核心概念
<p><span style="font-size:16px"><strong>网络域</strong></span></p>
<p>目前,平安云沿用金融行业网络架构的划分方式,将VPC划分成DMZ、SF和PTR三个默认隔离的网络域,方便进行业务部署。</p>
<p>• DMZ网络域:Demilitarized Zone,俗称隔离区,可以通过NAT网关、IGW网关或ELB等服务和公网连接,通常用来部署前端系统。</p>
<p>• SF网络域:Server Farm Zone,俗称内部服务区,通常用来部署应用服务器和数据库服务器。它无法直接与公网连接,但是可以通过设置被其他两个网络域访问。</p>
<p>• PTR网络域:Partner Zone,俗称合作伙伴接入区,用来接入监管机构和其他合作伙伴,能够与合作伙伴的数据中心建立内部专线,通常用来部署前置机或代理系统。</p>
<p>网络域之间是相互隔离的,需要配置访问策略才能够互通。</p>
<p>未来,平安云会在新的地域采用新的VPC 架构,取消网络域的概念,现有的地域将仍然保留当前的VPC 架构。</p>
<p> </p>
<p><span style="font-size:16px"><strong>子网</strong></span></p>
<p>在网络域内,用户可以根据自己的网络规划进一步划分多个子网。</p>
<p>子网是网络域的一部分,通过划分子网可以将网络域在逻辑上分成多个网段。子网内的云主机的IP地址都属于该子网。</p>
<p>默认情况下,一个网络域下的同一子网内的云主机可以进行相互通信。</p>
<p> </p>
<p><span style="font-size:16px"><strong>高可用VIP</strong></span></p>
<p>高可用VIP(HA VIP Address,简称VIP)是一个未分配给云主机的IP地址。云主机除了拥有私有IP地址外,还可以拥有高可用VIP地址,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问此云主机。同时,高可用VIP地址拥有私有IP地址同样的网络接入能力。</p>
<p>多个主备部署的云主机可以在绑定高可用VIP地址时选择同一个高可用VIP地址。</p>
<p> </p>
<p><span style="font-size:16px"><strong>地域</strong></span></p>
<p>地域是指平安云的基础设施所在的地理位置,每一个地域独立对外提供服务。</p>
<p><span style="font-family:Microsoft Yahei">目前平安云已开放的可用区为华南A可用区。</span>建议您选择离自己的服务对象最近的地域创建VPC,以此来降低网络延迟。每个VPC只能归属于一个地域。</p>
<p> </p>
<p><span style="font-size:16px"><strong>可用区</strong></span></p>
<p>为了增强可用性,每个地域一般由多个可用区组成,每个可用区包含一个或多个机房。可用区拥有独立的电力和网络,即使一个可用区出现问题,也不会影响其他的可用区。可用区之间物理隔离,但可通过内网互通,既保障了可用区的独立性,又提供了低时延的网络连接。</p>
<p> </p>
<p><span style="font-size:16px"><strong>安全组</strong></span></p>
<p>安全组是一种虚拟的防火墙,具备控制入站和出站流量的能力。安全组和网络域绑定,形成了逻辑上的分组,为VPC内具有相同安全保护需求,并互相信任的云主机提供安全访问策略,是重要的网络安全隔离手段。</p>
<p>创建好安全组后,用户可以在安全组中创建访问规则,针对每条规则定义出/入方向、授权IP地址、端口、协议等属性。当云主机加入该安全组后,就会受到这些访问规则的保护,由安全组规则决定放行还是阻断相关流量。</p>
<p>默认情况下,平安云的流量通行规则如下:</p>
<p>• 网络域内的云资源可以互通,无需配置安全组。</p>
<p>• VPC内不同的网络域之间的云资源入方向放行,出方向阻断,需要配置出方向的安全组才可互通</p>
<p>• 不同VPC之间、VPC和互联网之间、VPC和租户本地数据中心之间出入方向都阻断,需要配置出、入双方向的安全组才可互通。</p>
<p> </p>
<p><span style="font-size:16px"><strong>路由表</strong></span></p>
<p>路由表是指路由器上管理路由条目的列表。每个网络域有一张独立的路由表,用于实现网络域下子网之间的通信。</p>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!