常见问题
本页面提供关于SDN网络服务的一些常见问题的解答
一般性问题
网络服务相关资源的配额怎么配置?
网络服务相关的资源需要有可用的配额才能创建,可以在【产品与服务】--【监控与管理】--【配额管理】中进行配置。
网络服务产生计费的资源有哪些?
网络可计费的资源有 路由器 和 公网IP。
网络服务中对非云管理员用户有哪些限制?
非云管理员用户的网络/子网列表不展示共享网络/子网。
非云管理员用户创建网络无法指定网络类型、可见性以及网络模式,默认是内部网络、项目专享、Geneve类型;可以通过云管理员用户创建网络时指定非云管理员用户所在的部门/项目用于为其创建外部网络和非Geneve类型的网络。
网络
网络支持哪几种类型?
创建网络支持Geneve、VLAN、Flat 类型。
其中,Flat类型的网络只有在创建外部网络时才可选,并且每个云环境中同时只能存在一个Flat类型的外部网络。
内部网络、外部网络、容器网络的区别?
内部网络是云主机、裸金属使用的网络;外部网络是路由器北向出口、公网IP使用的网络;容器网络是安全容器使用的网络。 内部网络和容器网络可以连接到同一个路由器下实现三层互通,也可以分别连接到自己的路由器下实现三层隔离,路由器通过外部网络连接到云外。
子网
怎么样批量创建子网?
支持批量创建同一个网络的子网,在创建网络时,通过点击【添加IPv4子网】或【添加IPv6子网】后,点击【创建网络】,即可在创建网络时批量创建此网络下的子网。
不支持批量创建不同网络的子网。
创建子网不开启DHCP有什么影响?
创建子网若不开启DHCP服务,则用此子网创建云主机时,云主机无法获取到IP地址,并且不能初始化创建云主机时配置的用户密码。
虚拟网卡
虚拟网卡列表展示哪些资源的网卡?
目前虚拟网卡列表展示的是计算类资源如云主机 、容器的网卡列表,不包含dhcp、 子网网关,以及外部网关等网络资源的网卡。
配额中表示的虚拟网卡使用量,与网卡列表的数量一致吗?
不一致,配额中使用量一般要大于网卡列表的数量。
虚拟网卡绑定云主机后,会立刻处于运行中吗?
不一定,绑定网卡是一个异步操作,需要等待较短时间后虚拟网卡状态才会处于运行中。
虚拟网卡解绑云主机后,会立刻处于停止状态吗?
不一定,绑定网卡是一个异步操作,需要等待较短时间后虚拟网卡状态才会处于停止状态。
SRIOV网卡的虚机删除后,网卡还会展示在虚拟网卡列表吗?
会,目前删除SRIOV网卡的云主机,不会删除SRIOV网卡。
访问控制
安全组、网络ACL、网关防火墙对比
| 对比项 | 安全组 | 网络ACL | 网关防火墙 |
|---|---|---|---|
| 访问控制对象 | 云主机、裸金属等实例级别的访问控制 | 子网级别的访问控制 | 路由器北向出口的访问控制 |
| 规则 | 默认拒绝所有,支持创建允许规则 | 默认拒绝所有,支持允许、拒绝规则 | 默认拒绝所有,支持允许、拒绝规则 |
| 有无状态 | 支持有状态和无状态 | 无状态:回向数据流必须被规则明确允许 | 有状态:回向数据流会被自动允许,不受任何规则的影响 |
| 生效时间 | 只有在创建云主机、裸金属等实例时指定安全组,或实例创建后再关联安全组,规则才会被应用到实例 | 创建ACL并绑定子网后,ACL将自动应用到关联子网内的所有云主机、裸金属等实例 | 创建网关防火墙并绑定路由器后,规则将自动应用到关联路由器下的所有子网及子网内的云主机、裸金属等实例 |
| 规则优先级 | 有规则冲突时,默认应用位置更前的规则 | 按照规则优先级顺序 | 按照规则优先级顺序 |
安全组有状态和无状态的区别以及使用场景
有状态:回向数据流会被自动允许,不受任何规则的影响。
无状态:回向数据流必须被规则明确允许。
一般使用安全组都是有状态的,以下场景需要使用无状态安全组。
- 无状态安全组性能比有状态性能好,在裸金属场景下,如果对网络性能有要求,考虑使用无状态安全组。
- 在LVS负载均衡的DR模式下,云主机的虚拟网卡需要使用无状态安全组。
无状态安全组规则如何配置
无状态安全组由于回向数据流也需要明确的允许规则,这种允许规则的的源IP,目的端口在一些场景不可控。比如云主机访问任意公网时,回向数据流的源IP网段不确定,目的端口也是云主机里使用的随机端口,所以在这种场景下很难配置回向数据流的允许规则。所以建议使用无状态安全组的云主机不允许任意网络的出向访问。
路由器
路由器支持连接子网时指定IP地址吗?
支持,但该子网在创建时不能设置网关。
路由器的可用区是什么含义?
路由器的可用区代表路由器外部网关的所属网络节点。
路由器外部网关开启和关闭SNAT的区别?
开启SNAT:虚机访问外网的流量,默认会进行SNAT转换成外部网关IP。
关闭SNAT:虚机访问外网的流量,通过路由转发的方式出去。
NAT网关
路由器设置网关开启SNAT和NAT网关是什么关系?
路由器设置网关开启SNAT会自动将路由器下的所有子网设置SNAT规则,即让路由器下的所有子网访问外部网络时使用路由器网关IP做SNAT。 当路由器关联NAT网关以后,NAT网关里的SNAT规则里会以只读方式显示默认的路由器网关IP的SNAT规则。用户还可以创建自定义的SNAT规则,比如设置某个子网里的部分IP的SNAT规则。SNAT规则通过内网CIDR的子网掩码从大到小的优先级来匹配,比如/32的优先级大于/24的优先级。
路由器设置网关不开启SNAT可以使用NAT网关吗?
可以,用户设置NAT网关的DNAT和SNAT规则时选择公网IP即可。
NAT网关里的公网IP和外部IP是什么意思?
NAT网关里的公网IP是用户在公网IP页面创建的公网IP,也叫FloatingIP,用户设置DNAT和SNAT规则时可以灵活选择公网IP。 NAT网关里的外部IP指的是路由器的网关IP,用户可以只使用路由器的网关IP设置DNAT和SNAT规则。
如果云主机关联了DNAT或者SNAT规则,当云主机绑定公网IP以后,是否影响DNAT规则访问云主机?云主机访问外网使用SNAT规则的IP还是公网IP?
当云主机绑定公网IP以后,不影响DNAT访问云主机的规则;云主机主动访问外网使用公网IP做SNAT,不使用SNAT规则的IP。
网关防火墙、网络ACL规则是否影响NAT网关?
NAT网关作用于路由器中,位于网关防火墙和网络ACL中间,所以网关防火墙规则会先于NAT网关生效,网络ACL规则会后于NAT网关生效。
公网IP
公网IP绑定资源有哪些要求?
- 公网IP目前支持绑定给云主机,安全容器,裸金属等类型资源。
- 绑定的资源比如云主机,其网卡所属子网必须连接路由器,且该路由器的外部网络与公网IP所在网络一致。
