专有网络 VPC 是云上构建的逻辑隔离的私有网络环境。基于软件定义网络(SDN)和 VXLAN 隧道技术,分离数据平面与控制平面,并为每个 VPC 分配唯一的 VXLAN 网络标识符(VNI),实现虚拟网络间的隔离。
产品架构
数据平面:数据包的转发路径
数据平面负责处理和转发网络流量,主要由分布式的虚拟交换机和网关集群组成。
网络隔离:VPC 利用 VXLAN (Virtual eXtensible LAN) 隧道技术实现网络隔离。传统 VLAN 技术最多支持 4096 个虚拟网络,无法满足大规模云计算数据中心的需求。VXLAN 通过将二层以太网报文封装在三层 UDP 包中传输,突破了物理网络限制,可支持上百万个虚拟网络。
通信流程:
VPC 内通信:同一 VPC 内的云服务器实例间通信时,其发出的数据包会被封装,并标记上该 VPC 独有的 VNI。数据包在物理网络中传输,但只有同一 VPC 内的实例才能解析和接收。
VPC 间隔离:不同 VPC 的实例因其 VNI 不同,分属于不同的逻辑路由平面,数据包无法互通,实现了网络隔离。
控制平面:网络的集中管理
控制平面是 VPC 的管理核心,由 SDN 控制器集群构成,负责网络的集中管理和策略下发。
功能分离:SDN 技术将控制平面与数据平面解耦。通过控制台或 API 进行的网络配置(如定义路由、设置安全规则),由 SDN 控制器处理。管理员无需关心底层硬件细节,即可通过控制器动态调整网络行为。
配置下发:控制器计算出转发表等配置信息,并通过自研协议下发至数据平面的交换机和网关,以指导流量转发。该分离架构使网络配置的变更无需操作底层物理硬件,提升了网络的灵活性和自动化水平。
高可用设计
VPC 架构设计中融入高可用与冗余机制,保障服务稳定性。
分布式节点:使用分布式虚拟交换机,避免单点故障。
集群化部署:网关和控制器均采用集群部署,并实现多机房(可用区)互备。
链路冗余:所有物理链路均具备冗余容灾能力。
功能架构
VPC 提供丰富功能,支持构建满足特定业务需求的网络架构,同时具备精细化访问控制与监控运维能力。
交换机:在 VPC 内划分地址空间以部署云资源。交换机是可用区级别的资源。
路由表:控制 VPC 内的流量走向。交换机与路由表绑定,由路由条目决定流经该交换机的数据包的下一跳。
IP地址管理(IPAM):作为 IP 地址管理工具,自动化分配与管理 IP 地址,简化网络管理流程并避免地址冲突。
VPC对等连接:支持同账号/跨账号、同地域/跨地域 VPC 互连。
网络ACL:与交换机绑定,通过配置网络ACL规则,控制出入交换机的流量。
流日志:采集并记录弹性网卡的进出流量信息,可以监控网络性能、排查网络故障或优化流量成本。
流量镜像:作为旁路监控方案,在不影响业务流量的前提下,将符合筛选条件的流量复制并转发到安全分析设备,实现实时检测。