和运维便利性提出更高要求第四章负载均衡 ALB 109 抵御 DDoS 攻击；WAF 应用层防御；HTTPS 安全加密。4)面向应用：业务复杂度的攀升需要应用更快速的交付面向应用的负载均衡；高级路由、流量镜像等功能支持；面向云原生的快速交付模式。二、相关概念与产品功能 1.负载均衡 SLB 产品家族 1)什么是 SLB 负载均衡 SLB（Server Load Balancer）是阿里云负载均衡产品的统称，一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。2)SLB 的特点 SLB

121、负载均衡具有即开即用，超大容量，稳定可靠，弹性伸缩，按需付费等特点。3)SLB 的分类根据不同应用场景分为：主要基于 7 层（HTTP/HTTPS）的应用型负载均衡 ALB、主要基于 4 层（TCP/UDP）的传统型负载均衡 CLB。第四章负载均衡 ALB 110 2.什么是应用型负载均衡 ALB 应用型负载均衡 ALB（Application Load Balancer）是阿里云推出的专门面向 HTTP、HTTPS 和 QUIC 等应用层负载场景的负载均衡服务，具备超强弹性及大规模七层流量处理能力。ALB 具备处理复杂业务路由的能力，与云原生相关服务深度集成，是阿里云官方提供的云原生

122、Ingress 网关。即开即用，超大性能，稳定可靠，弹性伸缩，按需付费等特点，更加适合 7 层应用交付场景；面向 7 层，支持 HTTP/HTTPS/HTTP2/WSS/QUIC/GRPC 等众多协议，单实例可支持高达 100 万 QPS，业界性能遥遥领先。第四章负载均衡 ALB 111 3.ALB VS CLB 应用型负载均衡 ALB 和传统型负载均衡 CLB 相比，应用型负载均衡 ALB 在产品定位、性能、功能特性、运维方式、云原生支持和典型应用场景方面是优于传统型负载均衡 CLB 的，具体内容如下图所示：1)应用型负载均衡（ALB）产品定位强大的 7 层处理能力与丰富的高级路由功能；

123、聚焦 HTTP、HTTPS 和 QUIC 应用层协议；面向应用交付。性能基于 NFV 虚拟化平台，支持弹性伸缩；单实例支持 100 万 QPS。功能特性丰富 7 层特性，基于内容的路由；HTTP 标头改写、重定向、重写、限速等。运维方式第四章负载均衡 ALB 112 处理能力随业务规模自动弹性伸缩；无需进行峰值与规格预估。云原生支持云原生 Ingress 网关；支持流量拆分、镜像、灰度发布和蓝绿测试。典型应用场景场景 1：互联网应用 7 层高性能自动弹性场景；场景 2：音视频应用大流量低时延场景；场景 3：云原生应用金丝雀蓝绿发布场景。2)传统型负载均衡（CLB）产品定位强大的

124、4 层处理能力；支持 TCP/UTP/HTTP/HTTPS 等协议；主要面向网络交付。性能基于物理机架构；单实例最大连接数可达 500 万。功能特性 7 层基础能力；仅支持域名/URL 转发。运维方式按规格售卖；需要根据业务规模预估带宽峰值。云原生支持支持较弱。典型应用场景场景 1：网站/系统同地域业务高可靠场景；第四章负载均衡 ALB 113 场景 2：四层流量大并发业务场景；场景 3：同城双活/跨地域容灾场景。4.ALB 与自建应用负载均衡对比 1)自建应用负载均衡协议：主要支持基础协议，如 HTTP、HTTPS 等，受限于版本关系；性能：性能受限于自建 Ngnix 的 ECS

125、能力，或者第三方镜像，性能不足；安全：没有默认的主动安全保障；需要自己部署和维护安全方案；弹性：无弹性能力；扩容，缩容涉及资源评估及购买，操作繁琐；可靠性：单点部署，最多时双机部署，可靠性依赖 ECS 部署关系；通过四七层分离，多一个故障点；运维：需要经常性升级软件；故障处理繁琐复杂。2)应用型负载均衡 ALB 协议：支持丰富协议，如 HTTP、HTTPS、HTTP2、WSS.QUIC、GRPC 等，迭代更快；性能：基于弹性架构的高性能；单实例支持 100 万 QPS；安全：默认 5G 的 DDoS 防护能力；支持一键集成 WAF 能力，应用层更安全；弹性：随业务而动的自动弹性，无需干预；第

126、四章负载均衡 ALB 114 可靠性：基于集群的可靠性能力，单实例本质是在集群承载，完全避免了可靠性问题，客户也无需关注可可靠性部署，集群故障自动恢复，无需人工介入；一个实例一个节点更简单；运维：完全无此操作，无需主动升级，新功能自动在控制台呈现；业务类型：音视频延迟敏感型业务；7 层高并发弹性业务；替代自建三方负载均衡。应用型负载均衡 ALB 为新型业务量身定制，面向容器和运维自动化的新一代负载均衡。5.ALB 应用型负载均衡关键特性 1)多级调度实现超高弹性 ALB 同时向客户交付域名与 VIP；DNS 域名调度确保流量在可用区间均衡分配；VIP 调度确保流量在后端服务器间均衡分发，并且

127、支持一致性哈希与会话保持；多级调度确保流量均衡，单实例支持高达 100 万 QPS。2)丰富且强大的基于内容路由支持多种内容匹配策略，并支持重定向、重写、标头改写等转发策略。第四章负载均衡 ALB 115 3)业界最先进的协议支持从应用层到传输层，ALB 支持最先进的协议，让应用更快更安全。三、技术架构 1.概览 ALB 整体大图注：红色虚线内所有组件构成一个 ALB 实例第四章负载均衡 ALB 116 ALB 面向应用层，提供域名与 VIP，多级分发承载海量请求；ALB 可在可用区间弹性缩放，避免单可用区资源瓶颈；ALB 通过 EIP+共享带宽提供公网能力，实现灵活公网计费；AL

128、B 允许用户自定义可用区组合，适应原有计算资源的分布。ALB 工作示意图 2.监听监听是 ALB 最小业务单元，监听上需要配置协议与端口以告知 ALB 需要处理什么流量，如 HTTP 协议 80 端口/HTTPS 协议 443 端口；每个负载均衡至少有一个监听，才能开始流量处理与分发；每个 ALB 可以配置多达 50 个监听，用于处理不同的业务流量。第四章负载均衡 ALB 117 3.服务器 ECS：虚拟服务器；ECI：弹性容器实例，K8s 中使用较多；ENI：弹性网卡服务器组是一个逻辑组，包含多个后端用于处理 ALB 分发的业务请求；ALB 中服务器组独立于 ALB 存在，可以将同一服

129、务器组挂载于不同 ALB 后端；服务器组最大可以包含 1000 个后端；ALB 服务器组支持云 ECS、ECI、ENI 等多种类型后端。4.健康检查第四章负载均衡 ALB 118 健康检查是 ALB 至关重要的工作机制，可以探测业务是否健康，分为“TCP 健康检查”和“HTTP 健康检查”；ALB 探测服务器组中不健康的后端，并避免将流量分发给不健康的后端；ALB 支持丰富灵活的健康检查配置，如协议、端口、以及各种健康检查阈值；ALB 提供健康检查模板，可将健康检查模板快速的应用到不同的服务器组。5.转发规则第四章负载均衡 ALB 119 ALB 具备强大丰富的基于内容路由的能力；AL

130、B 路由转发规则可基于域名（host）、路径（url）、查询字符串、HTTP 标头、Cookie、Http Method 等条件进行匹配；可支持转发（Forward）、重定向（Redirect）、重写（Rewrite）、返回固定响应、插入 HTTP 标头等动作；每个监听可以支持多达 100 条转发规则。6.丰富的自定义规则属性 1)匹配规则及示例域名：路径：/test123 http 标头（header）：键：user-agent 值：Mozilla/4.0 查询字符串：username：123 http 请求方法：post Cookie：key：value Sources IP：172.

131、16.0.0/16 2)指定请求转发：网站 A；第四章负载均衡 ALB 120 镜像：数据分析平台；重定向：网站 A 跳转网站 B（客户端重发请求）；重写：网站 A 跳转网站 B（客户端不重发请求）；写入标头：在 http header 中新增 XX 属性；QPS 限速：限制每秒最大请求数；自定义响应：自定义响应状态码和内容。3)示例 curl-v 第四章负载均衡 ALB 121 7.支持全链路 https 加密 ALB 支持全链路 https 加密，可以实现与客户端/后端服务器的 https 交互，面向加密敏感型业务，满足 Zero-Trust 新一代安全技术架构需求。8.率先支持更高

132、效安全的 TLS1.3 加密协议传输层安全性协议 TLS：Transport Layer Security TLS1.3 特性：简化握手交互流程，降低 RTT；单次 https 交互节省约 100ms；握手协议加密，安全性更高。第四章负载均衡 ALB 122 9.支持多证书灵活配置 ALB 的 HTTPS/SSL 类型监听器中增加对 SNI 协议的支持，从而保证一个 HTTPS 监听可配置多个域名证书，在收到来自不同客户端的域名请求时，返回不同的服务器证书，建立正确的 HTTPS 会话链接，避免出现 https 访问浏览器频繁提示告警的情况。10.控制台丰富易用性功能控制台自助配额管理：

133、自助申请，自动审批，符合要求，审核通过，达到上限，不予通过；控制台自助配额管理实例修改/删除保护：防止意外的删除或者意外的修改；第四章负载均衡 ALB 123 实例修改/删除保护自定义 tls 安全策略：不仅支持 TLS 版本选择，还支持自定义选择加密算法套件，可以勾选不同类型套件自由组合；自定义 tls 安全策略黑白名单自定义：可将恶意请求加入黑名单，对公业务的话，可将对应的 IP 提供给特定企业用户，达到保护业务的效果；黑白名单自定义第四章负载均衡 ALB 124 11.ALB 丰富产品功能汇总协议支持：HTTP、HTTPS、HTTP2、WebSocket（S）、QUIC、g

134、RPC；七层路由：基于 host/path、基于 header/cookie、基于 http method、重定向/重写、插入 Header、金丝雀发布；安全特性：全链路 HTTPS、TLS1.3、ECC 证书支持、自定 TLS 策略、DDoS 防护、WAF 防护；运维监控：并发连接、新建链接、QPS、监控告警、访问日志、秒级监控；计费能力：后付费、预付费、按流量计费、按带宽计费、按 95 带宽计费。第四章负载均衡 ALB 125 负载均衡 ALB（下）视频地址 https:/ 四、ALB 产品优势 1.ALB 四大核心优势超强性能：单实例支持，高达 100 万 QPS；安全可靠：多种容灾

135、方案，集成 DDoS、WAF 防护；面向云原生：与 ACK/SAE/K8S，深度集成，云元生 Ingress 网关；开箱即用：秒级创建实例，即开即用，用完即走。2.ALB 多级容灾：实现业务永续 ALB 具有四级高可用容灾架构、业务 Always Online，DDoS 与 WAF 防护为业务安全保驾护航，提供 DDoS、WAF、SYN Flood、UDP、Flood、ACK Flood、ICMP Flood、DNS Flood 等攻击防护。健康检查：支持多种协议的健康检查、实时排除故障机器；集群多机部署：集群均多机部署、屏蔽集群内单机故障；多可用部署：灵活的多可用区部署、提供跨可用区容灾方案

136、；DNS 跨地域容灾：配合全局流量管理（GTM）实现跨地域，多活、备份，抵御重大灾难。第四章负载均衡 ALB 126 3.云原生的负载均衡：与 ACK/SAE/K8s 深度集成 ALB 支持 K8s Ingress Controller，ALB 本身就是 Controller，不需要再在 K8s里边部署 Ingress 的集群，可以直接在 ALB 里边做路由、策略、流量分发等；ALB 支持流量镜像的功能，测试版本客户可以进行真实的压测，进行分析，也可以向检测机构提供所需数据，还可以进行流量采集；可以实现快速服务发现并高效替换新旧版本。同时 ALB 支持更先进的应用层协议 gRPC，实现微服务

137、间高效 API 通信；全链路HTTPS 满足云原生 Zero-Trust 安全模型的要求。4.ALB 简单易用：开箱即用简单便利第四章负载均衡 ALB 127 1)秒级开通秒级开通弹性伸缩按量付费 7x24 免运维稳定可靠 2)完善的监控完善的监控项支持事件告警服务器组级别（不）健康实例数 3)丰富的日志配置审计日志 7 层访问日志数据一键挖掘（SLS）4)与 WAF 集成一键开启 WAF 流量透明接入无需修改域名配置五、场景与案例第四章负载均衡 ALB 128 1.通用场景：应用型负载均衡 ALB 典型应用场景 1)7 层高弹性：大互联网场景特性：弹性伸缩

138、、弹性付费、不感知规格，超大容量，如：电商/游戏/互金/媒体等；2)QUIC：音视频行业低时延场景特性：更快的建连时间、首屏打开时间更短，如：长短视频/直播/在线教育等；3)面向云原生：金丝雀蓝绿发布特性：基于 header/cookie 的路由，重定向/重写等高级 7 层特性；2.典型案例-某跨国企业上云项目第四章负载均衡 ALB 129 KeyNote：使用 ALB 替换 SLB+第三方负载均衡，减少链路结点，优化链路延迟；全链路 HTTPS 加密，满足零信任安全规范；灵活的转发规则实现，精细化的业务流量控制。使用 ALB 大幅节约了项目整体成本，优化了网络架构，极大简化客户运维复

139、杂度。第四章负载均衡 ALB 130 配套实验：使用 ALB 实现灰度发布视频地址 https:/ 一、概述灰度发布（又称为金丝雀发布）是一种平滑过渡的发布方式，将老版本应用与新版本应用同时部署在环境中，让一部分用户继续使用老版本应用，一部分用户开始使用新版本应用，然后根据用户使用情况调整新版本流量占比，逐步把所有用户都迁移到新版本应用。实验网址 https:/ 二、实验目的掌握 ALB 监听配置；掌握 ALB 实现灰度发布。1.用创建资源在体验实验室页面左侧，单击创建资源，创建所需资源；在页面左侧导航栏中，单机云产品资源列表，查看本次实验资源相关信息。说明：资源创建过程需要 13

140、分钟。完成实验资源的创建后，您可以在云产品资源列表查看已创建的资源信息，例如：IP 地址、用户名和密码等。2.了解实验架构实验之前需要理解相关理论概念，然后了解整体的实验架构：第四章负载均衡 ALB 131 3.实验准备注：后台会默认创建好对应的云产品资源，这里仅了解和核实环境和相关配置。不同学员会有属于自己的 ECS 实例，请以实际配置中实例的 id 为准。系统默认资源自动创建过程需要 13 分钟。完成实验资源的自动创建后，您可以在“云产品资源”列表查看已创建的资源信息，例如：IP 地址、用户名和密码等（注意：本实验中两台 ECS 密码相同）。如下仅供学员了解和参考，不需要去手动创建（

141、如了解，可跳过）：创建 ECS 参考文档 https:/ ALB 实例创建，参考文档https:/ 本实验环境已经提前创建 ALB 实例和 2 台可以访问公网的 ECS 实例。ALB 已经创建了两个服务器组 ALB-APP-V1 和 ALB-APP-V2，将 ECS1 加入服务器组 ALB-APP-V1，将 ECS2 加入服务器组 ALB-APP-V2，监听端口都为 80 端口。第四章负载均衡 ALB 132 说明：用于本实验演示所创建的 ALB 公网域名是 alb-。用于本实验演示中两台 ECS 内网分别是 172.16.1.163、172.16.41.238。用于本实验演示中两台 ECS

142、公网分别是 47.100.x.x、47.98.x.x。4.在两台 ECS 内安装 Nginx 软件使用 yum 安装 Nginx 应用 yum-y install nginx 安装成功后执行如下两个命令，启用 nginx systemctl start nginx systemctl enable nginx 第四章负载均衡 ALB 133 执行如下命令查看 Nginx 运行状态是否为 running systemctl status nginx 5.在两台服务器上部署新老两套应用在 ECS1 上部署老版本应用，在 ECS2 上部署新版本应用。在/usr/share/nginx/htm

143、l 目录下创建 alb.html 文件，本实验以不同的 html 文件内容区分新旧版本应用来演示。ECS1 文件内容为：APP-Old ECS2 文件内容为：APP-New ECS1：ECS2：第四章负载均衡 ALB 134 6.创建服务器组，添加服务器说明：由于资源创建权限限制，本步骤后台已经提前帮助学员完成，已创建两个服务器组ALB-APP-V1 和 ALB-APP-V2，将 ECS1 加入服务器组 ALB-APP-V1，将 ECS2 加入服务器组 ALB-APP-V2，监听端口都为 80 端口。请学员点击服务器组，核实是否已正确添加 ECS 和对应的端口。7.创建 HTTP 监听，监

144、听端口为 80 第四章负载均衡 ALB 135 点击 ALB 实例，进入 ALB 实例页面；点击“监听”标签栏，然后点击创建监听；创建 HTTP 监听，监听端口为 80，添加 ALB-APP-V1 服务器组为监听服务器组。第四章负载均衡 ALB 136 8.访问老版本应用浏览器输入 ALB 分配的域名加上对应的 html 页面进行访问，示例 URL：http:/alb- HTTP 标头实现灰度发布点击对应监听，进入监听界面；第四章负载均衡 ALB 137 点击转发规则标签页，然后点击插入新规则；插入新规则，选择条件为“HTTP 标头”，输入键为：User-Agent，值为：*Firefo

145、x*，则转发到 ALB-APP-V2 服务器组，此服务器组为新版本应用；使用 firefox 浏览器访问到新版本应用，使用其他浏览器访问依然是老版本应用。第四章负载均衡 ALB 138 10.配置监听转发规则，基于不同服务器组实现灰度发布删除上一步创建的转发规则，插入新转发规则，匹配条件是路径为/alb.html，80%请求转发到老服务器，20%请求转发到新服务器；使用 Firefox 浏览器访问业务网站，访问 10 次，有 8 次访问到旧版本应用，2次访问到新版本应用，大概是 4：1 的比例。第五章云上网络互连 139 第五章云上网络互连（第五章间隔页，PDF 中更新）第五章云上网

146、络互连 140 云上网络互连（上）课程目标了解企业广域网络的通用需求以及典型的企业组网架构了解云企业网的组成模块及转发原理掌握通过云企业网实现 VPC 间互通以及统一的南北向出口掌握云企业网常见问题和解决方案课程目录企业组网架构云企业网 CENTR 的组件最佳实践问题排查基础实验视频地址 https:/ 一、企业组网架构 1.办公局点 1)办公局点的企业组网架构组成部分包括边界路由器（Router）：局点接入，访问公网；防火墙（Firewall）：安全隔离，划分可信区域；核心交换机（Core-Swith）：VLAN 划分，承上启下；接入交换机（ASW）：终端接入，如办公

147、室电脑、打印机，员工手机等。第五章云上网络互连 141 2)典型的办公局点企业组网架构包含三个区域典型企业组网架构可信区域（Trust Zone）：在这个区域中，接入交换机连接到核心交换机后，形成一个小的局域网，局域网是私网连接，相对安全，因此被称为可信区域；不可信区域（Untrust Zone）：在这个区域，私网可以通过路由器访问公网，为了保障网络安全，在可信区域和不可信区域中间添加一道防火墙进行隔离；非军事化区域（DMZ Zone）：为了更好的隔离可信区和非可信区，在它们之间添加的特殊网络区域，企业私网可通过 Proxy 访问公网，实现内外网分离，使企业内部网络更安全；在这个区域内会

148、放置一些允许外网访问的服务器，比如Email 服务器、FTP 服务器等，同时还会放置 AD 服务器作为中心控制。2.数据中心网数据中心组网架构第五章云上网络互连 142 在数据中心组网架构中，主要有三个层次：广域网（WAN-Router）、数据中心核心（Core）、接入层和服务器（ASW-RS）；为了提供更好的网络收敛比，在数据中心核心到接入交换机之间，通常还会有两层：核心交换机和汇聚交换机；服务器 RealServer 向广域网方向的流量属于南北向，服务器之间的交互的流量属于东西向。3.跨域网络-局点间打通假设一个企业在 5 个城市（北京、上海、杭州、成都、深圳）都有办公点，这 5

149、个办公点之间需要两两互通，一般有三种组网方案：1)方案一：Hub-Spoke 在这 5 个城市中，选择其中一个跟其他 4 个城市距离最短的城市作为中转站，比如杭州，将 4 个城市跟杭州连接，这样 4 个城市可以通过杭州相互连接。存在问题：如果其中一个城市与杭州的连接中断，则它与其他城市的连接就都中断了，即脱离公司网络，因此，通常会在两个城市之间建立 2 条连接。第五章云上网络互连 143 2)方案二：Hub-Spoke+HA 这种方案是在方案一的基础上加了 HA（High Available），将每个城市除了跟杭州相连接外，还与其他两个城市相连接，比如成都分别跟杭州、北京、深圳连接，这样即使

150、成都和杭州之间的连接中断，还是可以通过路由的方式通过北京或深圳与杭州连接，基本解决了网络高可用的问题。存在问题：高时延。3)方案三：FullMesh 第五章云上网络互连 144 FullMesh 指两两之间都有点到点的互通。这个方案的优点在于：当其中一条连接中断，可以选择另一条最短连接线路，以确保尽量不牺牲时延，比如成都和杭州中断，可以选择成都到上海到杭州。以上方案中，连接企业各局点的实线部分，通常使用 IPSEC VPN、物理专线等，如果各局点指的是阿里云 VPC，又该如何实现互联呢？二、云企业网 1.云企业网概述云企业网 CEN（Cloud Enterprise Network）是运行

151、在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器 TR（TransitRouter），帮助用户在跨地域专有网络之间、专有网络与本地数据中心间，搭建私网通信通道，为用户打造一张灵活、可靠、大规模的企业级云上网络。如下图所示，云企业网实现 IDC 通过专线连到阿里云边界路由器，与悉尼 VPC 和上海 VPC 互通，也可以通过智能接入网关连到云连接网，并与其他 VPC 互通。2.云企业网底层基座阿里云在全球构建了最广泛的全球化网络基础设计覆盖，包括 25 个可用地域、80个可用区、280+个 POP 节点和 2800+个边缘节点，为云企业网提供完整的两两互通方案奠定了基础。第五章云

152、上网络互连 145 跨地域通信底层传输链路高冗余 CEN 底层使用阿里巴巴全球传输网络任意两点不少于 3 条路径冗余，SLA 可达99.5%；支持云下机构接入多种方式互备 CEN 支持双专线，专线和 VPN，专线和 CCN 多种冗余组合方式提升上云链路可靠性；支持上云链路健康检查可配置专线上云健康检查，系统自动探测链路状况；低时延 CEN 底层使用阿里巴巴全球传输网络，高质量，任意两点之间以最短路径私网互通；丰富的跨境出口链路，最优化全国用户出海体验。名词解释可用地域（Region）：在云网络中的每个点（如：北京、上海、美东，等）就是一个 Region；可用区：指机房，每个 Region

153、里会有多个可用区，计算和存储都在可用区；POP节点：专线接入点，用户可以接入POP点并通过阿里云内网与各地域互通；边缘节点：更接近用户的网络边缘节点，类似 CDN 边缘的概念。第五章云上网络互连 146 3.云企业网网络体验阿里云的云网络体验馆：https:/ 通过测试从青岛到美国硅谷的连接速度，对比公网和云企业网的表现：时延：降低 41%公网连接时延：237.06ms 云企业网时延：141.57ms 丢包率：公网：30%以上云企业网：0%公网连接需要绕行多个运营商导致时延长、丢包率高，而云企业网则通过专线连接，因此在时延和丢包率方面有更好的表现。第五章云上网络互连 147 云企业网的

154、四大优势：1)全球网络大规模互联转发路由器联合带宽包能快速连接多个地域的VPC和云下网络，实现全球资源互通，同地域下企业版转发路由器支持 200 个 VPC 互联，满足企业网络规模扩张的需求；2)低时延高速率转发路由器提供低延迟、高速率的网络传输能力。同地域资源互通最大速率可达到网络设备端口转发速率，全球资源互通，网络整体时延较公网互通时延有很大提升；3)按需付费快速交付转发路由器支持按使用量付费。同地域下网络互通仅需为已经连接的网络实例和转发路由器处理过的流量付费；跨地域链路可以快速开通、快速变配，无固定的设备、线路投入降低网络建设成本；4)一站式运维控制台提供基于地理位置和基于网络

155、资源的可视化管理界面，用户可以通过可视化管理界面，快速查看同地域和跨地域组网拓扑，迅速掌握全网运行状态，提高网络运维效率。4.云企业网发展目前，云企业网有两个版本，CEN1.0（下图上）和 CEN2.0（下图下）。对比两个版本可以发现，CEN2.0 在中间节点的每个接入设备添加了一个转发路由器（Transit Router，TR），其目的是用来解决由于 CEN1.0 的限制所产生的问题。第五章云上网络互连 148 云企业网 CEN1.0 架构和 CEN2.0 架构 1)CEN1.0 的主要限制同地域加载网络实例最大为 15（无法有效支持企业级大客户东西向扩展）；CEN 整体的路由表最大为

156、 300 条；加入 VPC 和 VBR 的路由自学习，客户无法自主控制，对于一些存在生产、测试、公共服务区、DMZ 区标准的企业网络架构不支持。2)CEN2.0 如何解决这些问题引入 TransitRouter（TR）的虚拟 NFV 网元节点，VPC、VBR、CCN 等实例 attach到虚拟 NFV 网元上，利用 NFV 横向扩容的能力，当前一个地域 TR 默认可以支持关联 100 个 VPC、10 个 VBR、10 个 CCN；从原本纯动态的路由，修改为静态路由，有效收敛路由条目数，但是对于 TR 自身而言又保留路由学习的概念，简化客户的操作；控制面都上移到 TR 的 NFV 网元，在

157、NFV 网元上设计自定义路由表，可以实现更灵活的企业标准组网，如东西向服务链，统一的南北向出口、共享服务器区、单一 VPC 加入多 CEN 等。第五章云上网络互连 149 5.云企业网应用场景转发路由器 TR（TransitRouter）是地域范围内企业级核心转发网元，可转发同地域或跨地域的网络实例间的流量，并支持在地域内定义灵活的互通、隔离、引流策略，帮助用户打造一张灵活、可靠、大规模的企业级互联网络。在跨地域网络互连场景下，需要引入跨地域带宽来实现两两互通。第五章云上网络互连 150 云上网络互连（中）视频地址 https:/ 三、云企业网组件 1.概述云企业网架构图在云企业网架

158、构中，包含以下三个重要组件：1)TR 实例每个 Region 的核心路由器，每个 CEN 每个 Region 只有一个 TR 实例；2)TR 连接（Attachment）TR 与边界网络的连接，一个 TR 上可以有多个连接，连接分为四种类型：VPC Attachment VBR Attachment：VBR（Virtual Border Router，虚拟边界路由）CCN Attachment 跨地域 Attachment 3)TR 路由表第五章云上网络互连 151 一个 TR 上可以存在多个路由表，多个 Attachment 可以关联到相同或者不同的TR 路由表中，应用该路由表中的路由

159、进行转发。2.TR 的路由表&关联转发、路由学习路由表有三个列表引用 Attachment 对象：1)路由条目在路由表中配置静态路由时，可以将下一跳配置成对应 Attachment；2)关联转发条目每个 Attachment 都必须关联到一个路由表上，代表 TR 从该 attachment 上收到流量后，从该路由表中寻找目的地址进行转发；3)路由学习条目每个路由表都可以配置从多个 Attachment 上学习对端的路由，作为快速导入路由的方式；在默认情况下，创建 attachment 会自动关联默认路由表，且默认路由表自动学习对端路由，实现快速互通。高级场景可以在创建 attachme

160、nt 的时候，指定关联的路由表，关闭自动学习，配置自定义路由。下表中列举了四种 Attachment 类型在限制、属性、路由表操作三方面的对比。比如，属性中的带宽，TR-VPC Attachment 的带宽没有限制，TR-VBR Attachment 带宽有保护性限速，TR-CCN Attachment 的带宽不可配置，跨地域 Attachment 带宽需要付费购买带宽包；另外，创建 TR-VPC Attachment 需要创建 TR 的 VSW，TR-CCN Attachment 的路由表不可操作，直接关联唯一的路由表，并动态学习路由。第五章云上网络互连 152 3.关联转发&路由学习通

161、过两个示例来详细解释关联转发路径和路由学习。1)示例一在这个示例中有两个 VPC，杭州 VPC1 和杭州 VPC2，两个路由表 A&B。杭州 VPC1 经 VPC Attachment 关联转发到路由表 A，在路由表中通过路由学习将下一跳指定为杭州 VPC2，因此杭州 VPC1 的流量就转入杭州 VPC2；杭州 VPC2 流量通过关联转发到路由表 B，路由表通过路由学习选择下一跳到杭州 VPC1，因此杭州 VPC2 流量回转到杭州 VPC1。2)示例二在这个示例中只有一个默认路由表，2 个 VPC（杭州 VPC1&VPC2），1 个本地 IDC（杭州），1 个杭州 TR 和 1 个跨地域

162、TR（新加坡转发路由器）。第五章云上网络互连 153 在杭州 VPC1 和杭州 TR 之间引入路由策略，其目的是阻止路由表学习 VPC1 的10.1.4.0/24 网段路由，因此在路由表目标网段中没有这个网段列表，这一网段与云企业网不连接；也可以通过关闭自动学习，自定义设置学习网段的方式来实现这一目的。4.TR 的路由传播过程 TR 路由表传播到其他节点（VPC/VBR/CCN/跨地域 TR）时，应用以下规则：TR 任何路由表都不传播到 VPC 中，VPC 路由表需要用户自行配置；只有 Attachment 所关联的路由表才能被传播；从一个 Attachment 学来的路由不会被发布给这个

163、Attachment。TR 路由表从其他节点（VPC/VBR/CCN/跨地域 TR）学习路由时：只有配置了路由学习条目的路由表才会学习对应 Attachment 的路由；所有路由按照最长匹配原则进行路由匹配。第五章云上网络互连 154 5.应用场景与前面介绍的办公局点架构（下图左）对比，云企业网的典型企业级层级网络架构（下图右），可以实现更复杂的企业组网。在右图典型企业级层级网络中，下层可信区的 VPC_B 和 VPC_C，是两个互不连接的可用区，如果希望将它们通过一个防火墙设备进行互通，可以通过以下方式实现：首先，在 TR 上生成 2 个路由表，将 VPC_B 和 VPC_C Attac

164、h 到不可信流量路由表，VPC_A Attach 到可信流量路由；第五章云上网络互连 155 VPC_B 和 VPC_C 的流量通过 Attachment 关联转发到 TR 的不可信路由表，指向下一跳到 VPC_A；VPC_A 的子网路由表指向下一跳是 ECS（安全管控），流量通过交换机转入ECS；ECS 路由表指向下一跳为 TR 转发路由器，流量转入 TR 的可信流量路由，再根据指向路径返回 VPC_B 和 VPC_C；至此，实现 VPC_B 和 VPC_C 通过安全管控设备互通。第五章云上网络互连 156 云上网络互连（下）视频地址 https:/ 四、最佳实践：TR 最简组网配置演

165、示实现如下图的 TR 最简组网配置，即 2 个专有网络通过云企业网形成互通。1.准备工作 1)创建 2 个 VPC，每个 VPC 有 2 个交换机和 1 个路由表 2)查看交换机，共 4 台，分别在杭州可用区 I 和杭州可用区 H 第五章云上网络互连 157 可用区的选择需根据阿里云文档中“企业转发路由器支持的地域和可用区”表查询；https:/ 3)查看 ECS 实例2.操作步骤第五章云上网络互连 158 1)创建 CEN 实例登录云企业网管理控制台，在云企业网实例页面，单击“创建云企业网实例”，填写名称，点击确认；2)创建转发路由器进入实例基本信息页面，点击“创建转发路由器”，地

166、域选择“杭州”，并点击确认；3)CEN 连接网络实例配置第五章云上网络互连 159 实例类型：专有网络（VPC）；可用区：主备可用区分别选择杭州可用区 H 和可用区 I；配置 VPC 连接：资源归属 UID：同账号；网络实例：公关资源；交换机：对应可用区选择；高级配置：一般默认勾选，如果不选则需要自定义配置关联路由表；下图中第一个实例全部勾选了高级配置，在关联路由表一栏有路由表信息，另一个实例没有勾选，则没有路由表信息，需要自行关联；第五章云上网络互连 160 4)关联路由表在实例中选择“转发路由器路由表”，在“路由学习”页面点击“创建路由学习”；添加关联转发，在“关联转发”页面点击“

167、创建关联转发”；第五章云上网络互连 161 关联后回到实例地域内连接管理页面查看，第二个实例也有关联路由表信息了；5)VPC1 和 VPC2 互通进入 ECS 控制台，选择实例，点击两个实例的“远程连接”，并“免密登录”；测试两个VPC是否互通，复制一个VPC IP，并在另一个VPC控台中执行ping+VPC IP，测试结果互通成功；第五章云上网络互连 162 至此，TR 最简组网配置完成。五、常见问题：ECS 间网络不通通常遇到 ECS 间网络不通的问题需要进行全链路排查，排查顺序为：路由排查、安全组排查、ECS 内部机制排查。在下图的示例中具体需要排查的问题有：VPC1 路由表没有

168、 VPC2 的路由指向 TR；VPC1 内的 ECS 没有开放对 VPC2 ECS 的安全组规则；VPC1 内的 VSW 没有开放对 VPC2 网段 NACL 的规则；VPC1 内的 ECS 内部存在 iptables 规则或者 docker 网段与 VPC2 冲突；TR 路由表存在错误路由；VPC2 路由表没有 VPC1 的路由指向 TR。六、课程总结本讲关于云上网络互连的学习主要包含以下内容：第五章云上网络互连 163 1.典型企业组网架构小型办公局点数据中心网广域互联 2.云企业网网络基座网络体验云企业网发展应用场景 3.云企业网组成部分 TR Router TR At

169、tachment VPC VBR CCN Cross-region Connections TR Routetable Route Propagation Route Table Association TR 路由的传播过程 4.通过最简组网熟悉 TR 控制台第五章云上网络互连 164 5.通过实验学会阅读拓扑第五章云上网络互连 165 配套实验：通过现网的配置分析当前 CEN TR 的组网拓扑视频地址 https:/ 一、实验目的了解和熟悉云企业网 TR 的基本操作；理解云企业网关联转发和路由学习原理；学会如何打通云上多个 VPC 之间网络以及云内网元之间配置。实验网址：http

170、s:/ 二、实验步骤 1.用进入实验页面，登录阿里云，进入云企业网 2.阅读拓扑第五章云上网络互连 166 点击实例进入详情页面，选择“资源拓扑”并阅读拓扑，这个实例中包含 3 个 VPC；3.查看地域连接管理进入转发路由器 TR，查看每个 TR 的流量情况；4.从转发路由器路由表中查看 TR 路由配置查看正确的路由表，点击关联转发。理解关联转发指的是当 VPCattchment 的流量发给 TR 时会进入这张路由表；第五章云上网络互连 167 点击路由学习，理解路由学习每个 attachment 的系统路由，当流量转发到 TR后，TR 根据学习到的路由将流量转发给 VPC 对应的

171、attachment；5.查看 TR 的路由表，关注“目标网段”和“下一跳”信息画出最基础的拓扑（请先尝试自行描绘拓扑），再跟如下正确拓扑做比对：第五章云上网络互连 168 6.查看 VPC 以及 VPC 本身的路由表，进一步分析拓扑如下步骤在每个 vpc 重复查看，请先尝试自行描绘拓扑，最后跟如下正确拓扑做比对。第五章云上网络互连 169 7.验证 CENTR 打通 VPC 间网络功能，登陆 ECSping 测试 Workbench 远程连接，执行 ping 命令验证两个 VPC 是否互通，结果显示已互通。8.根据拓扑排查为什么 ECS 无法访问公网首先排 VPC 公网 NAT 规

172、则，进入 SNAT 管理页面将源网段与拓扑中的网段进行比对，无误。第五章云上网络互连 170 分析拓扑发现，Hangzhou-TR 没有 0.0.0.0/0 的缺省路由指向 VPC01。以上问题可以通过路由发布解决：进入网络实例路由信息，找到 VPC1，目标网段0.0.0.0/0，点击对应的“发布”。第五章云上网络互连 171 9.验证发布后机器能正常访问外网，并理解发布路由是将 VPC 内非系统路由，发布给配置了路由学习的 TR 路由表操作成功后原来的拓扑图可以更新为：第五章云上网络互连 172 三、实验结果 TR 的路由表路由学习 VPCattchment 后，会自动学习 VPC

173、的系统路由表，非系统路由可以通过发布按钮，让 TR 的路由表学习到非系统路由；TR 场景下，通过正确的配置，可以实现 VPC 借用其他 VPC 下的 NAT 网关访问公网。第六章云服务与总结 173 第六章云服务与总结（第六章间隔页，PDF 中更新）第六章云服务与总结 174 云服务与总结课程目标了解 Privatelink 产品架构与最佳实践通过 Privatelink 理解云上网络问题排查方法理解问题排查方法论回顾本期训练营内容课程目录 Privatelink 相关概念与产品功能 Privatelink 问题排查方法问题排查方法论回顾本期训练营内容视频地址 http

174、s:/ 一、Privatelink 相关概念与产品功能 1.Privatelink-不破坏网络边界的基础上提供云服务什么是网络边界？先来回顾一下云网络发展的几个阶段：第六章云服务与总结 175 1)经典网络时代没有独立网络空间，没有网络边界。2)单体云网络时代基于对等连接的单点组网：实现云上独立地址空间，但仅限于 VPC 间两两互通，VPC 之间有严格的网络边界；基于 CEN/CEN-TR 的“全球一张网”：解决多 VPC 复杂组网问题，每个 VPC 或组网都有自己的边界。3)服务化云网络时代自治网络组织 A、组织 B、组织 C均具有独立的网络边界，因各种原因无法直接连接，而通过 P

175、rivatelink 产品可以实现相互访问，亦即：基于 Privatelink 的服务化组网，解决多张网问题；解决集团型企业组网，实现云上企业生态互联。2.Privatelink 产品简介私网连接（Privatelink）是利用阿里云的私有网络进行服务交互的一种方式。第六章云服务与总结 176 如上图所示，利用私网连接，用户可以通过私有网络，单向访问部署在其它 VPC 中的服务，无需创建 NAT 网络、EIP 等公网出口，交互数据不会经过互联网，有更高的安全性和更好的网络质量。Privatelink 的产品特点：本地私网通信；保持网络封闭；单向服务访问；保持双方网络独立。3.Private

176、link 使用场景 Privatelink 的使用场景主要有：云服务、企业内部服务和云上企业生态。Privatelink 使用场景 1)云服务场景描述客户需要以独立的接口访问云内的服务，可以在客户的 VPC 中创建 Endpoint（终端节点），并提供终端节点服务，客户的接口只需访问终端节点，就可以与云服务互通。Privatelink 的优势第六章云服务与总结 177 更加安全可控的云服务入口；支持跨地域访问云服务；支持 IDC 访问云服。2)企业内部服务场景描述企业内部不同网络业务层和公共服务层的互通，通过独立的网络规划访问公共服务器区，可以在业务账户内部各创建一个 Endpoi

177、nt，在服务账号 VPC 中创建Endpoint 服务并绑定 SLB，即可在企业内部提供公共服务。Privatelink 的优势支持服务化的企业 IT 架构；支持单账号和多账号体系；服务方和业务方的网络规划各自独立，简化管理；更高的安全管控能力和安全隔离能力。3)云上企业生态场景描述企业与 ISV（企业服务合作方）之间的互通场景，每个企业会有多个 ISV，同时每个ISV 也会对接多个企业，为了防止网段冲突，通过私网连接，ISV 向每个企业提供独立的私网接口进行连接。Privatelink 的优势 ISV 和企业能够在私有网络中发布和使用服务；全程私有网络通信，数据不经过互联网，更加安全可

178、靠；支持混合云场景下的服务发布和访问。4.Privatelink 产品组成第六章云服务与总结 178 Privatelink 产品组成 Privatelink 产品主要包含以下组件：1)终端节点（Endpoint）：代表某个云上服务的使用方 VPC 中的私有连接接入点。终端节点通过终端节点网卡接入到某个可用区的虚拟交换机。创建终端节点时，可以根据终端节点服务名称，发起连接到服务提供方的终端节点服务的连接请求；2)终端节点可用区和网卡（Endpoint Zone&ENI）：代表了服务使用方 VPC 中的服务请求入口。终端节点网卡是在服务使用方 VPC 中某个虚拟交换机中的一个弹性网卡（ENI

179、），会占用虚拟交换机网段中的一个私网 IP 地址。所有发送到这个弹性网卡地址的服务请求将会通过私有连接转发到对应服务提供方在相同可用区的服务资源；3)终端节点服务（Endpoint Service）：代表了服务提供方通过私有连接提供的对外服务，服务名称是唯一标识，服务提供方可以管理服务使用方发起的连接请求。终端节点服务可以添加部署在多个可用区的 SLB 应用服务集群作为服务资源；4)服务资源（Service Resource）：即实际提供服务的集群。目前私网连接支持使用 SLB 作为服务资源；5)终端节点连接（Endpoint Connection）：代表了终端节点和终端节点服务之间的连接。服

180、务使用方创建终端节点时将发起到终端节点服务的连接请求，服务提供方可以自动或手动接收连接请求。注意：一个终端节点在一个可用区中只能有一个终端节点网卡；第六章云服务与总结 179 某个终端节点网卡的流量只会转发到在相同可用区的 SLB 服务集群。5.多可用区高可用能力 1)故障场景某个可用区/机房的 PVL 集群全部宕机；整个可用区/机房出现故障；某个可用区的服务提供方的服务资源不可用。2)高可用机制通过域名解析实现多可用区高可用对多个可用区中 ENI 的服务状态进行健康检查；当某个可用区的服务不可用（包括故障场景中的 3 种情况），自动将不可用的ENI IP 从解析结果中去除；客户端根据

181、更新的 DNS 解析结果，将请求发送到可用的 ENI IP。3)客户侧要求客户端必须使用服务的 VPC 域名访问服务，不能直接使用可用区域名或者 ENI IP。第六章云服务与总结 180 二、通过 Privatelink 理解云上网络问题排查方法案例：北京 VPC 内的 ECS 无法访问到上海 Privatelink 1)问题排查物理拓扑图进行问题排查，首先要从物理拓扑图（上图）中抽象出一个逻辑拓扑（下图）：逻辑拓扑图第六章云服务与总结 181 在这张图中，从 Clinet 到 Privatelink EP ENI 是客户端，后面三个是服务提供商。在问题排查中，可以先在客户端链路

182、进行自查，确定问题出现的大方向，再详细定位问题。2)问题分析枚举在抽象的逻辑图中每个节点可能出现的情况：客户端（Client）安全组；安全策略；容器网段。VPC1&VPC2 NACL；路由问题。CEN TR 路由表；带宽包配置；带宽包使用率。EP ENI 安全组。EP Service 是否正确连接。CLB 第六章云服务与总结 182 健康检查情况；连接数上限；QPS 上限。RS 规格上限；内核丢包；应用配置。三、问题排查方法论 1.Drill-Down Analysis Method-从错误本身逐层剖析细节决定成败，这种方法就是对问题现象深挖到底，实施起来需要多个领域的专业知识，非常有挑

183、战性。Start at highest level，通常从应用报错日志开始；Examine next-level details，从应用层、容器网络层、内核层、虚拟化层逐层怀疑；Pick most interesting breakdown，排查可疑的现象；If problem unsolved，go to 2，如果问题没有解决则再回到第二步。优点通过逐层排查，可以清晰而细致的剖析问题。缺点排查依赖于异常复现，需要排查人员对各领域有丰富的经验；第六章云服务与总结 183 容易困在一个很小的点里，而忽视全局。2.Tools Method-从外围监控入手成大事者不拘小节，这种方法是从整个系

184、统监控指标看问题，而不只限于错误消息。首先应有怀疑的方向，并了解对应方向的工具；了解工具暴露的哪些指标可以佐证自己的怀疑；明确指标的含义；执行选择的工具并说明指标的含义 Run selected tools and interpret selected metrics。缺点如果是偶现的、或历史的异常，监控指标可能不全；生产环境需要部署大量的监控软件，适用场景有限。四、回顾本期训练营本期企业运维训练营之云上网络原理与实践主要讲解了三部分内容：阿里云云网络的发展、云上网络产品、以及问题排查的方法论和工具。阿里云云网络发展历经四个阶段，从经典网络到安全隔离的专有网络 VPC，进而通过云企业网进入全球互联，最后到 5G/IOT 的万物互联。云上网络产品主要介绍了 VPC、负载均衡 CLB 和 ALB、NAT、EIP、CEN 和 Privatelink。问题排查方法主要推荐两种，从错误本身出发和从外围监控出发，两种方法各有利弊，视根据具体情况选择。问题排查工具主要有：mtr/traceroute/winmtr/tracert、ping、Wireshark 等等。第六章云服务与总结 184

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（阿里云：企业运维之云上网络原理与实践（183页）.pdf）为本站（匆匆忙忙）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。