网络产品使用场景及各种坑规避

本文主要是介绍网络产品在哪些场景下使用，以及使用中可能踩到的坑如何规避。

1. 网络产品基础概念

VPC：私有网络，这个东东在阿里云叫做专有网络，就相当于路由器这种3层网络设备；

子网：阿里云叫做交换机，也就是相当于2层网络设备；

地域：类似于广州、北京这种不同区域的，对应aws这些的概念是region；

子区：类似于广州一区、广州二区这种，一个地域含有多个子区，对应于aws就是zone；

VPC是region级别的产品，即一个VPC在一个region内；子网是zone级别的产品，即一个子网在一个zone内。

2. 内网互联产品

2.1 单个VPC互联

2.1.1 同一个VPC内设备默认互联，VPC不收费

如果一个账号一个地域的多个子区都有资源，可以把VPC内的子网放在不同的zone，这样默认是互通的；

如果小用户，尽量所有的资源都部署到同一个VPC下，好处是可以省钱！！

如果一个VPC不满足需求，多个VPC尽量部署在同一个地域下，好处是可以省钱！！

但是如果业务有跨region的容灾需求，那就不可避免的涉及要跨域之间通信的费用。

2.2 跨VPC互联

不同的VPC间默认是不互联的（不管是同一个账号还是跨账号），需要借助跨VPC互联产品：云联网、对等连接；此两种产品，都是走的内网，务必保证 VPC 之间网断不要冲突！

临时使用来传输，建议用对等连接，另外限制好带宽，控制好预算；长期使用的话，需要使用云联网（购买带宽包）

2.2.1 云联网（多个VPC互联连成网状，或者使用专线、VPN连到本地IDC也可）

按月结产品，加入同一个云联网的多个VPC之间都是互联的，不仅可以VPC互联，也可以云上云下互联；此处网断要规划好，否则可能会导致不通。

同地域不超过 5 Gbps免费，限制好自己的带宽（不设置带宽的话，带宽上限是 1 Gbps），否则荷包受不了； 跨境需要商务经理申请。

2.2.1 对等连接（两个VPC之间互联，端到端，不具有传递性）

同账户/不同账户的时候，同地域的传输有免费的额度，跨地域的小用户是按照日峰值计费的～

此处有坑，同地域不超过 5 Gbps免费，跨地域一定限制好自己的带宽也不要临时调大带宽，否和荷包受不了😭； 普通用户的对等连接都是日结产品，也就是从0点用到24点最划算啦～不是算连续24小时，次日北京时间8-10点结算； 另外跨境的对等连接，是需要商务申请的。

2.3 基础网络连接VPC

基础网络已下线，所以用户新创建的cvm或者是clb等都只能使用VPC的网络，基础网络默认和VPC不是互通的，如果需要互通要使用基础网络互通，配置见https://cloud.tencent.com/document/product/215/38124

基础网络中的云服务器可以访问VPC中的云服务器、云数据库、内网负载均衡、云缓存等云资源，而VPC内的 云服务器，只能访问互通的基础网络云服务器，无法访问基础网络中的其他计算资源。 还有挺多别的限制，所以如果实例等资源支持切换网络的可以直接切换到VPC中。

3. 内网主机访问到外网

需要部署网站，安装软件等，cvm就需要连接到外网，此处有两种方式可以直接到外网。

3.1 绑定EIP或者使用默认的公网IP连接外网

如果是少数的机器、或者临时需要连接到外网（比如部署内部的应用等），且主机没有公网IP，则可以直接申请 弹性公网IP，哪台机器需要访问公网就绑定该EIP。

公网IP是直接在购买CVM时就绑定在CVM上的，和EIP的计费方式区别是：EIP在不绑定资源的时候是收费的，绑定之后的公网网络费用和公网IP是一样的；另外公网IP的生命周期和CVM一致，EIP需要单独手动释放。

此处的坑：如果有不用的EIP一定要手动释放，否则会扣费～ 另外千万规划好自己的带宽和计费方式（包年包月还是按量计费，长期使用的话包年包月较划算），转换计费方式是有配额的，从高带宽降到低带宽也并不是按天数退换平均值。强烈不建议包年包月转按量计费，谁转谁后悔 :(

3.2 NAT网关

如果VPC内的某个子网或者所有的主机都有访问外网的需要，而且要大流量，可以使用NAT网关，NAT网关相对比NAT公网网关（其实就是一台cvm的机器，自己内部配置snat等）的优势是有容灾、可以控制流控等。

计费是实例按小时计费，访问公网的流量是按流量计费（分为包年包月按流量和按量计费）。

如果为了节省成本，可以使用公网网关（实际就是一台虚拟机，不过需要自己维护）https://cloud.tencent.com/document/product/213/38839

4. 外网连接内网资源或者内网提供对外服务

4.1 CLB提供网站服务

CLB分成两个产品，一个是应用型负载均衡器、另一个是传统型负载均衡器；传统型的负载均衡器在慢慢下线，一些新的功能是不支持的。

应用型或者传统型的CLB都是支持内网或者外网的，外网型的CLB可以直接给外部提供服务；内网型的可以用来搭建集群等，也可以用于提供VPC内部的服务。内网CLB暂时不收费。

负载均衡分类及主要的功能点差距

此处的坑：

* 新注册的账户都是标准账户，CLB的流量都是在CLB自身上；

* 以前的老账户是传统账号，CLB的流量和网络计费都是在后端的cvm主机上，所以cvm的带宽不能为0。

传统账户/标准账户的CLB带宽问题：

标准账号的CLB如果有一台后端主机挂掉，CLB还是可以使用完整的带宽的，但是传统账号的带宽就相当于减少了。

此处仁者见仁智者见智吧！不过标准账号是趋势，所以有的传统账号享受不了一些新的特性（比如包年包月负载均衡、支持指定的IP加入共享流量包等）

4.2 NAT网关提供SNAT和DNAT服务

可以配置NAT的端口转发，使用 NAT 的 公网IP 地址访问到内网的部分机器；或者 NAT 网关后面的云服务器不够买 公网IP地址、带宽，通过 NAT网关访问外网资源。

和CLB的区别在于，NAT网关接可以对外网提供服务也可以支持内部云服务器访问外部资源；CLB只支持对外网提供服务。PS：不支持 NAT 网关后面指定内网数据库的地址后，内网数据库对外提供服务。

此处的坑：

* NAT 网关绑定 EIP之后，EIP的带宽默认会变层 5000Mbps，需要自己手动再修改 EIP的带宽大小

* NAT 网关的公网 IP 地址不支持 ping

5. 云下连接云上

5.1 VPN

VPN包含：VPN网关、VPN通道和对外地址。可以用来连接不同云厂商的VPC、或者将云上的资源和自己IDC的资源打通（和自己家的网络打通一般不支持，因为VPN需要两端有固定的公网IP地址，而家庭网络的IP地址一般都是动态变化的）。

此处的坑：

计费和别的厂商的不太一样，别的厂商一般都是根据 VPN 通道收费，但是腾讯云视 VPN 网关收费，所以如果你创建了 VPN 网关，但是没有使用起来（VPN通道没有通），记得及时删除 VPN 网关。我就因为忘记删除 VPN 网关扣了 50多块，而且还没有扣费提醒

################## 懒的分界线，剩下慢慢补 ##################

5.2 专线

物理专线

5.3 云联网

云联网可以接入专线、VPN等

6. 隔离如何做?

6.1 安全组

针对CVM级别的隔离

6.2 ACL

针对子网级别的隔离

7. 容灾如何做？

7.1 弹性网卡&EIP

多个公网IP

7.2 CLB

业务如何做region级别的容灾

名称解释：

cvm：cloud virtual machine，云实例

clb：cloud loadbalancer，云负载均衡