基本概念

• 网络

  与物理基础设施网络功能基本相同，云平台提供内部网络和外部网络两种网络类型。其中，内部网络主要用于为云主机和裸金属主机等资源提供二层隔离的私有网络环境。外部网络主要用于创建公网IP地址池。
  ​

• 虚拟网卡

  是绑定私有网络内资源的一种弹性网络接口，可在多个资源之间自由迁移。通过配置多个虚拟网卡，可以扩展资源原有的网络接入端口，使资源能够同时连接到多个网络链路。
  ​

• 安全组

  是一个逻辑分组，为具有相同安全保护需求并相互信任的资源提供相同的访问策略，支持有状态和无状态。

  说明：

  • 有状态：回复数据流会被自动允许，不受任何规则的影响。
  • 无状态：回复数据流必须被规则明确允许。

  一般使用安全组都是有状态的，以下场景需要使用无状态安全组：

  • 无状态安全组性能比有状态性能好，在裸金属场景下，如果对网络性能有要求，考虑使用无状态安全组。
  • 在LVS负载均衡的DR模式下，云主机的虚拟网卡需要使用无状态安全组。

• 网络ACL

  网络ACL是一个子网层级的流量防护，通过将其与子网关联并配置相应的出/入方向的规则可以有效地控制出入子网的数据流。

  说明：

  • 网络ACL的规则是无状态的规则。
    ​

• 网关防火墙

  网关防火墙是一个路由器层级的流量防护，通过将其与外部网关关联，并配置相应的规则可以有效地控制内/外部网络的出入路由器的数据流。

  说明：

  • 网关防火墙的规则是有状态的规则。
    ​

• 路由器

  通过提供三层路由功能，不仅可以使不同子网资源之间互联互通，还可以使内部资源与外部网络之间互相访问。
  ​

• 公网IP

  独立的IP地址资源。公网IP通过与资源绑定，可以使各资源独立对外提供服务，通过与路由器绑定，可以使不同子网之间或内部网络与外部网络之间相互访问。
  ​

• 网络可用区

  指在同一资源池内，独立提供DHCP服务以及三层网络服务的逻辑区域。

• CIDR（Classless Inter-Domain Routing）

  即无类别域间路由，用于分配IP地址以及有效路由IP数据包并对IP地址进行归类。其是一种新的寻址方式，与传统的A类、B类和C类寻址模式相比，CIDR在IP地址分配方面更为高效。其采用斜线记法，表示为：IP地址/网络ID的位数。

• 网络节点

  网络节点作为云平台业务网络南北向出口的节点，负责云平台内部的业务隧道网络与云外非隧道网络的转换，它承载了云平台的出口路由器，实现了公网IP、NAT、路由等功能。

• 裸金属网关节点

  裸金属网关节点负责将裸金属的VLAN网络转换为业务隧道网络，让裸金属像云主机一样接入隧道网络，同时实现了裸金属的安全组、分布式路由器、分布式交换机等功能。