1.定义

        VPC(Virtual Private Cloud)专用虚拟网络

2.组成

1.私有网段

        创建专有网络和交换机时,需要以CIDR地址块的形式指定专有网络使用的私网网段。

2.路由器

        专有网络的枢纽。连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。每个专有网络创建后,系统会自动创建一个路由器。

3.交换机

        基础网络设备,连接不同的云资源。可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。

3.可用区和地域

  •  在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。
  • 是否将实例放在同一可用区之内,主要取决于对容灾能力和网络延时的要求:

        如果需要较高的容灾能力,建议您将实例部署在同一地域的不同可用区内。

        如果要求实例之间的网络延时较低,建议将实例创建在同一可用区内。

4.数量规划

  1. 专有网络 : 看你是否有多地部署的需求,或者在一个地域的多个业务系统需要通过专有网络进行隔离,那就需要多个
  2. 交换机:即使一个专有网络也尽量创建至少两个交换机,也和系统规模、系统规划有关。

5.网段规划

        网段大小不仅决定可部署多少云资源也关系到不同网络之间能否互通。

  • 专有网络的网段:您可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8这三个私网网段及其子网作为专有网络的网络地址。如果只有一个专有网络并且不需要和本地数据中心的网络互通时,可选上述私网网段中任何一个网段或其子网。要是多个专有网络,或有混合云的需求,推荐上面这些标准网段的子网,掩码建议不超过16位。

  • 倘若网段使用了经典网络,并且计划将经典网段的ECS实例和专有网络连通,推荐选择不是10.0.0.0/8作为专有网络的网段,因为经典网络的网段也是这个。倘若专有网络的网段是10.0.0.0/8,确保和经典网络ECS实例通信的交换机的网段在10.111.0.0/16

5.1 规划规则

  • 尽可能做到不同专有网络的网段不同,不同专有网络可以使用标准网段的子网来增加可用的网段数。
  • 如果不能做到不同专有网络的网段不同,则尽量保证不同专有网络的交换机网段不同。
  • 如果也不能做到交换机网段不同,则保证通信的交换机网段不同。

5.2 交换机网段

  • 交换机网段必须是其所属专有网段的子集。
  •  交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8~65536个地址。
  •  每个交换机的第一个和最后三个IP地址为系统保留地址。

5.3 路由表

      1. 创建专有网络后,系统会自动创建一张系统路由表并为其添加系统路由来管理专有网络的流量:

  • 以100.64.0.0/10目标网段的路由条目,用于VPC内的云产品通信。
  • 以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。

       2. 一个专有网络只有一个系统路由表,系统自动创建,不能手动删除。

      3.  每个交换机只能关联一张路由表。

      4.  路由表采用最长前缀匹配原则作为流量的路由规则。

6.VPC访问控制

1.网络ACL

        网络访问控制功能,可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制

2.ECS安全组

        安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域,通过配置安全组规则,您可以控制安全组内一台或多台ECS实例的入和出流量。

3.RDS白名单

        在VPC中使用云数据库RDS实例,需要将云服务器的IP地址加入到白名单中,云服务器才能访问RDS实例,而其他ip将拒绝访问。

4.SLB白名单

        负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。您可以为负载均衡监听设置允许转发请求的IP地址,适用于只允许特定IP访问应用场景。

7.ClassicLink

        ClassicLink使经典网络的云服务器ECS实例可以和专有网络中的云资源通过内网互通。{通过路由建立这两个网络平面的连接,避免网络地址冲突,做好网络地质规划}

        可以和经典网络互通的VPC地址段有:

        172.16.0.0/12

        10.111.0.0/16

        192.168.0.0/16

8.为何要迁移至VPC

  • 安全的网络环境(基于隧道技术,实现数据链路层的隔离,为每个租户提供一张独立、隔离的安全网络,不同的专有网络完全隔离。
  • 可控的网络配置(选择IP地址范围、配置路由和网关等,也可通过专线VPN等连接方式将专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用平滑迁移上云和数据中心的扩展)。

9.如何迁移:

        混访混挂方案

                服务依赖RDS、SLB等云产品

       单ECS迁移方案

               应用部署在ECS实例,且ecs实例重启对系统无影响

  1. 混挂:一个负载均衡实例可以同时添加经典网络和VPC网络的ECS作为后端服务器接收监听转发的请求,且支持虚拟服务器组形式的混挂。公网负载均衡和私网负载均衡实例都可开通混挂。
  2. 混访:云数据库RDS和对象存储OSS等云产品支持混访,既支持同时被经典网路和专有网络中的ECS访问,该类产品通常提供两个访问域名:一个经典网络访问域名,一个专有网络访问域名。

10.VPC之间连接

10.1 vpn网关连接

10.2  云企业网

 

# 网络 # 阿里云 # 云计算
Logo
魔乐社区

魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。

更多推荐

cover

魔乐社区虾王挑战赛 · OpenClaw虾客松正式启动!

avatar 魔乐社区
cover

「极限压缩 量化未来」Modelers GeekDay上海站圆满落幕

avatar 魔乐社区
cover

量化挑战赛冠军专访:4小时啃下W4A8量化,我靠的是这些经验

avatar 魔乐社区