产品架构

背景信息

为了提升网络资源效能与设备利用率，网络虚拟化技术应运而生，它能将物理网络资源抽象成虚拟网络资源，实现同一物理网络基础设施上多个独立逻辑网络的并行运行。这一技术具备较高的灵活与可扩展性，用户可根据需求快速调整网络资源配置。

然而，云计算的不断发展，对虚拟化网络的弹性、安全可靠、互联性能提出了更高的要求。传统的网络融合方案已难以满足，特别是大二层网络架构下暴露出的ARP欺骗、广播风暴及主机扫描等问题愈发突出。

上述问题催生了各种网络隔离技术，旨在将物理网络和虚拟网络彻底分隔。VLAN技术作为隔离手段之一，基于端口、MAC地址或IP地址将物理局域网划分为多个逻辑局域网，每个VLAN构成独立的广播域，有效阻止了广播信息的跨域传播，显著提升了局域网的性能与安全性。但VLAN存在数量限制，最大只能支持4096个虚拟网络，无法支撑巨大的用户量。

VXLAN作为突破VLAN的数量限制并实现跨数据中心的高效通信的解决方案出现，能够支持上百万个虚拟网络，特别适用于构建大规模云环境下的多租户网络。VXLAN使用隧道技术，将二层网络数据包封装在三层网络数据包中进行传输，从而实现了跨越三层网络的二层通信，解决了传统网络架构下虚拟网络扩展性的瓶颈，为云计算时代的大规模网络部署提供了强有力的技术支撑。

VPC实现原理

VPC是云计算环境中的关键组件，允许用户在共享的基础设施上创建隔离的虚拟网络环境，从而提高数据的安全性和私密性。基于隧道技术和软件定义网络（SDN）技术，结合高性能硬件网关和自研分布式虚拟交换机设备，阿里云推出了高性能、高灵活性的VPC产品，满足用户的多样化需求。

• 隧道技术：隧道技术是实现网络隔离的关键。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。

  • 一个VPC内的ECS实例间传输的数据包会通过隧道封装，带有唯一的隧道号标识，通过物理网络进行传输。

  • 不同VPC内的ECS实例由于所在的隧道号不同，本身处于两个不同的路由平面，因此不同VPC内的ECS实例无法进行通信，天然地进行了隔离。

• SDN技术：SDN作为新型的网络架构，将网络设备的控制平面与数据平面分离，实现了网络流量的集中管理和控制。VPC中的SDN控制器可以动态地配置网络策略，如路由、安全规则等，而无需直接操作底层硬件，大大提高了网络的灵活性和可编程性。

• 硬件网关和自研交换机设备：支持高性能的数据转发，满足大规模VPC的高吞吐量需求。

VPC逻辑架构

如下图所示，VPC包含交换机、网关和控制器三个重要的组件。

交换机和网关组成了数据通路的关键路径，控制器使用自研协议下发转发表到网关和交换机，实现了配置路径的连通。配置通路和数据通路互相分离。

VPC中的交换机是分布式的节点，网关和控制器都是集群部署且多机房互备，所有链路上都具备冗余容灾，提升了VPC的整体可用性。

功能架构

您可以充分利用VPC所提供的丰富功能，以满足您的特定需求。无论是构建复杂网络架构，还是实现精细的安全策略控制，VPC都能为您提供强有力的支持。

• 交换机：交换机是可用区级别的资源。创建VPC后，您可以创建交换机，并在交换机中部署云产品资源。

• 路由表：路由表是管理和控制网络流量的关键，合理的配置有助于增强网络的灵活性和安全性。

• IP地址管理（IPAM）：IPAM作为IP地址管理工具，可以帮助您自动化分配与管理IP地址，简化网络管理流程并避免地址冲突。

• IPv4网关/IPv6网关：您可以使用IPv4网关/IPv6网关实现对VPC内实例访问公网的集中控制，增强VPC内的安全防护，严格管控公网访问。

• VPC对等连接：您可以通过VPC对等连接，实现两个同账号或跨账号VPC间同地域或跨地域的私网互通。

• 网络ACL：您可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中云服务器ECS实例流量的访问控制。

• 流日志：流日志功能可记录VPC网络中弹性网卡ENI传入和传出的流量信息，帮助您检查访问控制规则、监控网络流量和排查网络故障。

• 流量镜像：流量镜像功能可以镜像经过弹性网卡ENI且符合筛选条件的报文，可用于内容检查、威胁监控和问题排查等场景。