网络规划

当您需要使用专有网络VPC来部署您的业务,您可以结合现有业务的规模和未来的扩展预期来对VPC进行网络规划,满足当前业务需求并保障业务持续稳定的同时能够平稳高效地实现业务拓展诉求。

合理的网络规划需要考虑安全隔离、高可用容灾、运营成本等多方面因素,保障业务稳定性与网络的可扩展性。缺乏前瞻性视角的网络设计可能为未来业务拓展埋下隐患,引入难以预见的风险。当现有的网络架构无法满足业务增长与扩展需求时,进行网络重构不仅将面临高昂的成本,更可能导致业务流程受到严重影响。因此,从多层次和多维度制定合理的网络规划至关重要。为了保障网络的稳定性和可扩展性,您可以参照以下步骤规划您的VPC。

image

地域和可用区规划

在同一地域内,各可用区之间内网互通。各可用区之间可以实现故障隔离,即一个可用区出现故障时,不会影响其他可用区的正常运行。同一可用区内实例之间的网络延时更小,其用户访问速度更快。您可以综合考虑以下因素来进行地域和可用区规划。

考虑因素

选择说明

业务场景对时延的要求

业务最终服务的用户和资源部署地域的距离越近,网络时延越低,访问速度越快。

服务支持的地域和可用区

不同的阿里云云服务在每个地域/可用区服务支持的情况不同,库存售卖存在差异,建议您在选择地域/可用区时,确保云服务可用。

成本

不同地域的云服务价格可能会有所不同,建议您根据预算选择合适的地域。

高可用容灾

如果您的应用需要较高的容灾能力,您可选择在同一地域的不同可用区内进行部署以实现同城容灾。您也可选择在多地域部署以实现跨城容灾,满足更高的容灾能力需求。

合规性

您需要根据所在国家或地区的数据本地化要求与经营性备案政策选择符合合规要求的地域。

VPC是地域级别的资源,不支持跨地域部署。当您有多地域部署需求时,必须使用多个VPC。您可以使用VPC对等连接、云企业网等产品实现跨地域VPC间互通。VPC中的交换机是可用区级别的资源,有以下事项您需要注意:

  • 当您因为云服务库存因素选择多个可用区时,您需要提前预留足够的地址段,并考虑到可用区绕行可能造成延时增加;

  • 部分地域仅提供1个可用区,例如华东5(南京-本地地域),若您有同城容灾需求,建议您谨慎考虑选择该地域。

账号和VPC规划

完成地域与可用区规划后,您可以着手创建VPC资源。这一过程需要您充分考量业务规模与安全隔离需求进行账号规划、VPC与交换机数量规划,从而最大限度地优化资源利用效率与成本控制。

账号规划

如果您的业务规模较小,通过单账号或主子账号即可实现资源统一管理,您可以选择跳过本部分内容。当您的业务规模扩大,需要分配用户权限、业务环境强安全隔离,您需要综合考虑以下因素进行统一账号架构设计。

考虑因素

选择说明

业务权限隔离

建议您为不同的业务部门创建独立的账号,以实现对资源、成本和权限的隔离,便于管理。若您的业务场景中存在具有特定资源和权限需求的大型项目或应用程序,建议您为其创建独立账号。

业务系统隔离

当业务系统存在强安全隔离需求时,例如生产环境和测试环境,建议您创建独立账号进行隔离,降低其相互影响的风险。

安全合规性

为满足特定的安全合规要求,建议您将敏感数据或工作负载隔离在独立账号中。

成本管理

通过多账号划分进行资源隔离,可以降低成本跟踪和计费管理复杂度。

日志管理与运维

您可以选择创建独立账号集中存储和分析所有账号的日志信息,便于进行安全审计。

当您根据业务需求进行多账号划分后,VPC数量将随账号数量上升从而导致网络复杂度的上升。您可以结合共享VPC这一功能,实现安全隔离、稳定性与网络运维复杂度之间的平衡。

VPC数量规划

VPC为您提供安全灵活的网络环境,不同VPC之间完全隔离,同一VPC内私网互通。您可以按需规划您的VPC数量。

适合场景

规划一个VPC

  • 业务规模较小,仅部署在一个地域且不同业务之间没有网络隔离需求;

  • 初次使用VPC,推荐使用单个VPC用于快速上手以了解产品功能;

  • 关注成本,不希望管理跨VPC通信的复杂配置与潜在费用。

image

规划多个VPC

  • 业务规模较大,需要部署在不同地域;

  • 单地域的多个业务系统存在网络隔离需求;

  • 业务架构复杂,涉及的众多服务与团队需要独立VPC管理各自资源。

规划多个VPC的适用场景

在如下使用场景中,建议您规划多个VPC:

  • 多地域部署系统

    VPC是地域级别的资源,不支持跨地域部署。当您有多地域部署系统的需求时,必须使用多个VPC。您可以通过使用VPC对等连接、VPN网关、云企业网等产品实现跨地域VPC间互通。

    image
  • 多业务系统隔离

    如果在一个地域的多个业务系统需要通过VPC进行严格隔离,例如生产环境和测试环境具备不同的安全和业务部署诉求,部署到不同VPC可以提供更好的逻辑隔离与安全保障。您同样可以通过使用VPC对等连接、VPN网关、云企业网等产品实现同地域VPC间互通。

    image
  • 大规模业务系统构建

    如果您的业务架构复杂,涉及的众多服务与团队需要独立VPC管理各自资源,以提高灵活性和可管理性,建议您规划多个VPC。

    image
说明

每个用户在单个地域内可创建的VPC数量默认为10个。您可以前往配额管理页面配额中心提升配额。

交换机数量规划

交换机是可用区级别的资源,VPC中的所有云服务都部署在交换机中。交换机划分有助您合理规划IP地址资源,同一VPC内的交换机默认私网互通。

考虑因素

选择说明

基于业务场景对时延的要求

同一地域不同可用区之间的网络通信延迟很小,但系统调用复杂、跨可用区调用等原因可能会增加系统的网络延迟。

高可用和容灾

使用一个VPC时,建议您尽量使用至少两个交换机,并且将两个交换机部署在不同可用区以实现跨可用区容灾。使用多个可用区部署不同业务,统一配置并管理安全管控规则,能够显著提升系统的高可用性和容灾能力。

业务规模与业务划分

通常情况下,您可以根据业务模块进行交换机规划,将不同业务模块部署在不同交换机。例如,您可创建多个交换机将Web层、逻辑层和数据层服务部署在不同交换机以实现标准Web应用架构的托管。

您可以根据以下原则规划交换机:

  • 使用一个VPC时,也请尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样当其中一个可用区的交换机发生故障时,可以切换到另一个可用区的交换机,从而实现跨可用区容灾。

    同一地域内不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂、跨可用区调用等原因可能会增加系统的网络延迟。建议您对系统进行优化及适配,以满足您对高可用和低延迟的实际需求。

  • 具体使用多少个交换机还和系统规模、系统规划有关。通常情况下,您可以根据业务属性在VPC内进行交换机规划。例如,对于直接访问公网的业务部署在一个公有交换机中,其他业务可以根据业务类型进行划分。使用多个可用区部署不同业务有利于安全管控规则的配置与统一管理。

    image
说明

单个VPC支持创建的交换机的数量默认为150个,您可以前往配额管理页面配额中心提升配额。

网段规划

创建VPC和交换机时,您需要指定VPC和交换机的网段。网段的大小决定了可部署云资源的多少,合理的网段规划需要避免网络冲突并保障网络的可扩展性,规划不当将会导致极高的重建成本。

说明
  • 交换机网段创建后不支持修改。

  • 若规划不合理导致地址空间不足,您可以使用附加网段进行扩容,但附加网段不支持修改。

关于VPC和交换机的网段规划,有如下建议:

  • 推荐在VPC中使用RFC 1918定义的私有IPv4地址空间,VPC的IPv4地址空间推荐使用/16掩码,若VPC网段需要扩展,您可以使用VPC附加网段进行扩充。

  • 如果您使用单VPC部署业务,考虑到未来扩展,建议您选择较大的网络掩码,以便为未来新增的交换机、实例或新服务预留足够的地址空间。

  • 当您根据业务规划和网络互联等诉求,规划多个VPC时,建议您在规划VPC网段时,避免VPC间的CIDR地址出现重叠。

  • 当您根据安全容灾等诉求,规划多个可用区时,建议您在规划交换机网段时,避免地址重叠。

随着组网规模不断提升,网段规划的复杂度较高且难度较大。您可以使用阿里云的IPAM地址管理与规划功能,自动分配或跟踪IP地址并检测可能的IP地址冲突,提升网段规划效率。更多资料,请参阅IP地址管理(IPAM)

关于IPAM地址管理与规划,有如下建议:

  • 根据业务形态合理分配和划分IPAM地址池,例如根据不同环境(如开发、生产)、地域或部门设计不同的地址池。

  • 使用IPAM地址池分配VPC私网网段,确保不同VPC使用独立且不重叠的IP地址范围,避免IP地址冲突。

  • 在IPAM中查看VPC网段信息及地址利用率等信息。

VPC网段规划

您可以使用10.0.0.0/8172.16.0.0/12192.168.0.0/16三个RFC标准私网网段及其子网作为VPC的私网地址范围,也可以使用自定义地址段作为VPC的私网地址范围。

VPC网段

IP地址范围

掩码范围

VPC网段示例

10.0.0.0/8-24

10.0.0.0~10.255.255.255

8~24

10.0.0.0/16

172.16.0.0/12-24

172.16.0.0~172.31.255.255

12~24

172.30.0.0/16

192.168.0.0/16-24

192.168.0.0~192.168.255.255

16~24

192.168.0.0/24

在规划VPC网段时,请注意:

  • 如果云上只有一个VPC并且不需要和本地数据中心互通时,可以选择上述私网网段中的任何一个网段或其子网。

  • 如果有多个VPC,或者有VPC和本地数据中心构建混合云的需求,建议使用上面三个标准网段的子网作为VPC的网段,掩码建议不超过16位,且多个VPC间、VPC和本地数据中心的网段不能冲突。

  • 自定义地址段不支持使用100.64.0.0/10224.0.0.0/4127.0.0.0/8169.254.0.0/16及其子网作为VPC的网段。

  • VPC网段的选择还需要考虑是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么建议您不要选择10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8

  • 您可以使用IPAM规划地址池,使用地址池指定掩码默认分配。使用IPAM您还可以查看当前VPC的地址利用率等信息。

交换机网段规划

交换机的网段必须是其所属VPC网段的子集。例如,VPC的网段设置为192.168.0.0/24时,该VPC下的交换机掩码可在25~29的范围内进行选择。

规划交换机网段时,请注意:

  • 交换机IPv4网段的大小需在16位到29位网络掩码之间,可提供8~65536个地址。

  • 请避免交换机网段与VPC网段一致。

  • 交换机网段规划需要考虑该交换机下容纳ECS实例和其他云产品资源的数量,建议您选择一个足够大的CIDR块,以确保可用IP地址数量满足当前业务需求和未来扩展需求。但网段分配不可过大,避免后续无法进行扩展。如果您创建CIDR块为10.0.0.0/16的 VPC,则它支持65536个IP地址。考虑到交换机内需要部署ECS、RDS等云服务资源,您可以规划交换机的掩码为/24,每个交换机支持256个IP地址。CIDR块为10.0.0.0/16的 VPC最多可以被划分为256个掩码为/24的交换机。您可以根据实际业务需求,结合以上建议进行适当调整。

  • 每个交换机的第1个和最后3个IPv4地址为系统保留地址,第1个和最后9个IPv6地址为系统保留地址。以下表为例:

    交换机网段

    系统保留地址

    IPv4网段

    192.168.1.0/24

    192.168.1.0

    192.168.1.253

    192.168.1.254

    192.168.1.255

    IPv6网段

    2001:XXXX:XXXX:1a00/64

    2001:XXXX:XXXX:1a00::

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff7

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff8

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff9

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff

  • 规划多个VPC的场景下,如果交换机所属私有子网与其他私有子网或本地IDC有网络互通需求,请避免交换机网段与对端网段重叠,否则无法实现网络互通。

  • ClassicLink功能允许经典网络的ECS和10.0.0.0/8172.16.0.0/12192.168.0.0/16三个VPC网段的ECS通信。如果要和经典网络通信的VPC网段是10.0.0.0/8,则该VPC下的交换机网段必须是10.111.0.0/16。更多信息,请参见ClassicLink概述

路由表数量规划

路由表中的每一项是一条路由条目,由目标网段、下一跳类型、下一跳三部分组成,将指定目标网段的流量路由至指定的目的地。每个VPC最多可以拥有包括系统路由表在内的10张路由表,您可以参考以下建议规划路由表数量。

规划一个路由表

当VPC内不同交换机的流量路由没有明显差异,您可选择规划一个路由表即可满足需求。创建VPC后,系统会自动为您创建一张系统路由表并为其添加系统路由来管理VPC的流量。系统路由表不能创建和删除,但您可以在系统路由表中创建自定义路由条目,将指定目标网段的流量路由至指定的目的地。

image

规划多个路由表

当VPC内不同交换机的流量路由存在明显差异,例如需要约束某些云服务访问公网的行为时,系统路由表无法满足业务需求。您可根据业务类型划分公有交换机与私有交换机,根据云服务是否需要直接访问公网将其部署到不同交换机中,私有交换机部署的资源可以通过公网NAT网关访问公网,实现公网访问的集中控制,满足安全隔离需求。

image
说明

单个VPC支持创建的自定义路由表的数量为9个,您可以前往配额管理页面配额中心提升配额。

网络连接规划

阿里云为您提供安全隔离、弹性扩展的云上网络环境,以及高速稳定、安全可靠的云上云下连接服务,能够满足VPC内实例访问公网、跨VPC互联、云上VPC连接云下数据中心的需求。您可根据业务场景灵活搭配VPC和对应的产品服务进行网络连接。

公网访问

从互联网访问云上部署的应用或者应用主动访问公网时,有如下建议:

  • 从互联网访问云上部署的应用,或者应用主动访问公网时,需要为应用服务器配置公网IP地址。公网IP地址类型分为固定公网IP与弹性公网IP。推荐您使用弹性公网IP为应用服务器配置公网IP地址。

  • 单台后端服务器直接使用公网IP对外提供服务时,如果服务器出现问题容易导致业务单点故障,影响系统可用性。实际业务场景中,推荐您使用负载均衡统一公网流量入口,并在多可用区挂载多台后端服务器,消除系统中的单点故障,提升应用系统的可用性。

  • 当您需要主动访问公网的服务器较多时,需要占用较多的公网IP资源,此时您可以通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。

  • 当部署在云上的业务对互联网提供服务时,进行合适的访问控制,能够帮助阻止不必要或潜在的危险访问。您可以使用IPv4网关IPv6网关实现对VPC内实例访问公网的集中控制,增强VPC内的安全防护,严格管控公网访问。

image

跨VPC互联

您可以选择以下产品服务实现不同VPC之间的网络连通:

  • 当您规划的VPC数量较少时(一般不超过5个),您可以在两个VPC之间建立VPC对等连接实现跨VPC互联。

  • 如果您的业务规模较大且网络架构复杂,根据业务需求规划了较多VPC时,您可以使用云企业网集中且高效地管理分散的网络资源,降低运维难度,并确保数据的安全传输。

  • 通过公网访问阿里云服务(例如对象存储OSS)可能导致敏感信息泄露,威胁数据安全,您可以使用私网连接将终端节点所在VPC(服务使用方)与终端节点服务所在VPC(服务提供方)通过终端节点建立连接,避免通过公网访问服务带来的潜在安全风险。

  • VPN网关通过建立加密隧道的方式在两个VPC之间建立安全连接,但网络延迟高。

    image

混合云部署

您可以选择以下产品服务将本地数据中心等网络连接至云上VPC,快速构建混合云。

  • 如果您具备较高的安全与时延需求,您可以使用高速通道通过物理专线将本地数据中心连接到阿里云的接入点。

  • 如果您更关注成本,可以选择VPN网关通过建立加密隧道的方式,实现本地数据中心等网络与云上VPC之间稳定的网络连接。

    image

跨VPC互联和混合云部署场景下有什么要求?

当您有VPC与VPC互通或VPC与本地数据中心互通的需求时,请确保VPC的网段与需要互通网络的网段没有冲突。建议遵循以下网段规划原则:

  • VPC可以使用标准网段的子网来增加VPC可用的网段数,建议不同VPC的网段保持独立不冲突。

  • 如果不能做到不同VPC的网段不同,建议不同VPC的交换机网段保持独立不冲突。

  • 如果不能做到不同VPC的交换机网段不同,建议需要通信的交换机网段保持独立不冲突。

如下图所示,您在华东1(杭州)、华北2(北京)和华南1(深圳)地域分别有VPC1、VPC2和VPC3。VPC1与VPC2通过VPC对等连接实现互通,VPC3目前没有与其他VPC通信的需求,而将来可能需要和VPC2通信。此外,您在华东1(杭州)还有一个自建数据中心,需要通过高速通道(物理专线)和同地域的VPC1互通。此例中,虽然VPC3暂时没有与其他VPC互通的需求,但考虑后续业务扩展需求,建议不同VPC的网段保持独立不冲突。

image

您可以在IPAM地址池中创建3个地域地址池,确保每个地域有适当的IP地址分配;并创建自定义分配CIDR,明确标识10.0.2.0/24的CIDR为本地数据中心专用,并在IPAM地址池中标记,确保这些IP地址不会被VPC中的资源误用,从而避免IP地址重叠和冲突。

image

安全能力规划

安全隔离可分为业务隔离、资源隔离、网络隔离多层概念。在地域和可用区规划、账号规划、网段规划中均需考虑安全隔离需求,账号拆分可实现资源隔离,通过划分VPC可实现网络隔离,而资源隔离和网络隔离均为实现业务隔离的具体方式。您可以结合网络连接场景与安全分层进行安全能力规划。

安全分层

规划建议

VPC内

如果您在同一VPC内部署多个业务,建议您通过交换机划分,结合安全组网络ACL实现安全隔离。

VPC边界

  • 建议您根据业务类型划分公有交换机与私网交换机:将需要直接访问公网的云服务部署到公有交换机,无需直接访问公网的云服务部署到私有交换机;将公网流量出/入口部署到不同交换机中;

  • 建议您使用IPv4网关/IPv6网关进行集中访问控制,结合子网路由/网关路由,在业务流程中串联防火墙用于安全防护;

  • 建议您在公网流量出口考虑设定仅出规则,禁止来自公网的主动访问。

image

同时,VPC具备可观测能力。您可以结合流日志流量镜像进行流量观测和问题排查,应用其丰富的安全防护特性,帮助您实时地监控网络流量,提前采取措施避免故障发生,或在发生安全风险后快速排查网络故障,提高系统的稳定性和可靠性。

可观测能力

使用说明

流日志

流日志将收集和存储流量日志数据,您可以通过分段查看并分析流量日志,全面了解网络流量行为,便于优化网络带宽分配,改善网络瓶颈。

流量镜像

VPC流量镜像功能可以镜像经过弹性网卡ENI且符合筛选条件的报文,用于内容检查、威胁监控和问题排查等场景。

image

容灾能力规划

您需要根据业务架构进行容灾能力规划,以保障数据的安全性和业务的持续性。

  • 如果您的业务具有较高的容灾能力需求,您可以在不同地域部署VPC,并规划不同可用区的交换机,从而实现跨地域和跨可用区的备份和容灾。

  • 如果您的业务环境需要快速响应、高并发访问和数据安全性保障,您可以使用负载均衡进行多层次容灾架构设计,通过集群容灾、会话保持、可用区多活等机制保障实例的可用性。

  • 如果您需要在不同地理位置的数据中心与云上VPC之间建立高速、稳定的网络连接,以实现数据同步、灾备切换等功能,您可以创建高可靠模式物理专线,以保障您多线接入阿里云后业务的稳定性,满足多线路容灾需求,避免因为单线而导致的业务受损。

  • 如果您的业务对于服务可用性有较高要求,您可以借助VPC提供的高可用虚拟IP HaVip功能,通过Keepalived或Heartbeat软件来搭建服务高可用架构,以确保主备切换过程中服务IP不变,提高业务可用性。

  • 您可关注云服务本身具备的容灾能力。例如,RDS高可用系列采用一主一备的经典高可用架构,主备节点可以部署在同一地域的相同或不同可用区,部署在不同可用区可以实现实例的跨可用区容灾,提升实例的可用性。

以云上搭建Web服务为例,您可以按照下图将单可用区部署升级到同城双中心的高可用容灾架构,提升服务的安全性与可靠性。

image

当您综合考虑当前业务规模与未来扩展需求,充分权衡安全隔离、高可用容灾、成本等多方面因素,确定好您所需的专有网络和交换机数量、分配给专有网络和交换机的网段后,即可创建您的VPC。具体操作,请参阅创建和管理专有网络