虚拟私有云和子网规划建议
如果您的业务部署在一个区域,并且业务量不大,不同业务之间不需要网络隔离,那么推荐您规划一个VPC。
您可以在一个VPC中创建多个子网和路由表。子网可以将VPC网段划分成若干段,不同子网承载不同的业务。同时,您还可以将不同子网关联至不同的路由表,灵活控制子网的网络流量。如图1所示,在区域A内,业务部署在VPC-A内的不同子网。
当您的业务有以下任意一个需求时,则一个VPC无法满足业务要求,推荐您规划多个VPC。
- 业务需要部署在多个区域
VPC是区域级别的服务,一个VPC无法实现跨区域部署业务。如果您的业务同时部署在多个区域,则在每个区域下,至少需要规划一个VPC。
如图2所示,一部分业务部署在区域A内的VPC-A中,一部分业务部署在区域B内的VPC-B中,通过云连接连通VPC-A和VPC-B的网络。
- 业务部署在一个区域且网络隔离
如果您的业务部署在一个区域,并且不同业务之间网络隔离,则您需要在同一个区域下规划多个VPC,由于不同VPC之间网络隔离,则每个业务独立部署在一个VPC上即可满足要求。如图3所示,在区域A内,一部分业务部署在VPC-A中,一部分业务部署在VPC-B中,两个VPC之间网络隔离。
如何规划子网的数量?
子网是VPC内的IP地址集,可以将VPC的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。VPC中的所有云资源都必须部署在子网内。
通常情况下,部署在同一个VPC内的业务,您可以根据业务模块来划分子网,比如在VPC-A内,子网A01用于Web层,子网A02用于管理层,子网A03用于数据层。根据业务划分子网模块,有利于结合网络ACL进行网络防护。
- 默认情况下,同一个VPC中,不同子网内的所有实例网络互通。同一个VPC内的子网可以位于不同可用区,不影响通信。比如VPC-A内有子网A01(可用区A)和子网A02(可用区B),子网A01和子网A02的网络默认互通。
- 同时,使用子网的云资源,其可用区和子网的可用区不用保持一致。比如位于可用区1的云服务器,可以使用可用区3的子网。假如可用区3发生故障,此时可用区1的云服务器可以继续使用可用区3的子网,不会影响云服务器上部署的业务。
如何规划VPC和子网的IP网段?
VPC和子网创建完成后,则无法修改网段。因此创建VPC和子网之前,请您务必结合业务规模和通信需求,合理规划VPC和子网网段,以便于业务的平滑扩展和运维。
私有网络支持IPv4和IPv6网段地址。您可以自定义IPv4网段,不支持自定义IPv6网段,系统自动为每个子网分配一个掩码为64位的IPv6网段,比如2407:c080:802:1b32::/64。
- IP地址数量:要为业务预留足够的IP地址,防止业务扩展给网络带来冲击。
- IP地址网段:当您要创建多个VPC,并且VPC与其他VPC、或者VPC与云下数据中心需要通信时,要避免网络两端的网段冲突,否则无法正常通信。
创建VPC时,您配置的IPv4网段是VPC的主网段。当VPC创建完成后,主网段不支持修改,若主网段不够分配,您可以为VPC添加IPv4扩展网段。
- 子网掩码规划:子网的网段必须在VPC网段范围内,同一个VPC内的子网网段不可重复。子网网段的掩码长度范围是:所在VPC掩码~29,比如VPC网段为10.0.0.0/16,VPC的掩码为16,则子网的掩码可在16~29范围内选择。
比如VPC-A的网段为10.0.0.0/16,则您可以规划子网A01的网段为10.0.0.0/24,子网A02的网段为10.0.1.0/24,子网A03的网段为10.0.2.0/24。
- 子网内可用IP数量:子网创建成功后,不支持修改网段,请您结合业务所需的IP地址数量,提前合理规划好子网网段。
- 子网网段不能太小,需要确保子网内可用IP地址数量可以满足业务需求。子网网段中第一个地址和后三个地址为系统预留地址,不能供实际业务使用,比如子网(10.0.0.0/24)中,10.0.0.1为网关地址、10.0.0.253为系统接口、10.0.0.254为DHCP使用、10.0.0.255为广播地址。
- 子网网段也不能太大,以免后续扩展新的业务时,VPC内可用网段不够再创建新的子网。
- 子网网段避免冲突:如果子网所在的VPC与其他VPC、或者VPC与云下数据中心需要通信时,则VPC子网网段和网络对端网段不能相同,否则无法正常通信。
如果网络两端的子网网段已经相同,您可以创建新的子网,请参见为虚拟私有云创建新的子网。
当VPC与其他VPC通信或者VPC与云下数据中心通信时如何规划网络?
如果您有VPC与其他VPC通信,或者VPC与云下数据中心通信的需求时,请确保VPC网段和需要通信的对端网段没有冲突。以下为您提供典型组网的网段规划示例。
- 连通同区域的VPC:如图6所示,在区域A内,一共有三个VPC,分别为VPC-A、VPC-B和VPC-X。由于业务需求,需要连通VPC-A和VPC-B的网络,VPC-X不需要和其他VPC连通。
- 由于VPC-A和VPC-B需要通信,则VPC-A和VPC-B的网段不能相同,通过对等连接连通VPC之间的内网网络。
- 由于VPC-X和其他VPC之间不需要连通,因此VPC-X的网段可以和VPC-B相同,当前不会影响通信。但是基于业务的变化考虑,如果后续VPC-X和VPC-B需要通信,则在网段相同的基础上,建议VPC-B和VPC-X内的子网网段不能相同,则可以建立子网之间的对等连接。
- 连通不同区域的VPC:如图7所示,业务需要部署在三个不同的区域内的VPC,分别为VPC-A、VPC-B、VPC-CA和VPC-CB。使用云连接可以快速连通不同区域的VPC,VPC基于云内骨干网络实现内网通信,需要通信的VPC网段不能相同。
- 在区域A内,VPC-A和VPC-B的网段不同,可以通过对等连接连通网络。VPC-A和IDC-A通过云专线连通,VPC-A和IDC-A的网段不能相同。
- 在区域C内,VPC-C和IDC-C使用VPN通过互联网连通,VPC-C和IDC-C的网段不能相同。
相关文档
- 您可以通过VPC快速搭建一个具有IPv4地址段的云上私有网络,同时,还可以通过EIP实现云上网络和公网通信的需求,具体请参见通过VPC快速搭建IPv4网络。
- 您可以通过VPC快速搭建一个同时具有IPv4和IPv6地址段的云上私有网络。同时,还可以通过EIP和共享带宽,实现IPv4和IPv6公网通信需求,具体请参见通过VPC快速搭建IPv4/IPv6双栈网络。
