admin 管理员组

文章数量: 1184232

目录

计算机网络:

私有网络:

云计算网络形成:

私有网络VPC:

负载均衡:

内容分发网络:

计算机网络:

OSI七层模型:
应用层:负责处理网络应用程序之间的通信、
表示层:负责数据的格式化和加密、
会话层:负责建立、管理和终止会话、
传输层:负责端到端的可靠传输、
网络层:负责数据的路由和转发、
数据链路层:负责数据帧的封装和解封装,数据检测和纠正、
物理层:比特流的传输

TCP/IP协议:
 

端口:
知名端口:
TCP端口:HTTP:80;HTTPS:443;FTP:21
UDP端口:DNS:53;NTP:123;SNMP:161
注册端口:
MySQL:3306;PostgreSQL:5432;SQL Server:1433;RDP:3389;SIP:5060/5061
动态或私有端口:随机分配

网络通讯的基本元素:
IP地址、子网掩码、网关

IP地址:还分为公有地址和私有地址
A类地址:1.0.0.0-126.0.0.0,用于大型网络
B类地址:128.0.0.0-191.255.0.0,用于中型网络
C类地址:192.0.0.0-223.255.255.0,用于小型网络
D类地址:224.0.0.0-239.255.255.255,用于多点广播
E类地址:240.0.0.0-255.255.255.255,保留未分配

子网掩码:用于确定一个IP地址的网络部分和主机部分的掩码

子网与局域网:子网是指讲一个大的IP网络划分为若干个小的、相互隔离的网络的过程。局域网是在有限的地理范围内建立的计算机网络。

VLAN与MAC、ARP
VLAN:虚拟局域网,将网络设备划分成逻辑上相互隔离的网络
ARP:IP地址映射到MAC地址;无法跨VLAN传播
MAC:在局域网中唯一表示网络设备

NAT网络地址转换:私有地址和共有地址之间的通信;有效解决了IP地址资源紧张的问题

网关和路由器:
网关是不同网段之间的出入口,路由器可以解决不同网段之间的通信

路由:确定数据包从发送者到接收者之间的最佳路径

路由协议:RIP路由信息协议;OSPF:开放最短路径优先;BGP:边界网关协议

网络访问控制列表ACL:用于控制数据流入和流出的规则集;

域名与DNS:
HTTP状态码:2XX成功状态码;3XX重定向状态码;4XX客户端错误状态码;5XX服务器错误状态码

自治系统AS:互联网路由的基本单位,指一组IP地址块及一种由一致的路由策略控制的IP地址块集合。

网络架构:
边缘层:连接内部网络与外部网络:
核心层:负责在不同网络间进行数据转发
汇聚层:负责将接入层和核心层连接起来
接入层:负责连接终端设备到网络

路由器:
家庭路由器:集成NAT和防火墙功能,确定家庭网络的安全
企业路由器:用于企业网络;
核心路由器:用于大型网络的核心层。高吞吐量、低延迟

交换机:在局域网内高速传播数据包
非管理型交换机、管理型交换机、核心交换机

防火墙:网络安全设备,用于监控和控制进出网络的数据流。

私有网络:

云计算网络形成:

自建数据中心——数据中心托管——构建灾备中心——同城双活异地灾备——多云统一运营管理

云计算技术的演进:
虚拟化——SDN——分布式——云计算
NFV虚拟化:将传统专用硬件上的网络功能转化为软件模块,并在通用服务器上以虚拟化的方式运行这些功能;
SDN软件定义网络:将网络数据转发和控制功能分离,是的网络管理可以通过集中的控制器进行,并且可以通过软件定义的方式集中控制。
分布式技术:Overlay网络:使用分布式技术来实现节点间的通信和数据交换,通过在现有网络基础上建立逻辑连接,实现节点之间的通信和数据传输。
云网络:基于云计算架构的网络,用于连接和管理云服务、资源和用户。

传统数据中心网络VS软件定义网络


Overlay网络:可以按照需求建立不同的虚拟拓扑组网,无需对底层网络做出修改。

云计算网络的特征:虚拟化和多租户支持;软件定义网络;自动化和自服务性;弹性和可扩展性;安全性和隔离

私有网络和互联网的通信:私访公:NAT网关或绑定公网IP;公访私:访问外网类型的负载均衡
私有网络之间:同地域内不同私有网络:建立私有连接——负载均衡;跨地域网络通讯:建立对等连接或加入到云联网
混合云网络:VPN加密、云联网

私有网络VPC:

网络自定义、内网互联、安全服务(安全组、网络ACL)、Internet服务(弹性IP、负载均衡、NAT网关)

优势:自定义网络、弹性可扩展、丰富接入、安全可靠、简单易用

应用场景:

单个云服务器访问公网:可以申请一个公网IP绑定在云服务器上
多个云服务器访问公网:NAT网关。

单个云服务器对公网提供访问:将网站等服务托管在VPC中的云服务器上,通过一个公网IP实现对外提供服务的功能
多个云服务器对公网提供访问:使用负载均衡

跨可用区容灾:内网互通
跨地域容灾:专线连接或VPN,实现两个私有网络之间的互通。

本地数据中心到云上:专线接入、VPN连接;

全国多点互联:云联网、专线接入

VPN连接:
在公共网络上建立一个安全的网络连接,通过加密通道方式将企业数据中心、内部办公网络与腾讯云的私有网络VPC安全连接起来。IPSec VPN支持通过公网和私网访问云上资源

专线接入:通过专线接入建立与公网完全隔离的私有连接服务。

对等连接:具有多区域、多账户、多种网络易购互通等特点,轻松实现云上两地三中心、游戏同服等复杂网络场景,支持VPC间互通、VPC和黑石私有网络互通

云联网:提供云上私有网络间、VPC与本地数据中心间内网互联的服务;

私有网络如何配置:
创建私有网络——创建路由表(目标端、下一跳类型、下一跳ID)——创建NAT网关——创建弹性网卡(关联安全组)——创建网络ACL——创建安全组

负载均衡:

解决问题:访问延迟与服务器宕机、单台服务器硬件性能有限、扩展性问题、单点故障

将流量分配到多台后端服务器的服务,

作用:
解决并发压力,提高应用处理性能;
提供故障转移,实现高可用;
通过添加或减少服务器数量,提供网络伸缩性;
安全防护(负载均衡设备上做一些过滤,黑白名单等处理)

分类:软、硬件负载均衡;二层、三层、四层和七层负载均衡;本地/全局负载均衡;

硬件负载均衡产品:F5 BIG-IP、Citrix Netscaler、深信服、Array、Radware等
软件负载均衡产品:LVS、Haproxy、Niginx、Ats等

四层负载均衡(传输层):基于网络流量、IP地址、端口等信息进行负载均衡。
七层负载均衡(应用层):能够根据应用协议的特定信息(如HTTP报文中的URL、Cookie等)进行负载均衡。可以实现更复杂的负载均衡控制,比如基于URL、Session、动静分离等)
一般是LVS做4层负载;nginx做7层负载;haproxy比较灵活,都可以用

云负载均衡:高性能、高可用、安全稳定、低成本

常见流量分发算法:加权轮询(服务时间基本相同,短连接)、加权最小连接(长连接/服务时间不同;新增后端服务器)、源地址散列(固定分派、会话保持)

在云计算环境中,当后端服务器位于overlay上层网络时,流量通常会通过网络虚拟化技术进行传送。这可以通过软件定义网络SDN或虚拟网络功能VNF来实现。当负载均衡接收到流量时,它会根据设定的路由策略和目标服务器的位置,将流量封装在适当的网络协议中,然后通过overlay网络将流量传输到目标服务器所在的位置。(这个过程可能涉及到隧道技术,如VXLAN、GRE等)

应用场景:

配合弹性伸缩使用

内容分发网络:

将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容。

CDN有效解决了目前互联网业务中网络层面的以下问题:
用户与业务服务器地域间物理距离较远,需要进行多次网络转发,传输延时高且不稳定;
用户使用运营商与业务服务器所在运营商不同,请求需要运营商之间进行互联转发;
业务服务器网络带宽、处理能力有限,当接收到海量用户请求时,会导致响应速度降低,可用性降低。CDN接入简单;

基本概念:
源站:指客户自身Web服务所在服务器,接入加速域名时可填充服务器对应外网的IP地址作为源站;当边缘节点没有缓存内容时,会向源站请求数据。(称为回源)
边缘节点:用于缓存客户源站内容以便快速响应不同地域用户请求的网络节点:
CNAME记录:指域名解析中的别名记录;
静态内容:指用户多次访问某一资源,响应返回的数据都是相同的内容。如html\css\js文件、图片、视频、软件安装包、apk文件、压缩包文件等;
动态内容:指用户多次访问某一资源,响应返回的数据是不相同的内容。例如:API接口、.jsp、.asp、.php、.perl和.cgi文件等。
缓存预热:针对大文件或者热门文件,用户可通过指定URL、CDN边缘节点将模拟真实用户请求向源站请求文件,提前预载至所有CDN边缘节点内,建立文件缓存。

特征:
高速传输;负载均衡;内容缓存;攻击防护(防止DDos攻击);可伸缩性;可靠性(降低单点故障风险)

用户请求内容——边缘服务器响应——原始内容服务器——调度中心,监控节点的健康状况
1P大容量存储,200T链路带宽;永久存储、高速回源链路;FLV、HLS直播支持;基于客户IP精准调度

主要组件:
边缘服务器;负载均衡器;缓存;分发节点管理(监控与日志部分);分发管理系统;

调度系统:CDN厂家有能力通过各种机制将客户域名的所有现网请求引导到合适的目标机房
基于地理的调度:DNS调度以及302调度
基于内容的调度:根据内容
基于质量的调度:根据质量数据
基于成本的调度:保证质量前提下,将请求引导到成本最低的节点。
基于故障处理的调度:出现故障时,系统引到其他正常的节点,路由调度策略;

应用场景:
网站加速:提供强大的网站静态内容的加速分发处理能力,显著提升网站资源加载速度;
下载速度:各类文件下载的加速:游戏安装包、手机ROM升级、应用程序包下载。(多线程下载、断点续传、预取技术)
音视频加速:各类音视频App、在线音视频网站、网络电视等。
全站加速:动静资源混合或较多动态资源的请求:API接口、.jsp、.asp、.php、.perl和.cgi文件

配置使用:
开通加速服务——添加域名——推荐配置——配置CNAME——访问测试验证

DDos攻击:

拒绝服务,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者带宽资源的目的。

主要现象:大量无用连接、系统卡顿、网络拥塞、无法响应。

根据攻击报文类型的不同,可以分为TCP Flood、UDP Flood、HTTP Flood、ICMP Flood、DNS Flood。常见的是TCP Flood中的SYN Flood攻击。
攻击者伪造大量的SYN请求报文发送给服务器,服务器每收到一个SYN就会响应一个SYN-ACK报文,但是攻击者并不会理会此SYN-ACK报文,所以服务器端会存在大量TCP半开连接,维护这些链接需要消耗大量的CPU及内存资源,最终导致服务器无暇处理正常的SYN请求,拒绝服务。

防范措施:
保证足够带宽:更大的带宽能够容纳更多的容量
安全设备:安装防火墙和入侵检测系统,配置防火墙规则,限制不必要的端口和服务
使用内容分发网络CDN:缓存网站内容,引导到距离近的服务器,分散流量
采用负载均衡技术将请求分发到多个服务器上
IP黑名单策略:将已知的恶意IP地址加入黑名单
与专业DDos防护服务商合作
制定应急预案:流量清洗,切换备用线路;
选用高性能设备:

腾讯云DDos防护方案:
优势:充足优质的DDos防护资源;持续进化的自研+AI智能识别清洗算法;应用覆盖广泛。
1、基础防护
适用于低流量、低频率攻击
2、高防包
3、高防IP
可以将公网IP与防护IP进行绑定,内外网均可防。

防护原理:
镜像接口配置:配置镜像接口,将网络流量进行分流
流量牵引与清洗:会通过BGP路由将攻击流量牵引到防护设备进行清洗
清洗后的流量回注:保证设备正常运行,不受攻击流量影响。

云防火墙CFW:

防火墙发展史:
包过滤——应用代理——状态检测——专用设备——UTM——DPI——下一代防火墙NGFW

是公有云环境下的Saas防火墙,
三种类型:
VPC间防火墙:提供VPC间的防护控制能力
NAT边界防火墙:从云上资产访问互联网的场景;提供云上资产和互联网基于NAT边界的防护控制能力
互联网边界防火墙:提供云上资产和互联网的防护控制能力

VPC间防火墙:
部署在对等连接及云联网联通的两个VPC间,支持访问控制、拓扑可视与日志审计等功能
便捷性:无需复杂的路由配置与镜像文件安装,支持即开即用,用户独享式资源配置

NAT&互联网边界防火墙:
NAT边界防火墙开关支持基于内网资产进行流量管控与安全防护
互联网边界防火墙用户保护带有弹性公网IP的云内网源和互联网之间的通信的安全

本文标签: 腾讯 云网 工程师

版权声明:本文标题:云网络(参考自腾讯云计算工程师认证) 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1765177460a3355090.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。