更新时间:2024-03-05 GMT+08:00

虚拟私有云和子网规划建议

在创建VPC之前,您需要根据具体的业务需求规划VPC、子网的数量及IP网段,并选择网络连通方式等。

如何规划VPC?

VPC具有区域属性,默认情况下,不同VPC之间网络不通,同一个VPC内的不同子网之间网络互通。

  • 一个VPC

    当各业务之间没有网络隔离需求时,您可以只使用一个VPC。

  • 多个VPC

当您在当前区域下部署多套业务,且希望不同业务之间网络隔离,则您可以在当前区域内,为每个业务建立对应的VPC。

一个用户在单个区域可创建的虚拟私有云数量默认为5个,如果您需要提升配额,请参见什么是配额?

您可以在特定的私有IP网段范围内,选择VPC的网段。VPC网段的选择需要考虑以下两点:
  • IP地址数量:要为业务预留足够的IP地址,防止业务扩展给网络带来冲击。
  • IP地址网段:当前VPC与其他VPC、云下数据中心连通时,要避免IP地址冲突。
VPC支持的网段范围如表1所示。
表1 VPC网段

VPC网段

IP地址范围

最大IP地址数

10.0.0.0/8~24

10.0.0.0-10.255.255.255

2^24-2=16777214

172.16.0.0/12~24

172.16.0.0-172.31.255.255

2^20-2=1048574

192.168.0.0/16~24

192.168.0.0-192.168.255.255

2^16-2=65534

如何规划子网?

子网是虚拟私有云内的IP地址集,可以将虚拟私有云的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。
  • 子网创建成功后,不支持修改网段,请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。

    比如VPC-A的网段为10.0.0.0/16,则您可以规划子网A01的网段为10.0.0.0/24,子网A02的网段为10.0.1.0/24,子网A03的网段为10.0.3.0/24。

    一个用户在单个区域可创建的虚拟私有云子网数量默认为100个,如果您需要提升配额,请参见什么是配额?

当您规划VPC子网时,可以参考以下原则:

  • 同一个VPC内的业务,您可以根据业务模块划分子网,比如在VPC-A内,子网A01用于Web层,子网A02用于管理层,子网A03用于数据层。根据业务划分子网模块,有利于结合网络ACL进行网络防护。
  • 如果您要通过VPN/云专线连通云上VPC和线下IDC的网络,则VPC子网网段和IDC内的网段不能重叠,您在新建VPC及子网的时候务必避开IDC内的网段。

如何规划路由策略?

用户创建VPC时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表。路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向。默认路由表可以确保VPC内子网之间网络互通。

您可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并关联至子网。自定义路由表仅影响子网的出流量走向,入流量仍然匹配默认路由表。

您可以在默认路由表和自定义路由表中添加路由,目的地址、下一跳类型、下一跳地址等信息,来决定网络流量的走向。路由分为系统路由和自定义路由。

  • 系统路由:系统自动添加且无法修改或删除的路由,表示VPC内实例互通。
  • 自定义路由:可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。

    您无法在VPC路由表中添加目的地址相同的两条路由,即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型,路由的优先级均取决于目的地址,遵循最长匹配原则,即优先选择匹配度更高的目的地址进行路由转发。

如何连接本地IDC?

当您有VPC与本地IDC互通的需求时,需要确保VPC的网段和要互通的IDC内网段都不冲突。

图1所示,比如您在A区域有一个VPC1,B区域有两个VPC,分别为VPC2和VPC3。VPC1需要连接用户A区域IDC,通过VPN走Internet互连。VPC2需要连接用户B区域IDC,通过云专线连接。同时在B区域的VPC3与VPC2通过对等连接建立连接。

图1 IDC连接

此例中,各VPC网段划分需要注意以下几点:

  • VPC1的网段(CIDR)不能与区域A IDC的网段有重叠。
  • VPC2的网段(CIDR)不能与区域B IDC的网段有重叠。
  • VPC3和VPC2的网段也不能有重叠。

如何连接Internet?

少量弹性云服务器通过弹性IP连接Internet

当您仅有少量弹性云服务器访问Internet时,您可将弹性IP(EIP)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到NAT网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。

大量弹性云服务器通过NAT网关连接Internet

当您有大量弹性云服务器需要访问Internet时,单纯使用弹性IP管理成本过高,公有云NAT网关来帮您,它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性IP主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性IP直接暴露的风险。DNAT功能还可以实现端口级别的转发,将弹性IP的端口映射到不同弹性云服务器的端口上,使VPC内多个弹性云服务器共享同一弹性IP和带宽面向互联网提供服务。

海量高并发场景通过弹性负载均衡连接Internet

对于电商等高并发访问的场景,您可以通过弹性负载均衡(ELB)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问。弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾。同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠。