专有网络VPC

专有网络VPC(Virtual Private Cloud)是基于云平台构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。

产品简介

专有网络VPC(Virtual Private Cloud)是基于云平台构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。

专有网络是您自己独有的的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用资源如ECS、RDS、SLB等。

您可以将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。


 


组成部分

每个VPC都由一个私网网段、一个路由器和至少一个交换机组成。 
  • 私网地址范围

    在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。关于CIDR的相关信息,参见维基百科上的Classless Inter-Domain Routing条目说明。 

    您可以使用下表中标准的私网网段及其子网作为VPC的私网地址,更多信息参见网络规划。 

    说明
    要使用标准网段的子网,您需要通过CreateVpc接口创建VPC。 

    网段可用私网IP数量 (不包括系统保留地址)
    192.168.0.0/1665,532
    172.16.0.0/121,048,572
    10.0.0.0/816,777,212
  • 路由器

    路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。更多信息参见管理路由。 

  • 交换机

    交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。创建专有网络之后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。 



基础架构

基于目前主流的隧道技术,专有网络(Virtual Private Cloud,简称VPC)隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。 


背景信息

随着云计算的不断发展,对虚拟化网络的要求越来越高,比如弹性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且还有极高的互联性能(performance)需求,因此催生了多种多样的网络虚拟化技术。

比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公共云的巨大用户量。

原理描述

基于目前主流的隧道技术,专有网络(Virtual Private Cloud,简称VPC)隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。一个VPC内的ECS(Elastic Compute Service)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道ID标识,然后送到物理网络上进行传输。不同VPC内的ECS实例因为所在的隧道ID不同,本身处于两个不同的路由平面,所以不同VPC内的ECS实例无法进行通信,天然地进行了隔离。 

基于隧道技术和软件定义网络(Software Defined Network,简称SDN)技术,研发在硬件网关和自研交换机设备的基础上实现了VPC产品。

逻辑架构

如下图所示,VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径,控制器使用自研的协议下发转发表到网关和交换机,完成了配置通路的关键路径。整体架构里面,配置通路和数据通路互相分离。交换机是分布式的结点,网关和控制器都是集群部署并且是多机房互备的,并且所有链路上都有冗余容灾,提升了VPC产品的整体可用性。


产品优势

专有网络安全性高、配置灵活、支持多种连接方式。

安全隔离

  • 不同用户的云服务器部署在不同的专有网络。

  • 不同专有网络之间通过隧道ID进行隔离。专有网络内部由于交换机和路由器的存在,所以可以像传统网络环境一样划分子网,每一个子网内部的不同云服务器使用同一个交换机互联,不同子网间使用路由器互联。

  • 不同专有网络之间内部网络完全隔离,只能通过对外映射的IP(弹性公网IP和NAT IP)互联。

  • 由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同专有网络间二层网络隔离。

  • 专有网络内的ECS使用安全组防火墙进行三层网络访问控制。

访问控制

  • 灵活的访问控制规则。

  • 满足政务,金融的安全隔离规范。

软件定义网络

  • 按需配置网络设置,软件定义网络。

  • 管理操作实时生效。

丰富的网络连接方式

  • 支持软件VPN。

  • 支持专线连接。

应用场景

专有网络(VPC)是完全隔离的网络环境,配置灵活,可满足不同的应用场景。

场景一:本地数据中心+云上业务的混合云模式

如果您有以下业务需求,建议您使用VPC+高速通道+ECS+RDS的配置架构。 

  • 将内部核心系统与核心数据放置在自建数据中心以确保核心数据的安全;

  • 云上部署对外客户的应用系统,实时应对业务访问量激增。

架构解读:

使用VPC、RDS、ECS搭建云上业务系统,核心数据部署在云下自建数据中心,使用高速通道专线接入保证云上数据快速同步,实现云上云下数据互通,搭建一个混合云使用环境。


 

场景二:多租户的安全隔离

如果您有以下业务需求,建议使用VPC+ECS+RDS+SLB的配置架构。 

  • 希望在云上构建一个完全隔离的业务环境,因为传统云架构的多租户共享机制不能保证数据安全;

  • 自主定义私有网络配置。

架构解读:

您可以创建一个专有网络,和其他租户的网络完全隔离。您可以完全掌控自己的虚拟网络,例如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问。此外,您也可以通过专线或VPN等连接方式将您的专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。


 

场景三:主动访问公网的抓取类业务

如果您有以下业务需求,建议使用VPC+ECS+NAT网关的配置架构。 

  • 专有网络中的多个服务器可以主动访问互联网;

  • 避免这些服务器的公网IP暴露在公网上。

架构解读: 

您可以对专有网络中的同一虚拟交换机下的所有ECS做SNAT配置,多台ECS通过同一公网IP访问互联网,并可随时进行公网IP替换,避免被外界攻击。


 

场景四:多个应用流量波动大——共享带宽包

如果您有以下需求,建设使用VPC+NAT网关+ECS的配置架构。 

  • 系统中同时存在多个面向互联网的应用;

  • 各个应用都需要对外提供服务,并且其波峰时间点不一致。

架构解读:

您可以购买多个专有网络类型的ECS,分别承载不同的应用业务,前端挂载NAT网关,通过配置DNAT IP转发规则实现多IP共享带宽功能,减轻波峰波谷效应,从而减少您的成本。