阿里云为您提供安全隔离、弹性扩展的云上网络环境,以及高速稳定、安全可靠的云上云下连接服务,能够满足VPC内实例访问公网、跨VPC互联、云上VPC连接云下数据中心的需求。您可根据业务场景灵活搭配VPC和对应的产品服务进行网络连接。
公网访问场景
选择公网IP地址类型
从互联网访问云上部署的应用,或者应用主动访问公网时,需要为应用服务器配置公网IP地址。公网IP地址类型分为固定公网IP与弹性公网IP。
固定公网IP:创建ECS/CLB实例时,您可以选择分配公网IPv4地址,系统会为您自动分配一个支持访问公网和被公网访问的IP地址。 但创建后无法更换,只能随着实例删除,无法满足灵活解绑与管理的需求。
弹性公网IP:弹性公网IP是独立的公网IP资源,能够动态和实例绑定和解绑,满足灵活管理的要求。推荐您使用弹性公网IP为应用服务器配置公网IP地址。
统一公网流量入口
单台后端服务器直接使用公网IP对外提供服务时,如果服务器出现问题容易导致业务单点故障,影响系统可用性。
实际业务场景中,推荐您使用负载均衡产品统一公网流量入口,并在多可用区挂载多台后端服务器,通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,消除系统中的单点故障,提升应用系统的可用性。
负载均衡SLB包括应用型负载均衡ALB、网络型负载均衡NLB、传统型负载均衡CLB,您可根据您的实际需求选择合适的负载均衡产品。
统一公网流量出口
单台服务器可以通过公网IP地址主动访问公网。但当需要主动访问公网的服务器较多时,需要占用较多的公网IP资源,此时您可以通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。
公网访问控制
当部署在云上的业务对互联网提供服务时,进行合适的访问控制,能够帮助阻止不必要或潜在的危险访问。
以VPC内1台ECS服务器为例,您可选择以下方式进行集中访问控制:
IPv4网关是专有网络VPC的互联网IPv4流量网关。当您未使用该功能时,ECS绑定公网IP后即可访问公网,但当IPv4网关创建并激活后,该VPC访问公网的行为将会受IPv4网关控制。您可以使用IPv4网关结合子网路由的能力实现公网IPv4访问集中控制。
IPv6网关是专有网络VPC的互联网IPv6流量网关。VPC内实例默认申请的IPv6地址只具备IPv6私网通信能力,您可以通过在IPv6网关中为IPv6地址开通IPv6公网带宽,使其具备公网通信能力。此外,可以支持设置仅主动出规则,使IPv6地址仅可主动访问公网。
您可以结合以上使用场景,根据实际业务需求选择对应的云产品资源或功能,其功能与优势总结如下:
适合场景 | 云产品 | 功能说明 | 优势与限制 |
为应用服务器配置公网IP | 固定公网IP | 创建ECS实例时,您可以选择分配公网地址,系统会为您自动分配一个支持访问公网和被公网访问的IP地址。 | 固定公网IP不能动态与VPC ECS实例解绑,您可以将固定公网IP转换为EIP。 |
能够动态与ECS实例绑定和解绑,支持ECS实例访问公网(SNAT)和被公网访问(DNAT)。 | EIP可以随时和ECS实例绑定和解绑。 使用共享带宽和共享流量包,降低公网成本。 | ||
统一公网流量入口 | 基于端口提供四层和七层负载均衡功能,支持用户从公网通过SLB访问ECS。 | SLB通过对多台ECS进行流量分发,可以扩展应用系统对外的服务能力,并通过消除单点故障提升应用系统的可用性。 SLB不支持ECS通过SLB主动访问公网。 | |
统一公网流量出口 | 支持多台ECS实例访问公网和被公网访问。 | 公网NAT网关可用于多台ECS实例和公网通信,而EIP只能用于一台ECS实例和公网通信。 和SLB相比,公网NAT网关本身没有均衡流量的功能。 | |
公网访问控制 | 作为公网流量网关,集中控制VPC内实例公网访问流量,增强VPC内的安全防护,严格管控公网访问。 | 通过路由管控公网访问能力,降低直接使用公网IP访问公网带来的安全风险。 入方向路由策略控制,可结合虚拟防火墙进行安全防护。 |
跨VPC互联场景
两个VPC之间简单互联
当您需要实现两个VPC之间简单快速的网络互通,建议您选择VPC对等连接实现VPC间高速安全的网络连接。
VPC对等连接提供连通两个VPC的网络连接以实现私网通信。您可以与当前账号的同地域或者跨地域其他VPC之间创建对等连接,也可以与其他账号的同地域或者跨地域VPC之间建立对等连接。创建VPC对等连接后,您可以通过配置发起端和接收端的路由条目实现发起端VPC和接收端VPC之间的互通。
多VPC之间联通和管理
在大规模的云计算环境中,企业往往需要管理众多的VPC,这些VPC可能分布在全球不同的地域,承载着各种关键业务。此时,您可以使用云企业网将这些分散的VPC连接成一个统一的网络架构,建立稳定、安全、高速的网络连接,实现资源的高效共享和灵活调度,满足跨地域跨账号的数据同步、应用迁移与多云环境下的协同工作需求,极大地简化网络管理的复杂度,提升运维效率。
云企业网通过转发路由器TR连接网络实例,转发同地域或跨地域网络实例间的流量。只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。1个地域内只能有1个转发路由器,跨地域需要不同转发路由器互联。您可以使用云企业网和企业版转发路由器实现跨地域跨账号VPC间互通。
云企业网管理控制台支持可视化的监控运维界面,可以帮助您迅速掌握全网运行状态,提高网络运维效率。
同地域私网VPC安全访问
如果您需要将部署在VPC内的云服务提供给其他VPC使用时,您可以使用私网连接,无需创建NAT网关、EIP等公网出口。交互数据不会经过互联网,有更高的安全性和更好的网络质量。私网连接能够将终端节点所在VPC与终端节点服务所在VPC通过终端节点连接,建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
您可以结合业务诉求,根据使用场景选择适合的跨VPC互联方案。更多内容,请参见跨VPC互联概述。
适合场景 | 选项 | 功能说明 | 优势与限制 |
两个VPC之间简单互联 | 通过VPC对等连接,可以实现两个VPC之间私网互通。VPC对等连接支持跨地域跨账号VPC互联。 | 网络延迟低。 成本低,同地域不收费。 不支持路由传递。 配置复杂度高,大规模管理难度大。 | |
多VPC之间联通和管理 | 支持跨地域跨账号VPC间互通,提供稳定、安全、高速的网络连接。 | 支持路由传播。 支持快速连接多地域网络。 支持系统化管理,网络运维效率高。 提供低延迟、高速率的网络传输能力。 链路冗余及容灾。 就近接入与最短链路互通。 | |
同地域私网VPC安全访问 | 将终端节点所在的VPC与终端节点服务所在VPC通过终端节点连接,将部署在VPC内的云服务提供给其他VPC使用。 | 网络延迟低。 服务提供方和服务使用方双方网络独立,提高网络可靠性。 安全可控,通过添加安全组规则和设置终端节点策略进行源端鉴权。 管理简单,支持灵活的跨账号和跨VPC服务访问方式,避免复杂的路由和安全配置。 支持流日志功能,实时监控分析终端节点网卡传入和传出的流量信息,确保网络通信透明可控。 不支持跨地域连接,只支持同地域互联。 |
混合云场景
您可以根据业务需求,充分考虑网络性能、数据安全、成本效益和未来扩展性等因素,选择合适的方案将本地数据中心等网络连接至VPC,快速构建混合云。
高速稳定高可用混合云组网
在如下使用场景中,建议您使用高速通道在本地数据中心与VPC间建立可靠、安全和高速的连接:
当您在本地数据中心与VPC间进行大量的数据迁移或频繁的数据同步时,高速通道为您提供稳定且高速的网络连接,减少数据传输的时间成本。
当本地数据中心的关键业务对可用性要求极高时,您可以在多个接入点建立专线连接,实现应用的弹性扩展和灾备方案,同时保持与本地数据中心的紧密集成。
简单快速混合云组网
VPN网关基于互联网通信,网络延迟和可用性取决于互联网。如果您的使用场景下对网络延迟没有较高限制,结合成本和建设周期,您可以使用VPN网关通过建立加密隧道的方式,实现企业本地数据中心、企业办公网络、互联网客户端与阿里云之间安全可靠的网络连接。
VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,不同的网络连接方式适用于不同的网络连接场景:
企业级混合云组网
如果您的网络架构较为庞大、复杂且多样化,您可以使用云企业网实现对分布在全球各地的网络资源进行统一管理和监控,提升网络运维工作效率。云企业网支持多云连通与云上云下网络互通,帮助您形成灵活的混合云架构,满足多样化的业务需求。
您可以结合业务诉求,根据使用场景选择适合的混合云部署方案,其功能与优势总结如下:
适合场景 | 云产品 | 功能说明 | 优势与限制 |
高速稳定高可用混合云组网 | 通过物理专线接入连通本地IDC网络和VPC。 | 基于运营商骨干网络,延迟低。 通信质量高,专线连接安全可靠。 建设周期较长,建设成本高。 | |
简单快速混合云组网 | 建立IPsec-VPN,连通本地IDC网络和VPC。 建立SSL-VPN,连通本地客户端和VPC。 | 安全稳定高可用,低成本。 需要经过公网转发,与私网访问相比有较高延迟。 | |
企业级混合云组网 | 与本地IDC互通:支持将要互通的本地IDC关联的边界路由器(VBR)加载到已创建的云企业网实例,构建互联网络。 多VPC与IDC互通:支持将要互通的多个网络实例(VPC和VBR)加载到已创建的云企业网实例,构建企业级互联网络。 | 支持路由传播。 支持快速连接多地域网络。 支持系统化管理,网络运维效率高。 提供低延迟、高速率的网络传输能力。 链路冗余及容灾。 就近接入与最短链路互通。 |