更新时间:2024-10-21 GMT+08:00
分享

什么是虚拟私有云?

虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表等。此外,您可以通过弹性公网IP连通云内VPC和公网网络,通过云专线、虚拟专用网络等连通云内VPC和线下数据中心,构建混合云网络,灵活整合资源。

VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群,多AZ部署等多种技术,保障网络的安全、稳定、高可用。

虚拟私有云产品架构

接下来,本文档将从虚拟私有云VPC的基本元素、VPC的网络安全、VPC的网络连接以及VPC的网络运维方面进行介绍,带您详细了解VPC的产品架构。

图1 VPC产品架构
表1 VPC的产品架构介绍

项目分类

简要说明

详细说明

VPC的基本元素

VPC是您在云上的私有网络,您可以指定VPC的IP地址范围,然后通过在VPC内划分子网来进一步细化IP地址范围。同时,您可以配置VPC内的路由表来控制网络流量走向。

不同VPC之间的网络不通,同一个VPC内的多个子网之间网络默认互通。

  • IP地址范围:您在创建VPC时,需要指定VPC的IP网段,支持的网段为10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24。
  • 子网:您可以根据业务需求在VPC内划分子网,VPC内至少需要包含一个子网。实例(云服务器、云容器、云数据库等)必须部署在子网内,实例的私有IP地址从子网网段中分配。

    更多信息请参见子网

  • 路由表:在创建VPC时,系统会为您自动创建一个默认路由表,默认路由表确保同一个VPC内的子网网络互通。您可以在默认路由表中添加路由来管控网络,如果默认路由表无法满足需求时,您还可以创建自定义路由表。

    更多信息请参见路由表和路由概述

VPC的网络安全

安全组与网络ACL(Access Control List)用于保障VPC内部署实例的安全。

  • 安全组:对实例进行防护,您可以在安全组中设置入方向和出方向规则,将实例加入安全组内后,该实例会受到安全组的保护。

    更多信息请参见安全组和安全组规则概述

  • 网络ACL:对整个子网进行防护,您可以在网络ACL中设置入方向和出方向规则,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。

    更多信息请参见网络ACL概述

相比安全组,网络ACL的防护范围更大。当安全组和网络ACL同时存在时,流量优先匹配网络ACL规则,然后匹配安全组规则。

更多信息请参见VPC访问控制概述

VPC的网络连接

您可以使用VPC和云上的其他网络服务,基于您的业务诉求,构建不同功能的组网。

  • 连通同区域VPC:通过VPC对等连接或者企业路由器ER,连通同区域的不同VPC。
  • 连通跨区域VPC:通过云连接CC,连通不同区域的VPC。
  • 连通VPC和公网:通过弹性公网IP (EIP)或者NAT网关,连通云内VPC和公网。
  • 连通VPC和线下数据中心:通过云专线DC或者虚拟专用网络VPN,连通云内VPC和线下数据中心。
  • 连通同区域VPC
    • VPC对等连接:对等连接用于连通同一个区域内的VPC,您可以在相同账户下或者不同账户下的VPC之间创建对等连接。

      更多信息请参见对等连接概述

    • 企业路由器ER:企业路由器作为一个云上高性能集中路由器,可以同时接入多个VPC,实现同区域VPC互通。

      更多信息请参见什么是企业路由器

    对等连接免费,企业路由器收费,相比使用VPC对等连接,企业路由器连接VPC构成中心辐射性组网,网络结构更加简洁,方便扩容和运维。

  • 连通跨区域VPC

    云连接CC:云连接可以接入不同区域的VPC,快速实现跨区域网络构建。更多信息请参见什么是云连接

  • 连通VPC和公网
    • EIP:EIP是独立的公网IP地址,可以为实例绑定EIP,为实例提供访问公网的能力。

      更多信息请参见什么是弹性公网IP

    • NAT网关:公网NAT网关能够为VPC内的实例(ECS、BMS等),提供最高20Gbit/s能力的网络地址转换服务,实现多个实例使用一个EIP访问公网。

      更多信息请参见什么是NAT网关

  • 连通VPC和线下数据中心
    • DC:DC用于搭建线下数据中心和云上VPC之间高速、低时延、稳定安全的专属连接通道,通过DC可以构建大规模混合云组网。

      更多信息请参见什么是云专线

    • VPN:VPN用于在线下数据中心和云上VPC之间建立一条安全加密的公网通信隧道。

      更多信息请参见什么是虚拟专用网络

    相比通过DC构建混合云,使用VPN更加快速,成本更低。

VPC的网络运维

VPC流日志和流量镜像可以监控VPC内的流量,用于网络运维。

  • 流日志:通过流日志功能可以实时记录VPC中的流量日志信息。通过这些日志信息,您可以优化安全组和网络ACL的控制规则,监控网络流量、进行网络攻击分析等。更多信息请参见VPC流日志概述
  • 流量镜像:通过流量镜像功能可以镜像弹性网卡符合筛选条件的报文到目的实例中,在目的实例中进行流量分析,不会影响运行业务的实例,适用于网络流量检查、审计分析以及问题定位等场景。更多信息请参见流量镜像概述

相关文档