超级会员免费看
云基础设施网络与计算模式详解
1. 私有子网、堡垒主机与NAT网关
私有子网在设计上可将计算实例与公共互联网隔离开来。实例没有公共IP,在一定程度上使其对外部世界不可见。通常,实例需要公共IP的原因主要有以下三点:
- 托管提供公共Web服务的应用程序。
- 操作系统需要下载更新或额外软件。
- 希望建立SSH连接以访问终端。
即便实例在隔离的私有子网中运行且没有公共IP,也能解决上述三个问题。可以采用使用堡垒主机和NAT网关的云基础设施模式。对于托管在计算实例上的应用程序,主要有两个目标:
- 运行隔离的工作负载。
- 暴露Web服务。
执行隔离工作负载的应用程序可能会对对象存储或托管数据库中的数据运行定期批处理作业,例如高性能计算(HCP)任务,如3D渲染、流体动力学或生物模拟等。部署这些应用程序的主机很少暴露公共Web服务,可将其视为隔离的后端系统。但有时仍需通过SSH访问这些实例以执行一些维护任务,这就需要堡垒主机。堡垒主机是在公共子网中配置的具有公共IP的专用实例,通过它可以将SSH连接隧道传输到私有子网中的实例。
隔离实例的出站连接也很重要,操作系统和应用程序至少要能够下载更新。如果私有网络中没有合适镜像的私有工件注册表,可能需要让这些主机访问互联网上的公共存储库。在VCN中部署并将出站流量重定向到NAT网关,该网关的公共IP将成为私有子网中发送出站流量的隔离实例在互联网上显示的源IP地址。除了与出站流量相关的响应外,NAT网关不允许任何其他入站流量进入VCN,简单又安全。
对于暴露公共Web服务的应用程序,通常会部署高可用负载均衡器来面向互联网,并将流量均匀分配到一个或多个后端集中的应
订阅专栏 解锁全文
扫一扫
1396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
