天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、cdn、云电脑、大数据及ai等全线产品和场景化凯发app官方网站的解决方案。
分类: 云计算
2024-05-23 16:08:42
本文分享自天翼云开发者社区《》,作者:天枫霁月
一、vpce产品出现的背景
跨vpc通信,且能够严格限制访问,任意两个租户之间都能互通,性能高,花费少,通过vpce产品实现安全、灵活、高效的跨vpc访问。
二、vpce产品简介
vpc终端节点(vpc endpoint):能够将vpc私密地连接到终端节点服务(云服务、用户私有服务等),使vpc中的云资源无需弹性公网ip就能够访问服务提供方的服务,提高了访问效率,提供了更加灵活、安全的组网方式。
三、vpce产品相关概念
终端节点服务(endpoint service):用户或服务提供商可将vpc内的资源作为服务端,创建为一个终端节点服务,可以被终端节点连接并访问。
终端节点(endpoint):连接到终端节点服务,作为服务使用方访问服务的入口。
约束:一个终端节点服务可提供给多个终端节点访问;一个终端节点只能连接到一个终端节点服务。
四、vpce产品特点
安全可信
1.用户通过终端节点服务,实现跨vpc的点对点单向发起访问,不暴露服务端相关的网络信息,使用户的访问更加安全。
2.服务提供方通过租户白名单来管理服务使用方的账号接入权限;服务使用方通过ip地址白名单来限制对终端节点访问,使得通信安全可控。
灵活便捷
1.无需购买弹性ip和nat网关等产品
2.避免复杂的路由和安全配置
3.秒级创建,快速生效,迅速响应,方便用户及时使用。
高可靠高性能
1.跨az多活集群实现跨az高可用性
2.自研dpos数据面,单机支持千万级会话
3.zui低时延,报文仅经过一跳网关
4.单网元带宽25g,转发时延15us
服务资源覆盖全
1.后端服务资源类型全:云主机、物理机、弹性负载均衡、高可用虚ip
2.协议支持全:凯发k8官网下载客户端中心的服务支持tcp和udp端口映射
五、vpce功能
终端节点服务(endpoint service)
1.后端支持:支持将服务端vpc内的云主机、物理机、弹性负载均衡、高可用虚ip
2.租户白名单:支持添加白名单租户,从而允许其他租户与该终端节点服务建立终端节点连接
3.端口映射规则:可配置多条规则以提供终端节点访问,协议支持tcp和udp,支持设置每个真实后端的端口与服务访问端口映射关系
终端节点(endpoint)
1.终端节点网卡:在创建终端节点时,选定子网自动创建,占用一个用户子网ip,作为访问服务的入口
2.cidr白名单:支持通过白名单设置允许访问终端节点的cidr地址范围,zui多允许添加20条cidr记录(默认放通全部)
3.域名:支持为终端节点创建内网域名,实现通过内网域名访问终端节点(规划中)
其他
1.跨az访问:终端节点可跨az访问,但不支持跨region访问
2.访问终端节点的源:支持vpc内及vpc连接的各类源端进行访问(支持从专线、vpn、云间高速访问终端节点)
3.路由配置:自动配置路由,用户无需配置
4.流量类型支持:tcp和udp,ipv4,ipv6(规划中)
5.限速:带宽默认限速1gbps,zui大会话数默认限制5000,可申请调整
6.监控支持:支持流量统计用于监控和计费
7.流量放行:后端服务需要放行源ip为198.19.128.0/20的网段
8.配额:单个vpc可以创建的终端节点服务、终端节点数量
六、vpce其他说明
终端节点服务模式说明
当前vpce产品(包括接口类型和反向类型)流量转发为full nat模式,即访问后端的时候会做snat dnat地址转换
终端节点服务类型说明
1.interface(接口类型): 终端节点作为一个接口,占用租户子网内的一个ip地址(标准产品)
2.reverse(反向类型):服务侧可通过反向终端节点来访问客户侧vpc内的虚机等(标准产品)
3.gateway(网关类型): 终端节点作为一个网关,不占用租户私网ip地址,作为路由表中的下一跳(规划中)
七、vpce的跨az高可用及高性能设计
1.网元多活:每个网元均为主节点,并且会话同步,流量可经由任一节点转发;节点故障时自动切换流量
2.就近访问:就近通过本az网元转发,{banned}{banned}最佳佳大化减少跨az流量,并且同az内多个网元负载均衡
3.zui少跳数:仅经过1跳网元,低时延、高吞吐
自研可控数据面:天翼云0使用基于dpdk开发的自研dpos软件作为数据转发网元
超高性能:25gbps网卡实现线速转发,支持亿级会话数,典型转发时延15us(使用cpu的8核心转发)
八、vpce 典型应用场景
1.提供云上服务
基于vpc终端节点,可以快速构建的云生态系统,增强应用的扩展能力。
服务提供方
在己方vpc内配置终端节点服务,后端资源可以是自己vpc内的云主机、负载均衡、裸金属、虚拟ip。
当终端节点服务配置完成后,将己方后端资源对应的应用服务在云上进行共享。
针对不同账号间云服务共享场景,服务提供方可以配置白名单/管控使用方的接入权限,安全可控。
典型服务:镜像源、api网关、数据库等
服务使用方
其他vpc通过配置vpc终端节点与终端节点服务连接,可以访问对应的云服务。
2.云外访问云上服务
用户自建数据中心/分支机构通过云专线、vpn、sd-wan产品接入用户云上vpc内部,通过vpc内部已经建立的终端节点,用户即可在云外可以使用私网访问后端共享的云服务。通过云间高速产品,实现在其他region跨区域访问云服务。
降成本:由于不涉及弹性ip、公网带宽等部署,降低了用户的使用成本;
提效率:部署简单、便捷,提高访问效率,更加安全。