云计算de小白
如需进一步了解,请单击链接了解有关 Akamai 云计算的更多信息
在本文中我们将告诉大家如何在Linode云计算平台上借助VLAN快速实现多地域部署。
首先我们需要明确一些基本概念和思想:
部署多区域 VLAN
为了在多区域部署中在不同的 VLAN 段之间进行路由,可以使用虚拟专用网络 (VPN) 将 VLAN 段捆绑在一起。
首先,需要使用一个充当公共路由器的 Linode 节点来捆绑部署在一个区域内的所有相关 VLAN。此时,每个 VLAN 段都是一个独立且隔离的 2 层域,在自己的 3 层子网中运行。VLAN 段之间的所有流量都将流经路由器,我们可以使用路由器上的防火墙规则来管理哪些流量允许在不同段之间通过。
然后可以将此路由器实例配置为使用公共互联网和 VPN 软件(例如 WireGuard 或 IPSec 等协议)桥接其他网段之间的流量。
上述示例展示了具有两个区域的部署。每个区域负责通过路由器实例管理两个独立 VLAN 之间的连接,然后每个路由器可以使用配置了多个接口的 Linode 路由器实例在本地桥接多个区域。路由器可以通过 WireGuard 隧道跨越每个区域的公共互联网。
配置 NAT 出口点
此时,流量可以在 VLAN 之间流动,不受地理限制。此外,路由器实例可以充当网络地址转换 (NAT) 出口点,为本地 VLAN 提供 Internet 连接(如果在部署路由器实例时未提供本地 Internet 连接)。在此配置中,本地路由器实例将被指定为默认网关(例如,在 10.0.0.0/24 网络中通常配置为 10.0.0.1)。我们还可以将路由器实例用作安全套接字外壳 (SSH) 的管理堡垒主机。
实现此类 NAT 配置的常用方法是使用防火墙规则标记 WireGuard 流量,并对检测到的任何不包含该标记的流量执行 IP 伪装。
例如,可以配置路由器以使用以下 iptables 规则:
复制
iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j MASQUERADE
- 1.
我们可以配置 WireGuard 在其配置中使用 FirewallMark(例如“42”),这确保 WireGuard 流量不会被 NAT,但所有 VLAN 流量都会被 NAT。
然后,您可以配置云防火墙规则以允许路由节点(通常为 udp/51820)之间的 WireGuard 流量。
最后,如果需要,可以为路由器实例配置防火墙规则来控制或记录流经本地和全局网络段的流量。
防范措施
上述示例中的部署可用于跨全球多个区域共享,并借助路由器实例控制不同 VLAN 段之间的流量。当将流量从多个 VLAN 段隧道传输到单个聚合点时,了解对性能和带宽的影响非常重要。可以实现的性能主要取决于分配给路由器的计算资源可用的上行带宽。
在决定使用哪种 VPN 协议时,您还需要小心谨慎,主要是确保它满足部署的特定要求。您选择的技术将对点对点带宽和通过公共互联网发送的流量的安全性产生巨大影响。例如,WireGuard 使用加密技术来确保流量无法被拦截,这可以更好地减少漏洞和暴露,并且比 strongSwan 等 IPSec 实现具有更高的可信度。
多云部署
用于跨越多个区域的相同技术也可用于跨越多个云平台。例如,我们可以在另一个云平台的网络边界内部署路由器实例,并将其绑定到本地云提供商提供的 VPC 和实例本地的 VPC。使用路由器之间的 WireGuard 隧道将来自不同云提供商的网络桥接在一起通常非常适合专门在私有网络中保持隔离的服务。
总结
在设计您自己的专用网络时,我们可以使用许多工具,这样做的好处往往大于复杂性。如果您的应用程序和用户数量都在快速增长,那么精心设计的环境将有助于减少大多数用户可能遇到的延迟,从而大大改善用户体验。此外,额外的容错能力可以帮助提高服务的可靠性,并提高其可用性和可访问性。
通过以上方法,我们可以使用VLAN快速将应用部署到多个区域,从而更好地受益于现代云平台的分布式架构。以Akamai的Linode云平台为例,目前该平台在全球130多个国家和地区上线了26个核心云数据中心和4100多个边缘计算节点,随着时间的推移,这个庞大平台的规模和覆盖范围还将继续扩大。
如此规模的覆盖,为企业提供了大量可部署位置、极具吸引力的成本和高质量的服务,助力企业通过规模化部署和运营,借助更靠近边缘的云解决方案吸引和留住客户,为客户打造低延迟、高性能的体验,同时更好地遵守数据驻留和主权法规,推动业务更稳健发展。