应用场景

专有网络VPC可用于以下典型应用场景:
  • VPC网络下的IPv4+IPv6 双栈场景实践
  • VPC网络下的多租户隔离场景实践
  • VPC网络下的多层Web服务器场景实践
  • VPC网络下的多公网源进源出场景实践
  • VPC网络下的地址池场景实践

IPv4+IPv6 双栈

IPv4+IPv6双栈即一个网卡同时拥有IPv4和IPv6两个地址,兼顾IPv4和IPv6的优点。使用IPv4+IPv6 双栈,分别实现不同的业务场景。

假定客户环境如下:
  1. 公有网络
    表 1. 公有网络配置信息
    公有网络 配置信息
    网卡 em1
    VLAN ID 非VLAN
    IP地址段 10.108.10.100~10.108.10.200
    子网掩码 255.0.0.0
    网关 10.0.0.1
    DHCP服务IP 10.108.10.101
  2. 管理网络
    表 2. 管理网络配置信息
    管理网络 配置信息
    网卡 em2
    VLAN ID 非VLAN
    IP地址段 192.168.29.10~192.168.29.20
    子网掩码 255.255.255.0
    网关 192.168.29.1
    说明:
    • 出于安全和稳定性考虑,建议部署独立的管理网络,并与公有网络隔离。
    • 此管理网络与ZStack Cloud中的管理网络为相同概念(即:管理物理机、主存储、镜像服务器的网络),如果已创建可直接复用。
  3. VPC网络1
    表 3. IPv4类型VPC网络1配置信息
    VPC网络 配置信息
    网卡 em1
    VLAN ID 2800
    IP CIDR 192.168.10.0/24
    网关 192.168.10.1
    DHCP服务IP 192.168.10.2
    表 4. VPC网络1的IPv6网络段
    VPC网络 配置信息
    IP CIDR 234e:0:4569::/64
    网关 234e:0:4569::1
    DHCP服务IP 234e:0:4569::2
  4. VPC网络2
    表 5. IPv4类型VPC网络2配置信息
    VPC网络 配置信息
    网卡 em1
    VLAN ID 2900
    IP CIDR 192.168.11.0/24
    网关 192.168.11.1
    DHCP服务IP 192.168.11.2
    表 6. VPC网络2的IPv6网络段
    VPC网络 配置信息
    IP CIDR 234e:0:456a::/64
    网关 234e:0:456a::1
    DHCP服务IP 234e:0:456a::2
IPv4+IPv6双栈使用流程如下:
  1. 搭建IPv4网络环境。
  2. 添加IPv6类型的网络段。
  3. 重启VPC路由器。
  4. 添加IPv6类型的DNS。
  5. 使用双栈网络创建云主机。
  6. 获取云主机IPv6地址。
  7. 验证网络连通性。
  1. 搭建IPv4网络环境。
    参考IPv4 基本部署章节并根据场景规划,搭建一套IPv4类型的VPC网络。假定创建后的VPC网络为:L3-VPC-1和L3-VPC-2。此时,这两条同一VPC路由器下的VPC网络为IPv4类型。
    说明: 也可先搭建IPv6类型的扁平网络,再添加IPv4类型的网络段。
  2. 添加IPv6类型的网络段。

    为已有IPv4网络,添加IPv6类型的网络段,组成IPv4+IPv6双栈网络。

    VPC网络界面,选择该网络点击更多操作 > 添加IPv6网络段,并参考表 4表 6,分别为L3-VPC-1和L3-VPC-2添加IPv6网络段。可参考以下示例输入相应内容:
    • 网络段方法:支持IP范围和CIDR,本章节以IP范围为例
      说明: IPv6支持IP范围和CIDR方式输入IP地址,支持以下几种输入规范:
      • 冒分十六进制表示法:格式为X:X:X:X:X:X:X:X,其中每个X表示地址中的16b,以十六进制表示,例如:3456:0:3636:0:ffff:ffff:ffff:ffff
      • 0位压缩表示法:若IPv6地址中间包含很长的一段0,可以把连续的一段0压缩为“::”。但为保证地址解析的唯一性,地址中”::”只能出现一次,例如:3456:0:5858::2
      • CIDR表示法:格式为X:X:X:X:X:X:X:X/N,其中N代表前缀长度。
    • 分配IP模式:选择Stateful-DHCP
      说明: IPv6支持以下几种分配IP方式:
      • Stateful-DHCP(默认):有状态地址DHCP配置,接口地址以及其他参数全部通过DHCP协议配置。IP范围方式仅支持此分配模式。
      • Stateless-DHCP:无状态地址DHCP配置,接口地址通过路由通告的前缀和接口Mac地址自动推导出来,其他参数通过DHCP协议配置。
      • SLAAC:无状态地址自动配置,接口地址通过路由通告的前缀自动推导出来,其他参数也附带在路由通告中。
    • 起始IP:设置起始IP,例如:234e:0:4568::2
    • 结束IP:设置结束IP,例如:234e:0:4568:0:ffff:ffff:ffff:ffff
    • 前缀长度:设置IP前缀长度,范围64~126,例如:64
    • 网关:设置网关,例如:234e:0:4568::1
    • DHCP服务IP:可选项,设置DHCP服务IP,例如:234e:0:4568::3
      说明:
      • 若首次创建三层网络并启用DHCP服务,或对已启用DHCP服务的三层网络添加首个网络段,支持自定义设置DHCP服务IP。
      • 若三层网络已存在DHCP服务IP,添加网络段不允许自定义设置DHCP服务IP。
      • DHCP服务IP可以在添加的IP范围之内或之外,但必须在添加的IP范围所属的CIDR内,且未被占用。
      • 起始IP和结束IP内的IP网络段,不允许包含链路本地地址 (169.254.0.0/16) 的IP地址。
      • 若留空不填,将由系统在添加的IP范围内随机指定。
    图 1所示,此时,L3-VPC-1和L3-VPC-2变为IPv4+IPv6双栈网络。
    图 1. 添加IPv6网络段


  3. 重启VPC路由器。

    若对已加载VPC路由器的VPC网络添加新类型的网络段,需重启VPC路由器,否则可能导致网络不通。

    在VPC路由器页面选择该路由器,点击更多操作 > 重启即可。

  4. 添加IPv6类型的DNS。
    在VPC路由器详情页的DNS子页面,点击操作 > 添加按钮,可参考以下示例输入相应内容:
    • 网络地址类型:选择IPv6
    • DNS:输入IPv6类型的DNS,例如:240c::6644
    图 2所示:
    图 2. 添加IPv6类型DNS


  5. 使用双栈网络创建云主机。

    分别使用L3-VPC-1和L3-VPC-2创建一个双栈云主机,例如:VM-双栈-1和VM-双栈-2。本章节以创建VM-双栈-1为例进行介绍。

    ZStack Cloud主菜单,点击资源中心 > 云资源池 > 云主机,进入云主机界面,点击创建云主机,在弹出的创建云主机界面,可参考以下示例输入相应内容:
    • 名称:设置云主机名称,例如:VM-双栈
    • 简介:可选项,可留空不填
    • 数量:输入2
    • 计算规格:选择云主机计算规格
    • 镜像:选择云主机镜像
    • 根云盘规格:选择根云盘规格
    • 网络配置:选择IPv4+IPv6类型的三层网络
    • User Data:支持导入User Data,即用户自定义数据,通过上传自定义的参数或脚本,对主机做一些定制化配置或完成特定任务

    点击确定按钮,创建两个双栈云主机(VM-双栈-1和VM-双栈-2)。

  6. 获取云主机IPv6地址。
    ZStack Cloud默认为IPv4网络自动获取IP,但IPv6网络需要手动获取IP地址。分别打开两台云主机控制台,执行如下命令获取IP地址:
    -bash-4.2# dhclient -6 eth0  # eth0表示网卡名称
    说明: FE80开头的地址为链路本地地址,并非预期的地址。
    图 3所示:
    图 3. 获取IPv6地址


    本场景获取到的IP地址如下(ifconfig命令查找获取):
    • VM-双栈-1 IPv4地址:192.168.10.105
    • VM-双栈-1 IPv6地址:234e:0:4569::61:bcf4
    • VM-双栈-2 IPv4地址:192.168.11.250
    • VM-双栈-2 IPv6地址:234e:0:456a::46:7348
  7. 验证网络连通性。
    预期结果:
    • 登录VM-双栈-1,分别用IPv4和IPv6地址,能够ping通VM-双栈-2。
    • 登录VM-双栈-2,分别用IPv4和IPv6地址,能够ping通VM-双栈-1。
    验证网络连通性:登录VM-双栈-1,分别用IPv4和IPv6地址,检查是否能够ping通VM-双栈-2,如图 4所示:
    图 4. 验证网络连通性


    同理,登录VM-双栈-2,分别用IPv4和IPv6地址,能够ping通VM-双栈-1。
至此,VPC网络IPv4+IPv6双栈的使用方法介绍完毕。

多租户隔离

使用VLAN或VXLAN技术,可提供多租户在二层网络上的隔离。
表 1. VLAN与VXLAN的比较
VLAN VXLAN
  • VLAN最多支持4096个VLAN ID,即一套环境中最多提供4096个隔离的租户网络,难以满足大规模云计算数据中心的需求
  • 各厂商交换机配置VLAN方式各不相同
  • VXLAN基于客户机房现有的网络拓扑,提供16M个逻辑网络用于多租户隔离
  • VXLAN是基于现有三层网络之上Overlay虚拟出的二层网络,该Overlay虚拟过程可由软件方式实现,也可由支持VXLAN的交换机实现,客户可按需选择
  • 相较于VLAN,VXLAN性能损耗较大,网络延迟也较高

本场景主要介绍VXLAN-VPC网络提供多租户隔离的实践。

搭建多租户隔离VXLAN-VPC网络的基本流程:
  1. 在admin下创建两个子账户,子账户A和子账户B。
  2. 在admin下创建二层公有网络,并加载此二层网络到相应集群。
  3. 在admin下创建三层公有网络。
  4. 在admin下创建二层管理网络,并加载此二层网络到相应集群。
  5. 在admin下创建三层管理网络,用于与物理资源通信,例如,物理机、主存储、镜像服务器等。
  6. 在admin下添加路由器镜像。
  7. 在admin下创建路由器规格,并共享给子账户A和子账户B。
  8. 在admin下创建VXLAN网络池,加载到相应集群,并共享给子账户A和子账户B。
  9. 基于路由器规格在子账户A和子账户B分别创建一个VPC路由器。例如:VPC路由器-A和VPC路由器-B。
  10. 基于VXLAN网络池在子账户A和子账户B分别创建两个VXLAN网络(虚拟的二层网络),例如:L2-VXLAN-A1和L2-VXLAN-A2、L2-VXLAN-B1和L2-VXLAN-B2。
  11. 使用四个VXLAN网络分别在各自子账户创建VPC网路,例如:VPC网络-A1和VPC网络-A2、VPC网络-B1和VPC网络-B2。
  12. 使用四个VPC网络分别在各自子账户创建一个云主机,例如:VM-A1、VM-A2、VM-B1和VM-B2。
  13. 验证四台云主机之间的连通性。
  14. 从admin共享三层公有网络给子账户A和子账户B。
  15. 给VM-A1和VM-B1添加路由表。
  16. 验证云主机VM-A1和VM-B1之间的连通性。
说明:
  • VXLAN网络池和VXLAN网络共同提供了VXLAN网络类型的配置。
  • 使用VXLAN网络需先创建VXLAN网络池,VXLAN网络对应了VXLAN网络池里的一个虚拟网络。
  • VXLAN网络池不能用于创建三层网络,只表示VXLAN网络的集合,VXLAN网络可用于创建三层网络。
假定客户环境如下:
  1. 公有网络
    表 2. 公有网络配置信息
    公有网络 配置信息
    网卡 em01
    VLAN ID 非VLAN
    IP地址段 10.151.10.100~10.151.10.200
    子网掩码 255.0.0.0
    网关 10.0.0.1
    DHCP服务IP 10.151.10.101
  2. 管理网络
    表 3. 管理网络配置信息
    管理网络 配置信息
    网卡 em02
    VLAN ID 非VLAN
    IP地址段 192.168.28.100~192.168.28.200
    子网掩码 255.255.255.0
    网关 192.168.28.1
    说明:
    • 出于安全和稳定性考虑,建议部署独立的管理网络,并与公有网络隔离。
    • 此管理网络与ZStack Cloud中的管理网络为相同概念(即:管理物理机、主存储、镜像服务器的网络),如果已创建可直接复用。
  3. VXLAN网络池
    表 4. VXLAN网络池配置信息
    VXLAN网络池 配置信息
    VNI范围 20-1200
    VTEP CIDR 192.168.28.1/24
  4. VPC网络-A1
    表 5. VPC网络-A1配置信息
    VPC网络 配置信息
    网卡 em01
    IP CIDR 192.168.21.0/24
    网关 192.168.21.1
    DHCP服务IP 192.168.21.2
  5. VPC网络-A2
    表 6. VPC网络-A2配置信息
    VPC网络 配置信息
    网卡 em01
    IP CIDR 192.168.22.0/24
    网关 192.168.22.1
    DHCP服务IP 192.168.22.2
  6. VPC网络-B1
    表 7. VPC网络-B1配置信息
    VPC网络 配置信息
    网卡 em01
    IP CIDR 192.168.23.0/24
    网关 192.168.23.1
    DHCP服务IP 192.168.23.2
  7. VPC网络-B2
    表 8. VPC网络-B2配置信息
    VPC网络 配置信息
    网卡 em01
    IP CIDR 192.168.24.0/24
    网关 192.168.24.1
    DHCP服务IP 192.168.24.2

以下介绍搭建VXLAN-VPC网络的实践步骤。

  1. 在admin下创建两个子账户,子账户A和子账户B。
    ZStack Cloud主菜单,点击设置 > 子账户设置 > 子账户管理,进入子账户管理界面,在子账户界面,点击创建子账户,在弹出的创建子账户界面,可参考以下示例输入相应内容:
    • 名称:设置账户名称,不区分大小写,例如:账户A
    • 简介:可选项,可留空不填
    • 密码:设置登录该账户的密码
    • 确认密码:重复输入密码,避免误输
    • 计费价目
    图 1所示:
    图 1. 创建账户


    同理,创建账户B,创建完成后如图 2所示:
    图 2. 账户创建完成


  2. 在admin账户下创建二层公有网络,并加载此二层网络到相应集群。
    ZStack Cloud界面,点击资源中心 > 网络资源 > 二层网络资源 > 二层网络,进入二层网络界面,点击创建二层网路,在弹出的创建二层网络界面,参考上述表 2填写如下:
    • 区域:显示当前区域
    • 名称:设置L2-公有网络名称
    • 简介:可选项,可留空不填
    • 类型:选择L2NoVlanNetwork
    • 集群:选择集群,如Cluster-1
    • 网络加速模式:支持通过不同技术提高二层网络性能,包括标准、SR-IOV、以及智能网卡三种方式,本场景选择标准
    • 网卡名称:输入网卡名称,例如:em01
    图 3所示:
    图 3. 创建L2-公有网络


  3. 在admin账户下创建三层公有网络。
    ZStack Cloud界面,点击资源中心 > 网络资源 > 三层网络资源 > 公有网络,进入公有网络界面,点击创建公有网络,在弹出的创建公有网络界面,参考上述表 2填写如下:
    • 名称:设置公有网络名称
    • 简介:可选项,可留空不填
    • 二层网络:选择公有网络对应的二层网络
      说明: ZStack Cloud支持一个二层网络用于创建多个三层网络,但若非特殊业务需求,不推荐多个三层网络共用一个二层网络。
      选择二层网络界面,有两个子页面:
      • 推荐:列出当前区域内尚未挂载三层网络的二层网络列表
      • 全部:列出当前区域内全部二层网络列表,包括已挂载或尚未挂载三层网络的二层网络
    • 网络地址类型:选择IPv4
    • 网络段方法:添加网络段方法包括IP范围、CIDR,本场景使用IP范围
    • 起始IP:设置网络段的起始IP,例如:10.151.10.100
    • 结束IP:设置网络段的结束IP,例如:10.151.10.200
    • 子网掩码:设置网络段的子网掩码,例如:255.0.0.0
    • 网关:设置网络段的网关,例如:10.0.0.1
    • DHCP服务:可选择是否需要DHCP服务
      说明:
      • DHCP服务是云平台内置的分布式服务,仅对云平台内部的资源提供分配IP地址的服务,与用户已有的DHCP服务器不会产生冲突。
      • 默认启用DHCP服务,为云平台内部的资源自动分配IP地址。此时DHCP服务IP支持自定义设置,也可由系统根据分配策略进行指定。
      • 若关闭DHCP服务,使用此网络的资源将无法自动获取IP地址,需手动配置。此时DHCP服务IP不支持自定义设置,也不可由系统根据分配策略进行指定。
      • IP分配策略:支持通过以下三种策略分配IP地址:
        • 随机分配:在添加的网络段内,系统随机分配IP地址。
        • 顺序分配
          • 在添加的网络段内,系统将所有空闲IP地址按照从小到大的顺序逐个分配。中途释放的IP地址,将在下次分配时进行分配。
          • 举例:假设当前三层网络的网络段为192.168.0.101192.168.0.120,已分配192.168.0.101192.168.0.108,后192.168.0.106被释放。下次分配时,将优先分配192.168.0.106
        • 循环分配
          • 在添加的网络段内,系统将IP地址按照从小到大的顺序逐个分配。中途释放的IP地址,将在现有空闲IP地址分配一轮后再进行分配。
          • 举例:假设当前三层网络的网络段为192.168.0.101192.168.0.120,已分配192.168.0.101192.168.0.108,后192.168.0.106被释放。下次分配时,将从192.168.0.109开始分配。直到192.168.0.120被分配后,才会分配192.168.0.106
      • DHCP服务IP:可选项,可按需设置DHCP服务IP
        说明:
        • DHCP服务IP是DHCP服务所占用的IP。DHCP服务通过该IP为使用该三层网络的资源分配IP地址。
        • 若首次创建三层网络并启用DHCP服务,或对已启用DHCP服务的三层网络添加首个网络段,支持自定义设置DHCP服务IP。
        • 若三层网络已存在DHCP服务IP,添加网络段不允许自定义设置DHCP服务IP。
        • DHCP服务IP可以在添加的IP范围之内或之外,但必须在添加的IP范围所属的CIDR内,且未被占用。
        • 起始IP和结束IP内的IP网络段,不允许包含链路本地地址 (169.254.0.0/16) 的IP地址。
        • IP分配策略选择随机分配时,若此处留空不填,将由系统在添加的IP范围内随机指定。
        • IP分配策略选择顺序分配或循环分配时,若此处留空不填,将以网络段内的首个IP作为DHCP服务IP。
    • 添加DNS:可添加DNS服务器,用于设置三层网络的DNS解析服务,本场景指定223.5.5.5
      说明: 在IPv4网络地址类型中使用IP范围添加网络段需注意:
      • 不可将网关(例如:xxx.xxx.xxx.1)、广播地址(例如:xxx.xxx.xxx.255)和网络地址(例如:xxx.xxx.xxx.0)等包含在添加的IP段中。
      • 私有网络网络段,不可与路由器规格里的公有网络或管理网络重叠。
    图 4所示:
    图 4. 创建L3-公有网络


  4. 在admin账户下创建二层管理网络,并加载此二层网络到相应集群。
    ZStack Cloud界面,点击资源中心 > 网络资源 > 二层网络资源 > 二层网络,进入二层网络界面,点击创建二层网路,在弹出的创建二层网络界面,参考上述表 3填写如下:
    • 区域:显示当前区域
    • 名称:设置二层网络名称,例如:L2-管理网络
    • 简介:可选项,可留空不填
    • 类型:选择L2NoVlanNetwork
    • 虚拟交换机类型:选择二层网络的虚拟交换机类型,此场景选择默认类型
    • SR-IOV:选择是否启用SR-IOV功能,本场景L2-管理网络留空不选择
    • 集群:选择集群,如Cluster-1
    • 网卡名称:输入网卡名称,例如:em02
    图 5所示:
    图 5. 创建L2-管理网络


  5. 在admin账户下创建三层管理网络,用于与物理资源通信,例如,物理机、主存储、镜像服务器等。
    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 专用网络 > 管理网络,进入管理网络界面,点击创建管理网络,弹出创建管理网络界面,参考上述表 3填写如下:
    • 名称:设置管理网络名称
    • 简介:可选项,可留空不填
    • 二层网络:选择管理网络对应的二层网络
      说明: ZStack Cloud支持一个二层网络用于创建多个三层网络,但若非特殊业务需求,不推荐多个三层网络共用一个二层网络。
      选择二层网络界面,有两个子页面:
      • 推荐:列出当前区域内尚未挂载三层网络的二层网络列表
      • 全部:列出当前区域内全部二层网络列表,包括已挂载或尚未挂载三层网络的二层网络
    • 网络段方式:本教程选择IP范围
    • 起始IP:设置网络段的起始IP,例如:192.168.28.100
    • 结束IP:设置网络段的结束IP,例如:192.168.28.200
    • 子网掩码:设置网络段的子网掩码,例如:255.255.255.0
    • 网关:设置网络段的网关,例如:192.168.28.1
    • 说明: 使用IP范围添加网络段需注意:
      • 不可将网关(例如:xxx.xxx.xxx.1)、广播地址(例如:xxx.xxx.xxx.255)和网络地址(例如:xxx.xxx.xxx.0)等包含在添加的IP段中。
      • 私有网络网络段,不可与路由器规格里的公有网络或管理网络重叠。
    图 6所示:
    图 6. 创建L3-管理网络


  6. 在admin账户下添加路由器镜像。

    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 路由器 > 路由器镜像,进入路由器镜像界面,点击添加路由器镜像,弹出添加路由器镜像界面。

    可参考以下示例输入相应内容:
    • 名称:设置镜像名称
    • 简介:可选项,备注相关信息
    • 镜像功能:展示VPC路由器
    • CPU架构:设置路由器镜像的CPU架构,VPC路由器在创建时将继承路由器镜像的CPU架构
    • 操作系统:选择路由器镜像的操作系统,不同CPU架构支持的操作系统类型不同
    • 镜像服务器:选择镜像服务器,用于存放镜像
    • 镜像路径:选择添加镜像的方式,支持添加URL路径或本地文件上传两种方式
      • URL:输入镜像的可下载路径
        ZStack Cloud提供专用的VPC路由器镜像(KVM)供用户使用,可直接从官网获取该镜像的下载地址。
        • 软件名称(VyOS版):ZStack-5.3.0-vRouter-VyOS-1.1.7.qcow2
        • 软件名称(openEuler版):ZStack-5.3.0-vRouter-openEuler-22.03.qcow2
        • 下载地址:点击这里
      • 本地文件:选择当前浏览器可访问的镜像直接上传
        说明:
        • 支持上传到镜像仓库和Ceph镜像服务器。
        • 采用本地浏览器作为中转上传镜像,请勿刷新或关闭当前浏览器,也不可停止管理节点服务,否则会添加失败。
  7. 在admin账户下创建路由器规格,并共享给账户A账户B
    1. 在admin账户下创建路由器规格。

      ZStack Cloud主菜单,点击资源中心 > 网络资源 > 路由器 > 路由器规格,进入路由器规格界面,点击创建路由器规格,弹出创建路由器规格界面。

      可参考以下示例输入相应内容:
      • 区域:显示当前区域
      • 名称:设置路由器规格名称
      • 简介:可选项,可留空不填
      • CPU:设置路由器的CPU核数
        说明: 目前路由器最多支持240个CPU核数,生产环境中建议核数设置为8以上。
      • 内存:设置路由器内存的大小,基本单位包括:MB/GB/TB,生产环境中建议设置为8G以上。
      • 镜像:选择已添加的路由器镜像
        说明: 若路由器规格中使用的公有网络存在IPv6网络段,创建VPC路由器时,请务必使用最新版本的路由器镜像。
      • 管理网络:选择已创建的管理网络
        • 管理网络为管理节点部署配置相关资源使用的网络,例如部署物理机、路由器等。
        • 如果存在系统网络来管理物理资源,则应选择此系统网络。
        • 如果使用公有网络来管理物理资源,则应选择此公有网络。
      • 公有网络:选择已创建的公有网络
        • 使用该路由器规格创建的路由器支持为VPC网络提供各种网络服务。
      图 7所示:
      图 7. 创建路由器规格


    2. 将路由器规格共享给账户A和账户B。
      ZStack Cloud主菜单,点击资源中心 > 网络资源 > 路由器 > 路由器规格,对需要共享的路由器规格点击更多操作 > 设置共享模式 > 指定共享,在指定新账户中选择账户A账户B,点击确定完成共享。如图 8所示:
      图 8. 设置共享模式


  8. 在admin账户下创建VXLAN网络池,加载到相应集群,并共享给账户A和账户B。
    1. 在admin账户下创建VXLAN网络池。
      ZStack Cloud主菜单,点击资源中心 > 网络资源 > 二层网络资源 > VXLAN Pool,进入VXLAN Pool界面。点击创建VXLAN Pool,弹出创建VXLAN Pool界面,参考上述表 4填写如下:
      • 区域:显示当前区域
      • 名称:设置VXLAN Pool名称
      • 简介:可选项,可留空不填
      • SDN类型:本场景选择软件SDN类型
      • VNI范围:输入VxlanNetwork的起始ID与结束ID
        说明:
        • 可输入1-16777214之间的数字。
        • 结束ID需大于或等于起始ID。
        • 本云平台将最后两个VNI(即:16777215、16777216)作为系统保留。
      • 集群:可选项,可选择需要加载的集群
        说明:
        • 可在创建VXLAN Pool时加载集群,也可在创建VXLAN Pool后再加载集群。
        • 加载集群时,集群内计算节点上应该存在VTEP对应的子网内IP。
      • VTEP CIDR:输入VTEP对应的CIDR
      图 9所示:
      图 9. 创建VXLAN网络池


    2. 将VXLAN网络池共享给账户A和账户B。

      ZStack Cloud主菜单,点击资源中心 > 网络资源 > 二层网络资源 > VXLAN Pool,对需要共享的VXLAN Pool点击更多操作 > 设置共享模式 > 指定共享,在指定新账户中选择账户A账户B,点击确定完成共享。

      图 10所示:
      图 10. 共享VXLAN网络池


  9. 基于路由器规格在账户A和账户B分别创建一个VPC路由器。例如:VPC路由器-A和VPC路由器-B。
    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 路由器 > VPC路由器,进入VPC路由器界面,点击创建VPC路由器,弹出创建VPC路由器界面,可参考以下示例输入相应内容:
    • 名称:设置VPC路由器名称
    • 简介:可选项,可留空不填
    • 路由器规格:选择已创建好的路由器规格
    • 集群:可选项,指定启动VPC路由器的物理机所在的集群
    • 存储分配策略:VPC路由器支持系统分配和手动指定两种存储分配策略:
      • 系统分配:系统根据预置策略分配主存储。
      • 手动指定:用户按需手动选择主存储。
        • 主存储:选择VPC路由器使用的主存储
    • 物理机:可选项,可指定物理机来启动VPC路由器
    • 指定默认IPv4/IPv6:可选项,即默认IP,指定VPC路由器的默认IP,留空不填将随机分配
    • 指定管理网IP:可选项,为VPC路由器选择管理网IP。填写的IP地址需在所选路由器管理网络内
      说明: 路由器公有网络和管理网络分离时支持指定管理网IP。若路由器管理网络和公有网络相同,则不支持指定管理网IP。
    • DNS:可选项,可设置VPC路由器的DNS解析服务,留空不填将默认指定223.5.5.5
      说明:
      • 支持设置IPv4或IPv6类型的DNS,例如:IPv4指定223.5.5.5;IPv6指定240C::6644。
      • 使VPC路由器内的服务能够通过DNS访问公网服务。如需使用其他DNS进行解析,可自行指定DNS地址。
      • 使用VPC网络创建的云主机,DNS即为该VPC网络的网关,由VPC路由器负责转发。
    • CPU绑定:将VPC路由器的虚拟CPU(vCPU) 与物理机的物理CPU(pCPU) 严格关联,可为VPC路由器分配特定的pCPU,提高VPC路由器性能。
      说明:
      • 格式说明
        • 在左侧文本框中输入vCPU范围,右侧文本框中输入pCPU范围。范围格式:包含整数、"-"、"^" 的逗号分隔列表。
        • vCPU范围取决于所选路由器规格。
        • pCPU范围取决于所选集群或是所选物理机的pCPU数量。
      • 参考示例:左侧文本框中输入"1",右侧文本框中输入"0-3,^2",表示vCPU 1与pCPU 0、1、3严格关联,其中,"^"表示不包含。
    图 11所示:
    图 11. 创建VPC路由器-A


    同理,在账户B,创建VPC路由器-B。
  10. 基于VXLAN网络池在账户A和账户B分别创建两个VXLAN网络(虚拟的二层网络),例如:L2-VXLAN-A1和L2-VXLAN-A2、L2-VXLAN-B1和L2-VXLAN-B2。
    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 二层网络资源 > 二层网络,进入二层网络界面。点击创建二层网络,弹出创建二层网络界面,可参考以下示例输入相应内容:
    • 区域:显示当前区域
    • 名称:设置VXLAN网络名称,例如:L2-VXLAN-A1
    • 简介:可选项,可留空不填
    • 类型:选择VxlanNetwork
    • VXLAN Pool:选择已创建的VXLAN网络池
    • VNI:可选项,可从VXLAN Pool中选择指定的VNI,若留空不填,则由云平台动态随机分配。
    图 12所示:
    图 12. 创建L2-VXLAN-A1


    同理,创建L2-VXLAN-A2、L2-VXLAN-B1和L2-VXLAN-B2。
  11. 使用四个VXLAN网络分别在各自账户创建VPC网路,例如:VPC网络-A1和VPC网络-A2、VPC网络-B1和VPC网络-B2。
    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 三层网络资源 > VPC网络,进入VPC网络界面,点击创建VPC网络,弹出创建VPC网络界面,参考上述表 5填写如下:
    • 名称:设置VPC网络名称,例如:VPC网络-A1
    • 简介:可选项,可留空不填
    • 二层网络:选择已创建的L2-VXLAN-A1
      选择二层网络界面,有两个子页面:
      • 推荐:列出当前区域内尚未挂载三层网络的二层网络列表
      • 全部:列出当前区域内全部二层网络列表,包括已挂载或尚未挂载三层网络的二层网络
    • VPC路由器:可选项,可在创建VPC网络时指定VPC路由器,也可在创建VPC网络后再挂载
    • 网络段方法:添加网络段方法包括IP范围、CIDR,本场景使用CIDR
    • CIDR:设置网络段的CIDR,例如:192.168.108.1/24
    • 网关:可设置网关,例如:192.168.108.1
      说明:
      • 允许使用CIDR的第一个或最后一个IP地址作为网关。
      • 若留空不填,默认使用CIDR的第一个IP地址作为网关。
    • DHCP服务:可选择是否需要DHCP服务
      说明:
      • DHCP服务是云平台内置的分布式服务,仅对云平台内部的资源提供分配IP地址的服务,与用户已有的DHCP服务器不会产生冲突。
      • 默认启用DHCP服务,为云平台内部的资源自动分配IP地址。此时DHCP服务IP支持自定义设置,也可由系统根据分配策略进行指定。
      • 若关闭DHCP服务,使用此网络的资源将无法自动获取IP地址,需手动配置。此时DHCP服务IP不支持自定义设置,也不可由系统根据分配策略进行指定。
      • IP分配策略:启用DHCP服务后,支持通过以下三种策略分配IP地址:
        • 随机分配:在添加的网络段内,系统随机分配IP地址。
        • 顺序分配
          • 在添加的网络段内,系统将所有空闲IP地址按照从小到大的顺序逐个分配。中途释放的IP地址,将在下次分配时进行分配。
          • 举例:假设当前三层网络的网络段为192.168.0.101192.168.0.120,已分配192.168.0.101192.168.0.108,后192.168.0.106被释放。下次分配时,将优先分配192.168.0.106
        • 循环分配
          • 在添加的网络段内,系统将IP地址按照从小到大的顺序逐个分配。中途释放的IP地址,将在现有空闲IP地址分配一轮后再进行分配。
          • 举例:假设当前三层网络的网络段为192.168.0.101192.168.0.120,已分配192.168.0.101192.168.0.108,后192.168.0.106被释放。下次分配时,将从192.168.0.109开始分配。直到192.168.0.120被分配后,才会分配192.168.0.106
      • DHCP服务IP:可选项,可按需设置DHCP服务IP,例如:192.168.21.2
        说明:
        • DHCP服务IP是DHCP服务所占用的IP。DHCP服务通过该IP为使用该三层网络的资源分配IP地址。
        • 若首次创建三层网络并启用DHCP服务,或对已启用DHCP服务的三层网络添加首个网络段,支持自定义设置DHCP服务IP。
        • 若三层网络已存在DHCP服务IP,添加网络段不允许自定义设置DHCP服务IP。
        • DHCP服务IP可以在添加的IP范围之内或之外,但必须在添加的IP范围所属的CIDR内,且未被占用。
        • 起始IP和结束IP内的IP网络段,不允许包含链路本地地址 (169.254.0.0/16) 的IP地址。
        • IP分配策略选择随机分配时,若此处留空不填,将由系统在添加的IP范围内随机指定。
        • IP分配策略选择顺序分配或循环分配时,若此处留空不填,将以网络段内的首个IP作为DHCP服务IP。
    • DNS:可选项,可留空不填
    图 13所示:
    图 13. 创建VPC网络-A1


    同理,创建VPC网络-A2、VPC网络-B1和VPC网络-B2。
  12. 使用四个VPC网络分别在各自账户创建一个云主机,例如:VM-A1、VM-A2、VM-B1和VM-B2。

    参考《用户手册》的创建云主机相关章节,使用四个VPC网络分别在各自账户创建一个云主机,VM-A1、VM-A2、VM-B1和VM-B2。

  13. 验证四台云主机之间的连通性。
    1. 登录VM-A1,用ping命令验证网络连通性:
      预期结果:
      • ping baidu.com:可以成功
      • ping VM-A2:可以成功
      • ping VM-B1:会失败(两套VXLAN-VPC环境二层隔离)
      • ping VM-B2:会失败(两套VXLAN-VPC环境二层隔离)
      说明:
      在VM-A1系统中,手动添加其他VM的IP地址到/etc/hosts文件路径下。
      [root@VM-web ~]# vim /etc/hosts ... 192.168.22.156 VM-A2 192.168.23.177 VM-B1 192.168.24.193 VM-B2 ...
      实际结果如图 14所示:
      图 14. 验证VM-A1网络连通性


    2. 同理,VM-A2的网络连通性和VM-A1相同。
    3. 登录VM-B1,用ping命令验证网络连通性:
      预期结果:
      • ping baidu.com:可以成功
      • ping VM-A1:会失败(两套VXLAN-VPC环境二层隔离)
      • ping VM-A2:会失败(两套VXLAN-VPC环境二层隔离)
      • ping VM-B2:可以成功
      说明:
      在VM-B1系统中,手动添加其他VM的IP地址到/etc/hosts文件路径下。
      [root@VM-web ~]# vim /etc/hosts ... 192.168.21.250 VM-A1 192.168.22.156 VM-A2 192.168.24.193 VM-B2 ...
      实际结果如图 15所示:
      图 15. 验证VM-B2网络连通性


    4. 同理,VM-B2的网络连通性和VM-B1相同。
  14. 从admin账户共享三层公有网络给账户A和账户B。

    ZStack Cloud主菜单,点击资源中心 > 网络资源 > 三层网络资源 > 公有网络,对需要共享的公有网络点击更多操作 > 设置共享模式 > 指定共享,在指定新账户中选择账户A账户B,点击确定完成共享。

    图 16所示:
    图 16. 共享三层公网


  15. 通过配置路由表,可让二层隔离的云主机VM-A1和VM-B1互相访问。
    1. 创建路由表。

      ZStack Cloud主菜单,点击资源中心 > 网络服务 > 高级网络服务 > 路由表,进入路由表界面,点击创建路由表,弹出创建路由表界面。

      可参考以下示例输入相应内容:
      • 名称:设置路由表名称
      • 简介:可选项,可留空不填
      • 路由器:可选项,可在创建路由表时指定待挂载的路由设备,也可创建路由表后再挂载路由设备
      图 17所示:
      图 17. 创建路由表


    2. 添加两条自定义路由条目。
      表 9. 自定义路由条目
      目标网段 下一跳
      自定义路由条目1 VM-A1相应的VPC网络CIDR VM-A1相应的VPC路由器的公网IP
      自定义路由条目2 VM-B1相应的VPC网络CIDR VM-B1相应的VPC路由器的公网IP

      路由表界面,点击已创建的路由表,进入路由表详情页,点击路由条目,进入路由条目界面,点击添加路由条目,弹出添加路由条目界面,可依次添加上述两条自定义路由条目。

      图 18所示:
      图 18. 添加路由表条目


  16. 验证云主机VM-A1和VM-B1之间的连通性。
    预期结果:
    • 登录VM-A1,ping VM-B1:可以成功
    • 登录VM-B1,ping VM-A2:可以成功
    实际结果如图 19所示:
    图 19. VM-A1和VM-B1互ping




至此,VPC网络多租户隔离部署实践介绍完毕。

多层Web服务器

VPC下部署多层Web服务器的基本流程:
  1. 在一个VPC下搭建三个VPC子网:Web网络、应用网络、数据库网络。
    说明: 三个VPC子网的网络段不可重叠。
  2. 基于三个VPC子网分别创建三台云主机:VM-web、VM-app、VM-database。
  3. 验证三台云主机的网络连通性。
假定客户环境如下:
  1. 公有网络
    表 1. 公有网络配置信息
    公有网络 配置信息
    网卡 em01
    VLAN ID 非VLAN
    IP地址段 10.151.10.100~10.151.10.200
    子网掩码 255.0.0.0
    网关 10.0.0.1
  2. 管理网络
    表 2. 管理网络配置信息
    管理网络 配置信息
    网卡 em02
    VLAN ID 非VLAN
    IP地址段 192.168.28.100~192.168.28.200
    子网掩码 255.255.255.0
    网关 192.168.28.1
    说明:
    • 出于安全和稳定性考虑,建议部署独立的管理网络,并与公有网络隔离。
    • 此管理网络与ZStack Cloud中的管理网络为相同概念(即:管理物理机、主存储、镜像服务器的网络),如果已创建可直接复用。
  3. Web网络(VPC网络-1)
    表 3. Web网络配置信息
    私有网络 配置信息
    网卡 em01
    VLAN ID 2017
    IP CIDR 192.168.10.0/24
  4. 应用网络(VPC网络-2)
    表 4. 应用网络配置信息
    私有网络 配置信息
    网卡 em01
    VLAN ID 2020
    IP CIDR 192.168.20.0/24
  5. 数据库网络(VPC网络-3)
    表 5. 数据库网络配置信息
    私有网络 配置信息
    网卡 em01
    VLAN ID 2050
    IP CIDR 192.168.50.0/24

以下介绍VPC下部署多层Web服务器的实践步骤。

  1. 在一个VPC下搭建三个VPC子网:Web网络、应用网络、数据库网络。详情可参考《用户手册》创建VPC网络相关章节。
    说明: 三个VPC子网的网络段不可重叠。
    图 1所示:
    图 1. 三个VPC子网


  2. 基于三个VPC子网分别创建三台云主机:VM-web、VM-app、VM-database。
    图 2所示:
    图 2. VM-web、VM-app、VM-database


  3. 验证三台云主机的网络连通性。
    1. 登录VM-web,用ping命令验证网络连通性:
      预期结果:
      • ping baidu.com:可以成功
      • ping VM-app:可以成功
      • ping VM-database:可以成功
      说明:
      在VM-web系统中,手动添加VM-app、VM-database的IP地址到/etc/hosts文件路径下。
      [root@VM-web ~]# vim /etc/hosts ... 192.168.20.187 VM-app 192.168.50.141 VM-database ...
      实际结果如图 3所示:
      图 3. 验证VM-web网络连通性


    2. 登录VM-app,用ping命令验证网络连通性:
      预期结果:
      • ping baidu.com:可以成功
      • ping VM-web:可以成功
      • ping VM-database:可以成功
      说明:
      在VM-app系统中,手动添加VM-web、VM-database的IP地址到/etc/hosts文件路径下。
      [root@VM-app ~]# vim /etc/hosts ... 192.168.10.79 VM-web 192.168.50.141 VM-database ...
      实际结果如图 4所示:
      图 4. 验证VM-app网络连通性


    3. 登录VM-database,用ping命令验证网络连通性:
      预期结果:
      • ping baidu.com:可以成功
      • ping VM-app:可以成功
      • ping VM-web:可以成功
      说明:
      在VM-database系统中,手动添加VM-app、VM-web的IP地址到/etc/hosts文件路径下。
      [root@VM-database ~]# vim /etc/hosts ... 192.168.20.187 VM-app 192.168.10.79 VM-web ...
      实际结果如图 5所示:
      图 5. 验证VM-database网络连通性


至此,多层Web服务器部署实践介绍完毕。














历史文档

学习路径

ZStack Cloud 产品学习路径

版本号:

5.3.0
4.8.10
常见问题
常见问题

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

ZStack学院:

training@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2
其他业务(漏洞提交、投诉举报等)
400-962-2212 转 3

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。