虚拟私有云 VPC虚拟私有云 VPC

更新时间:2021/06/24 GMT+08:00
分享

网络规划和设计

在云上部署您的业务,不可避免的需要考虑您业务的网络规划和设计,通常网络的规划和设计需要考虑隔离性、扩展性、连接性几个方面的问题。

  • 隔离

    在规划设计网络的时候,隔离性是最基本的要求。VPC拥有天然的网络隔离功能,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。

    通常情况下,将不同业务放在不同VPC,不同部门使用不同VPC,不同环境(如开发、测试、生产)使用不同VPC。

    在VPC内,通过划分子网将IP地址分段,不同业务模块使用不同子网,且子网之间还可以通过网络ACL保证安全性。

  • 扩展性

    业务是不断变化的,在规划网络时,为防止业务快速增长给网络带来冲击,您需要考虑网络的扩展性,通常来说扩展性可从下面两个角度去考虑。

    • 在规划时要为业务预留足够的IP地址,即当需要扩容时要有IP地址可用,不仅要考虑整个业务,也要考虑到单个的业务模块。
    • 在规划时也要考虑如何在不同区域、不同VPC之间扩展,这点也与连接性相关。
  • 连接性

    网络的连接性与隔离性、扩展性息息相关,有些连接的需求就是由于隔离性和扩展性引起的,通常连接性需要考虑如下几个方面。

    • VPC与外部互联网的连接。
    • VPC之间的连接,包括同区域VPC,不同区域VPC的连接。
    • 本地数据中心与云上VPC之间的连接。

上面阐述了网络规划设计的一些基本原则,下面将结合这些基本原则,从VPC规划、子网规划、互联网连接、VPC之间连接、本地数据中心与云上VPC连接几个方面来具体阐述网络规划设计的建议。

VPC规划

VPC的规划可从如下几点进行考虑:

  1. VPC在哪个区域创建通常根据业务靠近用户来决定。VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。
  2. 决定创建一个VPC还是多个VPC,需要考虑的事项:
    • 业务是否单一,各业务之间没有网络隔离需求?通常会将不同业务部署在不同VPC,避免相互影响;如果只有单一业务,可只创建一个VPC。
    • 业务是否需要多套部署?通常企业会搭建多套环境,比如开发、测试、生产各一套,各有不同用途。
    • 是否对VPC中资源有权限管理的需求?如果有,可将资源分隔到单独的VPC中,从而简化组织中权限分配的管理工作。
  3. VPC的网段选择,网段的选择有两点:
    • IP地址数量的考虑,要为业务预留足够的IP地址,防止业务扩展给网络带来冲击。
    • 与其他VPC、本地数据中心连接时,要避免IP地址冲突。
    表1 IP地址数量

    VPC网段

    IP地址范围

    最大IP地址数

    10.0.0.0/8~24

    10.0.0.0-10.255.255.255

    2^24-2=16777214

    172.16.0.0/12~24

    172.16.0.0-172.31.255.255

    2^20-2=1048574

    192.168.0.0/16~24

    192.168.0.0-192.168.255.255

    2^16-2=65534

子网规划

子网是VPC内的IP地址块,VPC中的所有云资源都必须部署在子网内。同一个VPC下,子网网段不可重复。子网创建成功后,网段无法修改。

VPC支持的网段如下,子网的网段须在VPC网段范围内,且子网的掩码范围为:子网所在VPC掩码~29。

  • 10.0.0.0/8~24
  • 172.16.0.0/12~24
  • 192.168.0.0/16~24

子网规划建议遵循如下原则:

  • 建议在同一个VPC下的业务内可按照业务模块分别划分子网,例如子网1用于Web层,子网2用于逻辑层,子网3用于数据层,有利于结合网络ACL进行访问控制和过滤。
  • 如果只是VPC的子网规划,不涉及和本地数据中心的网络通信,则可以选择上述任何一个网段进行新建子网。
  • 如果要通过VPN/云专线与本地数据中心进行互通,本端网段(VPC网段)和对端网段(您的本地数据中心网段)不能重叠,所以在新建VPC及子网的时候务必避开对端网段。
  • 在划分网段时还应考虑该网段的IP容量,即有多少可用的IP数。

路由策略

路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向。用户创建VPC时,系统会自动为其生成一个默认路由表,该默认路由表含义为VPC内网互通。

  • 如果不需要对子网的流量走向进行特殊控制,默认VPC内网互通的情况下,则使用默认路由表即可,无需配置自定义路由策略。
  • 如果需要对VPC内的网络流量走向进行特殊控制,则可以对路由表进行自定义路由配置。

VPC之间的连接

VPC之间的连接有几种方式可以考虑。

  • VPC对等连接

    同一个区域之间,可以使用VPC对等连接。对等连接是指两个VPC之间的网络连接,您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。

    对等连接的VPC子网网段不能有重叠,否则连接会不生效。详细信息请参见对等连接简介

  • VPC终端节点

    VPC终端节点服务可以将一个VPC内的资源作为服务开放给其他VPC使用。同时也可以通过VPC终端节点通过内网访问OBS、SWR、DNS等华为云服务。

    通过VPC终端节点访问的是VPC访问提供VPC终端节点的一方,是单向访问,并非双向互通,更加安全私密。详细信息请参见什么是VPC终端节点?

    图1 通过VPC终端节点实现跨VPC单向访问
  • 云连接CC

    不同区域之间,可以考虑使用云连接服务将多个VPC连接互通。云连接在华为云不同区域之间提供高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。同时配合云专线,能够实现云上多VPC与本地数据中心的连接。

    同一个云连接实例中的VPC子网网段不能重叠,否则会引起互通问题。详细信息请参见什么是云连接

    图2 使用云连接实现跨区域多VPC连接

VPC与本地数据中心之间的连接

当您有VPC与本地数据中心互通的需求时,可以使用云专线或VPN,还可以配合使用VPC二层网关。

  • 云专线是专属网络,能实现高速、稳定、安全可靠的混合云部署,流量不经过互联网;
  • VPN是在公网上构建的加密隧道网络,其流量经过互联网。
  • 同时您还可以使用VPC二层连接网关(Layer 2 Connection Gateway,以下简称L2CG),二层连接网关是一种虚拟隧道网关,可基于云专线/VPN网络建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。
图3 VPC与本地数据中心之间的连接

与互联网的连接

  • 少量弹性云服务器通过弹性公网IP连接Internet

    当您仅有少量弹性云服务器访问Internet时,您可将弹性公网IP(EIP)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到NAT网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。不同弹性公网IP还可以共享带宽,减少您的带宽成本。

    华为云提供IPv6双栈和IPv6-EIP功能,支持两个不同版本的IP地址:IPv4地址和IPv6地址,这两个IP地址都可以进行内网/公网访问。
    图4 IPv6双栈

    更多弹性公网IP(EIP)信息,请参见弹性公网IP简介

  • 大量弹性云服务器通过NAT网关连接Internet

    当您有大量弹性云服务器需要访问Internet时,单纯使用弹性公网IP管理成本过高,公有云NAT网关来帮您,它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网IP直接暴露的风险。DNAT功能还可以实现端口级别的转发,将弹性公网IP的端口映射到不同弹性云服务器的端口上,使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务。

    更多NAT网关信息,请参见《NAT网关用户指南》

  • 海量高并发场景通过弹性负载均衡连接Internet

    对于电商等高并发访问的场景,您可以通过弹性负载均衡(ELB)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问。弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾。同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠。

    更多弹性负载均衡信息,请参见《弹性负载均衡用户指南》

分享:

    相关文档

    相关产品