网络服务

概览

云平台为云主机提供以下网络服务：VPC防火墙、安全组、虚拟IP、弹性IP、端口转发、IPsec隧道、负载均衡、流量监控。

支持以下三种网络架构模型：

扁平网络
VPC网络

网络服务模块

网络服务模块：用于提供网络服务的模块。在UI界面已隐藏。

主要有以下四种：

VirtualRouter（虚拟路由器网络服务模块，不建议使用）
提供以下网络服务：DNS、SNAT、负载均衡、端口转发、弹性IP、DHCP
Flat Network Service Provider（扁平网络服务模块）
提供以下网络服务：
- Userdata：使用cloud-init进行云主机开机加载并执行特定的用户数据，例如ssh-key注入。
- 弹性IP：分布式EIP实现的弹性IP地址，可通过公有网络访问内部私有网络。
- DHCP：分布式DHCP实现动态获取IP地址。
  说明: DHCP服务包含了DNS的功能。
- VipQos：虚拟IP限速，限制上行及下行带宽。仅作用于弹性IP。
SecurityGroup（安全组网络服务模块）
提供以下网络服务：
- 安全组：使用iptables进行云主机防火墙的安全控制。

扁平网络实践

生产环境中，一般建议使用以下网络服务的组合：

扁平网络服务模块：
- Userdata：使用cloud-init进行云主机开机加载并执行特定的用户数据，例如ssh-key注入。
- 弹性IP：分布式EIP实现的弹性IP地址，可通过公有网络访问内部私有网络。
- DHCP：分布式DHCP实现的动态获取IP地址。
  说明: DHCP服务包含了DNS的功能。
安全组网络服务模块：
- 安全组：使用iptables进行云主机防火墙的安全控制。

VPC网络实践

生产环境中，一般建议使用以下网络服务的组合：

扁平网络服务模块：
- Userdata：使用cloud-init进行云主机开机加载并执行特定的用户数据，例如ssh-key注入。
- DHCP：分布式DHCP实现的动态获取IP地址。
安全组网络服务模块：
- 安全组：使用iptables进行云主机防火墙的安全控制。

高级网络服务

动态路由：支持OSPF动态路由协议，用于单一自治系统内决策路由，适用于VPC网络场景。
组播路由：将组播源发送的组播消息转发给云主机，在发送端和接收端实现点对多点连接，适用于VPC网络场景。
VPC防火墙：通过对VPC路由器接口处南北向流量进行过滤，有效保护整个VPC通信安全及VPC路由器安全，适用于VPC网络场景。
端口镜像：将云主机网卡的网络流量复制一份到远端，对端口上的业务报文进行分析，方便对网络数据进行监控管理，适用于扁平网络和VPC网络场景。
Netflow：通过Netflow对VPC路由器网卡的进出流量进行分析监控，支持Netflow V5、V9两种数据流输出格式，适用于VPC网络场景。

VPC防火墙

防火墙：在VPC网络场景下，负责管控经由VPC路由器的流量，通过配置规则集和规则管控网络的访问控制策略。

功能原理

ZStack Cloud支持在防火墙的VPC路由器每个网卡流量方向上均绑定和配置规则集和规则。配置规则集或规则后，根据规则的优先级、匹配条件、行为、以及作用方向过滤进/出VPC路由器网卡的流量，从而保障整个VPC的通信安全以及VPC路由器安全，确保用户业务安全稳定运行。

如图 1所示：

假定用户在VPC私网中已部署一台服务器和两台云主机，用于运行重要业务。为保障业务安全，在相应的VPC路由器入方向和出方向绑定防火墙规则集或规则，允许公网可信流量可访问VPC私网中云主机业务，以及VPC私网中服务器可访问公网服务器数据。

云主机1访问云主机3：访问流量匹配公网网卡入方向规则集，检测为恶意流量，拒绝访问。
云主机2访问云主机4：访问流量匹配公网网卡入方向规则，再匹配私网网卡出方向规则，检测为可信流量，允许访问。
服务器2访问服务器1：访问流量匹配私网网卡入方向规则集，再匹配公网网卡出方向规则集，检测为可信流量，允许访问。

防火墙VS安全组

防火墙管控南北向流量，作用于整个VPC。安全组作用于云主机虚拟网卡，侧重保护VPC内部东西向通信安全。二者相辅相成，互为补充，具体区别如下：

对比项	安全组	防火墙
作用范围	云主机虚拟网卡	整个VPC网络
部署方式	分布式	集中式
部署位置	云主机	VPC路由器
配置策略	支持允许、拒绝策略	可自定义允许、丢弃或拒绝策略
优先级	自定义优先级顺序	自定义优先级顺序
规则匹配	源IP、源端口、协议	源IP、源端口、目的IP、目的端口、协议、报文状态

安全组

安全组：为云主机网卡提供安全控制，按照指定的安全规则对进出网卡的TCP/UDP/ICMP等数据包进行有效过滤。

功能特点

安全组与安全规则

安全组主要通过添加的安全规则控制和过滤进出网卡的流量，一个安全组可以添加多条安全规则。

安全规则主要对流量来源或目的进行控制，按控制的流量流向，可分为入方向规则和出方向规则：
- 入方向规则：针对由外部进入网卡的流量，主要控制流量来源。
- 出方向规则：针对由网卡向外发送的流量，主要控制流量目的。
出/入方向规则控制的源/目的可以被设置为IP地址/段或安全组：
- IP地址/段作为源：适用于入方向规则，入方向规则会允许/拒绝来自该IP地址/段的流量访问。
- 安全组作为源：适用于入方向规则，入方向规则会允许/拒绝来自源安全组内网卡的流量访问。
- IP地址/段作为目的：适用于出方向规则，出方向规则会允许/拒绝网卡访问该IP地址/段。
- 安全组作为目的：适用于出方向规则，出方向规则会允许/拒绝当前组内网卡访问目的安全组内的网卡。
同一方向上有多条规则时，可以设置规则生效优先级。
这是由于安全组同时支持黑名单和白名单机制，同一源/目的上被设置多条规则时，可能发生冲突。设置优先级后，同一源/目的优先级最高的规则生效。
安全组内的网卡默认允许相互访问，系统会自动添加相应的出/入方向规则，该规则优先级高于所有自定义规则，且不可修改或删除。如需取消组内互通，可以停用该规则。

安全组与网卡

安全组需加入网卡后，才会受安全组规则的控制。一张网卡可以加入多个安全组。

网卡加入多个安全组时，可设置安全组优先级，网卡将首先匹配优先级较高的安全组下的规则。
说明: 所有管理员安全组优先级高于租户/子账户安全组。
网卡加入安全组后，除安全规则规定外，默认允许其他所有出方向流量，拒绝其他所有入方向流量，用户也可以自定义调整该策略，控制未被安全组规定的流量。

安全组与权限

安全组分为管理员安全组和租户/子账户安全组。通常，管理员安全组由管理员创建、归管理员所有，租户/子账户安全组由租户/子账户创建，归租户/子账户所有。

租户/子账户只能查看和操作自己所有的安全组。
管理员可以查看和管理全部安全组，其中，管理员安全组可以被绑定到任意云主机，租户/子账户安全组只能被绑定到与其所有者一致的云主机。

注意事项

若使用安全组同时使用其他网络服务（如负载均衡、路由表等），需确保其他网络服务所需要的安全组规则已添加至该安全组中。
公有网络、扁平网络和VPC网络均支持安全组服务，安全组服务均由安全组网络服务模块提供，使用方法均相同：使用iptables进行云主机的安全控制。
安全组实际上是一个分布式防火墙，每次规则变化、加入/删除网卡都会导致多个云主机上的安全组规则被更新。

升级提醒

若您选择升级至4.0.0及之后版本，请注意以下功能调整：

1. 云路由器全面升级为VPC路由器，云路由网络全面升级为VPC网络，不再单独设云路由器页面。升级全程无感知，相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户，不再单独设用户/用户组页面，不可再使用用户/用户组账号登录云平台。升级前，请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管，再执行升级操作。注意：对于admin创建并具备admin权限的用户账号同步取消，如有需要，可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式，统一由企业管理纳管，不再单独设AD/LDAP页面。升级前，请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管，再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助，请联系ZStack官方技术支持

概览

网络服务模块

扁平网络实践

VPC网络实践

高级网络服务

VPC防火墙

相关定义

功能原理

防火墙VS安全组

安全组

功能特点

注意事项

客户评论

撰写评论

产品

解决方案

支持

联系