产品文档

云安全白皮书

2. 网络服务

2.1 私有网络

京东云私有网络 (Virtual Private Cloud,简称 VPC),是用户在京东公有云上自定义的逻辑隔离的网络空间,此私有网络空间由用户完全掌控,支持自定义网段划分、路由策略等。用户可以在 VPC 内创建和管理多种云产品,如云主机、负载均衡等,同时可配置网络内的资源连接 Internet。

私有网络 VPC 整体架构如下:

图 6 私有网络逻辑架构图

私有网络 VPC 是用户网络在京东云上的表现形式,包含了一系列的网络及安全功能,与其他的 VPC 逻辑隔离。在实例级别实现安全组一级防护,在子网级别实现网络 ACL 二级防护,在 VPC 间实现网络 100% 安全隔离,达到访问控制的目的。

2.1.1 自定义网络

京东云提供安全隔离的私有网络,不同 VPC 之间完全隔离,且用户可自定义 VPC 网段范围,自主配置 VPC 内的子网、路由表、ACL 等。

2.1.2 子网路由策略

京东云提供可灵活配置的路由策略,可实现基于子网的路由策略编辑,精确控制进出子网的网络流量。路由表是一系列路由规则的集合,用于控制私有网络中子网的流量流出方向。京东云共有两种类型的路由表:默认路由表和自定义路由表。随私有网络创建时自动创建的路由表为默认路由表,用户主动创建的路由表为自定义路由表。

2.1.3 ACL

网络访问控制列表(Access Control List,ACL)是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度,可用作防火墙来控制进出一个或多个子网的流量。

ACL 实现在虚拟路由器 Vrouter 上,Vrouter 本身并未对用户暴露,用户可以通过 ACL 配置子网级别东西向和南北向的访问控制。具有相同网络流量控制的子网可以关联同一个网络 ACL,通过设置出站和入站允许规则,对进出子网的流量进行精确控制。

2.1.4 安全组

安全组是一种分布式、有状态的包过滤功能的虚拟防火墙,可实现对云主机和容器的网络访问控制,从而控制一台或多台云主机和容器的访问流量。创建云主机和容器时,可以关联相应的安全组,将同一地域内具有相同网络安全隔离需求的云主机和容器加到同一个安全组内。通过配置安全组策略对云主机和容器的出入流量进行安全过滤。

新建安全组默认对所有出口/入口流量执行 All drop 规则,出口包含一条缺省配置允许所有流量。用户可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有云主机和容器。可以在每个区域每个私有网络下创建 50 个安全组,每个安全组双向最多可添加 100 条规则,以满足用户对网络安全隔离的需求。

2.1.5 VPN

VPN 网关提供基于 Internet 的数据加密传输服务,可实现不同 VPC 的网络互连,打通企业 IDC 和京东云内网,实现混合云部署。使用带有 VPN 功能的镜像,可创建 VPN 网关。

· 提供加密数据传输通道

京东云 VPN 使用 IPSEC、IKE、预共享密钥方式对数据进行加密,基于公网提供安全可靠的通信隧道。

· 灵活的组网方式,支持多隧道共享网关

支持 VPN 网关下组建多条隧道(需不同的对端网关),提供相对灵活的组网方式,应对不同业务场景需求。

· 隧道连通性检测,自动修复隧道功能

VPN 默认提供隧道连通性自动检测,定时检测隧道的连通状况,一旦发现隧道连接断开自动重新连接保证隧道可用性。

2.1.6 NAT 网关

同一VPC内的多台云主机同时有访问 Internet 的需求且公网IP资源不足时,可通过创建 NAT 网关解决此问题。京东云支持自建 NAT 网关,实现 SNAT 功能。京东云私有网络的 NAT 网关提供 IP 的安全转换,帮助与用户隐藏私有网络内主机的公网 IP 以避免暴露其网络部署。

2.1.7 弹性网卡

弹性网卡是一种虚拟网络接口,用户可以在云主机上绑定弹性网卡以使云主机接入不同网络。弹性网卡可以在构建业务流量分离、多业务承载以及网络高可用等应用场景时提供支持。京东云提供地域级属性弹性网卡,弹性网卡可以绑定私有网络内任意一台云主机。单台云主机可以绑定多块弹性网卡,绑定数量需依据云主机规格而定。

· 路由控制

云主机可挂载多块分属不同子网的弹性网卡,每个子网可分别设置访问控制策略与路由转发策略,实现业务与网络隔离。

· 业务安全

云主机挂载多块弹性网卡,特定业务可由特定弹性网卡承载流量,不同弹性网卡可分别绑定安全组,应用不同安全策略,实现对业务流量的精确管控。

· 容错可靠

提供无可用区属性弹性网卡,支持弹性网卡在不同可用区云主机间动态迁移,实现可用区级的高可用方案,缩短故障时间,提升系统可靠性。

2.2 负载均衡

负载均衡可将大并发流量分发到多台云主机,调整资源利用情况,消除由于单台云主机故障对系统的影响,提高系统可用性、扩展系统服务能力。

· 高可用性

京东云负载均衡通过自动冗余机制提供高可用服务,创建负载均衡实例后会自动提供双活的负载均衡服务,保证服务的高可用性。

· 自动健康检查,保证可用性

负载均衡服务会检查云服务器池中云主机的健康状态,自动隔离、挂载后端提供服务的云主机,消除服务器单点故障,保障业务正常运行。

· 弹性公网IP绑定,内网保护

负载均衡可配置在内网环境,通过绑定公网 IP 提供对外服务,因此可隐藏内部网络结构,增强系统安全性;并且因内网部署,可通过设置防火墙等构建更加安全的防护体系。

· 防 DDoS 攻击

提供基于公网 IP 的抗 DDoS 攻击能力,提升服务的安全性能。

更新时间:2020-04-28 20:48:26