企业运维之云上网络原理与实践

封面页 （PDF中更新） 计算已成为承载数字化经济的基础设施，云网络是云计算的关键底座，对云网络的理解和应用成为企业和技术人员用好云的关键要素。区别于传统网络，云网络是因云而生的网络，伴随着操作系统、网络、虚拟化、SDN、NFV、可编程芯片等相关技术生态不断演进。而云原生技术、安全技术、边缘计算和IoT等领域的发展进一步增加了从“应用-云-网-边-端”体系的复杂度。对网络关键原理和应用实践的体系化介绍对能帮助业界相关读者由浅入深看到当前云网络技术的全貌。 回顾云网络领域的发展，该领域是基于云计算的发展诞生和演进的一项技术领域。大约十年前，国内外头部厂商开始了该领域的生产上线。AWS虚拟网络VPC产品在2009年-2011年间发布与上线，2014年阿里云虚拟网络VPC产品正式上线，到目前仍然在基于需求和技术进步持续演进和迭代。业界没有统一的标准，云计算的头部厂商实际上定义了事实标准。将发展中的云网络技术描述清楚是一件不容易的工作，本书基于阿里云云网络的基本功能，结合试验环节，帮助读者尽量了解云网络的全貌。 本书总体分为六个章节，内容覆盖了云上网络和跨域网络，包括负载均衡、VPC、EIP、NAT和云企业网等主要云上产品。对主要产品的介绍，本书通过产品基础原理介绍和运维实践来帮助读者从入门到应用；产品基础原理介绍部分通过详细描述产品原理和功能，帮助读者充分了解产品及使用场景；运维实践部分通过最佳实践和场景问题排查等内容为从业人员介绍日常运维工作中最需要的实践内容。希望广大从事企业云上网络运维的读者能在阅读本书的过程中有所收获。 第一章云网络总览与概述5 云网络总览与概述（上）6 云网络总览与概述（下）13 第二章负载均衡CLB20 负载均衡CLB（上）-产品和架构21 负载均衡CLB（中）-最佳实践32 负载均衡CLB（下）-常见问题与解决思路38 配套实验：访问4层&7层CLB场景对比44 第三章云上网络VPC&EIP&NAT&共享宽带&SLB57 云上网络VPC&EIP&NAT&共享带宽&SLB（上）58 云上网络VPC&EIP&NAT&共享带宽&SLB（下）70 配套实验：ECS通过SNAT访问CLB87 第四章负载均衡ALB101 负载均衡ALB：课前答疑102 负载均衡ALB（上）107 负载均衡ALB（下）125 配套实验：使用ALB实现灰度发布130 第五章云上网络互连139 云上网络互连（上）140 云上网络互连（中）150 云上网络互连（下）156 配套实验：通过现网的配置分析当前CENTR的组网拓扑165 第六章云服务与总结173 云服务与总结174 第一章云网络总览与概述 第一章云网络总览与概述5 （第一章间隔页，PDF中更新） 云网络总览与概述（上） 课程目标 •了解云网络的概念和特点 •了解阿里云网络产品的功能 •了解云网络支撑岗位的技能大图 •掌握常见的问题排查工具 课程目录 •训练营课程简介 •阿里云网络概述 •运维技术 •排查手段 视频地址 https://developer.aliyun.com/learning/course/991/detail/14971 一、训练营整体介绍 训练营课程一览 本次训练营共有六讲内容：第一讲：云网络总览与概述 从最基础的云上网络概念开始讲起，帮助学员正确认识和理解云上网络的发展历程、原理、相关云产品概念，同时引出阿里云整个云产品大图。 第二讲：负载均衡CLB 主要介绍CLB产品，通过介绍该产品架构和产品特性，带领学员由浅入深地学习产品功能与使用最佳实践，并通过实验来熟悉它的转发逻辑与技术原理。 第三讲：云上网络VPC&EIP&NAT&共享带宽 主要介绍云上网络最基础最核心的几款产品，包括VPC、EIP，NAT等产品的核心概念，应用场景，配置方式等，并通过综合实验把这几款产品结合让流量跑通。 第四讲：负载均衡ALB 主要介绍ALB的由来，ALB的特点、优势，以及常见的使用场景和案例，并通过实验来体验通过ALB实现灰度发布。 第五讲：云上网络互联 主要介绍如何通过CENTR实现云上VPC间互通，CENTR的组成部分、优势以及简单排查案例，并通过实验进一步分析CENTR的实现。 第六讲：云服务与总结 介绍Privatelink产品，产品组成与现网场景，并通过Privatelink的一个简单问题排 错出发，提炼云上网络排查的方法论，整体回顾整个训练营。 二、阿里云网络概述 1.什么是云网络 “云计算+传统网络”的结合称之为云网络。在传统的网络上，通过相关的技术抽象出VPC虚拟网络一层，供用户自由分配、自主创建，组成了云网络。 云网络的四个特点： •资源共享：所有用户，所有云网络，都是底层一张大的传统基础设施网络，在其之上搭建出来的个体； •按量付费：传统的机房服务器，是按照周、月等来计费，耗时久，而云网络带有云的属性：用多少，创建多少，付多少费用； •弹性伸缩：可根据实际业务情况，进行扩容或者缩容； •自助服务：可在控制台或OpenAPI自助的操作云上的各个产品功能。 2.网络驱动应用发展 网络驱动应用，按照业界整体发展趋势，结合应用同时进行驱动发展的过程，从基础设施上云，到办公OA等生产上云，逐步实现数字化、智能化、全球化。 3.云网络的发展历程 第一代经典网络：所有的设备都在一个大的二层网络下，云主机之间的隔离和安全 性并不好； 第二代VPC网络：VPC是单个用户独享的，可以自由配置的实例，它解决了第一代网络的安全、隔离的痛点，不同的租户之间通过专有网络VPC完全隔离开； 第三代云企业网：第二代VPC的网络设备只能在云上使用，而随着更多的设备需要上云，就诞生了云企业网。云企业网可在不同地域专有网络VPC之间、VPC与本地数据中心间搭建私网通信通道，实现同地域或跨地域网络互通；同时，云企业网支持在地域内定义灵活的互通、隔离、引流策略，打造灵活、可靠、大规模的企业级全球互联网络； 未来展望：5G/IoT/边缘网络，和云网络结合，或形成万物互联等未来网络。 4.云网络产品 1)阿里云云网络产品大图 •专有网络VPC：NAT网关、弹性公网IP（EIP）、私网连接PrivateLink、共享带宽、共享流量包等； •负载均衡SLB：包含传统型负载均衡CLB，和应用型负载均衡ALB； •阿里云混合云：云企业网CEN、全球加速GA、高速通道EC、VPN网关、智能 接入网关SAG等； •云解析PrivateZone； •云服务器ECS。 2)VPC内部模块与产品鸟瞰 VPC内部模块与产品鸟瞰 通过上图来看各云网络产品在拓扑图中的位置： •VPC边界 有3个产品：公网NAT网关+弹性公网IP、CLB&ALB+弹性公网IP，其中公网NAT网关和弹性公网IP结合才可以提供完整的IP地址和带宽能力，CLB&ALB+弹性公网IP也是如此。加上VPN网关，这三个产品处于VPC边界，是用来打通VPC内部和外部的服务。 •VPC内部 VPC内部有若干交换机，每个交换机都有归属于自己的ECS、云数据库Redis、云数据库RDS等资源；交换机的边界处VPCNAT网关是私网转换。 3)基于云网络实现业务、企业全球互联大图 典型企业全球互联大图 •客户终端设备如手机、pad、电脑等，通过云解析引入到CLB中，作为业务入 口供用户来访问； •内部通过云企业网CEN打通所有VPC，构成大网； •一些企业出于安全考虑，会将部分数据放在线下IDC，通过VPN网关或者专线 打通云上、云下两个大网； •最后，较多的门店或者分公司需要连入总公司大网，可以通过SAG或者SAG-APP等方式来上云。 云网络总览与概述（下） 视频地址 https://developer.aliyun.com/learning/course/991/detail/14971 三、运维技术 1.OSI模型与TCP/IP协议栈 OSI七层模型与TCP/IP四层模型 OSI是理想化的模型，将网络通信拆分为7层，每层都严格执行RFC定义的逻辑。随着业务发展需求，OSI模型发展成了TCP/IP协议模型，由上到下依次是应用层、传输层、网络层、数据链路层，相较于OSI模型，TCP/IP协议栈根据既有的协议对协议层做了合并，每层对应的典型协议如右侧所示。 2.云网络运维技术大图 云网络运维技术大图 在云网络运维技术大图中，底层是物理网络，之上通过技术抽象出虚拟网络（阿里云内部称之为“洛神”），向用户交付机器或者云服务，用户可进行各种操作来实现自己的需求。 •绿色背景部分：阿里云用户可控制的内容； •中间透明背景部分：阿里云负责的内容； •底层灰色部分：由交换机、路由器等传统基础设施提供的物理网络。 四、排查手段 1.常见的工具：ping&trace 1)排查工具：ping •ping是确定两点之间通讯是否正常的工具； •基于ICMP协议（网络控制信息协议internetcontrolmessageprotocol）Type==8&Code==0的Request和Type==0&Code==0的Reply，即响应请求 （Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP 报文，如果目标返回Type=0的ICMP报文，说明这台主机存在； •典型的排查场景：探测连通性、探测链路MTU。 icmp数据报文格式： •类型（type）：占用了8bit，是ICMP报文类型，用于标识错误类型的差错报文 或者查询类型的报告报文； •代码（code）：占用了8bit，根据ICMP差错报文的类型，进一步细分错误的原因，代码值对应了不同的的错误，例如：类型为11且代码为0，表示数据传输过程中超时了，超时的具体原因是TTL值为0，数据报文被丢弃； •校验和（checksum）：占用了16bit，数据发送到目的地后需要对ICMP数据报文做一个校验，用于检查数据报文在传输过程中的是否出现变化（即完整性校验）； •标识符（Identifier）：占用了16bit，对于每一个发送的数据报文进行标识； •序列号（Sequencenumber）：占用了16bit，对于发送的每一个数据报文进行 编号。 2)排查工具：mtr/traceroute/winmtr/tracert 在请求网络资源获取缓慢或者有丢包过程中，经常会使用到网络路径探测工具。 linux下最常用的有mtr、traceroute等；windows下最常用的有winmtr、tracert 等。 •mtr：支持Unix-like平台，ICMP、TCP、UDP协议，支持持续探测、多种输出格式； •traceroute：支持Unix-like平台，ICMP、TCP、UDP协议，历史悠久，代码稳健； •winmtr：支持windows平台，ICMP协议，支持持续探测； •tracert：支持windows平台，ICMP协议，windows原生程序。 2.抓包工具：wireshark wireshark是基于命令行的图形化数据包抓包、查看、分析软件。 1)wireshark包含的工具（均在wireshark安装目录下） •tshark：分析抓包文件的命令行工具，wireshark图形化界面可替代； •mergecap：可以将若子干个包合并成一个包； •editcap：可以将一个包拆封成若干个子包； •dumpcap：抓包的命令行工具，wireshark图形化界面可替代； •capinfo：可以快速进行摘要分析，例如开始结束时间点以及所抓取的数量。 注： 使用命令行工具，可避免因使用图形化界面过度耗费资源。 2)建议掌握的功能 •统计会话信息：Statistics->Conversation •个性化PacketList，添加必要的列名（右击PacketDetails->ApplyasColumn） •捕获过滤器：与tcpdump类似，可以从manpcap-filter命令中查看