摘要:云硬盘容量是由统一存储的从存储集群容量中分配的,所有云硬盘共享整个分布式存储池的容量及性能。支持云硬盘创建挂载卸载磁盘扩容删除等生命周期管理,单块云硬盘同时仅能挂载一台虚拟机。云硬盘最小支持的容量,步长为,可自定义控制单块云硬盘的最大容量。
云硬盘是一种基于分布式存储系统为虚拟机提供持久化存储空间的块设备。具有独立的生命周期,支持随意绑定/解绑至多个虚拟机使用,并能够在存储空间不足时对云硬盘进行扩容,基于网络分布式访问,为云主机提供高安全、高可靠、高性能及可扩展的数据磁盘。
存储系统兼容并支持多种底层存储硬件,如通用服务器(计算存储超融合或独立通用存储服务器)和商业存储,并将底层存储硬件分别抽像不同类型集群的存储资源池,由分布式存储系统统一调度和管理。在实际应用场景中,可以将普通 SATA 接口的机械盘统一抽像为【SATA 存储集群】,将 SSD 全闪磁盘统一抽象为【SSD 存储集群】,分别由统一存储封装后提供平台用户使用。
如示意图所示,将 SATA 存储集群的资源封装为普通云盘,将 SSD 全闪存储集群的资源封装为高性能云盘。平台的虚拟机和数据库服务可根据需求挂载不同存储集群类型的磁盘,支持同时挂载多种集群类型的云硬盘。云平台管理员可通过管理员控制台自定义存储集群类型的别名,用于标识不同磁盘介质、不同品牌、不同性能或不同底层硬件的存储集群,如 EMC 存储集群、SSD 存储集群等。
通常 SSD 磁盘介质的云硬盘的性能与容量的大小成线性关系,容量越大提供的 IO 性能越高,如对 IO 性能有强烈需求,可考虑扩容 SSD 磁盘介质的云硬盘。
分布式存储底层数据通过 PG 映射的方式进行数据存储,同时以多副本存储的方式保证数据安全,即写入至云平台存储集群的数据块会同时保存多份至不同服务器节点的磁盘。多副本存储的数据提供一致性保证,可能导致写入的多份数据因误操作或原始数据异常导致数据不准确;为保证数据的准确性,云平台提供硬盘快照能力,将云盘数据在某一时间点的数据文件及状态进行备份,在数据丢失或损坏时,可通过快照快速恢复数据,包括数据库数据、应用数据及文件目录数据等,可实现分钟级恢复。
云硬盘由统一存储从存储集群容量中分配,为平台虚拟资源提供块存储设备并共享整个分布式存储集群的容量及性能;同时通过块存储系统为用户提供云硬盘资源及全生命周期管理,包括云硬盘的创建、绑定、解绑、扩容、克隆、快照及删除等管理。
支持自动精简配置,在创建云硬盘时,仅呈现分配的逻辑虚拟容量。当用户向逻辑存储容量中写入数据时,按照存储容量分配策略从物理空间分配实际容量。如一个用户创建的云硬盘为 1TB 容量,存储系统会为用户分配并呈现 1TB 的逻辑卷,仅当用户在云硬盘中写入数据时,才会真正的分配物理磁盘容量。
高性能型云硬盘的性能与容量的大小成线性关系,容量越大,提供的 IO 性能越高,如果对IO性能有强烈需求,可考虑扩容性能型云硬盘。UCloudStack 云硬盘完整生命周期包括创建中、可用、挂载中、已挂载、卸载中、扩容中、已删除等资源状态,各状态流转如下图所示:
UCloudStack 通过软件定义网络 ( SDN )对传统数据中心物理网络进行虚拟化,采用 OVS 作为虚拟交换机,VXLAN 隧道作为 OverLay 网络隔离手段,通过三层协议封装二层协议,用于定义虚拟私有网络 VPC 及不同虚拟机 IP 地址之间数据包的封装和转发。
私有网络( VPC ——Virtual Private Cloud )是一个属于用户的、逻辑隔离的二层网络广播域环境。在一个私有网络内,用户可以构建并管理多个三层网络,即子网( Subnet ),包括网络拓扑、IP 网段、IP 地址、网关等虚拟资源作为租户虚拟机业务的网络通信载体。
私有网络 VPC 是虚拟化网络的核心,为云平台虚拟机提供内网服务,包括网络广播域、子网(IP 网段)、IP 地址等,是所有 NVF 虚拟网络功能的基础。私有网络是子网的容器,不同私有网络之间是绝对隔离的,保证网络的隔离性和安全性。
可将虚拟机、负载均衡、弹性网卡、NAT 网关等虚拟资源加入至私有网络的子网中,提供类似传统数据中心交换机的功能,支持自定义规划网络,并通过安全组对虚拟资源 VPC 间的流量进行安全防护。
可通过 IPSecVPN、专线及外网 IP 接入等方式将云平台私有网络及虚拟资源与其它云平台或 IDC 数据中心组成一个按需定制的混合云网络环境。
VPC 网络具有数据中心属性,每个 VPC 私有网络仅属于一个数据中心,数据中心间资源和网络完全隔离,资源默认内网不通。租户内和租户间 VPC 网络默认不通,从不同维度保证租户网络和资源的隔离性。
一个 VPC 网络主要由私有网络网段和子网两部分组成,如下图所示:
(1)私有网络网段
VPC 网络所属的 CIDR 网段,作为 VPC 隔离网络的私网网段。关于 CIDR 的相关信息,详见 CIDR 。创建 VPC 网络需指定私有网段,平台管理员可通过管理控制台自定义 VPC 私有网络的网段,使租户的虚拟资源仅使用管理员定义网段的 IP 地址进行通信。平台 VPC 私有网络 CIDR 默认支持的网段范围如下表所示:
网段 | 掩码范围 | IP 地址范围 |
---|---|---|
10.0.0.0/16 | 16 ~ 29 | 10.0.0.0 - 10.0.255.255 |
172.16.0.0/16 | 16 ~ 29 | 172.16.0.0 - 172.16.255.255 |
192.168.0.0/16 | 16 ~ 29 | 192.168.0.0 - 192.168.255.255 |
由于 DHCP 及相关服务需占用 IP 地址,私有网络 CIDR 网段不支持 30 位掩码的私有网段。
平台默认会占用或对某一部分 IP 网段做限制,故不支持的网段范围包括 127.0.0.0/8、0.0.0.0/8、169.254.0.0/16、169.254.0.0/16 。
(2)子网
子网( Subnet )是 VPC 私有网络的基础网络地址空间,用于虚拟资源间内网连接。
当子网中存在虚拟资源时,不允许删除并销毁私有网络和子网资源。
平台对常用网络设备均进行软件定义及组件抽像,通过将 VPC 网络与虚拟机、弹性网卡、外网 IP、安全组、NAT 网关、负载均衡、VPN 网关、MySQL 数据库、Redis 缓存及专线等组件连接,可快速构建和配置繁杂的网络环境及混合云场景,如下图所示:
外网 IP 可用于打通 IDC 数据中心的物理网络,应用与虚拟机直接与物理机进行内网通信的场景;IPSecVPN 网关用于打通第三方云平台或 IDC 数据中心的虚拟网络,应用于不同云平台间通过 VPN 安全连接场景。
平台 VPC 网络基于租户控制台和 API 提供隔离网络环境、自定义子网、子网通信及安全防护等功能,并可结合硬件及 DPDK 等技术特性提供高性能的虚拟网络。
云平台在保证网络隔离、网络规模、网络通信及安全的同时,为租户和子帐号提供 VPC 子网的创建、修改、删除及操作审计日志等全生命周期管理。用户创建虚拟机、NAT 网关、负载均衡及 VPN 网关等虚拟资源时可指定需加入的VPC 网络和子网,并可查询每个子网的可用 IP 数量。
VPC 网络具有数据中心属性,仅支持指定相同数据中心的虚拟资源到 VPC 网络中,且每个 VPC 网络的子网网段必须在 VPC 网络的 CIDR 网段中。平台会通过管理员配置的 VPC 网络,为每个租户和子账号提供默认的 VPC 网络和子网资源,方便用户登录云平台快速部署业务。
外网弹性 IP( Elastic IP Address ,简称 EIP ),是平台为用户的虚拟机、NAT 网关、VPN 网关及负载均衡等虚拟资源提供的外网 IP 地址,为虚拟资源提供平台 VPC 网络外的网络访问能力,如互联网或 IDC 数据中心物理网络,同时外部网络也可通过 EIP 地址直接访问平台 VPC 网络内的虚拟资源。
EIP 资源支持独立申请和拥有,用户可通过控制台或 API 申请 IP 网段资源池中的 IP 地址,并将 EIP 绑定至虚拟机、 NAT 网关、负载均衡、VPN 网关上,为业务提供外网服务通道。
在私有云平台中,允许平台管理员自定义平台外网 IP 资源池,即由平台管理员自定义平台访问外网的方式,外网 IP 网段资源池在添加至云平台前,需要通过物理网络设备下发至计算节点连接的交换机端口。
如上图物理架构示意图所示,所有计算节点需要连接网线至物理网络的外网接入交换机,并在物理网络的交互机上配置所连接端口允许透传 Vlan 的网络访问方式,使运行在计算节点上虚拟机可通过外网物理网卡直接与外部网络进行通信:
物理网络架构为高可用示意图,实际生产环境架构可进行调整,如内外网接入交换机可合并为一组高可用接入交换机,通过不同的 Vlan 区分内外网等。
物理网络架构及配置确认后,在平台层面需要分别添加互联网 IP 网段和 IDC 物理网段至云平台 IP 网段资源池中,租户可申请不同网段的 EIP 地址,并将通往不同网络的 EIP 地址绑定至虚拟机默认外网网卡,使虚拟机可通过外网 IP 地址同时访问互联网和 IDC 数据中心物理网络。
如逻辑架构图所示,用户在平台中分别添加通往 Internet (Vlan200) 和通往 IDC 物理网络(Vlan100)的网段至云平台。网段举例如下:
租户可分别申请 Vlan200 和 Vlan100 的 EIP 地址,并可将两个 EIP 同时绑定至虚拟机。平台会将 EIP 地址及下发路由直接配置至虚拟机外网网卡,并通过 SDN 控制器下发流表至虚拟机所在的物理机 OVS ,物理机 OVS 通过与物理机外网网卡接口及交换机进行互联,通过交换机设备与互联网或 IDC 物理网络进行通信。
当虚拟机需要访问互联网或物理网络时,数据会通过虚拟机外网网卡直接透传至物理机的 OVS 虚拟交换机,并通过 OVS 流表将请求转发至物理机外网网卡及物理交换机,经由物理交换机的 Vlan 或路由配置将数据包转发至互联网或 IDC 物理网络区域,完成通信。
如上图 VPC1 网络的虚拟机同时绑定了 Vlan100 和 Vlan200 网段的 EIP 地址,Vlan100 EIP 为 192.168.1.2 ,Vlan200 EIP 为 106.75.236.2 。平台会直接将两个 IP 地址直接配置至虚拟机的外网网卡,通过虚拟机操作系统可直接查看配置到外网网卡的 EIP 地址;同时自动下发两个 IP 地址所属网段需要下发的路由到虚拟机操作系统中,虚拟机的默认路由指定的下一跳为 Vlan200 互联网网段的网关,使虚拟机可通过 106.75.236.2 IP 地址与互联网进行通信,通过 192.168.1.2 与物理网络区域的 Oracle 及 HPC 高性能服务器进行内网通信。
整个通信过程直接通过虚拟机所在物理机的物理网卡进行通信,在物理网卡和物理交换机性能保障的前提下,可发挥物理网络硬件的最佳转发性能,提升虚拟机对外通信的转发能力。同时所有外网 IP 流量均可通过平台安全组在平台内进行流量管控,保证虚拟机访问平台外部网络的安全性。
EIP 为浮动 IP ,可随故障虚拟机恢复漂移至健康节点,继续为虚拟机或其它虚拟资源提供外网访问服务。
当一台虚拟机所在的物理主机发生故障时,智能调度系统会自动对故障主机上的虚拟机进行宕机迁移操作,即故障虚拟机会在其它健康的主机上重新拉起并提供正常业务服务。若虚拟机已绑定外网 IP ,智能调度系统会同时将外网 IP 地址及相关流表信息一起漂移至虚拟迁移后所在的物理主机,并保证网络通信可达。
外网 IP 具有数据中心属性,仅支持绑定相同数据中心的虚拟资源。用户可通过平台自定义申请 EIP ,并对 EIP 进行绑定、解绑、调整带宽等相关操作。
NAT 网关( NAT Gateway )是一种类似 NAT 网络地址转换协议的 VPC 网关,为云平台资源提供 SNAT 和 DNAT 代理,支持互联网或物理网地址转换能力。平台 NAT 网关服务通过的 SNAT 和 DNAT 规则分别实现 VPC 内虚拟资源的 SNAT 转发和 DNAT 端口映射功能。
作为一个虚拟网关设备,需要绑定外网 IP 作为 NAT 网关的 SNAT 规则出口及 DNAT 规则的入口。NAT 网关具有地域(数据中心)属性,仅支持相同数据中心下同 VPC 虚拟资源的 SNAT 和 DNAT 转发服务,
虚拟机通过 NAT 网关可访问的网络取决于绑定的外网 IP 所属网段在物理网络上的配置,若所绑定的外网 IP 可通向互联网,则虚拟机可通过 NAT 网关访问互联网;若所绑定的外网 IP 可通向 IDC 数据中心的物理网络,则虚拟机通过 NAT 网关访问 IDC 数据中心的物理网络。
用户在平台使用虚拟机部署应用服务时,有访问外网或通过外网访问虚拟机的应用场景,通常我们会在每一台虚拟机上绑定一个外网 IP 用于和互联网或 IDC 数据中心网络进行通信。真实环境和案例中,可能无法分配足够的公网 IP ,即使公网 IP 足够也无需在每一台需要访问外网的虚拟机上绑定外网 IP 地址。
平台产品服务底层资源统一,NAT 网关实例为主备高可用集群架构,可实现 NAT 网关故障自动切换,提高 SNAT 和 DNAT 服务的可用性。同时结合外网 IP 地址,根据 NAT 配置为租户虚拟资源提供 SNAT 和 DNAT 代理。
在产品层面,租户通过申请一个 NAT 网关,指定 NAT 网关可允许通信的子网,通过绑定【外网 IP】使多子网下虚拟机与互联网或 IDC 数据中心物理网进行通信,具体逻辑架构图如下:
云平台提供高可用 NAT 网关服务,并支持网关的全生命周期管理,包括多外网 IP 、SNAT 规则及 DNAT 端口转发及监控告警,同时为 NAT 网关提供网络及资源隔离的安全保障。
一个 VPC 允许创建 20 个 NAT 网关,相同 VPC 下所有 NAT 网关中 SNAT 规则不可重复,即 20 个 NAT 网关中的 SNAT 规则不允许重复。场景举例:
NAT 网关支持绑定多个外网 IP 地址,使 SNAT 规则中的资源可通过多个外网 IP 地址访问外网,DNAT 端口转发规则中的虚拟资源,可通过指定的外网 IP 地址访问 VPC 内网服务。
一个 NAT 网关支持绑定 50 个默认路由类型的 IPv4 外网 IP 地址,为 NAT 网关指定子网的虚拟资源提供共享的外网 IP 资源池,以提供更加灵活便捷的 SNAT 及 DNAT 能力。
支持用户查看已绑定至 NAT 网关的所有外网 IP 地址,同时支持对外网 IP 地址的解绑,解绑后相关联的 SNAT 规则和 DNAT 规则网络通信都将失效。用户可通过修改 SNAT 和 DNAT 规则,分别设置新的出口 IP 及入口源 IP 地址。
NAT 网关通过 SNAT 规则支持 SNAT(Source Network Address Translation 源地址转换)能力,每条规则由源地址和目标地址组成,即将源地址转换为目标地址进行网络访问。平台 SNAT 规则支持多种场景的出外网场景,即源地址包括 VPC、子网、虚拟机三种类型:
规则的目标地址为 NAT 网关绑定的外网 IP 地址,通过规则策略即可将源地址在 VPC 、子网、虚拟机的 IP 地址转换为网关绑定的外网 IP 进行网络通信,即通过 SNAT 规则虚拟机可在不绑定外网 IP 的情况下与平台外网进行通信,如访问 IDC 数据中心网络或互联网。
SNAT 规则中不同源地址类型的规则优先级不同,以优先级高的规则为准:
**(1)源地址为 VPC **
(2)源地址为子网 CIDR
(3)源地址为虚拟机IP
SNAT 规则的目标地址可以为 NAT 网关已绑定的一个或多个外网 IP ,当目标外网 IP 为 ALL 时,源地址资源从网关上所有外网 IP 池中随机选择 IP 访问外网。
一个 NAT 网关默认可创建 100条 SNAT 规则。
用户配置 SNAT 规则后,NAT 网关会自动下发默认路由至源地址匹配的虚拟机,使虚拟机通过 SNAT 规则的外网 IP 访问外网。具体通信逻辑如下:
虚拟机通过 NAT 网关访问外网时,使用的外网 IP 取决于 SNAT 规则的配置,若规则配置的外网 IP 为多个,则会从多个外网 IP 中随机选择 IP 地址作为虚拟机的出口。
NAT 网关支持 DNAT(Destination Network Address Translation 目的地址转换),也称为端口转发或端口映射,即将外网 IP 地址转换为 VPC 子网的 IP 地址提供网络服务。
平台支持对 NAT 网关进行监控数据的收集和展示,通过监控数据展示每一个 NAT 网关的指标数据,同时支持为每一个监控指标设置阈值告警及通知策略。支持的监控指标包括网络出/带宽、网络出/包量及连接数。
支持查看一个 NAT 网关多时间维度的监控数据,包括 1 小时、6 小时、12 小时、1 天、7 天、15 天及自定义时间的监控数据。默认查询数提成为 1 小时的数据,最多可查看 1 个月的监控数据。
NAT 网关实例支持高可用架构,即至少由 2 个虚拟机实例构建,支持双机热备。当一个 NAT 网关的实例发生故障时,支持自动在线切换到另一个虚拟机实例,保证 NAT 代理业务正常。同时基于外网 IP 地址的漂移特性,支持在物理机宕机时,保证 SNAT 网关出口及 DNAT 入口的可用性。
NAT 网关的网络访问控制可以关联安全组给予安全保障,通过安全组的规则可控制到达 NAT 网关 所绑定外网 IP 的入站流量及出站流量,支持 TCP、UDP、ICMP、GRE 等协议数据包的过滤和控制。
安全组及安全组的规则支持对已关联安全组的 NAT 网关的流量进行限制,仅允许安全组规则内的流量透传安全组到达目的地。为保证 NAT 网关的资源和网络安全,平台为 NAT 网关提供资源隔离及网络隔离机制:
(1)资源隔离
(2)网络隔离
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/125816.html
摘要:如何选择云主机部署管理软件伴随云计算与服务器技术的结合进一步深化,云主机的发展和使用前已经成为现如今互联网行业发展的趋势。购买了云主机应该如何管理,都该做什么云主机管理,说简单点,你找到好工具就事半功倍了。如何选择云主机部署管理软件?伴随云计算与服务器技术的结合进一步深化,云主机的发展和使用前已经成为现如今互联网行业发展的趋势。随着更多的用户对云主机有了更深的了解,云主机凭借其合理的网站服务...
摘要:云主机目前可选五种类型的磁盘本地普通盘本地盘普通云盘云盘与云盘。目前提供云盘与普通云盘两种云硬盘选项。但台主机可挂载多块云盘数据盘,且可自由卸载。UCloud云主机目前可选五种类型的磁盘:本地普通盘、本地SSD盘、普通云盘、SSD云盘与RSSD云盘。 类型简介 云硬盘 作为云计算场景基础块存储产品为云主机提供持久化存储空间的块设备硬盘。其具有独立的生命周期,基于网络分布式访...
摘要:云海公有云系统是标准互联旗下,基于研发的云服务器全套管理系统,主控支持和,被控采用或裸金属需要宿主机,系统拥有强大的可视化管理功能与控制功能以及优秀的用户使用体验。 标准互联我们知道,是一家提供独立服务器租用托管、云服务器和裸金属服务器等产品的商家,上个月部落曾经分享过他们自研公有云系统上线后的产品促销,目前这款系统正式向IDC企业开放购买了。云海公有云系统是标准互联旗下,基于JAV...
摘要:磁盘云主机目前可选五种类型的磁盘本地普通盘本地盘普通云盘云盘与云盘。其二是自制镜像,是由用户通过云主机来自行创建的自有映像,只有用户本人可见。如何管理弹性组播和广播云主机在基础网络模式下,目前支持广播,暂不支持组播。UHost磁盘UCloud云主机目前可选五种类型的磁盘:本地普通盘、本地SSD盘、普通云盘、SSD云盘与RSSD云盘。类型简介云硬盘作为云计算场景基础块存储产品为云主机提供持久化...
摘要:日前,为满足不同大容量存储市场的需求,面对中国公有云市场的稳定增长持续快速增长的局面,推出全新的采用盘片充氦密封设计的系列产品。得益于创新的设计,东芝存储不断为全球客户提供更多高容量磁盘存储,系列的发布更是再次提高了存储业界的标准。日前,TOSHIBA为满足不同大容量存储市场的需求,面对中国公有云市场的SaaS稳定增长、IaaS持续快速增长的局面,推出全新的采用9盘片充氦密封设计的MG07A...
阅读 283·2024-11-07 18:25
阅读 130357·2024-02-01 10:43
阅读 864·2024-01-31 14:58
阅读 827·2024-01-31 14:54
阅读 82765·2024-01-29 17:11
阅读 3046·2024-01-25 14:55
阅读 1984·2023-06-02 13:36
阅读 3031·2023-05-23 10:26