云服务器网络配置实战
云服务器的网络架构设计直接影响业务的安全性、可扩展性和访问性能。本文从VPC网络、安全组、弹性公网IP到负载均衡,全面讲解云网络配置。
一、VPC私有网络规划
VPC(Virtual Private Cloud)是云上的隔离网络空间,建议一开始就规划好:
- CIDR段选择:常用 172.16.0.0/12 或 10.0.0.0/8,避免与本地网络冲突
- 子网划分:按用途划分(公有子网放Web层、私有子网放数据库层)
- 交换机规划:同可用区机器放同一交换机,跨可用区部署提高可用性
# VPC规划示例 VPC CIDR: 10.0.0.0/16 ├─ Web子网: 10.0.1.0/24 (可用区A) ├─ App子网: 10.0.2.0/24 (可用区A) ├─ DB子网: 10.0.3.0/24 (可用区A, 私有) └─ 备用子网: 10.0.11.0/24 (可用区B)
二、安全组配置最佳实践
- 安全组是有状态的,放行入规则后出流量自动放行
- Web服务器:仅开放 80/443 端口入方向
- SSH管理:限制来源IP段,禁止 0.0.0.0/0 放行22端口
- 数据库:仅允许应用服务器IP访问3306/5432等数据库端口
- 按角色分组:Web安全组、App安全组、DB安全组,逐层控制
三、弹性公网EIP与NAT网关
- EIP:为ECS绑定弹性公网IP,可随时解绑绑定到其他实例
- NAT网关:为私有子网内的ECS提供共享公网出口访问互联网(SNAT)
- 共享流量包:购买共享流量包抵扣EIP和NAT网关流量费
四、负载均衡CLB配置
- CLB类型:应用型AL7(支持七层/HTTP(S)路由)vs 网络型NLB(支持四层/TCP/UDP)
- 健康检查:配置HTTP或TCP健康检查,自动踢除故障后端
- 会话保持:需要登录态的业务开启会话保持
- 证书配置:在CLB上配置SSL证书,实现HTTPS卸载
# 架构示例:CLB + 多可用区ECS
用户 → CLB(公网) → VPC → ECS1(Web/AZ-A) → ECS2(Web/AZ-B)
↓
RDS(高可用版)
五、经典故障排查
- ECS无法访问公网:检查安全组、EIP绑定状态、NAT网关配置
- 无法连接RDS:确认RDS白名单是否包含ECS私网IP
- CLB后端全部异常:检查健康检查配置和安全组放行情况
- 延迟高:确认客户端与云服务是否在同一地域,尽量使用内网通信
总结
云网络是整个架构的骨架。从VPC规划、子网划分到安全组层层防护,再到CLB做流量分发,构建清晰的云网络架构是业务稳定运行的基础。