概览

云平台为云主机提供以下网络服务:VPC防火墙、安全组、虚拟IP、弹性IP、端口转发、IPsec隧道、负载均衡、流量监控。

支持以下三种网络架构模型:
  • 扁平网络
  • VPC网络

网络服务模块

网络服务模块:用于提供网络服务的模块。在UI界面已隐藏。

主要有以下四种:
  1. VirtualRouter(虚拟路由器网络服务模块,不建议使用)

    提供以下网络服务:DNS、SNAT、负载均衡、端口转发、弹性IP、DHCP

  2. Flat Network Service Provider(扁平网络服务模块)
    提供以下网络服务:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
    • DHCP:分布式DHCP实现动态获取IP地址。
      说明: DHCP服务包含了DNS的功能。
    • VipQos:虚拟IP限速,限制上行及下行带宽。仅作用于弹性IP。
  3. SecurityGroup(安全组网络服务模块)
    提供以下网络服务:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

扁平网络实践

生产环境中,一般建议使用以下网络服务的组合:
  • 扁平网络服务模块:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • 弹性IP:分布式EIP实现的弹性IP地址,可通过公有网络访问内部私有网络。
    • DHCP:分布式DHCP实现的动态获取IP地址。
      说明: DHCP服务包含了DNS的功能。
  • 安全组网络服务模块:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

VPC网络实践

生产环境中,一般建议使用以下网络服务的组合:
  • 扁平网络服务模块:
    • Userdata:使用cloud-init进行云主机开机加载并执行特定的用户数据,例如ssh-key注入。
    • DHCP:分布式DHCP实现的动态获取IP地址。
  • 安全组网络服务模块:
    • 安全组:使用iptables进行云主机防火墙的安全控制。

高级网络服务

  • 动态路由:支持OSPF动态路由协议,用于单一自治系统内决策路由,适用于VPC网络场景。
  • 组播路由:将组播源发送的组播消息转发给云主机,在发送端和接收端实现点对多点连接,适用于VPC网络场景。
  • VPC防火墙:通过对VPC路由器接口处南北向流量进行过滤,有效保护整个VPC通信安全及VPC路由器安全,适用于VPC网络场景。
  • 端口镜像:将云主机网卡的网络流量复制一份到远端,对端口上的业务报文进行分析,方便对网络数据进行监控管理,适用于扁平网络和VPC网络场景。
  • Netflow:通过Netflow对VPC路由器网卡的进出流量进行分析监控,支持Netflow V5、V9两种数据流输出格式,适用于VPC网络场景。

VPC防火墙

防火墙:在VPC网络场景下,负责管控经由VPC路由器的流量,通过配置规则集和规则管控网络的访问控制策略。

相关定义

  • 防火墙规则集:防火墙规则的集合,包含了一组规则,需要绑定到VPC路由器网卡的某个方向上才能生效。
    • 防火墙规则集可绑定VPC路由器网卡的入方向或出方向:
      • 绑定入方向:规则集中的所有规则作用于通过网络进入VPC路由器的流量。
      • 绑定出方向:规则集中的所有规则作用于从VPC路由器通过网络向外发出的流量。
  • 防火墙规则:配置至防火墙用于控制VPC网络流量的访问策略,由规则优先级、匹配条件、以及行为三部分组成。
    • 防火墙规则可绑定VPC路由器网卡的入方向或出方向:
      • 绑定入方向:防火墙规则作用于通过网络进入VPC路由器的流量。
      • 绑定出方向:防火墙规则作用于从VPC路由器通过网络向外发出的流量。
    • 防火墙规则分为自定义规则和系统规则:
      • 自定义规则:用户自定义的防火墙规则,可选择规则的作用方向,并配置规则的优先级、匹配条件、和行为。
        • 规则优先级:定义一条防火墙规则相对其他防火墙规则优先匹配和生效机制,支持的优先级范围为1001-2999。
          • 通常按照优先级由高到低进行匹配,以阿拉伯数字标识,数字越小,优先级越高。
          • 一般而言,规则匹配条件越具体,所配置的优先级应该越高。
        • 匹配条件:定义匹配VPC网络流量属性的条件,包括源IP和目的IP地址、源端口和目的端口、报文状态、报文协议。
          • 源IP和目的IP支持输入固定IP地址、IP范围或CIDR,支持混合输入。
          • 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围。
          • 支持最多添加10条,以英文逗号分隔。
        • 行为:定义针对满足规则匹配条件的流量所应采取的具体动作,包括接受、丢弃、和拒绝。
          • 接受:允许VPC路由器上的网络请求流量通过。
          • 丢弃:不允许VPC路由器上的网络请求流量通过,且不向请求端反馈。
          • 拒绝:不允许VPC路由器上的网络请求流量通过,并向请求端反馈不通过信息。
      • 系统规则:支持系统服务的预置规则。系统规则已预绑定了作用方向,同时预置了规则的优先级、匹配条件、以及行为。
        • 系统规则优先级范围为1-1000、4000-9999。
        • ZStack Cloud已为防火墙的VPC路由器入方向流量和出方向流量配置以下系统规则:
          • 作用于入方向的系统规则:
            • 规则1:优先级为4000,行为和匹配条件为允许任意源/目的IP地址和端口、任意协议、且报文状态为establishedrelated的流量通过网络进入VPC路由器。
            • 规则2:优先级为9999,行为和匹配条件为允许任意源/目的IP地址和端口、任意协议、且报文状态为new的流量通过网络进入VPC路由器。
            • 规则3:默认规则,优先级为10000,行为和匹配条件为默认拒绝任意源/目的IP地址和端口、任意协议、任意报文状态的流量通过网络进入VPC路由器。用户可手动修改该条规则的行为,包括接受、丢弃、和拒绝。
          • 作用于出方向的系统规则:
            • 规则1:默认规则,优先级为10000,行为和匹配条件为默认允许任意源/目的IP地址和端口、任意协议、任意报文状态的流量通过网络进入VPC路由器。用户可手动修改该条规则的行为,包括接受、丢弃、和拒绝。
        • 除默认规则仅支持修改行为外,其他系统规则均不支持修改。
        • 系统规则不支持添加或删除。
  • 规则模板:将一组规则保存为模板,向防火墙或规则集添加规则时可直接选用该模板。
  • IP/端口集合:将一组IP或端口进行保存,在向防火墙或规则集添加规则时可直接选用已建好的IP/端口集合。

功能原理

ZStack Cloud支持在防火墙的VPC路由器每个网卡流量方向上均绑定和配置规则集和规则。配置规则集或规则后,根据规则的优先级、匹配条件、行为、以及作用方向过滤进/出VPC路由器网卡的流量,从而保障整个VPC的通信安全以及VPC路由器安全,确保用户业务安全稳定运行。

图 1所示:
图 1. 防火墙


假定用户在VPC私网中已部署一台服务器和两台云主机,用于运行重要业务。为保障业务安全,在相应的VPC路由器入方向和出方向绑定防火墙规则集或规则,允许公网可信流量可访问VPC私网中云主机业务,以及VPC私网中服务器可访问公网服务器数据。
  • 云主机1访问云主机3:访问流量匹配公网网卡入方向规则集,检测为恶意流量,拒绝访问。
  • 云主机2访问云主机4:访问流量匹配公网网卡入方向规则,再匹配私网网卡出方向规则,检测为可信流量,允许访问。
  • 服务器2访问服务器1:访问流量匹配私网网卡入方向规则集,再匹配公网网卡出方向规则集,检测为可信流量,允许访问。

防火墙VS安全组

防火墙管控南北向流量,作用于整个VPC。安全组作用于云主机虚拟网卡,侧重保护VPC内部东西向通信安全。二者相辅相成,互为补充,具体区别如下:
对比项 安全组 防火墙
作用范围 云主机虚拟网卡 整个VPC网络
部署方式 分布式 集中式
部署位置 云主机 VPC路由器
配置策略 支持允许、拒绝策略 可自定义允许、丢弃或拒绝策略
优先级 自定义优先级顺序 自定义优先级顺序
规则匹配 源IP、源端口、协议 源IP、源端口、目的IP、目的端口、协议、报文状态

安全组

安全组:为云主机网卡提供安全控制,按照指定的安全规则对进出网卡的TCP/UDP/ICMP等数据包进行有效过滤。

功能特点

安全组与安全规则

安全组主要通过添加的安全规则控制和过滤进出网卡的流量,一个安全组可以添加多条安全规则。
  • 安全规则主要对流量来源或目的进行控制,按控制的流量流向,可分为入方向规则和出方向规则:
    • 入方向规则:针对由外部进入网卡的流量,主要控制流量来源。
    • 出方向规则:针对由网卡向外发送的流量,主要控制流量目的。
  • 出/入方向规则控制的源/目的可以被设置为IP地址/段或安全组:
    • IP地址/段作为源:适用于入方向规则,入方向规则会允许/拒绝来自该IP地址/段的流量访问。
    • 安全组作为源:适用于入方向规则,入方向规则会允许/拒绝来自源安全组内网卡的流量访问。
    • IP地址/段作为目的:适用于出方向规则,出方向规则会允许/拒绝网卡访问该IP地址/段。
    • 安全组作为目的:适用于出方向规则,出方向规则会允许/拒绝当前组内网卡访问目的安全组内的网卡。
  • 同一方向上有多条规则时,可以设置规则生效优先级。

    这是由于安全组同时支持黑名单和白名单机制,同一源/目的上被设置多条规则时,可能发生冲突。设置优先级后,同一源/目的优先级最高的规则生效。

  • 安全组内的网卡默认允许相互访问,系统会自动添加相应的出/入方向规则,该规则优先级高于所有自定义规则,且不可修改或删除。如需取消组内互通,可以停用该规则。

安全组与网卡

安全组需加入网卡后,才会受安全组规则的控制。一张网卡可以加入多个安全组。
  • 网卡加入多个安全组时,可设置安全组优先级,网卡将首先匹配优先级较高的安全组下的规则。
    说明: 所有管理员安全组优先级高于租户/子账户安全组。
  • 网卡加入安全组后,除安全规则规定外,默认允许其他所有出方向流量,拒绝其他所有入方向流量,用户也可以自定义调整该策略,控制未被安全组规定的流量。

安全组与权限

安全组分为管理员安全组和租户/子账户安全组。通常,管理员安全组由管理员创建、归管理员所有,租户/子账户安全组由租户/子账户创建,归租户/子账户所有。
  • 租户/子账户只能查看和操作自己所有的安全组。
  • 管理员可以查看和管理全部安全组,其中,管理员安全组可以被绑定到任意云主机,租户/子账户安全组只能被绑定到与其所有者一致的云主机。

注意事项

  • 若使用安全组同时使用其他网络服务(如负载均衡、路由表等),需确保其他网络服务所需要的安全组规则已添加至该安全组中。
  • 公有网络、扁平网络和VPC网络均支持安全组服务,安全组服务均由安全组网络服务模块提供,使用方法均相同:使用iptables进行云主机的安全控制。
  • 安全组实际上是一个分布式防火墙,每次规则变化、加入/删除网卡都会导致多个云主机上的安全组规则被更新。






























































































































































































历史版本

学习路径

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

ZStack学院:

training@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2
其他业务(漏洞提交、投诉举报等)
400-962-2212 转 3

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。