阿里云VPC

204 views

VPC即专有网络(Virtual Private Cloud),专有网络VPC具有安全可靠、灵活可控、简单易用的特性和较强的可扩展性等优点,本文将详细介绍什么是VPC网络以及VPC网络规划。

一、什么是VPC网络

专有网络是云上的私有网络,可以通过VPC完全掌握自己的专有网络,就像分配传统网络一样分配云上资源,包括:IP地址选择、配置路由表和网关等等。

在VPC中可以使用阿里云资源,如云服务器ECS、云数据库RDS和负载均衡SLB等,除此之外,VPC还支持通高速通道将专有网络连接到本地网络。

图片

二、VPC网络的组成部分

不同的VPC网络完全隔离,在一个VPC网络中,一般要有两个交换机,至少一个路由器,每个交换机对应一个可以用区。

图片

虚拟路由器:虚拟路由器(vRouter)是VPC的枢纽。它可以连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。

路由表:每个专有网络创建成功后,系统会自动创建一个虚拟路由器和路由表,每个虚拟路由器至少关联一张路由表。

交换机:交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。

创建专有网络后,可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。还可以将应用部署在不同可用区的交换机内,提高应用的可用性。

私有网段:在创建专有网络和交换机时,需要以CIDR地址块的形式指定专有网络使用的私网网段,这里要注意交换机的网段必须是VPC网段的真子集,如VPC网段为192.168.0.0/16,交换机A网段为192.168.1.0/24,交换机B网段为192.169.2.0/24

可以使用下表标准来设置VPC的私网网段,也可以使用自定义地址段作为VPC的私网网段。

网段 说明
192.168.0.0/16 可用私网IP数量(不包括系统保留地址):65,532
172.16.0.0/12 可用私网IP数量(不包括系统保留地址):1,048,572
10.0.0.0/8 可用私网IP数量(不包括系统保留地址):16,777,212
自定义地址段 除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网外的自定义地址段。

三、VPC相关网络基础知识

3.1 网段的表示方法

首先解释一下192.168.0.0/16这种表示法的含义:

其中,16表示子网掩码为16个1,11111111-11111111,相当于子网掩码为255.255.0.0。

192.168.0.0转换为2进制:11000000.10101000.00000000.00000000

192.168.0.0/16表示,前16位为网络前缀,后面16位为主机号,这里能表示主机号个数就是2的16次方=65536,也就是可以表示65536个ip地址(包含保留地址)ip表示范围是192.168.0.0~192.168.255.255。

同理,192.168.1.0/24表示,前24位为网络前缀,后面8位为主机号,这里表示主机号个数就是2的8次方=256,也就是可以表示256个ip地址(包含保留地址)ip表示范围是192.168.1.0~192.168.1.255。

3.2 网络互通的条件

两个ip能互通,前提是处于同一个网络地址。

网络地址=ip &子网掩码,如果所处同一个网段,那么就可以互通。

如服务器A:ip地址为192.168.1.2,并且子网掩码设置为255.255.255.0,网络地址为192.168.1.0

服务器B:ip地址为192.168.1.10,并且子网掩码设置为255.255.255.0,网络地址为192.168.1.0

因为网络地址相同,服务器A和B可以互通。

如服务器C:ip地址为192.168.2.66,并且子网掩码设置为255.255.255.0,网络地址为192.168.2.0

服务器D:ip地址为192.168.0.45,并且子网掩码设置为255.255.0.0,网络地址为192.168.0.0

因为网络地址不同,服务器B和C不互通。

在VPC中,通过路由器的连接,不同的交换机下的子网是互通的。

四、VPC网络的应用场景

VPC网络的主要应用场景是安全的部署应用程序和业务系统隔离。

4.1 安全部署应用程序

将对外服务的应用程序部署在VPC中,可以通过安全组规则、白名单等方式控制外网访问,将需要公网访问的服务放在能够进行公网访问的子网中,如web服务器,将不需要公网访问的如数据库放在没有配置公网访问的子网中。

图片

4.2 业务系统隔离

不同的VPC之间逻辑隔离。如果生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。

图片

五、VPC网络规划

下图将VPC网络规划为测试环境VPC和生产环境VPC,生产环境和测试环境网络完全隔离,并且在VPC内部分为两个子网,一个子网不支持公网访问,仅支持内网访问,另一个子网支持公网访问。

图片

图片

测试环境VPC私有网段是192.168.0.0/16,交换机A的私有网段是192.168.1.0/24,交换机B的私有网段是192.168.2.0/24。

生产环境VPC私有网段是172.16.0.0/16,交换机A的私有网段是172.16.1.0/24,交换机B的私有网段是172.16.2.0/24。

在进行VPC网络规划时要注意以下几点:

1、在划分子网时要注意子网的主机数要大于ECS服务器的数量。

2、使用VPC的网络将不再具有公网网卡,但是会保留ECS公网ip,此公网ip是通过阿里云网关以NAT方式进行访问,弹性公网IP也是采用此原理,所以只有使用VPC的ECS服务器,才能使用弹性公网IP(EIP)。

3、在使用RDS时,VPC网络下的RDS只有同一VPC的ECS服务器才能访问,如果,VPC网络的ECS想要访问经典网络的RDS,RDS需要开启混访模式。

六、总结

本文介绍了什么是VPC网络、VPC有哪些优势、VPC是由哪些结构组成的,随后我们又回顾相关的网络基础知识。

了解VPC的概念之后,分析了VPC有哪些应用场景,最后根据前面所学,最后规划了一个VPC网络架构,希望通过本文,读者能对VPC网络有一定的了解,根据实际场景能做出正确的网络规划。