基本概念

本文为您介绍使用专有网络VPC(Virtual Private Cloud)过程中涉及的基本概念,方便您更准确的理解和使用VPC产品。

术语

说明

专有网络(VPC)

专有网络VPC是您基于阿里云创建的自定义私有网络,不同的专有网络之间逻辑上彻底隔离。您可以在自己创建的专有网络内创建和管理云资源,例如云服务器ECS(Elastic Compute Service)、负载均衡SLB(Server Load Balancer)和阿里云关系型数据库RDS(Relational Database Service)等。

交换机(vSwitch)

交换机(vSwitch)是组成专有网络的基础网络设备。交换机可以连接不同的云资源。在专有网络内创建云资源时,必须指定云资源所连接的交换机。

共享VPC

专有网络VPC的所有者账号(资源所有者)可以将VPC内的非默认交换机共享给其他阿里云账号(主账号),其他阿里云账号(主账号)可以在共享的交换机内创建云资源。当前支持共享给同一企业组织内的阿里云账号(主账号),也支持共享给任意阿里云账号(主账号)。

路由

路由器

路由器是专有网络的枢纽。路由器可以连接专有网络的各个交换机,同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。

路由表:路由表是指路由器上管理路由条目的列表。

  • 系统路由表

    创建VPC后,系统会默认创建一张系统路由表来控制VPC的路由,VPC内所有交换机默认使用系统路由表。您不能创建也不能删除系统路由表,但可以在系统路由表中创建自定义路由条目。

  • 自定义路由表

    您可以在VPC内创建自定义路由表,将自定义路由表和交换机绑定,更灵活地进行网络管理。

  • 网关路由表

    您可以在VPC内创建自定义路由表,将自定义路由表和IPv4网关绑定,该路由表被称为网关路由表。

路由条目

路由表中的每一项是一条路由条目。路由条目定义了通向指定目标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。

前缀列表

前缀列表将若干CIDR地址块组成一个逻辑操作对象。您可以为一些常用的IP地址创建前缀列表,并将其作为路由表的目标地址配置路由,而不需要为每个IP地址配置路由。如果您需要扩展访问范围并要访问另外一个地址段(CIDR),则可以直接更新相关的前缀列表,引用该前缀列表的所有路由表都会自动更新。

NAT网关

NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择。

VPC对等连接

专有网络VPC对等连接是两个VPC之间的网络连接,您可以通过VPC对等连接,实现两个VPC之间私网互通。您可以在您的VPC之间创建VPC对等连接,或者在您的VPC与其他阿里云账号的VPC之间创建VPC对等连接。建立VPC对等连接的VPC可以在同一个地域,也可以在不同地域。

DHCP选项集

动态主机配置协议DHCP(Dynamic Host Configuration Protocol)是一种局域网的网络协议, 提供了将配置信息传递到TCP/IP网络服务器的标准。通过DHCP选项集功能,您可以为专有网络VPC中的云服务器ECS实例配置域名和DNS服务器IP地址。

IPv4网关

IPv4网关是连接专有网络VPC和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。

ClassicLink

专有网络VPC提供ClassicLink功能,使经典网络的云服务器ECS实例可以和专有网络中的云资源通过内网互通。

网络ACL

网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。

安全组

安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力,您可以基于安全组的特性和安全组规则的配置在云端划分安全域。

高可用虚拟IP

高可用虚拟IP(High-Availability Virtual IP Address,简称HaVip)是一种可以独立创建和释放的私网IP资源。HaVip可以与高可用软件(例如,Keepalived)配合使用,搭建高可用主备服务,提高业务的可用性。

流日志

专有网络VPC提供流日志功能,可以捕获VPC网络中弹性网卡ENI(Elastic Network Interface)的传入和传出流量信息,帮助您检查访问控制规则、监控网络流量和排查网络故障。

流量镜像

专有网络VPC流量镜像功能可以镜像经过ENI且符合筛选条件的报文。通过流量镜像功能,您可以复制VPC中ECS实例的网络流量,然后将复制后的网络流量转发给指定的ENI或私网传统型负载均衡实例CLB(Classic Load Balancer)实例,用于内容检查、威胁监控和问题排查等场景。

闲置实例

闲置实例向您展示超过闲置周期未投入使用的实例,保持关注闲置实例,有助于您更好的管理成本。

标签

专有网络VPC支持标签功能。您可以通过标签对专有网络、路由表和交换机进行标记和分类,便于资源的搜索和聚合。

配额

服务配额是指一个阿里云账号(主账号)可以使用的云资源的最大值或操作次数的最大值。阿里云服务配额可分为通用配额、API速率配额和权益配额。

RAM鉴权

阿里云账号(主账号)通过创建授权策略对RAM用户进行授权,从而对专有网络VPC进行权限管理,以满足RAM用户操作VPC的多种需求。