备案控制台
云计算主题 什么是专有网络VPC?

什么是专有网络VPC?

更新时间: 2024-02-02 16:45:11

专有网络VPC(Virtual Private Cloud)是一种专有的云上私有网络,允许用户在公共云上配置和管理一个逻辑隔离的网络区域。这个虚拟网络区域使用户能够控制虚拟网络环境,包括选择自己的IP地址范围、创建子网、配置路由表和网络网关。VPC提供了类似于传统数据中心的安全和可配置的私有网络空间,同时又具备云计算的弹性和可扩展性。

专有网络VPC有什么优势?

专有网络VPC具有安全可靠、灵活可控、简单易用的特性和较强的可扩展性。

  • 安全可靠

    每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。VPC之间通过隧道号进行隔离:

    • 由于VPC内部存在交换机和路由器,因此可以像传统网络环境一样划分子网。每一个子网内部的不同云服务器使用同一个交换机互联,不同子网间使用路由器互联。

    • 不同VPC之间内部网络完全隔离,可以通过对外映射的IP(弹性公网IP和NAT IP)互连。

    • 由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同VPC间二层网络隔离。

    • VPC内的云服务器使用安全组防火墙进行三层网络访问控制。

  • 灵活可控

    您可以通过安全组规则、访问控制白名单等方式灵活地控制访问VPC内云资源的出入流量。

  • 简单易用

    您可以通过VPC控制台快速创建、管理VPC。VPC创建后,系统会自动为其创建一个路由器和路由表。

  • 可扩展性强

    您可以在一个VPC内创建不同的子网,部署不同的业务。此外,您可以将一个VPC和本地数据中心或其他VPC相连,扩展网络架构。

专有网络VPC有哪些实际应用?

  • 安全部署应用程序

    您可以将对外提供服务的应用程序部署在VPC中,并且可以通过创建安全组规则、访问控制白名单等方式控制互联网访问。您也可以在应用程序服务器和数据库之间进行访问控制隔离,将Web服务器部署在能够进行公网访问的子网中,将应用程序的数据库部署在没有配置公网访问的子网中。

  • 部署主动访问公网的应用程序

    您可以将需要主动访问公网的应用程序部署在VPC中的一个子网内,通过公网NAT网关路由其流量。通过配置SNAT规则,子网中的实例无需暴露其私网IP地址即可访问互联网,并可随时替换公网IP,避免被外界攻击。

  • 跨可用区容灾

    您可以通过创建交换机为VPC划分一个或多个子网。同一VPC内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中,实现跨可用区容灾。

  • 业务系统隔离

    不同的VPC之间逻辑隔离。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以将两个VPC加入云企业网CEN实现互通。

  • 构建混合云

    VPC提供专用网络连接,可以将本地数据中心和VPC连接起来,扩展本地网络架构。通过该方式,您可以将本地应用程序无缝地迁移至云上,并且不必更改应用程序的访问方式。

专有网络VPC的工作原理是什么?

基于目前主流的隧道技术,专有网络VPC隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应一个虚拟化网络。

虚拟化网络背景信息

随着云计算的不断发展,人们对虚拟化网络的要求越来越高,例如弹性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且还有较高的互联性能(performance)等需求,因此催生了多种多样的网络虚拟化技术。

比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离,但是VLAN的数量最大只能支持4096个,无法支撑巨大的用户量。

专有网络的组成部分

每个专有网络都由至少一个私网网段、一个虚拟路由器和至少一个交换机组成。

image

  • 私网网段

    在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。

    您可以使用下表中标准的私网网段及其子网作为VPC的私网网段,也可以使用自定义地址段作为VPC的私网网段。

    网段

    说明

    192.168.0.0/16

    可用私网IP数量(不包括系统保留地址):65,532

    172.16.0.0/12

    可用私网IP数量(不包括系统保留地址):1,048,572

    10.0.0.0/8

    可用私网IP数量(不包括系统保留地址):16,777,212

    自定义地址段

    除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网外的自定义地址段。

  • 虚拟路由器

    虚拟路由器(vRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个虚拟路由器。每个虚拟路由器至少关联一张路由表。

  • 交换机

    交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。

专有网络原理描述

基于目前主流的隧道技术,专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。

  • 一个VPC内的ECS(Elastic Compute Service)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道号标识,然后通过物理网络进行传输。

  • 不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。

基于隧道技术和软件定义网络SDN(Software Defined Network)技术,阿里云在硬件网关和自研交换机设备的基础上推出了VPC产品。

专有网络逻辑架构

以阿里云的专有网络VPC为例,如下图所示,VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径,控制器使用自研协议下发转发表到网关和交换机,完成了配置通路的关键路径。配置通路和数据通路互相分离。VPC中的交换机是分布式的节点,网关和控制器都是集群部署且多机房互备,所有链路上都具备冗余容灾,提升了VPC的整体可用性。

image

阿里云如何满足您的VPC需求?

相关产品

专有网络VPC帮助您基于阿里云构建一个逻辑隔离的云上数据中心。专有网络由逻辑网络设备(如虚拟路由器,虚拟交换机)组成,可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。

最佳实践

  • 经典网络迁移到VPC:将部署在经典网络中的资源迁移到专有网络VPC)中,实现网络环境隔离,安全性更高。

  • 使用资源目录和共享VPC实现多账号网络互通:企业可以使用资源目录RD(Resource Directory)将多账号有序组织和管理,然后通过共享VPC快速实现多账号间的网络互通,确保业务部门可以聚焦自身业务需求,从而提升整个组织的IT效率。

  • 如何选择私网类产品:阿里云提供了针对不同场景接入VPC私网的产品和服务,如高速通道、VPN网关、云企业网(Cloud Enterprise Network)和智能接入网关等。

  • 如何选择公网类产品:VPC网络下,您可以通过弹性公网IP、NAT网关、公网负载均衡(SLB)和ECS固定公网IP等方式连接公网。

  • VPC内如何使用云产品:阿里云大部分云产品都已经支持专有网络VPC,您可以在创建云资源时选择使用VPC,也可以在创建VPC后,在VPC内创建云资源。