1. 首页
  2. 网络架构
  3. 正文

云服务器网络配置指南:从零搭建可用的内网环境

云服务器网络配置从零详解,涵盖VPC网络、安全组、内网DNS、负载均衡等实战配置,适合刚接触云服务器运维的技术人员。}

买了云服务器之后,很多人第一件事就是远程连接上去,然后就开始装软件、配环境。但实际上,网络配置如果不做好,后面会踩很多坑。这篇聊聊云服务器网络配置的核心知识点。

一、先搞懂云服务器的网络模式

主流云平台一般提供两种网络模式:经典网络VPC专有网络

经典网络是平台统一管理的,所有云服务器在同一个大局域网里,彼此可以互相访问。这种模式上手简单,但安全性差,适合学习测试。

VPC则是私有网络,你在云上建立自己的虚拟数据中心,网段、路由、网关都可以自定义。生产环境建议用VPC。

# VPC典型网段规划
10.0.0.0/16  # VPC主网段
  10.0.1.0/24  # 公有子网(Web层)
  10.0.2.0/24  # 私有子网(数据库)
  10.0.3.0/24  # 私有子网(缓存/消息队列)

二、弹性IP与内网IP的正确理解

弹性IP(EIP)是云服务器的公网入口,本质上是一个NAT映射。绑定了弹性IP的云服务器,内网IP本身并不直接暴露在公网,而是通过平台的网络设备做转换。

内网IP则用于云服务器之间的通信,同一VPC内的云服务器互相访问走内网,不产生公网流量费用。这是节省成本的关键——数据库、Redis、消息队列等服务只用内网地址通信,不要加弹性IP。

# 查看云服务器内网IP(Linux)
ip addr show eth0
# 结果示例:inet 10.0.1.100/24

# 查看公网IP
curl -s ifconfig.me

三、安全组配置:云服务器的防火墙

安全组是云服务器的入站访问控制列表,相当于实例级别的软件防火墙。配置原则是:默认拒绝、按需放行。

# Web服务器安全组示例
入方向规则:
  - 协议:TCP,端口:80,来源:0.0.0.0/0  (HTTP)
  - 协议:TCP,端口:443,来源:0.0.0.0/0 (HTTPS)
  - 协议:TCP,端口:22,来源:你的IP/32    (SSH,管理需要)
出方向规则:
  - 协议:ALL,端口:ALL,来源:0.0.0.0/0 (全放行)

# 数据库服务器安全组示例
入方向规则:
  - 协议:TCP,端口:3306,来源:10.0.1.0/24 (仅允许APP层内网访问)

安全组配置最容易犯的错误是放行所有——0.0.0.0/0 放行22端口或者数据库端口,这类机器很容易被扫描并破解。生产环境务必限制来源IP。

四、内网DNS配置:服务发现的基础

云服务器多了之后,不可能记住每个IP。内网DNS是必需品。通常云平台会提供内网DNS服务器地址,直接在云服务器网卡的DHCP或静态配置里使用即可。

# Linux内网DNS配置(/etc/netplan/00-installer-config.yaml)
network:
  version: 2
  ethernets:
    eth0:
      addresses:
        - 10.0.1.100/24
      gateway4: 10.0.1.1
      nameservers:
        addresses:
          - 10.0.1.253        # 云平台内网DNS
          - 8.8.8.8          # 备用公网DNS
        search:
          - internal.local   # 搜索域

配置好之后,可以用域名访问内网服务,比如 db.internal.local 指向数据库服务器的内网IP。

五、负载均衡与网络高可用

单台云服务器如果需要对外提供高可用服务,通常搭配负载均衡(SLB)使用。SLB将公网流量分发到多台后端云服务器,同时提供健康检查和故障自动切换。

用户请求 → 公网SLB(监听80/443)
              ↓
         后端云服务器集群(至少2台)
              ↓
         内网数据库/缓存

对于有多个可用区的大型应用,还可以在不同可用区部署云服务器,做跨机房容灾。多数云平台支持跨可用区的负载均衡配置。

六、网络排错常用命令

网络不通是运维中最常见的问题。排错顺序一般是:

# 1. 检查链路是否通
ping -c 4 10.0.1.1

# 2. 检查端口是否通(需要安装telnet)
telnet 10.0.2.100 3306

# 3. 检查路由
ip route
traceroute -n 8.8.8.8

# 4. 检查DNS解析
nslookup db.internal.local
dig db.internal.local

# 5. 检查监听端口
netstat -tlnp | grep 3306

# 6. 检查防火墙规则(Linux)
iptables -L -n

七、常见坑点提醒

坑1:经典网络下数据库直接开放公网访问。数据库被黑之后才发现是公网IP暴露的。数据库只能监听内网,服务端代码通过内网IP连接数据库,不要暴露在公网。

坑2:安全组规则越加越多,最后变成全放行。安全组要有规划,按项目/环境区分,定期审计。

坑3:不同云平台混用内网网段导致冲突。选网段时避免用大段私有地址(比如10.0.0.0/8),很容易和客户现有网络重叠导致打通困难。推荐用10.64.0.0/16这类相对偏的段。

总结

云服务器网络配置的核心:搞懂VPC和安全组、用好内网IP和外网隔离、做好DNS和服务发现。高可用需求用负载均衡,故障切换依赖安全组规则和监控告警。

网络是基础设施,配对了后面扩展顺畅,配错了改起来代价很大。建议在部署业务之前先规划好网络结构。

测试文章-检查ID

企业网络架构设计:从局域网到生产环境的完整指南
评 论
请登录后再评论
立即登录注册帐号