摘要:虛擬網(wǎng)卡與虛擬機(jī)的生命周期一致,無法進(jìn)行分離�,虛擬機(jī)被銷毀時�,虛擬網(wǎng)卡即被銷毀����。每塊虛擬網(wǎng)卡支持綁定一個安全組,提供網(wǎng)卡級別安全控制�����。平臺默認(rèn)提供塊虛擬網(wǎng)卡����,若業(yè)務(wù)有塊以上網(wǎng)卡需求可通過綁定彈性網(wǎng)卡����,為虛擬機(jī)提供多網(wǎng)絡(luò)服務(wù)。
虛擬機(jī)是 UCloudStack 云平臺的核心服務(wù)�,提供可隨時擴(kuò)展的計(jì)算能力服務(wù)��,包括 CPU 、內(nèi)存�����、操作系統(tǒng)等最基礎(chǔ)的計(jì)算組件,并與網(wǎng)絡(luò)�、磁盤等服務(wù)結(jié)合提供完整的計(jì)算環(huán)境���。通過與負(fù)載均衡等服務(wù)結(jié)合共同構(gòu)建 IT 架構(gòu)��。
- UCloudStack 云平臺通過 KVM ( Kernel-based Virtual Machine ) 將物理服務(wù)器計(jì)算資源虛擬化,為虛擬機(jī)提供計(jì)算資源�;
- 一臺虛擬機(jī)的計(jì)算資源只能位于一臺物理服務(wù)器上��,當(dāng)物理服務(wù)器負(fù)載較高或故障時,自動遷移至其它健康的物理服務(wù)器�����;
- 虛擬機(jī)計(jì)算能力通過虛擬 CPU ( vCPU ) 和內(nèi)存表示�,存儲能力通過云存儲容量和性能體現(xiàn);
- 虛擬機(jī)管理程序通過控制 vCPU��、內(nèi)存及磁盤的 QoS �����,用于支持虛擬機(jī)資源隔離����,保證多臺虛擬機(jī)在同一臺物理服務(wù)器上互不影響���。
虛擬機(jī)是云平臺用戶部署并運(yùn)行應(yīng)用服務(wù)的基礎(chǔ)環(huán)境���,與物理計(jì)算機(jī)的使用方式相同�����,提供創(chuàng)建、關(guān)機(jī)�����、斷電�����、開機(jī)�、重置密碼��、重裝系統(tǒng)���、升降級等完全生命周期功能�����;支持 Linux、Windows 等不同的操作系統(tǒng),并可通過 VNC ���、SSH 等方式進(jìn)行訪問和管理,擁有虛擬機(jī)的完全控制權(quán)限。虛擬機(jī)運(yùn)行涉及資源及關(guān)聯(lián)關(guān)系如下:
如圖所示,實(shí)例規(guī)格、鏡像�����、VPC 網(wǎng)絡(luò)是運(yùn)行虛擬機(jī)必須指定的基礎(chǔ)資源��,即指定虛擬機(jī)的 CPU 內(nèi)存、操作系統(tǒng)、虛擬網(wǎng)卡及 IP 信息��。在虛擬機(jī)基礎(chǔ)之上����,可綁定云硬盤、彈性IP 及安全組,為虛擬機(jī)提供數(shù)據(jù)盤��、公網(wǎng) IP 及網(wǎng)絡(luò)防火墻�����,保證虛擬機(jī)應(yīng)用程序的數(shù)據(jù)存儲和網(wǎng)絡(luò)安全����。
在虛擬化計(jì)算能力方面,平臺提供 GPU 設(shè)備透傳能力,支持用戶在平臺上創(chuàng)建并運(yùn)行 GPU 虛擬機(jī)���,讓虛擬機(jī)擁有高性能計(jì)算和圖形處理能力。支持透傳的設(shè)備包括 NVIDIA 的 K80、P40、V100����、2080����、2080Ti�、T4 及 華為 Atlas300 等。
實(shí)例規(guī)格是對虛擬機(jī) CPU 內(nèi)存的配置定義,為虛擬機(jī)提供計(jì)算能力���。CPU 和內(nèi)存是虛擬機(jī)的基礎(chǔ)屬性,需配合鏡像�����、VPC 網(wǎng)絡(luò)����、云硬盤����、安全組及密鑰,提供一臺完整能力的虛擬機(jī)��。
- 默認(rèn)提供 1C2G ���、2C4G ��、4C8G ����、8C16G ���、16C32G 等實(shí)例規(guī)格��;
- 支持自定義實(shí)例規(guī)格���,提供多種 CPU 內(nèi)存組合����,以滿足不同應(yīng)用規(guī)模和場景的負(fù)載要求��;
- 支持升降級虛擬機(jī) CPU 和內(nèi)存配置��,可通過更改實(shí)例規(guī)格進(jìn)行調(diào)整;
- 實(shí)例規(guī)格通過關(guān)機(jī)后變更���,需重新啟動虛擬機(jī)生效�����;
- 實(shí)例規(guī)格與虛擬機(jī)生命周期一致�����,虛擬機(jī)被銷毀時,實(shí)例規(guī)格即被釋放�����。
創(chuàng)建虛擬機(jī)規(guī)格支持根據(jù)不同的集群創(chuàng)建不同的規(guī)格����,即可為不同的機(jī)型創(chuàng)建不同的規(guī)格,租戶創(chuàng)建虛擬機(jī)選擇不同機(jī)型時�,即可創(chuàng)建不同規(guī)格的虛擬機(jī)�,適應(yīng)不同集群硬件配置不一致的應(yīng)用場景��??煞謩e定義 CPU 和內(nèi)存:
- CPU 規(guī)格支持(C):除 1 以外�����,以2的倍數(shù)進(jìn)行增加��,如 1C�����、2C、4C�����、6C �����,最大值為240C。
- 內(nèi)存規(guī)格支持(G):除 1 以外��,以2的倍數(shù)進(jìn)行增加�,如 1G、2G����、4G��、6G ,最大值為 1024G。
創(chuàng)建出的規(guī)格即可被所有租戶看到并使用,可根據(jù)業(yè)務(wù)需求在不同的集群中創(chuàng)建不同的規(guī)格。
鏡像( Image )是虛擬機(jī)實(shí)例運(yùn)行環(huán)境的模板,通常包括操作系統(tǒng)、預(yù)裝應(yīng)用程序及相關(guān)配置等。虛擬機(jī)管理程序通過指定的鏡像模板作為啟動實(shí)例的系統(tǒng)盤��,生命周期與虛擬機(jī)一致�,虛擬機(jī)被銷毀時,系統(tǒng)盤即被銷毀。平臺虛擬機(jī)鏡像分為基礎(chǔ)鏡像和自制鏡像����。
基礎(chǔ)鏡像是由 UCloudStack 官方提供��,包括多發(fā)行版 Centos 、Ubuntu 及 Windows 等原生操作系統(tǒng)�。
- 基礎(chǔ)鏡像默認(rèn)所有租戶均可使用��,默認(rèn)提供的鏡像包括 Centos 6.5 64 、Centos 7.4 64 ����、Windows 2008r2 64 ��、Windows 2012r2 64 、Ubuntu 14.04 64 ��、Ubuntu 16.04 64��。
- 基礎(chǔ)鏡像均經(jīng)過系統(tǒng)化測試,并定期更新維護(hù),確保鏡像安全穩(wěn)定的運(yùn)行和使用;
- 基礎(chǔ)鏡像為系統(tǒng)默認(rèn)提供的鏡像�,僅支持查看及通過鏡像運(yùn)行虛擬機(jī)�,不支持修改�;
- Linux 鏡像默認(rèn)系統(tǒng)盤為 40GB ,Windows 鏡像默認(rèn)系統(tǒng)盤為 40GB ,支持創(chuàng)建時進(jìn)行系統(tǒng)盤容量擴(kuò)容��,也可以在虛擬機(jī)創(chuàng)建后做系統(tǒng)盤擴(kuò)容操作(需要用戶手動進(jìn)入虛擬機(jī)內(nèi)部進(jìn)行文件系統(tǒng)擴(kuò)容操作)��。
- 支持管理將租戶自制或?qū)氲溺R像復(fù)制為基礎(chǔ)鏡像��,作為默認(rèn)基礎(chǔ)鏡像共享給平臺所有租戶使用;同時支持管理員修改基礎(chǔ)鏡像的名稱備注及刪除基礎(chǔ)鏡像��。
- 支持重裝系統(tǒng)����,即更換虛擬機(jī)鏡像,Linux 虛擬機(jī)僅支持更換 Centos 和 Ubuntu 操作系統(tǒng)�����,Windows 虛擬機(jī)僅支持更換 Windows 其它版本的操作系統(tǒng)�����;
Windows 操作系統(tǒng)鏡像為微軟官方提供����,需自行購買 Lincense 激活�。
自制鏡像由租戶或管理員通過虛擬機(jī)自行制作或自定義導(dǎo)入已有的自有鏡像,可用于創(chuàng)建虛擬機(jī),除平臺管理員外�����,平臺的租戶自身也有權(quán)限查看和管理�。
- 支持管理員和租戶制作�����、導(dǎo)入和導(dǎo)出自定義鏡像��;同時管理員可導(dǎo)出鏡像倉庫中的所有自制鏡像����。
- 支持管理員和租戶通過自制鏡像創(chuàng)建虛擬機(jī)�����、刪除自制鏡像�����、修改自制鏡像名稱。
為方便平臺鏡像模板文件的共享�,平臺支持管理員將一個自制鏡像復(fù)制為一個基礎(chǔ)鏡像����,使一個租戶的自制鏡像共享給所有租戶使用���,適用于運(yùn)維部門制作模板鏡像的場景���,如自制鏡像操作系統(tǒng)的漏洞修復(fù)或升級后���,制作一個自制鏡像并復(fù)制為基礎(chǔ)鏡像�����,使所有租戶可使用新的鏡像文件升級虛擬機(jī)系統(tǒng)����。
基礎(chǔ)鏡像和用戶自制鏡像默認(rèn)均存儲于分布式存儲系統(tǒng)���,保證性能的同時通過三副本保證數(shù)據(jù)安全�����。
- 鏡像支持 QCOW2 格式,可將 RAW���、VMDK 等格式鏡像轉(zhuǎn)換為 QCOW2 格式文件,用于 V2V 遷移場景;
- 所有鏡像均存儲于分布式存儲系統(tǒng)���,即鏡像文件會分布在底層計(jì)算存儲超融合節(jié)點(diǎn)磁盤上;
- 若為獨(dú)立存儲節(jié)點(diǎn)���,則分布存儲于獨(dú)立存儲節(jié)點(diǎn)的所有磁盤上;
- 一個地域的鏡像只能創(chuàng)建本地域的虛擬機(jī)�����,不支持跨地域鏡像創(chuàng)建虛擬機(jī)���。
虛擬網(wǎng)卡( Virtual NIC )是虛擬機(jī)與外部通信的虛擬網(wǎng)絡(luò)設(shè)備�����,創(chuàng)建虛擬機(jī)時隨 VPC 網(wǎng)絡(luò)默認(rèn)創(chuàng)建的虛擬網(wǎng)卡����。虛擬網(wǎng)卡與虛擬機(jī)的生命周期一致��,無法進(jìn)行分離�����,虛擬機(jī)被銷毀時,虛擬網(wǎng)卡即被銷毀。有關(guān) VPC 網(wǎng)絡(luò)詳見 VPC 網(wǎng)絡(luò) ���。
虛擬網(wǎng)卡基于 Virtio 實(shí)現(xiàn),QEMU 通過 API 對外提供一組 Tun/Tap 模擬設(shè)備,將虛擬機(jī)的網(wǎng)絡(luò)橋接至宿主機(jī)網(wǎng)卡��,通過 OVS 與其它虛擬網(wǎng)絡(luò)進(jìn)行通信�����。
- 每個虛擬機(jī)默認(rèn)會生成 2 塊虛擬網(wǎng)卡��,分別承載虛擬機(jī)內(nèi)外網(wǎng)通信。
- 在虛擬機(jī)啟動時�,根據(jù)選擇的 VPC 子網(wǎng)自動發(fā)起 DHCP 請求以獲取內(nèi)網(wǎng) IP 地址�,并將網(wǎng)絡(luò)信息配置在一塊虛擬網(wǎng)卡上�,為虛擬機(jī)提供內(nèi)網(wǎng)訪問。
- 虛擬機(jī)啟動后����,可申請公網(wǎng) IP (外網(wǎng) IP)綁定至虛擬機(jī)����,提供互聯(lián)網(wǎng)訪問服務(wù)��。綁定的外網(wǎng) IP 會自動將公網(wǎng) IP 信息配置在另一塊虛擬網(wǎng)卡上����,為虛擬機(jī)提供外網(wǎng)訪問���;一個虛擬機(jī)支持綁定 50 個外網(wǎng) IPv4 和 10 個 IPv6 地址 ����。
- 不支持修改虛擬網(wǎng)卡的 IP 地址����,手動修改的 IP 地址將無法生效。
- 每塊虛擬網(wǎng)卡支持綁定一個安全組��,提供網(wǎng)卡級別安全控制��。
- 支持虛擬網(wǎng)卡 QoS 控制�����,提供自定義設(shè)置虛擬網(wǎng)卡的出/入口帶寬。
平臺默認(rèn)提供 2 塊虛擬網(wǎng)卡,若業(yè)務(wù)有 2 塊以上網(wǎng)卡需求可通過綁定 彈性網(wǎng)卡 �,為虛擬機(jī)提供多網(wǎng)絡(luò)服務(wù)���。
彈性網(wǎng)卡( Elastic Network Interface, ENI )是一種可隨時附加到虛擬機(jī)的彈性網(wǎng)絡(luò)接口�����,支持綁定和解綁,可在多個虛擬機(jī)間靈活遷移���,為虛擬機(jī)提供高可用集群搭建能力,同時可實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)管理及廉價(jià)故障轉(zhuǎn)移方案���。
彈性網(wǎng)卡與虛擬機(jī)自帶的默認(rèn)網(wǎng)卡(一個內(nèi)網(wǎng)網(wǎng)卡和一個外網(wǎng)網(wǎng)卡)均是為虛擬機(jī)提供網(wǎng)絡(luò)傳輸?shù)奶摂M網(wǎng)絡(luò)設(shè)備,分為內(nèi)網(wǎng)網(wǎng)卡和外網(wǎng)網(wǎng)卡兩種類型�����,同時均會從所屬網(wǎng)絡(luò)中分配 IP 地址����、網(wǎng)關(guān)、子網(wǎng)掩碼及路由相關(guān)網(wǎng)絡(luò)信息��。
- 內(nèi)網(wǎng)類型的彈性網(wǎng)卡所屬網(wǎng)絡(luò)為 VPC 和子網(wǎng)��,同時從 VPC 中自動或手動分配 IP 地址。
- 外網(wǎng)類型的彈性網(wǎng)卡所屬網(wǎng)絡(luò)為外網(wǎng)網(wǎng)段��,同時會從外網(wǎng)網(wǎng)段中自動或手動分配 IP 地址����,且分配的 IP 地址與彈性網(wǎng)卡生命周期一致,僅支持隨彈性網(wǎng)卡銷毀而釋放���。
- 當(dāng)網(wǎng)卡類型為外網(wǎng)時����,網(wǎng)卡會根據(jù)所選外網(wǎng) IP 的帶寬規(guī)格進(jìn)行計(jì)費(fèi)���,用戶可根據(jù)業(yè)務(wù)需要�����,選擇適合的付費(fèi)方式和購買時長�。
虛擬機(jī)自帶的默認(rèn)網(wǎng)卡所屬網(wǎng)絡(luò)為虛擬機(jī)創(chuàng)建時指定的 VPC 和子網(wǎng)����,為虛擬機(jī)綁定一塊不同 VPC 的彈性網(wǎng)卡,虛擬機(jī)即可與不同 VPC 網(wǎng)絡(luò)的虛擬機(jī)進(jìn)行通信����。
彈性網(wǎng)卡具有獨(dú)立的生命周期����,支持綁定和解綁管理�,可在多個虛擬機(jī)間自由遷移;虛擬機(jī)被銷毀時�,彈性網(wǎng)卡將自動解綁,可綁定至另一臺虛擬機(jī)使用。
彈性網(wǎng)卡具有地域(數(shù)據(jù)中心)屬性�,僅支持綁定相同數(shù)據(jù)中心的虛擬機(jī)�����。一塊彈性網(wǎng)卡僅支持綁定至一個虛擬機(jī),x86 架構(gòu)虛擬機(jī)最多支持綁定 6 塊彈性網(wǎng)卡���,ARM 架構(gòu)虛擬機(jī)最多支持綁定 3 塊網(wǎng)卡。外網(wǎng)彈性網(wǎng)卡被綁定至虛擬機(jī)后�����,不影響虛擬機(jī)默認(rèn)網(wǎng)絡(luò)出口策略���,包含虛擬機(jī)上彈性網(wǎng)卡綁定的外網(wǎng) IP 在內(nèi)����,以第一個有默認(rèn)路由的 IP 作為虛擬機(jī)的默認(rèn)網(wǎng)絡(luò)出口,用戶可設(shè)置某一個有默認(rèn)路由的外網(wǎng) IP 為虛擬機(jī)默認(rèn)網(wǎng)絡(luò)出口�����。
每塊彈性網(wǎng)卡僅支持分配一個 IP 地址��,并可根據(jù)需要綁定一個安全組�,用于控制進(jìn)出彈性網(wǎng)卡的流量�,實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)安全管控;如無需對彈性網(wǎng)卡的流量進(jìn)行管控,可將彈性網(wǎng)卡的安全組置空�。
用戶可通過平臺自定義創(chuàng)建網(wǎng)卡�,并對網(wǎng)卡進(jìn)行綁定���、解綁及修改安全組等相關(guān)操作����,對于外網(wǎng)彈性網(wǎng)卡還可進(jìn)行【調(diào)整帶寬】操作,用于調(diào)整外網(wǎng)彈性網(wǎng)卡上的外網(wǎng) IP 地址的帶寬上限���。
彈性網(wǎng)卡具有地域����、網(wǎng)卡類型、VPC、子網(wǎng)���、外網(wǎng)網(wǎng)段、外網(wǎng) IP 帶寬、IP 及安全組等屬性,支持創(chuàng)建、綁定��、解綁���、綁定安全組�����、解綁安全組及刪除彈性網(wǎng)卡等生命周期管理����。
- 地域:彈性網(wǎng)卡僅支持綁定至相同地域的虛擬機(jī)。
- 網(wǎng)卡類型:彈性網(wǎng)卡的網(wǎng)絡(luò)接入類型,支持 VPC 內(nèi)網(wǎng)和 EIP 外網(wǎng)兩種類型�����。
- VPC/子網(wǎng):一塊內(nèi)網(wǎng)彈性網(wǎng)卡僅支持加入至一個 VPC 和子網(wǎng)���,創(chuàng)建后無法修改 VPC 和子網(wǎng)���。
- 外網(wǎng)網(wǎng)段:一塊外網(wǎng)彈性網(wǎng)卡僅支持從一個外網(wǎng)網(wǎng)段中分配 IP 地址�,創(chuàng)建后無法修改。
- 外網(wǎng) IP 帶寬:外網(wǎng)網(wǎng)卡分配 IP 地址的帶寬�。
- IP地址:支持手動指定和自動獲取彈性網(wǎng)卡在子網(wǎng)或外網(wǎng)網(wǎng)段內(nèi)的 IP 地址����,一塊彈性網(wǎng)卡僅支持 1 個 IP 地址�����,創(chuàng)建后無法修改 IP 地址;
- 安全組:每塊彈性網(wǎng)卡支持綁定一個安全組����,提供網(wǎng)卡級別安全控制�����,詳見安全組 ;
- MAC 地址:每塊彈性網(wǎng)卡擁有全局唯一 MAC 地址���;
彈性網(wǎng)卡整個生命周期包括創(chuàng)建中、未綁定���、綁定中、已綁定��、解綁中�����、已刪除等狀態(tài)����,狀態(tài)流轉(zhuǎn)如下圖所示:
安全組( Security Group )是一種類似 IPTABLES 的虛擬防火墻�,提供出入雙方向流量訪問控制規(guī)則,定義哪些網(wǎng)絡(luò)或協(xié)議能訪問資源�����,用于限制虛擬資源的網(wǎng)絡(luò)訪問流量��,支持 IPv4 和 IPv6 雙棧限制,為云平臺提供必要的安全保障�����。
平臺安全組基于 Linux Netfilter 子系統(tǒng)����,通過在 OVS 流表中添加流表規(guī)則實(shí)現(xiàn),需開啟宿主機(jī) IPv4 和IPv6 包轉(zhuǎn)發(fā)功能�。每增加一條訪問控制規(guī)則會根據(jù)網(wǎng)卡作為匹配條件����,生成一條流表規(guī)則��,用于控制進(jìn)入 OVS 的流量�����,保證虛擬資源的網(wǎng)絡(luò)安全。
安全組僅可作用于同一個數(shù)據(jù)中心內(nèi)具有相同安全需求的虛擬機(jī)、彈性網(wǎng)卡���、負(fù)載均衡�����、 NAT 網(wǎng)關(guān)及堡壘機(jī)等,工作原理如下圖所示:
安全組具有獨(dú)立的生命周期�����,可以將安全組與虛擬機(jī)��、彈性網(wǎng)卡��、負(fù)載均衡�����、NAT 網(wǎng)關(guān)綁定在一起�����,提供安全訪問控制,與之綁定的虛擬資源銷毀后����,安全組將自動解綁���。
- 安全組對虛擬機(jī)的安全防護(hù)針對的是一塊網(wǎng)卡����,即安全組是與虛擬機(jī)的默認(rèn)虛擬網(wǎng)卡或彈性網(wǎng)卡綁定在一起��,分別設(shè)置訪問控制規(guī)則����,限制每塊網(wǎng)卡的出入網(wǎng)絡(luò)流量����;
- 如安全組原理圖所示,安全組與提供外網(wǎng) IP 服務(wù)的虛擬外網(wǎng)網(wǎng)卡綁定����,通過添加出入站規(guī)則��,對南北向(虛擬機(jī)外網(wǎng))的訪問流量進(jìn)行過濾;
- 安全組與提供私有網(wǎng)絡(luò)服務(wù)的虛擬網(wǎng)卡或彈性網(wǎng)卡綁定�,通過添加出入站規(guī)則�,控制東西向(虛擬機(jī)間及彈性網(wǎng)卡間)網(wǎng)絡(luò)訪問��;
- 安全組與外網(wǎng)類型的負(fù)載均衡關(guān)聯(lián),通過添加出入站規(guī)則��,可對進(jìn)出外網(wǎng)負(fù)載均衡的外網(wǎng) IP 流量進(jìn)行限制和過濾�,保證外網(wǎng)負(fù)載均衡器的流量安全;
- 安全組與 NAT 網(wǎng)關(guān)綁定����,通過添加出入站規(guī)則���,可對進(jìn)入 NAT 網(wǎng)關(guān)的流量進(jìn)行限制��,保證 NAT 網(wǎng)關(guān)的可靠性和安全性;
- 一個安全組支持同時綁定至多個虛擬機(jī)�、彈性網(wǎng)卡�����、NAT 網(wǎng)關(guān)及外網(wǎng)負(fù)載均衡實(shí)例;
- 虛擬機(jī)支持綁定一個內(nèi)網(wǎng)安全組和一個外網(wǎng)安全組,分別對應(yīng)虛擬機(jī)默認(rèn)的內(nèi)網(wǎng)網(wǎng)卡和外網(wǎng)網(wǎng)卡上����,其中外網(wǎng)安全組對綁定至虛擬機(jī)的所有外網(wǎng) IP 地址生效��;
- 彈性網(wǎng)卡僅支持綁定一個安全組,與虛擬機(jī)默認(rèn)網(wǎng)卡綁定的安全組相互獨(dú)立,分別限制對應(yīng)網(wǎng)卡的流量;
- 外網(wǎng)負(fù)載均衡和 NAT 網(wǎng)關(guān)實(shí)例僅支持綁定一個安全組����,可更換安全組應(yīng)用不同的網(wǎng)絡(luò)訪問規(guī)則�����。
創(chuàng)建虛擬機(jī)時必須指定外網(wǎng)安全組����,支持隨時修改安全組的出入站規(guī)則�����,新規(guī)則生成時立即生效,可根據(jù)需求調(diào)整安全組出/入方向的規(guī)則�。支持安全組全生命周期管理�����,包括安全組創(chuàng)建、修改�����、刪除及安全組規(guī)則的創(chuàng)建��、修改�����、刪除等生命周期管理。
安全組規(guī)則可控制允許到達(dá)安全組關(guān)聯(lián)資源的入站流量及出站流量��,提供雙?��?刂颇芰?����,支持對 IPv4/IPv6 地址的 TCP�����、UPD、ICMP�����、GRE 等協(xié)議數(shù)據(jù)包進(jìn)行有效過濾和控制���。
每個安全組支持配置 200 條安全組規(guī)則���,根據(jù)優(yōu)先級對資源訪問依次生效�����。規(guī)則為空時,安全組將默認(rèn)拒絕所有流量��;規(guī)則不為空時����,除已生成的規(guī)則外,默認(rèn)拒絕其它訪問流量��。
支持有狀態(tài)的安全組規(guī)則���,可以分別設(shè)置出入站規(guī)則�,對被綁定資源的出入流量進(jìn)行管控和限制。每條安全組規(guī)則由協(xié)議�、端口�����、地址、動作����、優(yōu)先級��、方向及描述六個元素組成:
- 協(xié)議:支持 TCP、UDP、ICMPv4�����、ICMPv6 四種協(xié)議數(shù)據(jù)包過濾�����。ALL 代表所有協(xié)議和端口�,ALL TCP 代表所有 TCP 端口�����,ALL UDP 代表所有 UDP 端口���;支持快捷協(xié)議指定�,如 FTP�、HTTP、HTTPS����、PING�、OpenVPN����、PPTP、RDP、SSH 等;ICMPv4 指 IPv4 版本網(wǎng)絡(luò)的通信流量����;ICMPv6 指 IPv6 版本網(wǎng)絡(luò)的通信流量��。
- 端口:源地址訪問的本地虛擬資源或本地虛擬資源訪問目標(biāo)地址的 TCP/IP 端口。TCP 和 UDP 協(xié)議的端口范圍為 1~65535 ;ICMPv4 和 ICMPv6 不支持配置端口�。
- 地址:訪問安全組綁定資源的網(wǎng)絡(luò)數(shù)據(jù)包來源地址或被安全組綁定虛擬資源訪問的目標(biāo)地址���。當(dāng)規(guī)則的方向?yàn)槿胝疽?guī)則時,地址代表訪問被綁定虛擬資源的源 IP 地址段�����,支持 IPv4 和 IPv6 地址段��;當(dāng)規(guī)則的方向?yàn)槌稣疽?guī)則時�����,地址代表被綁定虛擬資源訪問目標(biāo) IP 地址段,支持 IPv4 和 IPv6 地址段;支持 CIDR 表示法的 IP 地址及網(wǎng)段,如 120.132.69.216 �����、 0.0.0.0/0 或 ::/0 ���。
- 動作:安全組生效時�����,對數(shù)據(jù)包的處理策略����,包括 “接受” 和 “拒絕” 兩種動作�。
- 優(yōu)先級:安全組內(nèi)規(guī)則的生效順序,包括高����、中���、低三檔規(guī)則���。安全組按照優(yōu)先級高低依次生效,優(yōu)先生效優(yōu)先級高的規(guī)則�����;同優(yōu)先級的規(guī)則��,優(yōu)先生效精確規(guī)則�����。
- 方向:安全組規(guī)則所對應(yīng)的流量方向,包括出站流量和入站流量���。
- 描述:每一條安全組規(guī)則的描述�,用于標(biāo)識規(guī)則的作用。
安全組支持?jǐn)?shù)據(jù)流表狀態(tài)���,規(guī)則允許某個請求通信的同時,返回?cái)?shù)據(jù)流會被自動允許��,不受任何規(guī)則影響。即安全組規(guī)則僅對新建連接生效���,對已經(jīng)建立的鏈接默認(rèn)允許雙向通信。如一條入方向規(guī)則允許任意地址通過互聯(lián)網(wǎng)訪問虛擬機(jī)外網(wǎng) IP 的 80 端口����,則訪問虛擬機(jī) 80 端口的返回?cái)?shù)據(jù)流(出站流量)會被自動允許��,無需為該請求添加出方向允許規(guī)則。
注:通常建議設(shè)置簡潔的安全組規(guī)則�����,可有效減少網(wǎng)絡(luò)故障���。
VNC( Virtual Network Console )是 UCloudStack 為用戶提供的一種通過 WEB 瀏覽器連接虛擬機(jī)的登錄方式�,適應(yīng)于無法通過遠(yuǎn)程登錄客戶端(如 SecureCRT、PuTTY 等)連接虛擬機(jī)的場景���。通過 VNC 登錄連到虛擬機(jī)����,可以查看虛擬機(jī)完整啟動流程,并可以像 SSH 及 遠(yuǎn)程桌面一樣管理虛擬機(jī)操作系統(tǒng)及界面�,支持發(fā)送各種操作系統(tǒng)管理指令�,如 CTRL+ALT+DELETE���。
支持用戶獲取虛擬機(jī)的 VNC 登錄信息�,包括 VNC 登錄地址及登錄密碼,適用于使用 VNC 客戶端連接虛擬機(jī)的場景���,如桌面云場景。為確保 VNC 連接的安全性�,每一次調(diào)用 API 或通過界面所獲取的 VNC 登錄信息有效期為 300 秒��,如果 300 秒內(nèi)用戶未使用 IP 和端口進(jìn)行連接,則信息直接失效���,需要重新獲取新的登錄信息;同時用戶使用 VNC 客戶端登錄虛擬機(jī)后,300 秒內(nèi)無任何操作將會自動斷開連接。
UCloudStack 為虛擬機(jī)提供完整生命周期管理�,用戶可自助創(chuàng)建虛擬機(jī)�,并對虛擬機(jī)進(jìn)行關(guān)機(jī)����、斷電、開機(jī)、重置密碼、重裝系統(tǒng)���、升降級配置、熱升級、制作鏡像�、修改業(yè)務(wù)組����、修改名稱/備注���、修改告警模板及刪除等基本操作�����;同時支持與虛擬機(jī)相關(guān)聯(lián)資源的綁定和解綁管理,包括彈性網(wǎng)卡、云硬盤、 外網(wǎng) IP 及安全組等��。
- 關(guān)機(jī)是對虛擬機(jī)操作系統(tǒng)的正常關(guān)機(jī)��,斷電是將虛擬機(jī)強(qiáng)制關(guān)機(jī)����;
- 重裝系統(tǒng)即更換虛擬機(jī)鏡像���,Linux 僅支持更換 Linux 類型鏡像,Windows 僅支持更換 Windows 類型鏡像;
- 升降級配置是對虛擬機(jī)的規(guī)格配置進(jìn)行升級或降級的變更操作;
- 熱升級指在虛擬機(jī)開機(jī)(running )狀態(tài)下��,支持升級虛擬機(jī)的CPU���、內(nèi)存���,僅支持 Base 鏡像為 Centos7.4 的虛擬機(jī)熱升級����,不支持在線降級操作。
- 銷毀虛擬機(jī)會自動刪除實(shí)例規(guī)格、系統(tǒng)盤及默認(rèn)虛擬網(wǎng)卡,同時會自動解綁相關(guān)聯(lián)的虛擬資源��;
- 一個虛擬機(jī)支持綁定多個云硬盤��、彈性網(wǎng)卡�����、外網(wǎng) IP 及安全組。
UCloudStack 虛擬機(jī)完整生命周期包括啟動中����、運(yùn)行、關(guān)機(jī)中��、斷電中�、關(guān)機(jī)、啟動中����、重裝中����、刪除中及已刪除等資源狀態(tài)�����,各狀態(tài)流轉(zhuǎn)如下圖所示:
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/125815.html
