腾讯云网络
TGW
TGW,全称Tencent GateWay,是一套实现多网统一接入、外网网络请求转发、支持自动负载均衡的系统。
TGW向开发者免费提供服务,基于HTTP协议的应用可以直接接入,基于其他私有协议的应用只需要进行少量改造即可快速接入。
TGW自动进行域名解析,应用接入TGW后,即可使用域名方式对外提供服务,以及电信/联通/移动三网接入。
此外,TGW支持后端带权重的负载均衡,应用无需关注负载均衡。
网络用户使用应用请求云接入平台,APP Server通过域名管理TGW集群加速技术统一管理APP Server。云平台用户可以通过云弹性引擎平台,对资管进行系统监控、调度决策系统、变更流程系统等进行管理。通过云虚拟机平台进行服务器的配置管理。
腾讯云网路提供了统一的外网接入网关TGW,目前大多多网接入是直接在服务器上配置电信、联通的公网地址,通过路由器解决出口转发问题。接入TGW后,业务则无需关心用户是电信还是联通,可实现状态管理、路由控制、HTTP解析、BGP接入、隧道管理、健康管理等功能。每个应用基于一个或者多个虚拟机,虚拟机之间可以通过Virtual switch和宿主机物理网卡交换数据,主机内实现负载均衡、流控、路由等管理功能,轻松实现多业务部署。
全国200多个就近接入点,数千台接入服务器,智能名字解析服务,实现终端地域运营商的精准识别。同时智能动态优选路由算法,保证接入点到原站的最佳链路,TCP/HTTP协议深度优化长连接,并发传输、冗余传输。
腾讯云网络的TGW可以通过域名区分业务,也可以实现负债。BGP接入,简化用户使用成本。TGW和宿主之间Tunnel接入,虚拟机无感知。HTTP和四层负载均衡,真实源IP对用户可见。防御常见的DDOS攻击防护。如图连接请求通过TGW连接到同步包中,对于短连接在五秒内的,不会被同步,可以大大节省同步流量。
腾讯云网络优势
腾讯云支持分布式部署宿主机,通过虚拟交换机和宿主网卡交换数据,可以实现内网的负载均衡。并且通过双向进行流量控制,服务维度更加细致。此外,通过对IP和MAC地址的强鉴权、防篡改、防止sniffer嗅探器捕获数据。
消息队列是企业级互联网架构的核心服务,基于高可用分布式集群技术,搭建了包括发布订阅、接入、管理、定时、延时、监控报警等一套完整的高性能、高性价比的消息云服务。user和admin用户通过不同的连接接入API Server,通过MQ消息队列解耦。
腾讯云产品介绍
负载均衡可在云中的多个CVM实例间自动分配应用程序的访问流量。腾讯云私有网络是在腾讯云上自定义的逻辑隔离网络空间,与您在数据中心运行的传统网络相似,托管在私有网络内的是您在腾讯云上的服务资源,如云主机、负载均衡、云数据库等。NAT网关是一款私有网络访问internet的高性能网关,支持SNET代理转发,提供双机热备,自动切换能力。最大支持5GBPS的带宽吞吐能力,一千万以上的并发连接数,十个弹性IP绑定,满足您的海量internet访问诉求。专线接入是腾讯云提供的高可靠专用网络接入服务,可以利用专线接入将腾讯云与您的办公室、数据中心、第三方合作伙伴相连接,实现大容量高可靠网络互联的混合云部署。弹性网卡是绑定私有网络内云主机的一种弹性网络接口,可在多个云主机间自由迁移。您可以在云主机上绑定多个弹性网卡,实现高可用网络方案。您也可以在弹性网卡上绑定多个内网IP,实现单主机多IP部署。VPN连接是一款通过IPSEC加密通道,连接您的企业数据中心和腾讯云私有网络的服务。提供安全可靠的加密通信,助力您轻松实现异地容灾和混合云部署。
腾讯云负载均衡CLB,可在云中的多个CVM实例间自动分配应用程序的访问流量,可以基于内容的路由转发,收敛IP。大型网站常有上百个业务子模块,通过设置不同的转发规则、转发组,分析HTTP头部信息,有效分离业务模块,实现基于内容的路由转发。此外,用户通过自定义转发路径代替二级域名,有效减少DNS轮询次数、收敛IP,提升用户访问速度,保证服务的高效运行。
腾讯云用户可以完全掌握自己的私有网络,包括自定义网段划分、IP地址和路由策略等,并通过安全组合和网络ACL等实现多层安全防护。用私有网络部署简单的WEB应用,如博客、网站和日志系统等。通过安全组和网络ACL等防火墙,可以使WEB应用响应HTTP等请求,但拒绝WEB应用访问internet,从而保证WEB应用的安全。在流量突增时,还可以在VPC中启用负载均衡轻松应对。
NAT网关是一款私有网络访问internet的高性能网关,支持SNET代理转发,提供双机热备,自动切换能力。最大支持5GBPS的带宽吞吐能力,一千万以上的并发连接数,十个弹性IP绑定,满足您的海量internet访问诉求。可视化监控可视化展示多项关键数据指标的监控信息,如出带带宽、入带宽、连接数等,让您完全掌握NAT网关的运行状态以及健康状况。您可以设置自定义告警,当指标超过一定阈值时自动告警,告警消息会通过电子邮件和短信发出,帮助您提前预警风险。监控和告警服务无需额外收费,同时当故障发生时,能快速定位问题。
专线接入是腾讯云提供的高可靠专用网络接入服务。您可以利用专线接入将腾讯云与您的办公室数据中心第三方合作伙伴相连接,实现大容量、高可靠网络互联的混合云部署,也可以通过VPN连接私有网络与您的数据中心,灵活部署混合云。
VPN连接是一款通过IPSEC加密通道连接企业数据中心和腾讯云私有网络的服务,提供安全可靠的加密通信,助力您轻松实现异地容灾和混合云部署。
云网络服务
腾讯云提供的网络服务具体可分为两类:内网服务和公网服务。
内网服务,即局域网服务。云服务之间经由内部链路互相访问,以内部IP为实现方式。腾讯云机房均由底层万兆或千兆互联,提供带宽高、时延低的内网通信服务。内网服务具有用户属性,不同用户间相互隔离,即默认无法经由内网访问另一个用户的云服务。内网服务同时具有地域属性,不同地域间相互隔离,即默认无法经由内网访问同账户下不同地域的云服务。
公网服务,即广域网服务。云服务之间经由internet互相访问,以公网IP为实现方式,且可以与任何Internet上其它服务互相通信。腾讯云高速数据通讯网络覆盖超过20家网络运营商,保障不同ISP用户均可享受相同的高速网络通讯。
腾讯云的所有外网接口统一由天TencentGateway 进行处理。TGW具有可靠性高、拓展性强、性能高、抗攻击能力强等特点,提供了更加安全和高效的网络访问。内网接口可由腾讯云自动分配,也可由用户自定义。即腾讯云服务器网络架构由以下两部分组成:公网网卡,在统一接口层TGW上配置,云服务器无感知。当购买云服务器时设置了超过0Gbps的带宽后,TGW自动为其配置一个公网接口。内网网卡,由腾讯云管理支持用户自行配置。
腾讯云上的网络分为私有网络和基础网。
如左图所示,基础网络是腾讯云上所有用户的公共网络资源池。所有云服务器的内网IP地址由腾讯云统一分配,配置简单,使用方便,适合对操作易用性要求比较高,需要快速使用云服务器的场景。右图所示,私有网络是指用户在腾讯云上建立的一块逻辑隔离的网络空间。在私有网络内,用户可以自由定义网段划分、IP地址和路由策略。与基础网络相比,私有网络更适合有网络自定义配置需求的场景。
内网DNS服务负责域名解析。如果DNS配置有误会,造成域名无法访问。因此,腾讯云在不同地域均提供的可靠的内网DNS服务器。具体配置如表所示:
基础网络是指所有云服务器的内网IP地址由腾讯云统一分配。配置简单,使用方便,适合对操作易用性要求比较高,需要快速使用CVM的用户。互通规则为腾讯云账户内的CVM互通,帐号间隔离。私有网络是指具备逻辑隔离的私有网络,用户可以自定义网络拓朴和内网IP地址。支持通过专线连接,适合对网络管理熟悉了解的用户。互通规则为VPC内的CVM互通,用户可以自定义网络拓扑和内网IP地址。
腾讯云私有网络是一块用户可自定义的逻辑隔离网络空间。在私有网络内,您可以自由定义网段划分、IP地址和路由策略,部署云主机、负载均衡、云数据库等云服务资源。您在腾讯云上的私有网络,不仅可以灵活访问internet,而且有丰富的接入方式连接您的数据中心,助力您快速部署混合云。同时腾讯云私有网络对等连接和基础网络互通功能均可以轻松连接内网资源,帮助您轻松实现全球同服和两地三中心容灾。此外,腾讯云私有网络上的网络ACL和安全组帮您多维度全方位保证网络安全性。
子网是VPC内的IP地址块。私有网络中的所有云资源都必须部署在子网内,所以子网具有可用区属性。如图所示,在创建VPC后,您可以在私有网络所属地域下的每个可用区中添加子网。
可用区设计目的是隔离其它可用区的故障。通过启动独立可用区内的实例,您可以保护您的应用程序不受单一未知故障的影响。
您可以通过指定CIDR实现对私有网络和子网整体IP划分。腾讯云私有网络中适用的IP地址分为三类:内网IP地址是VPC内的实例必须指配的IP地址,用于VPC中实例之间的通讯,无法用于internet通信。公网IP地址是用于internet访问的IP地址,并可用于实例与internet之间或与其它具有公共终端节点的腾讯云资源,如CDB等之间的通信。弹性IP是可以独立申请的公网IP地址,支持与CVM或NAT网关实例的动态绑定和解绑。目前私有网络支持三个网段内网IP,10.0.0.0到10.255.255.255、1722.16.0.0到172.31.255.255、192.168.0.0到192.168.255.255。
如图所示,公网网关是开启了转发功能的云主机。
没有外网IP,但需要进行internet访问的云服务器,可通过位于不同子网的公网网关来访问internet。公关网关主机将对公网流量进行源地址转换,所有其它主机访问外网的流量经过公网网关后,IP都被转换为公网网关主机的IP地址。
您可以像使用普通网络一样使用私有网络,部署简单的WEB应用,如博客、网站和日志系统等。通过安全组和网络ACL等防火墙,您可以使WEB应用响应HTTP等请求,但拒绝外部应用访问internet,从而保证WEB应用的安全。在流量突增时,您还可以在VPC中启用负载均衡轻松应对。
多层WEB应用的隔离部署。用户希望既能保证WEB接入层能访问internet,响应海量请求,同时需要通过网络隔离保障数据库服务器的安全。那么您可以在私有网络内创建不同子网,整个WEB层放在一个子网,通过配置弹性IP、网关云服务器,或NAT网关,与internet通信。配置负载均衡服务,将访问流量自动分配到WEB接入层、云主机上。逻辑层单独放在一个子网,只能和WEB层及数据层通信。数据层放在另外一个子网,只和逻辑层通信。可以在私有网络内部署您的应用程序,在企业数据中心部署数据库服务器。通过腾讯云私有网络提供的稳定安全的IPSEC、VPN、或专线,打通企业数据中心与云端资源。同时,可以使用弹性伸缩服务,实现根据业务量弹性扩展应用程序的云服务器等资源。既降低了企业IT运维成本,又不用担心企业核心数据的扩散,轻松实现弹性混合云部署
NAT网关和EIP的使用方案
NAT网关是一种将私有网络中内网IP地址和公网IP地址进行转换的网关,是私有网络内无公网IP的云资源访问internet的一种方式。暂不支持internet主动访问私有网络。腾讯云私有网络NAT网关的典型应用场景如下,针对需要超大带宽、公网IP使用量大、部署服务较多的公网访问应用场景,腾讯云NAT网关均可一满足需求。同时腾讯云私有网络的NAT网关提供IP的安全转换,如果希望隐藏私有网络内主机的公网IP,以避免暴露其网络部署,同时又希望访问公网,那么使用腾讯云NAT网关可以满足这类需求。
NAT及网络地址转换,是把internet内部专用地址转换为internet全局地址的一种技术。使用内部地址的主机在访问internet时或被internet上的主机访问时,数据会在该网络的路由器或其它网关设备上进行地址转换。SNAT及原网络地址转换,支持多个VPC云主机通过同意公网IP主动访问互联网。如图VPC的云主机通过一个公网IP,202.0.0.1访问互联网,原地址分别是10.0.0.1、10.0.0.2,经过NAT转换后,映射到一个公网的IP上,通过不同端口识别不同云主机。
DNAT是指目的地地址转换,用于将VPC内的云主机的内网IP、协议、端口,映射成外网IP、协议、端口。使得云主机上的服务可被外网访问。如图,当互联网上的用户通过公网地址201.0.0.1访问云主机时,可以通过目标端口或者协议使得云主机可以背internet上的主机访问。
可能有些朋友不是很清楚,NAT网关是什么产品,甚至误认为是公共网关。其实NAT网关与公网网关都是用于私有网络内云主机访问internet。但二者存在一定差异还是有些不一样的。如图,公网网关本质上是一个云服务器实例,是开启了转发功能的云主机。没有外网IP,但需要进行internet访问的云服务器可以使用它。
NAT网关是一种将私有网络中内网IP地址和公网IP地址进行转换的网关,是VPC内的公网流量的出入口。具体应用场景及区别如图所示:
公网网关本质上是一个云服务器实例,是开启了转发功能的云主机。没有外网IP,但需要进行internet访问的云服务器可通过位于非相同子网公网网关转发来访问internet。公网网关主机将对公网流量进行源地址转换。所有其它主机访问外网的流量,经过公网网关后,IP都被转化为公网网关主机的IP地址。
NAT网关是一种将私有网络中内网IP地址和公网IP地址进行转换的网关,是VPC内的一个公网流量的出入口,应用于大带宽、高可用公网访问及隐藏私有网络内部IP的安全功能访问。
通过上表对比可知,腾讯云NAT网关具有三大优势:第一大优势是大容量,最大支持一千万并发连接,5Gbps带宽和10个弹性IP,满足大规模用户诉求。第二大优势是双机热备、高可用、单机故障自动切换,相比于公网网关的手动切换实现了自动容灾,保证99.99%的服务可用性。第三大优势是节省成本,提供高中低三种配置,用户可按需购买,弹性计费,更省成本。
弹性IP是可以独立申请的公网IP地址,支持与CVM、NAT网关实例的动态绑定和解绑。如下图所示,您可以将其与账户中的云主机或NAT网关实例绑定或解绑,主要作用是屏蔽实例故障。
例如动态
DNS映射,把DNS名映射到了IP地址,传播这个映射变化到整个internet可能需要花费24小时。而弹性IP实现了IP从一个云主机到另一个云主机的漂移,在任何云主机出现故障时,只需启用另一个实例并重新映射它,从而快速响应实例故障。
方案一,只使用NAT网关。云主机不绑定弹性公网IP,所有internet流量通过NAT网关转发。此种方案中,云主机访问internet的流量会通过内网转发至NAT网关,因而不会受云主机购买时,公网带宽的带宽上限限制。NAT网关产生的网络流量费用,也不会占用云主机的公网带宽出口。
方案二,只使用弹性公网IP。云主机只绑定弹性公网IP,不使用NAT网关。此种方案云主机所有访问internet流量通过弹性公网IP时,会受到云主机购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云主机网络计费模式而定。
方案三,同时使用NAT网关和弹性公网IP。云主机绑定了弹性公网IP,同时所在子网路由访问internet流量指向了NAT网关。此种方案中所有云主机主动访问internet的流量,只通过内网转发至NAT网关,回包也经过NAT网关返回至云主机,此部分流量不会受云主机购买时公网带宽的带宽上限限制。NAT网关产生的网络流量费用不会占用云主机的公网带宽出口。如果来自internet的流量主动访问云主机的弹性公网IP,则云主机回包统一通过弹性公网IP返回,这样产生的公网出流量受到云主机购买时公网带宽的带宽上限限制,访问公网产生的相关费用,根据云主机网络计费模式而定。