在阿里云使用云产品部署服务时,您首先要规划好网络,例如云上网络的网段、交换机部署、路由策略等。

什么是专有网络?

阿里云专有网络(Virtual Private Cloud,简称VPC)是您在云上创建的专用虚拟网络。专有网络类似您在自己的数据中心运营的传统网络,但附带了阿里云基础设施的其他优势,例如可扩展性、隔离性和安全性等。

您可以在自己的专有网络内部署、使用云资源,例如云服务器、数据库和容器Kubernetes服务等。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等。专有网络由以下部分组成:

  • 私网网段

    在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。

    您可以使用下表中标准的私网网段及其子网作为VPC的私网网段。详细信息,请参见网络规划

    网段 可用私网IP数量 (不包括系统保留地址)
    192.168.0.0/16 65,532
    172.16.0.0/12 1,048,572
    10.0.0.0/8 16,777,212
  • 路由器

    路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。

    详细信息,请参见路由表概述

  • 交换机

    交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。

    详细信息,请参见交换机

VPC架构

地域和可用区规划

专有网络和要使用的资源例如云服务器必须部署在同一个地域内,您可以选择将资源部署在同一个地域内的不同可用区。同一个专有网络内的资源可以互通,不同专有网络内的资源无法互通, 但您可以连接不同专有网络的资源。

在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。是否将实例放在同一可用区内,主要取决于对容灾能力和网络延时的要求。
  • 如果您的应用需要较高的容灾能力,建议您将实例部署在同一地域的不同可用区内。
  • 如果您的应用要求实例之间的网络延时较低,建议您将实例创建在同一可用区内。

数量规划

您可以为每个地域创建多个专有网络,而每个专有网络内又可创建多个交换机。以下原则可以帮助您确定需要多少个专有网络和交换机:
  • 需要几个专有网络:
    专有网络之间互相隔离,您可以通过云企业网打通专有网络间的通信。创建一个还是多个专有网络和您的业务规划相关:
    • 如果您没有多地域部署系统的要求且各系统之间也不需要通过专有网络进行隔离,那么推荐使用一个专有网络。目前,单个专有网络内运行的云产品实例可达15,000个,这样的容量基本上可以满足您的需求。
    • 当您有多地域部署系统的需求时,或在一个地域的多个业务系统需要通过专有网络进行隔离,例如生产环境和测试环境,那么就需要使用多个专有网络。您可以通过使用云企业网实现专有网络互通。
  • 需要几个交换机:
    云资源必须部署在一个指定的交换机内。同一个专有网络内的不同交换机的资源可以互相通信。建议您每个专有网络至少创建两个交换机:
    • 首先,即使只使用一个专有网络,也尽量在专有网络内创建至少两个交换机,并且将两个交换机分布在不同可用区,实现跨可用区容灾。

      同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

    • 其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。

网段规划

在创建专有网络和交换机时,您需要指定专有网络和交换机的网段。网段的大小不仅决定了可部署多少云资源也关系到不同网络之间能否互通:

  • 专有网络的网段
    您可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8这三个私网网段及其子网作为专有网络的网络地址。在规划VPC网段时,请注意:
    • 如果云上只有一个专有网络并且不需要和本地数据中心的网络互通时,可以选择上述私网网段中的任何一个网段或其子网。
    • 如果有多个专有网络,或者有专有网络和本地数据中心构建混合云的需求,推荐使用上面这些标准网段的子网作为专有网络的网段,掩码建议不超过16位。
    • 专有网络网段的选择还需要考虑是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和专有网络连通,那么推荐您选择非10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8。
    • 在有多个专有网络的情况下,建议遵循以下网段规划原则:
      • 尽可能做到不同专有网络的网段不同,不同专有网络可以使用标准网段的子网来增加可用的网段数。
      • 如果不能做到不同专有网络的网段不同,则尽量保证不同专有网络的交换机网段不同。
      • 如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。
  • 交换机的网段
    交换机的网段必须是其所属专有网络网段的子集。例如专有网络的网段是192.168.0.0/16,那么该专有网络下的交换机的网段可以是192.168.0.0/17,一直到192.168.0.0/29。规划交换机网段时,请注意:
    • 交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8~65536个地址。16位掩码能支持部署65532个ECS实例,而小于29位掩码又太小,没有意义。
    • 每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。
    • ClassicLink功能允许经典网络的ECS实例和192.168.0.0/16、10.0.0.0/8、172.16.0.0/12这三个网段内的ECS实例通信。如果专有网络的网段是10.0.0.0/8,确保和经典网络ECS实例通信的交换机的网段在10.111.0.0/16内。更多详细信息,请参见ClassicLink概述

最佳实践

在创建专有网络时,请遵循以下通用设计原则:

  • 确保地址空间不重叠。
  • 交换机的网段不应涵盖专有网络的整个地址。
  • 至少创建两个交换机,并部署在不同可用区内,以确保高可用。