更新时间:2023-12-21 GMT+08:00

网络规划和设计

在云上部署您的业务,不可避免的需要考虑您业务的网络规划和设计,通常网络的规划和设计需要考虑隔离性、扩展性、连接性几个方面的问题。

  • 隔离

    在规划设计网络的时候,隔离性是最基本的要求。VPC拥有天然的网络隔离功能,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。

    通常情况下,将不同业务放在不同VPC,不同部门使用不同VPC,不同环境(如开发、测试、生产)使用不同VPC。

    在VPC内,通过划分子网将IP地址分段,不同业务模块使用不同子网,且子网之间还可以通过网络ACL保证安全性。

  • 扩展性

    业务是不断变化的,在规划网络时,为防止业务快速增长给网络带来冲击,您需要考虑网络的扩展性,通常来说扩展性可从下面两个角度去考虑。

    • 在规划时要为业务预留足够的IP地址,即当需要扩容时要有IP地址可用,不仅要考虑整个业务,也要考虑到单个的业务模块。
    • 在规划时也要考虑如何在不同区域、不同VPC之间扩展,这点也与连接性相关。
  • 连接性

    网络的连接性与隔离性、扩展性息息相关,有些连接的需求就是由于隔离性和扩展性引起的,通常连接性需要考虑如下几个方面。

    • VPC与外部互联网的连接。
    • VPC之间的连接,包括同区域VPC,不同区域VPC的连接。
    • 本地数据中心与云上VPC之间的连接。

上面阐述了网络规划设计的一些基本原则,其中关于华为云中区域的概念和划分,具体可参考区域和可用区。下面将结合这些基本原则,从VPC规划、子网规划、互联网连接、VPC之间连接、本地数据中心与云上VPC连接几个方面来具体阐述网络规划设计的建议。

如何规划VPC?

VPC具有区域属性,默认情况下,不同VPC之间网络不通,同一个VPC内的不同子网之间网络互通。

  • 一个VPC

    当各业务之间没有网络隔离需求时,您可以只使用一个VPC。

  • 多个VPC

当您在当前区域下部署多套业务,且希望不同业务之间网络隔离,则您可以在当前区域内,为每个业务建立对应的VPC。

如果需要连通相同帐户内或者不同帐户内,不同VPC之间的网络,您可以根据VPC的区域,选择以下方式:
  • 相同区域内:可以通过对等连接实现。
  • 不同区域内:可以通过云连接来实现。

一个用户在单个区域可创建的虚拟私有云数量默认为5个,如果您需要提升配额,请参见如何申请扩大配额?

您可以在特定的私有IP网段范围内,选择VPC的网段。VPC网段的选择需要考虑以下两点:
  • IP地址数量:要为业务预留足够的IP地址,防止业务扩展给网络带来冲击。
  • IP地址网段:当前VPC与其他VPC、云下数据中心连通时,要避免IP地址冲突。
VPC支持的网段范围如表1所示。
表1 VPC网段

VPC网段

IP地址范围

最大IP地址数

10.0.0.0/8~24

10.0.0.0-10.255.255.255

2^24-2=16777214

172.16.0.0/12~24

172.16.0.0-172.31.255.255

2^20-2=1048574

192.168.0.0/16~24

192.168.0.0-192.168.255.255

2^16-2=65534

如何规划子网?

子网是虚拟私有云内的IP地址集,可以将虚拟私有云的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。
  • 默认情况下,同一个VPC中,不同子网内的所有实例网络互通。同一个VPC内的子网可以位于不同可用区,不影响通信。比如VPC-A内有子网A01(可用区A)和子网A02(可用区B),子网A01和子网A02的网络默认互通。
  • 子网创建成功后,不支持修改网段,请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。

    创建VPC的时候会创建默认子网,VPC创建完成后,如果您需要创建新的子网,请参见为虚拟私有云创建新的子网

    子网的网段必须在VPC网段范围内,子网网段的掩码长度范围是:所在VPC的掩码位数至28位,比如VPC网段为10.0.0.0/16,VPC的掩码为16,则子网的掩码可在16~28范围内选择。

    比如VPC-A的网段为10.0.0.0/16,则您可以规划子网A01的网段为10.0.0.0/24,子网A02的网段为10.0.1.0/24,子网A03的网段为10.0.3.0/24。

    一个用户在单个区域可创建的虚拟私有云子网数量默认为100个,如果您需要提升配额,请参见如何申请扩大配额?

当您规划VPC子网时,可以参考以下原则:

  • 同一个VPC内的业务,您可以根据业务模块划分子网,比如在VPC-A内,子网A01用于Web层,子网A02用于管理层,子网A03用于数据层。根据业务划分子网模块,有利于结合网络ACL进行网络防护。
  • 如果您要通过VPN/云专线连通云上VPC和线下IDC的网络,则VPC子网网段和IDC内的网段不能重叠,您在新建VPC及子网的时候务必避开IDC内的网段。

如何规划路由策略?

用户创建VPC时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表。路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向。默认路由表可以确保VPC内子网之间网络互通。

您可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并关联至子网。自定义路由表仅影响子网的出流量走向,入流量仍然匹配默认路由表。

您可以在默认路由表和自定义路由表中添加路由,目的地址、下一跳类型、下一跳地址等信息,来决定网络流量的走向。路由分为系统路由和自定义路由。

  • 系统路由:系统自动添加且无法修改或删除的路由,表示VPC内实例互通。
  • 自定义路由:可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。

    您无法在VPC路由表中添加目的地址相同的两条路由,即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型,路由的优先级均取决于目的地址,遵循最长匹配原则,即优先选择匹配度更高的目的地址进行路由转发。

VPC之间的连接

VPC之间的连接有几种方式可以考虑。

  • VPC对等连接

    对等连接是建立在两个VPC之间的网络连接,不同VPC之间网络不通,通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC,您可以在相同帐户下或者不同帐户下的VPC之间创建对等连接。详细信息请参见对等连接简介

    配置对等连接时,当您的本端VPC和对端VPC存在网段重叠的情况时,那么您的对等连接可能会不生效。

    图1 对等连接组网示意图
  • VPC终端节点

    VPC终端节点服务可以将VPC内的资源作为服务开放给其他VPC使用,同时VPC终端节点也可以通过内网访问OBS、SWR、DNS等华为云服务。

    通过VPC终端节点访问的是被配置为VPC终端节点服务的VPC内的云资源或其他云服务,是单向访问,并非双向互通,更加安全私密。

    详细信息请参见什么是VPC终端节点?

    图2 通过VPC终端节点实现跨VPC单向访问
  • 云连接CC

    不同区域之间,可以考虑使用云连接服务将多个VPC连接互通。云连接在华为云不同区域之间提供高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。同时配合云专线,能够实现云上多VPC与本地数据中心的连接。

    同一个云连接实例中的VPC子网网段不能重叠,否则会引起互通问题。详细信息请参见什么是云连接

    图3 使用云连接实现跨区域多VPC连接

VPC与本地数据中心之间的连接

当您有VPC与本地数据中心互通的需求时,可以使用云专线或VPN,还可以配合使用VPC二层网关。

  • 云专线是专属网络,能实现高速、稳定、安全可靠的混合云部署,流量不经过互联网;
  • VPN是在公网上构建的加密隧道网络,其流量经过互联网。
  • 同时您还可以使用企业交换机,企业交换机当前仅支持二层连接网关特性,该特性提供一种虚拟隧道网关,可基于虚拟专用网络或者云专线建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。
图4 VPC与本地数据中心之间的连接

与互联网的连接

  • 少量弹性云服务器通过弹性公网IP连接Internet

    当您仅有少量弹性云服务器访问Internet时,您可将弹性公网IP(EIP)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到NAT网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。不同弹性公网IP还可以共享带宽,减少您的带宽成本。

    华为云提供IPv6双栈和IPv6-EIP功能,支持两个不同版本的IP地址:IPv4地址和IPv6地址,这两个IP地址都可以进行内网/公网访问。
    图5 IPv6双栈

    更多弹性公网IP(EIP)信息,请参见弹性公网IP简介

  • 大量弹性云服务器通过NAT网关连接Internet

    当您有大量弹性云服务器需要访问Internet时,单纯使用弹性公网IP管理成本过高,公有云NAT网关来帮您,它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网IP直接暴露的风险。DNAT功能还可以实现端口级别的转发,将弹性公网IP的端口映射到不同弹性云服务器的端口上,使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务。

    更多NAT网关信息,请参见《NAT网关用户指南》

  • 海量高并发场景通过弹性负载均衡连接Internet

    对于电商等高并发访问的场景,您可以通过弹性负载均衡(ELB)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问。弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾。同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠。

    更多弹性负载均衡信息,请参见《弹性负载均衡用户指南》