连通域

SCP6.7.0版本引入连通域概念，使用SDN控制器将多个HCI资源池打通为一个大二层网络，实现多个资源池的网络资源互通。资源池加入联通域之后，所有资源池的网络资源对管理员或租户来说都是一个连通域池，所有资源池的网络拓扑会进行合并，虚拟路由器可平滑热迁移到连通域的任意资源池，所有的分布式虚拟交换机将对接连通域内所有资源池的VXLAN接口，以实现连通域内不同资源池的同网段虚拟机之间互相通信。

同时SCP 6.7.0版本支持为HCI主机/资源池设置为网络节点，连通域内的物理出口和虚拟路由器仅允许绑定在网络节点上，且仅允许网络节点为VPC提供物理出口。在大规模交付场景下，可为SCP连通域规划单独的网络资源池用于承载虚拟路由器和NFV设备。连通域内其他资源池通过VXLAN网络向网络资源池传输流量，网络资源池接收横向流量进行东西向转发，可提升网络资源池VXLAN口和业务口的网卡带宽，以保证业务性能。

经典网络

SCP6.1.0版本开始支持在租户下创建经典网络，所有使用经典网络类型的实例都部署在一个共用的基础网络上，可以直接与数据中心本地进行互通。

一个租户可以添加多个经典网络，使用经典网络时，需由admin提前规划好网络出口设备与上行设备。将经典网络出口与物理出口不同端口组连接，可以实现租户之间的VLAN隔离或租户内应用之间的VLAN隔离。例如：开发部租户有一个经典网络出口与端口组100连接，测试部租户有一个经典网络出口与端口组200连接，此时开发部与测试部之间的经典网络之间VLAN隔离。

当多个租户使用经典网络时，推荐admin管理员对每个租户可以使用的IP等资源进行规划，避免出现IP冲突等情况。

推荐使用场景：

1.  现有数据中心上云改造场景，客户想在不改变现有业务网络的前提下，实现多租户的管理。
2.  老版本云计算平台（aCMP5.8.5、aCMP5.8.7、aCMP5.8.7R1）不支持租户VPC网络，租户下的云主机全部部署在经典网络下，可实现老版本云计算平台到1.0之后版本的平滑升级。
3.  租户部署数据库等业务时，推荐使用经典网络模式部署，实现直接与数据中心本地业务互通，且网络链路缩短，可以保证数据库的性能。

 VPC网络

虚拟私有云（Virtual Private Cloud，以下简称VPC），是SCP为租户提供的云平台内私有使用的资源集合，不同VPC之间二层逻辑隔离。

VPC网络的出口由平台管理员统一规划，每个资源池可选择一个或多个独立物理出口用于转发VPC流量，一个资源池内的所有VPC共享该物理出口。SCP6.7.0开始支持对多个VPC出口绑定不同链路，请务必在创建租户前规划好VPC网络出口。

VPC内路由器为内部每个子网创建一个DHCP Server Pool（DHCP Server Pool中的网段是新建子网时配置的，建议配置网段尽量不要和物理网络中的网段冲突）。Pool中配置了需要分配给云主机的默认网关、DNS域名服务地址（与默认网关为同一个地址 ）及IP-MAC绑定关系。云主机启动后发起DHCP请求，路由器接受到请求并处理。DHCP Server根据请求中的MAC地址查询是否存在IP-MAC绑定记录，有则返回云主机的IP地址，并携带DNS域名服务地址、默认网关。没有则从DHCP server pool中随机返回一个空闲的IP地址，并携带DNS域名服务地址、默认网关。

内网DNS

内网DNS为租户VPC网络内的云主机提供域名解析服务，使其云主机能够通过域名的方式访问相应的应用，避免后续因访问的应用IP地址更改导致需要重新更改VPC内云主机的配置。

弹性IP

弹性IP（Elastic IP，简称EIP）指深信服云平台外部可以访问到的IP地址，可以将弹性IP绑定到租户内对应云主机或VPC出口路由器上实现VPC内外部网络的相互访问。

EIP用于构建云资源的外网出口，可以与云主机、VPC路由器、NFV绑定。云主机绑定弹性IP后可访问外网或对外提供服务。vAD绑定弹性IP后可接受来自公网的访问请求，并将请求分发到多台云主机。

主要使用场景如下：

1.  VPC内可为不同云主机绑定多个EIP（一个作出口SNAT，其他的为云主机做端口映射），多个EIP可属相同或不同的线路类型（如联通线路、电信线路等）。使用不同线路类型的EIP时，流量从不同线路的网关出去。通过端口映射提供服务。
2.  EIP绑定给路由器时，实际是给路由器出接口分配IP地址（默认出接口没有IP地址）。路由器绑定多个EIP时，只有一个主IP，其他为从IP。主IP作为默认出接口IP。路由器上所有的EIP都可用于做端口映射。在EIP地址不足时，推荐使用端口映射的方式，单个EIP地址通过不同的端口映射给不同的云主机使用。
3.  EIP绑定给云主机时，首先把EIP作为从IP配置给路由器的出接口。然后配置一条云主机内网IP到EIP的全端口SNAT，一条EIP到云主机内网IP的全端口DNAT，即实现了云主机的EIP绑定，云主机内部看不到任何EIP的信息。在EIP地址充足时可采用EIP直接绑定给云主机使用的方式。

 企业专线

企业专线是VPC中云主机需要和租户外本地数据中心或托管于机房的设备间进行二层网络通信的网络，效果上这些设备相当于VPC向云下的延伸，云上VPC和云下专线网络属于同一网络的两个不同部分。主要有两个使用场景：

1.  通过专线将本地与云上进行二层打通，使得本地私有云与云上托管云无缝切换。
2.  通过专线将租户不同资源池VPC专线二层打通，针对开发测试场景，测试环境可以无缝迁移到生产环境，加速业务上线速度。

企业专线间通过VLAN隔离。VLAN由数据中心统一管理分配，以防止冲突。一个专线网络具有普通子网的所有属性，然后才有专线属性。

网络安全

虚拟下一代防火墙vAF是深信服下一代防火墙产品的虚拟化版本。通过安全能力的融合实现事前风险预知、事中完整防护、事后检测及响应的闭环，同时依靠安全能力的融合将安全能力及数据进行集中，避免防御短板阻断高级威胁。

推荐租户开启vAF防护，开启防护后平台通过AF内置的防护策略，并自动在路由器上配置路由规则将所有外网流量（进方向和出方向）引至vAF。vAF内置防护规则将对流量清洗后发送给路由器。非外网流量（内网流量、专线流量、公共服务流量）无需经过vAF。

租户可通过停止防护进行故障排除。停止防护后，AF对内部不提供安全服务。外网流量（进方向和出方向）不再经过防火墙，网络处于无防护状态。

租户也可通过AF的流控实现不同应用流量的最大值控制，防止普通业务抢占重要业务带宽，从而保障重要业务的访问体验。上述功能除了需要开启防护，还需要登录到vAF的控制台进行相应策略的配置。

公服网络

应用场景一

私有云下单集群部署功能服务网络。

部署用途

用来部署应用中心、安全中心。

部署说明

1.  在只有一个HCI集群的时候，公共服务可以部署在集群内部。
2.  需保证功能服务出口网段和公服务区网络可达。
3.  建议公共服务和管理网之间要用VLAN做隔离。

应用场景二

多集群部署功能服务网络。

部署用途

用来部署应用中心、安全中心、NAS或S3。

部署说明

1.  当有多个HCI集群的时候，公共服务可以部署在在其中一个集群内部，也可以部署在外部物理环境。
2.  只需保证功能服务出口网段和公服务区网络可达。
3.  建议公共服务和管理网之间要用VLAN做隔离。

应用场景三

多数据中心部署公共服务(方案一)。

部署用途

用于托管云，管理多个数据中心的集群资源场景下，用来向租户发布应用中心、安全中心、NAS或S3等服务。

部署说明

1.  当公共服务在多个数据中心的场景下，可以采用单数据中心的一样的部署。但是两个之间的网络需要管理员打通。
2.  应用中心和安全中心需要部署在其中一个中心。
3.  但是对于S3、NAS等需要较大带宽的应用，也可以部署在两个数据中心。
4.  同样建议公共服务和管理网之间要用VLAN做隔离。

公共服务配置步骤

1.  公共服务网络配置是本版本中应用中心、安全中心的部署基础，上述功能的配置都依赖公共服务进行配置。
2.  一般在使用之前要整体的规划公共服务出口、弹性IP池、应用中心、安全中心的IP地址信息，完成整体规划后再进行配置。
3.  以应用中心为例，推荐的配置过程如下图所示。