最近Akamai发布的虚拟专用云(VPC)功能提供了一种隔离的网络,让云资源可以用私密的方式进行通信。
关于Akamai VPC功能,最棒的地方在于它有着极高的灵活性。用户可以通过Cloud Manager、开发人员工具(如CLI)或者基础设施即代码工具Terraform来添加计算实例。本文将告诉大家如何使用Terraform部署VPC并动态添加子网。
使用Terraform的原因在于:我们可以在一个地方看到应用程序的所有配置,从而方便地在另一个环境中复制这些资源,将资源移到不同的账户等。这等于为我们环境提中的资源提供了一种“单一事实来源”,有助于缓解配置漂移的情况。
先决条件
在开始后续操作之前,请确保自己满足下列条件:
- 一个Linode账户。如果没有,可以在这里免费注册一个。
- Linode v4 API的个人访问令牌,Terraform需要使用此令牌与我们的Linode资源进行交互。
- 在本地计算机上安装了Terraform。
- 基本的命令行使用知识。
步骤1:创建Terraform配置文件
我们将从为Terraform设置Linode提供程序开始。为这个Terraform项目创建一个新目录,并创建一个名为terraform.tf的文件。我们没有从零开始构建配置文件,而是利用了Terraform注册表。
首先,在Terraform注册表中找到Linode VPC。在页面右侧,点击“Use Provider”,并将下拉菜单中的代码复制到我们自己的terraform.tf文件中。然后从VPC的“Example Usage”部分复制并粘贴代码。
我们的配置文件看起来应该是这样的:
请注意:大家还需要替换这里列出的授权密钥和Root密码。
terraform {required_providers {linode = {source = "linode/linode"version = "2.13.0"}}
}
provider "linode" {token = "your_api_token"
}
resource "linode_vpc" "test" {label = "test-vpc"region = "us-iad"description = "My first VPC."
}步骤2:部署配置文件
要部署配置文件,请运行terraform plan,然后运行terraform apply。
随后,当我们进入云仪表板时,会看到VPC已显示在这里。
利用基础设施即代码方式来部署VPC,能在管理云基础设施时提供更大的控制力、一致性、敏捷性和效率,同时还可有效降低人为错误的可能性,让部署变得更快速可靠。
步骤3:向VPC添加子网
向VPC添加子网,这是设计一个有序、安全、可扩展的云基础设施的重要先决条件,而这也需要与我们的应用程序和服务的具体需求保持一致。通过添加子网,可以将我们的VPC逻辑分割成更小、更易管理的网络。这种分割有助于根据功能、安全需求或其他因素对资源进行分组。例如,我们可能会为Web服务器、数据库和应用程序组件分别设置单独的子网。
子网还允许我们在自己的VPC内有效地管理IP地址。每个子网在其指定的IP地址范围内运行,有助于避免冲突,并提供了IP地址分配的结构化方法。随着基础设施规模扩大并部署更多资源,这种特性会变得越来越重要。
子网充当了安全边界,使我们能根据子网托管的资源的敏感性,为每个子网实施不同的安全措施。例如,我们可以对数据库子网应用比Web服务器子网更严格的安全规则。这也有助于实施最小权限原则。
子网还在VPC内路由和优化网络流量方面发挥着关键作用。我们可以配置路由表,根据特定需求在不同子网之间引导流量。这种灵活性使我们能为自己的应用程序设计最有效的通信路径。
那么接下来,让我们向VPC添加一些子网。为此请编辑terraform.tf文件,添加一个vpc_subnet资源块。
请注意:我们需要替换成自己的vpc_id,这个信息显示在云仪表板中。
resource "linode_vpc_subnet" "vpc-subnet-terraform-subnet-01" {vpc_id = "your_vpc_id"label = "vpc-subnet-terraform-subnet-01"ipv4 = "192.168.1.0/24"
}
resource "linode_vpc_subnet" "vpc-subnet-terraform-subnet-02" {vpc_id = "your_vpc_id"label = "vpc-subnet-terraform-subnet-02"ipv4 = "10.0.0.0/24"
}运行terraform apply来应用这些更改。
这样我们的VPC就有2个子网了。在Cloud Manager中可以看到这些变化:
注意事项:
- 每个子网只应有一个vpc_subnet资源块。
- 同一VPC内子网的IPv4地址范围不能有重叠。
Akamai VPC与其他超大规模云服务商的差异之处
Akamai VPC有一个非常显著的独特之处:在定义子网时所具备的灵活性。在许多传统的超大规模云服务提供商中,在这方面往往有一个严格的要求,即VPC中的所有子网必须共享相同的RFC1918范围或块。这基本上意味着:一旦为VPC设置了顶级CIDR范围,其中的所有子网都将被限制在这个特定的地址空间内。
然而,Akamai采用了一种不同的,并且更灵活多样的方法。Akamai VPC允许每个子网存在于其自己的RFC1918范围或块中。这意味着用户可以根据具体用例,以最适合的方式自由地设计自己的网络架构。例如,用户可以在192.168/16空间中运行一个子网,而另一个子网在10/8空间中运行,并且可以让这两个子网加入到同一个VPC中。
这种灵活性非常实用,尤其是当我们的应用程序或业务需求发生变化时。与一些超大规模云服务提供商施加的限制不同,Akamai VPC允许用户动态添加具有不同范围的子网。因此,如果需求发生变化或应用程序有所扩展,用户可以轻松地集成新的子网,而不受预定义顶级CIDR范围的限制。这种灵活性符合现代云架构对多样化网络需求的要求,而这也使Akamai VPC显得与众不同,提供了与当今云环境动态的特性完美契合,并且可定制,可扩展性的VPC功能。
Akamai VPC现已在各大核心区域可用,并且我们还将根据用户反馈和需求逐渐为VPC添加更多功能和特性。
