产品

网络

虚拟私有云VPC virtual private cloud

you can configure IP address range faciliates internal network management and configuration and allows you to implement secure and quick network changes, you can also customize the ECS access rule within a security group and between security groups to improve ECS security

华为云可以在同一个子网中跨不同的az可用区,其他的云商一般只能在同一个可用区内创建子网;

产品架构: https://support.huaweicloud.com/vpc_faq/vpc_faq_0001.html

规划子网 subnet https://support.huaweicloud.com/usermanual-vpc/vpc_0001.html

VPC拓扑:

路由表: https://support.huaweicloud.com/intl/zh-cn/productdesc-vpc/zh-cn_topic_0038263963.html

DNS云解析服务: 公网域名 内网域名 怎样切换内网DNS? https://support.huaweicloud.com/intl/zh-cn/dns_faq/dns_faq_005.html

VIP: 虚拟IP https://support.huaweicloud.com/intl/zh-cn/usermanual-vpc/vpc_vip_0001.html

  1. 在华为云的控制台, 添加一个虚拟 IP, 然后绑定 vm1, vm2…vm6 这个 6 台云主机
  2. 在其中一台上, 将 vip 配置到网卡上,为虚拟IP地址绑定弹性公网IP或弹性云服务器: https://support.huaweicloud.com/intl/zh-cn/usermanual-vpc/zh-cn_topic_0067802474.html

但是这个配置不建议配置在网卡的持久化配置里面, 这个 IP 一般都是漂移用的 一般情况下, 都会用比如 keepalived, 或者 Pacemaker 这种集群管理软件去管理

弹性云服务器的网卡绑定虚拟IP地址后,该虚拟IP地址无法ping通时,如何排查? https://support.huaweicloud.com/intl/zh-cn/vpc_faq/vpc_faq_0083.html

NAT 网关

弹性负载均衡 ELB

ELB网络流量路径说明 https://support.huaweicloud.com/intl/zh-cn/productdesc-elb/elb_ug_fz_0003_01.html

企业交换机 https://support.huaweicloud.com/intl/zh-cn/productdesc-esw/esw_pd_0003.html

接入方式

VPN

云专线 Direct Connect

https://support.huaweicloud.com/productdesc-dc/zh-cn_topic_0032053183.html

云连接(Cloud Connect)

为用户提供一种能够快速构建跨区域VPC之间以及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。 https://support.huaweicloud.com/intl/zh-cn/function-cc/index.html

全球加速服务 GA

https://support.huaweicloud.com/intl/zh-cn/productdesc-ga/ga_01_0001.html

WAF

浏览器/App => CDN或高防等代理 => Web应用防火墙 => 源站服务器

流量路径

业务流量

https://support.huaweicloud.com/intl/zh-cn/productdesc-elb/elb_ug_fz_0003_01.html#elb_ug_fz_0003_01__zh-cn_topic_0166333709_section133601141145610

从公网进入的流量

从互联网进入的流量, 主要是访问VPC-COM中的应用, 如WEB等, 这些应用需要开放给互联网用户, 进入的流量首先云防火墙(IPS), 可以过滤掉恶意网络攻击流量, 再经过 VPC-FWOUT 的安全组的访问控制, 最后经过CheckPoint防火墙进行DNAT操作才能访问到目标服务器.

example: www.lyhistory.com 云解析到 cdn 浏览器=》cdn=》waf地址池=》负载均衡器elb 公网地址<只开放访问给waf地址池>(ELB NAT到内网,后端指向防火墙服务inbound)=》 再转到内部http负载均衡器=》源服务器,

访问公网的出去的流量

云上的云服务器要访问Internet资源, 需要先经过虚拟私有云VPC-COM中的proxy服务器(趋势科技), 再经过VPC-FWOUT中的安全组规则, 最后经过CheckPoint防火墙做SNAT后进入互联网.

example: VPC-COM内网ecs实例机器访问google.com,内网路由表没有google.com对应的内网路径,所以路由匹配 0.0.0.0 走华为云的对等连接peering-com-fwout 到VPC-FWOUT,该VPC-FWOUT的路由表 rtb-VPC-FWOUT 0.0.0.0下一跳类型为虚拟IP–该虚拟ip是绑定到子网subnet-fwout,而子网subnet-fwout可以直接绑定ECS实例:ecs-fwout (上面运行防火墙服务比如checkpoint) ,最后经过防火墙进行DNAT操作才能访问到目标服务器.

运维流量

外部=》互联网=》[华为云](VPN=》ssh=》云资源) office=》AD域控=》[华为云](堡垒机=》ssh/rdp=》云资源)

创建OS

硬盘加密,否则华为可以直接看到所有数据

PASS产品

ECS

主机安全 Host Security Service

https://www.huaweicloud.com/product/hss.html

安全合规

华为云零信任能力成熟度模型白皮书

网络ACL对子网进行防护,子网下的资源都受网络ACL保护。

安全组对弹性云服务器进行防护。

Cloud Certificate Manager,CCM

云防火墙 CFW

https://github.com/huaweicloudDocs

Troubleshooting

ECS减配后之前配置的静态IP失效

减配后,虚拟的ECS下面的物理机器肯定会变化,可能引起虚拟mac地址发生变化?从而导致绑定的ip跟mac不再匹配, 解决办法:使用华为云的dhcp自动配置

修改安全组导致服务在一年后才发现问题

上云一年后,突然有一天发现一个zookeeper节点挂了(看日志是其自动重启之后无法join cluster)

FastLeaderElection Notification time out: 60000
- fsync-ing the write ahead log in SyncThre ad:1 took 4111ms which will adversely effect operation latency. See the ZooKeeper troubleshooting guide

根据配置的ip和端口2888 3888做常规的telnet发现不通,但是奇怪的是发现另外两个节点之间虽然也是telnet不通,但是存在established tcp connection,所以整个cluster还是正常对外服务

后来发现原来是后来对主网卡和扩展网卡的安全组做了区分,并不会影响之前已经建立的连接,但是新的连接肯定是被挡住了