VPC(Virtual Private Cloud)作爲雲計算最基礎的服務,在雲計算使用中有着重要的作用。下面我們對OTC和AWS中的提供的VPC服務進行一下詳細的比較。
提供的服務種類
OTC: AWS:
| OTC | AWS |
| Virtual Private Cloud | Virtual Private Cloud |
| Route Table | Your VPCs |
| Subnet9 | Subnets |
| Security Group | Route Tables |
| Elastic IP Address | Internet Gateways |
| VPC Peering | Egress Only Internet Gateways |
| *** | DHCP Options Sets |
| Elastic IPs | |
| Endpoints | |
| NAT Gateways | |
| Peering Connections | |
| Security | |
| Network ACLs | |
| Security Groups | |
| *** Connections | |
| Customer Gateways | |
| Virtual Private Gateways | |
| *** Connections |
從數量上來看AWS提供的服務種類更多,下面我們來詳細比較一下各個服務
1、VPC
OTC和AWS VPC服務基本相同。推薦的私有IPV4地址範圍CIDR塊
10.0.0.0/8–24
172.16.0.0/12–24
192.168.0.0/16–24
但AWS支持IPV6,OTC暫時還不支持
2、Subnet
OTC和AWS Subnet服務也基本相同,但OTC可以自定義網關地址。AWS使用默認網關地址。
AWS每個子網 CIDR 塊中的前四個 IP 地址和最後一個 IP 地址無法供您使用,而且無法分配到一個實例。例如,在具有 CIDR 塊 10.0.0.0/24的子網中,以下五個 IP 地址是保留的:
10.0.0.0:網絡地址。
10.0.0.1:由 AWS 保留,用於 VPC 路由器。
10.0.0.2:由 AWS 保留。DNS 服務器的 IP 地址始終爲 VPC 網絡範圍的基址 + 2;但是,我們也保留了每個子網範圍基址 + 2 的 IP 地址。有關更多信息,請參閱 Amazon DNS 服務器。
10.0.0.3:由 AWS 保留,供將來使用。
10.0.0.255:網絡廣播地址。我們在 VPC 中不支持廣播,因此我們會保留此地址。
3、Route table
OTC的Route table 是VPC下的一個屬性和AWS的route table提供的服務完全不一樣
OTC Route table的主要作用是When ECSs in a VPC need to access the Internet, add a route toenable the ECSs to access the Internet through the ECS that has an EIP bound.
Route table 和 SNAT要一起使用來實現沒有彈性IP的ECS主機連接internet的功能
To use the route table function provided by the VPCservice, you need to deploy the SNAT function on an ECS to enables other ECSsthat do not have EIPs bound in a VPC to access the Internet through this ECS.
AWS route table 是定義子網路由規則的
示例
目標 | 目標 |
10.0.0.0/16 | 本地 |
172.31.0.0/16 | pcx-1a2b1a2b |
0.0.0.0/0 | igw-11aa22bb |
AWS route table 可以定義到各種特定網關和連接的路由,包括
Internet 網關的路由表
NAT 設備的路由表
虛擬專用網關的路由表
VPC 對等連接的路由表
VPC 端點的路由表
OTC route table 應該是指實現了 AWS NAT 設備的路由表這一個功能。當然這也可能是因爲OTC還未提供其他類型的各種網關
4、Security Group
OTC和AWS安全組功能基本相同。安全組充當實例的虛擬防火牆以控制入站和出站流量。
5、Elastic IP
OTC和AWS彈性IP基本是一樣的。OTC提供的彈性IP可以限制帶寬。AWS是無帶寬限制的。OTC每個賬戶可以申請的彈性IP數量比較大50個,但AWS只有5個。可能是因爲OTC沒有internet網關這個服務,ECS連接internet都需要EIP或者通過SNAT。
6、VPC peering
OTC與AWS基本是相同的。
要創建與其他 VPC 之間的 VPC 對等連接,您需要了解以下限制和規則:
您無法在具有匹配或重疊的 IPv4 或 IPv6 CIDR 塊的 VPC 之間創建 VPC 對等連接。Amazon 將始終爲您的 VPC 分配唯一的 IPv6 CIDR 塊。如果您的 IPv6CIDR 塊唯一但 IPv4 塊不唯一,則無法創建對等連接。
您無法在位於不同區域中的 VPC 之間創建 VPC 對等連接。
VPC 對等不支持傳遞的對等關係;在 VPC 對等連接中,您的 VPC 無權訪問對等 VPC 可能與之對等的任何其他VPC。其中包括完全在您自己的 AWS 賬戶內建立的 VPC 對等連接。
您不能在相同兩個 VPC 之間同時建立多個 VPC 對等連接。
7、***
OTC和AWS ***在功能上是一樣的。都提供IPsec ***。
AWS
一項 *** 連接由以下部分組成。
虛擬專用網關
虛擬專用網關是 *** 連接在 Amazon 一端的 *** 集線器。
有關您可以在每個地區設置的虛擬專用網關數目,以及 VPC 的其他組成部分限制的信息,請參見Amazon VPC 限制。
客戶網關
客戶網關是指 *** 連接在您這一端的實體設備或軟件應用程序。如果創建 *** 連接,在 *** 連接您這一端生成流量時,*** 隧道就會啓動。虛擬專用網關不是啓動程序;您的客戶網關必須啓動隧道。如果 *** 連接經歷一段空閒時間 (通常爲 10 秒,具體取決於配置),隧道就會關閉。爲防止發生這種情況,您可以使用網絡監控工具 (如使用 IP SLA) 來生成保持連接 Ping 信號。
AWS 支持硬件設備和軟件的實現
*** 連接選項 | 說明 |
AWS 硬件 *** | 您可以在 VPC 和遠程網絡之間創建 IPsec 硬件 *** 連接。在 *** 連接中的 AWS 一端,虛擬專用網關提供兩個 *** 終端節點來進行自動故障轉移。配置您的客戶網關,該客戶網關是指 *** 連接在遠程端的實體設備或軟件應用程序。有關更多信息,請參見在您的 VPC 中添加硬件虛擬專用網關和Amazon VPC 網絡管理員指南。 |
AWS Direct Connect | |
AWS *** CloudHub | |
軟件 *** |
AWS支持設備,請參考
https://aws.amazon.com/vpc/faqs/#C9
OTC只有一個設置。
OTC在客戶端支持的設備
Due to the symmetryof the tunnel, the *** parameters configured in the cloud must be the same asthose configured in your own data center. If they are different, the ***connection cannot be established.
To set up a ***connection, you also need to configure the IPsec *** on the router or firewallin your own data center. The configuration method may vary depending on yournetwork device in use. For details, see the configuration guide of the networkdevice.
Which Remote ***Devices Are Supported?
Table 4-1 lists theHuawei *** devices supported by the remote end.
Table 4-1 Huawei ***devices
Supported PeerDevice Description
Huawei USG6000series USG6320/6310/6510-SJJ
USG6306/6308/6330/6350/6360/6370/6380/6390/6507/6530/6550/6570:2048
USG6620/6630/6650/6660/6670/6680
Huawei USG9000 seriesUSG9520/USG9560/USG9580
Other devices thatmeet the requirements in the reference protocols described in section ***Reference Standards and Protocols can also be deployed. However, some devicesmay fail *** to add because of inconsistent protocol implementation methods ofthese devices. If the connection setup fails, rectify the fault by followingthe instructions provided in section 4.6 How Can I Handle the *** ConnectionSetup Failure? Or contact customer service.
下面我們來看一下AWS有而OTC裏面沒有的VPC服務
8、Network ACL
網絡訪問控制列表 (ACL) 是 VPC 的一個可選安全層,可用作防火牆來控制進出一個或多個子網的流量。您可以設置網絡 ACL,使其規則與您的安全組相似,以便爲您的 VPC 添加額外安全層。
安全組與網絡 ACL 的比較
下表概述了安全組和網絡 ACL 之間的基本差異。
安全組 | 網絡 ACL |
在實例級別操作 (第一防禦層) | 在子網級別操作 (第二防禦層) |
僅支持允許規則 | 支持允許規則和拒絕規則 |
有狀態:返回數據流會被自動允許,不受任何規則的影響 | 無狀態:返回數據流必須被規則明確允許 |
我們會在決定是否允許數據流前評估所有規則 | 我們會在決定是否允許數據流時按照數字順序處理所有規則 |
只有在啓動實例的同時指定安全組、或稍後將安全組與實例關聯的情況下,操作纔會被應用到實例 | 自動應用到關聯子網內的所有實例 (備份防禦層,因此您便不需要依靠別人爲您指定安全組) |
下圖展示了由安全組和網絡 ACL 提供的安全層。例如,來自Internet 網關的數據流會通過路由表中的路徑被路由到合適的子網。與子網相關的網絡 ACL 規則控制允許進入子網的數據流。與實例相關的安全組規則控制允許進入實例的數據流。
9、Internet Gateway
Internet 網關是一種橫向擴展、支持冗餘且高度可用的 VPC 組件,可實現 VPC 中的實例與 Internet 之間的通信。因此它不會對網絡流量造成可用性風險或帶寬限制。
Internet 網關有兩個用途,一個是在 VPC 路由表中爲Internet 可路由流量提供目標,另一個是爲已經分配了公有 IPv4 地址的實例執行網絡地址轉換(NAT)。
Internet 網關支持 IPv4 和 IPv6 流量。
10、 NAT Gateway
您可以使用網絡地址轉換 (NAT) 網關允許私有子網中的實例連接到 Internet 或其他 AWS 服務,但是阻止 Internet 發起與這些實例的連接。
同時AWS也可以使用和OTCSNAT一樣的NAT 實例來實現這個功能
NAT 網關和 NAT 實例的區別如下表
屬性 | NAT 網關 | NAT 實例 |
可用性 | 高度可用。每個可用區中的 NAT 網關都採用冗餘實施。在每個可用區中創建一個 NAT 網關可確保架構不依賴於可用區。 | 使用腳本管理實例之間的故障轉移。 |
帶寬 | 支持高達 10Gbps 的突增。 | 取決於實例類型的帶寬。 |
維護 | 由 AWS 管理。您不需要進行任何維護。 | 由您管理,例如您需要對實例安裝軟件更新或操作系統補丁。 |
性能 | 軟件經過優化以便處理 NAT 流量。 | 配置來執行 NAT 的通用 Amazon Linux AMI。 |
費用 | 費用取決於您使用的 NAT 網關的數量、使用時長以及您通過 NAT 網關發送的數據量。 | 費用取決於您使用的 NAT 實例的數量、使用時長以及實例類型和大小。 |
類型和大小 | 整合提供;您不需要選擇類型或範圍。 | 根據您的預測工作負載選擇適當的實例類型和大小。 |
公有 IP 地址 | 在創建時選擇彈性 IP 地址以與 NAT 網關關聯。 | 爲 NAT 實例使用彈性 IP 地址或公有 IP 地址。您隨時可以通過將新的彈性 IP 地址與實例關聯來更改公有 IP 地址。 |
私有 IP 地址 | 在您創建網關時自動從子網的 IP 地址範圍中選擇。 | 在您啓動實例時,從子網的 IP 地址範圍內分配特定的私有 IP 地址。 |
安全組 | 無法與 NAT 網關關聯。您可以將安全組與 NAT 網關之後的資源關聯,以控制入站和出站流量。 | 與您的 NAT 實例和 NAT 實例之後的資源關聯,以控制入站和出站流量。 |
網絡 ACL | 使用網絡 ACL 控制進出您的 NAT 網關所在子網的流量。 | 使用網絡 ACL 控制進出您的 NAT 實例所在子網的流量。 |
流日誌 | 使用流日誌捕獲流量。 | 使用流日誌捕獲流量。 |
端口轉發 | 不支持. | 手動自定義配置以支持端口轉發。 |
堡壘服務器 | 不支持. | 用作堡壘服務器。 |
流量指標 | 不支持. | 查看 CloudWatch 指標。 |
超時行爲 | 如果連接超時,NAT 網關向 NAT 網關後方的任何資源返回 RST 數據包,嘗試繼續進行連接 (它不發送 FIN 數據包)。 | 如果連接超時,NAT 實例向 NAT 實例後方的資源發送 FIN 數據包,以關閉連接。 |
IP 分段 | 支持轉發 UDP 協議的 IP 分段數據包。 | 支持重組 UDP、TCP 和 ICMP 協議的 IP 分段數據包。 |
不支持 TCP 和 ICMP 協議的分段。將刪除這些協議的分段數據包。 |
11、 DHCP Options Sets
動態主機配置協議 (DHCP) 提供了將配置信息傳遞到TCP/IP 網絡中主機的標準。DHCP消息中的options字段包含配置參數。這些參數包括域名、域名服務器以及“netbios-node-type”。
DHCP 選項集與您的 AWS 賬戶相關聯,因此您可以在所有 Virtual Private Cloud (VPC) 內使用這些選項。
DHCP 選項名稱 | 說明 |
domain-name-servers | 最多四臺域名服務器 (即 AmazonProvidedDNS) 的 IP 地址。默認 DHCP 選項集指定 AmazonProvidedDNS。如果指定的域名服務器不止一臺,請使用逗號將它們隔開。 |
如果要讓實例接收domain-name中指定的自定義 DNS 主機名,則必須將domain-name-servers設置爲自定義 DNS 服務器。 | |
domain-name | 如果您是在us-east-1中使用 AmazonProvidedDNS,請指定ec2.internal。如果您是在其他區域中使用 AmazonProvidedDNS,請指定 region.compute.internal (例如ap-northeast-1.compute.internal)。否則,請指定域名 (例如MyCompany.com)。該值用於完成非限定的 DNS 主機名。 |
重要 | |
某些 Linux 操作系統接受由空格分隔的多個域名。但是,Windows 以及其他 Linux 操作系統將該值視爲單個域,因而會導致意外行爲。如果您的 DHCP 選項集與有多個操作系統實例的 VPC 關聯,請僅指定一個域名。 | |
ntp-servers | |
netbios-name-servers | 最多四個 NetBIOS 名稱服務器的 IP 地址。 |
netbios-node-type | NetBIOS 節點類型 (1、2、4 或 8)。我們建議您指定 2 (目前不支持廣播和多播)。有關這些節點類型的更多信息,請參閱 RFC 2132。 |
12、 Endpoints
VPC endpoint可讓您在您的 VPC 和其他 AWS 服務之間創建私有連接,而無需通過 Internet、NAT 設備、*** 連接或 AWSDirect Connect 進行訪問。終端節點是虛擬設備。這些是水平擴展、冗餘且具備高可用性的 VPC 組件,使用這些組件可以在VPC 與 AWS 服務中的實例之間進行通信,而不會對網絡流量造成可用性風險或帶寬限制。
重要
目前,我們僅支持帶Amazon S3 的連接終端節點。終端節點只支持 IPv4 流量。
終端節點使 VPC 中的實例能夠使用其私有 IP 地址與其他服務中的資源進行通信。您的實例不需要公有 IPv4 地址,並且您的 VPC 中不需要有 Internet 網關、NAT 設備或虛擬私有網關。使用終端節點策略可控制對其他服務中的資源的訪問。您的 VPC 和 AWS 服務之間的流量不會脫離 Amazon 網絡。
一般場景下的組網差別
OTC和AWS一個比較大的差別就是沒有Internet Gateway。所以OTC是沒有公有子網和私有子網概念的,只能通過SNAT才能實現,無EIP實例接入internet。
場景:帶單個公有子網的VPC
此場景的配置包含一個有單一公有子網的 Virtual Private Cloud (VPC),以及一個 Internet 網關以啓用Internet 通信。如果您要運行單一層級且面向公衆的 Web 應用程序,如博客或簡單的網站。
此情景的配置包括:
具有 /16 IPv4 CIDR 塊的 VirtualPrivate Cloud (VPC) (示例:10.0.0.0/16)。提供 65536 個私有 IPv4 地址。
具有 /24 IPv4 CIDR 塊的子網 (示例:10.0.0.0/24)。提供 256 個私有 IPv4 地址。
Internet 網關。它將 VPC 連接到 Internet 和其他 AWS 服務。
具有子網範圍內 (示例:10.0.0.6) 私有 IPv4 地址的實例,這使該實例可以與 VPC 中的其他實例通信;以及一個彈性 IPv4 地址 (示例:198.51.100.2),這是使該實例能夠從Internet 訪問的公有 IPv4 地址。
與子網關聯的自定義路由表。路由表條目使得子網中的實例能夠使用 IPv4 與 VPC 中的其他實例通信以及在 Internet 上直接通信。與包含指向Internet 網關的路由的路由表關聯的子網稱作公有子網。
OTC的實現方式
