配置一个虚拟私有云（VPC）¶

Major Components of a VPC¶

VPC主要由以下网络组件构成：

• VPC：一个VPC是多个隔离网络的容器，隔离网络间可以通过VPC的虚拟路由器互通。
• 网络层：每个层是一个拥有各自VLAN和CIDR的隔离网络。您可以在层内放置VM等各种资源组。层与层之间通过VLAN方式隔离。VPC虚拟路由器在每个层中的网卡是该层的网关。
• 虚拟路由器：创建VPC时会自动创建并启动一个虚拟路由器。该虚拟路由器连接了各层，并负责各层与公网网关、VPN网关和NAT实例间的网络流量。对于每个层，该虚拟路由器都会有对应的网卡和IP，并通过该IP提供DNS和DHCP服务。
• 公网网关：VPC进出互联网的流量会走公网网关。VPC中的公网网关不暴露给最终用户，因此公网网关上不支持静态路由。
• 私有网关：VPC进出某个私有网络的流量通过私有网关。更多信息，请查阅 “在一个VPC里加入私有网关。”.
• VPN 网关：VPN连接的VPC端。
• 点对点VPN连接：您的VPC和您的数据中心、家庭网络、主机托管设施之间基于硬件的VPN连接。更多信息，请参考”配置站点到站点的VPN连接”.
• 客户网关:客户这边的VPN连接。更多信息，请参考 “创建和更新VPN客户网关”.
• NAT实例:在用户虚机通过公网网关访问公网时，提供端口地址转换的实例。关于更多信息，请参考 “VPC中启用或禁用静态NAT”.
• 网络ACL: 网络ACL是一组网络访问控制列表。这些列表就是一个按顺序编号的规则，执行的时候，从最小的编号开始。这些规则决定了与此ACL关联的各个层的进出流量会被允许或阻止。更多信息，请参考 “配置网络访问控制列表”.

VPC的网络架构¶

VPC有以下四个基本的网络架构：

• 只有一个公网网关的VPC
• VPC的公有和私有网关
• VPC的公有和私有网关以及site-to-site VPN访问
• 只有私有网关的VPC以及site-to-site VPN访问

VPC的连接选择¶

你可以连接你的VPC：

• 通过公有网关连接到Internet.
• 通过site-to-siteVPN网关连接到相邻数据中心。
• 通过公有和私有VPN网关同时连接到Internet和相邻数据中心。

VPC网络的考虑事项¶

在创建VPC之前，确认以下事项：

• 在创建好VPC之后，其默认处于启用状态。
• 只能在高级区域中创建VPC，并且VPC只能属于一个区域。
• 默认VPC的数量是20个。如果你需要更多的VPC的话，可以通过修改max.account.vpcs这个全局参数。这个参数是控制创建VPC的最大数量的。
• 默认一个用户能创建VPC的层数是三层。也可以通过vpc.max.networks这个参数修改。
• VPC中每一层都需要是唯一的CIDR，并且这个CIDR是在VPC的CIDR的范围之内。
• 每一层只能属于一个VPC。
• VPC中所有网络层都应属于同一个帐号。
• 当VPC创建好之后，默认会分配好SourceNAT IP。当此VPC删除之后，SourceNAT IP也会被释放。
• 一个公网IP只能用一个用途。如果此IP用于SourceNAT作用的话，就不能同时再用作StaticNAT 或端口转发。
• 一个实例只能有一个私有IP地址，为了访问Internet,你可以为VPC里的此实例启用NAT功能。
• 只有新的网络才能加入VPC。每一个VPC的最大网络数量由参数vpc.max.networks指定。其默认值为3.
• VPC中只有一层支持负载均衡服务。
• 如果一个IP地址被赋予一个网络层：
  • 那么这个IP就不能在VPC里被另外的层所使用。比如：如果你有A层和B层以及一个公网IP地址，则你可以为A或B创建一个端口转发规则，但不能同时在A和B上创建。
  • 那个IP也不能在VPC的其它的客户网络里用作StaticNAT,负载均衡，端口转发规则。
• VPC网络不支持Remote access VPN。

关于ACL列表¶

在CloudStack术语中，ACL指的是一组针对网络条目。其按条目规则顺序执行，从最小值开始。这些规则决定了与此ACL关联的层的进出流量是被允许还是阻止。操作的方法是添加一个ACL，然后将这个ACL与层关联。ACL在整个VPC中使用，它可以被关系到一个VPC当中多个层中。一个层能及只能关联到一个ACL中。

当没有ACL明确关联时，会有一个默认的ACL起作用。默认规则是层中所有进入流量被阻止，所有外出流量被允许默认的ACL不能被删除或修改。默认ACL的内容如下：

创建ACL列表¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击VPC的配置按钮。

   对于每一个层，会显示以下选项。

   • 内部LB
   • 公共LB IP
   • 静态 NAT
   • 虚拟机
   • CIDR

   显示以下路由器信息：

   • 专用网关
   • 公共IP地址
   • 站点到站点 VPN
   • 网络 ACL列表

5. 选择网络ACL列表。

   在ACL页面，下面默认规则将会显示出来：default_allow, default_deny.

6. 点击添加ACL列表，指定以下配置：

   • ACL列表名称: 为ACL列表命名。
   • 描述: ACL列表的简短描述。

创建一个ACL规则¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击VPC的配置按钮。

5. 选择网络ACL列表。

   除了创建的你自定义的ACL列表之后，以下默认ACL规则也会显示在页面中：default_allow, default_deny.

6. 选择需要的ACL列表。

7. 选择ACL规则栏

   为了创建ACL规则，需要在VPC中定义下面哪些网络流量是允许的。

   • 规则序号: 规则被执行的顺序。
   • CIDR: 对于进入的规则，CIDR对源地址起作用，对于外出的规则，CIDR对目标地址起作用。如果要定义多个可接受进出流量的特定地址段，需要以逗号分隔各个CIDR。CIDR是进入流量的基IP地址。比如， 192.168.0.0/22. 如要对所有CIDR允许流量, 设置为 0.0.0.0/0.
   • 操作: 定义要进行的操作，允许或阻止。
   • 协议: 发送到层的源地址的网络协议。最终用户的访问和数据交换通常是用TCP和UDP协议。ICMP协议通常用来发送错误信息或网络监控。ALL表示支持所有协议流量，其它选项是协议编号。
   • 起始端口, 结束端口 (TCP, UDP only):对进入流量，这些端口是指需要监听的目标地址的端口范围。如果你只开放一个端口，则在起始和结束端口里填写同一个端口。
   • 协议编号: 协议编号是与IPV4或IPV6相关联的。更多信息，请参考 协议号.
   • ICMP类型, ICMP代码 (ICMP only): 信息类型及发送错误的代码。
   • 流量类型: 进出流量的类型。

8. 点击添加。这个ACL规则就添加好了。

   你可以重新编辑ACL标签，或是删除ACL。点击详细信息里的appropriate按钮。

创建一个具有自定义ACL列表的层。¶

1. 创建一个VPC。

2. 创建一个自定义ACL列表。

3. 将ACL规则加入ACL列表。

4. 在VPC里创建一个层。

   在创建层的过程中选择需要的ACL列表。

5. 点击确定。

将一个自定义的ACL关联到一个层。¶

1. 创建一个VPC。

2. 在VPC里创建一个层。

3. 将默认的ACL规则关联到层。

4. 创建一个自定义ACL列表。

5. 将ACL规则加入ACL列表。

6. 选中你希望赋予自定义ACL的层。

7. 点击替换ACL图标。

   替换ACL的对话界面将会弹出来。

8. 选择需要的ACL列表。

9. 点击确定。

GUEST TRAFFIC for Private Gateway¶

When you provision Private Gateway with i.e. vlan id 1500, CloudStack will try to provision vlan interface with that vlan id on top of the physical interface which is defined for the selected physical network - i.e. if you defined “bond0” as the “traffic label” for the selected Physical Network, this means CloudStack will try to create “bond0.1500” vlan interface, and this will work just fine.

But in some cases, you might not be able to use current Guest Physical Network - i.e. if you are already running VXLAN as isolation method with i.e. bond0.150 being used as Traffic Label (vlan 150 caries all VXLAN tunnels) then CloudStack would try to provision “bond0.150.1500” interface, which will not work. In similar fashion, if you are using cloudbrX as Traffic Label for your Guest network (VLAN used as isolation method), this means CloudStack will try to provision “cloudbrX.1500” interface, which will also not work.

In cases described above, you would perhaps want to create additional Guest Physical Network, and specify bond0 as the Traffic Label (to comply with example values given above) - and here CloudStack will provision “bond0.1500” interface, which will work as expected.

In cases where you have 2 (or more) Guest Physical Networks, and you want one of them to be used for regular Guest Traffic (vlans, or vxlan tunnels), but you want another Guest Physical Network to be used for Private Gateway functionality (solution to the problem described above), then we need to make sure that we properly TAG both Guest Physical Networks and the needed Network Offerings - both the regular Network Offerings and also the hidden network offering that is used for Private Gateways (visible only inside DB), named “System-Private-Gateway-Network-Offering”.

For instruction on how to use tags with Physical networks and Network Offerings, please see “Tagging Guest Physical Network and Network Offerings”.

私有网关的Source NAT¶

你可能希望在同一个超级CIDR和客户层CIDR中部署多个VPC。因此，在一个数据中心，不同VPC中的虚拟机通过私有网络可以拥有相同的IP地址。在这种情况下，就需要在私有网关里配置Source NAT服务以避免IP冲突。如果Source NAT服务启用，VPC中的客户虚拟机使用私有网关IP地址与数据中心其它机器交流。

Source NAT服务是添加私有网关时启用。如果删除了私有网关，关联到此私有网关的Source NAT规则也会被删除。

如要有已有私有网关中启用Source NAT，需要先删除（私有网关），然后再建一个启用Source NAT的私有网关。

私有网关的ACL¶

VPC私有网关的进出流量是被ACL规则控制的。ACL均包含允许和阻止的规则。在每一条规则中，所有进出私有网关接口的流量是被阻止的。

你可以在创建私有网关时，改变这个默认的行为。或者，你也可以按如下方式操作：

1. 在VPC中，验证你想操作的私有网关。

2. 在私有网关页面，按如下步骤操作：

   • 使用快速查看视图，参考3.
   • 使用详细查看栏。参考4。

3. 在所选择的私有网关的快速查看视图里，点击替换ACL，选中ACL规则，然后点击OK按钮。

4. 点击你需要操作的私有网关的IP地址。

5. 在详细查看栏。点击替换ACL按钮。

   替换ACL的对话框就会出现。

6. 选择ACL规则，然后点击OK按钮。

   稍等片刻。你就会看到新的ACL规则出现在详细页面里了。

创建一个静态静由。¶

CloudStack可以让你指定你创建的VPN链接的路由。你可以输入一个或CIDR地址来指定路由返回到网关的具体流量。

1. 在VPC中，验证你想操作的私有网关。

2. 在私有网关页面，点击你需要的私有网关的IP地址。

3. 选择静态路由栏。

4. 指定目标网络的CIDR。

5. 点击 添加

   稍等片刻，新的路由就创建好了。

路由黑名单¶

CloudStack允许你定义一个路由黑名单，这样它们就不能关联到任何VPC私有网关。你需要在全局参数blacklisted.routes里定义。要注意，此参数只在新路由创建时才会生效。如果你在黑名单里加入了已存在的静态路由，则此静态路由还是会继续起作用。你不能把在路由黑名单里的路由加入到静态路由当中去。

在层内进行负载均衡(外部负载均衡)¶

A CloudStack user or administrator may create load balancing rules that balance traffic received at a public IP to one or more VMs that belong to a network tier that provides load balancing service in a VPC. A user creates a rule, specifies an algorithm, and assigns the rule to a set of VMs within a tier.

跨越层的负载均衡¶

CloudStack支持在VPC内不同层之间共享工作负载。这需要先在你的环境里设置好多个层，比如WEB层，应用层。每一个层的流量通过VPC虚拟路由机进行负载均衡。关于这方面的内容， “在VPC里添加负载均衡规则”. 如果你想将WEB层发向应用层的流量进行负载均衡，需要使用Cloudstack的内部负载均衡功能。

Tagging Guest Physical Network and Network Offerings¶

In cases you have more than one Guest Physical Network, you might choose to use them for different purposes - i.e. to carry all “regular” VPC Guest Traffic (vlans/vxlans) on one Guest Physical Network, but use another Guest Physical Network for VPC Private Gateway (networks which are created as part of Private Gateway).

Example above would be accomplished by assigning different tags on these two Guest Physical Networks, and then tag proper Guest Network offerings in certain way, as explained later.

To edit tags in existing zone, for Guest Physical Networks, please do the following:

1. 用系统管理员登陆到CloudStack UI界面。
2. Click on Infrastructure, then Zones, then particular Zone, then click on Physical Network tab, and from there select the correct Guest Network by clicking it, and again by clicking on “Guest / Configure” button.

1. In the presented screen, click on Edit button, and then you will be able to define tag for this particular Physical Network - set it to i.e. “guestvxlan”.

1. Repeat this step for second (and any additional) Guest Physical Networks, and make sure to use different tag for each of networks (as needed). Here we set it to “guestprivgtw”.

1. In this example above, we are setting tag “guestvxlan” for Guest Physical Network (bond0.150) that continues to carry VXLAN tunnels for VPCs, and we set tag “guestprivgtw” for Guest Physical Network (bond0) that will carry Private Gateway guest networks.

Next, we need to edit tags on existing Guest Network Offerings. Depending on CloudStack versions, you will need to edit database records directly.

General SQL query would look like following, but please use your own judgement to reflect your environment.

mysql> update network_offerings set tags="guestvxlan" where traffic_type="Guest";

This would set tag for all existing Guest Network Offers.

Now we want to put different tag on the hidden Network Offering that is used to provision Guest networks for Private Gateways.

mysql> update network_offerings set tags="guestprivgtw" where name="System-Private-Gateway-Network-Offering";

From now one, whenever you provision regular Guest Network (private tiers, part of VPC), these networks will be created on Guest Physical Network with tag “guestvxlan”, while Private Gateway Guest networks will be created on Guest Physical Network with tag “guestprivgtw”.