网络vpc

专有网络VPC产品简介产品简介什么是VPC专有网络VPC(VirtualPrivateCloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离.
专有网络是您自己独有的的云上私有网络.
您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如ECS、RDS、SLB等.
您可以将专有网络连接到其他专有网络,或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展.
路由器和交换机路由器(VRouter)是专有网络的枢纽.
作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备.
每个专有网络创建成功后,系统会自动创建一个路由器.
每个路由器关联一张路由表.
更多信息,参见路由.
交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例.
创建专有网络之后,您可以通过创建交换机为专有网络划分一个或多个子网.
同一专有网络内的不同交换机之间内网互通.
您可以将应用部署在不同可用区的交换机内,提高应用的可用性.
专有网络VPC产品简介1私网地址范围在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段.
关于CIDR的相关信息,参见维基百科上的ClasslessInter-DomainRouting条目说明.
您可以使用下表中标准的私网网段及其子网作为VPC的私网地址.
专有网络创建成功之后,无法修改网段.
建议使用比较大的网段,尽量避免后续扩容.
交换机的网段不能和所属的专有网络的网段重叠,可以是其子集或者相同,网段大小在16位网络掩码与29位网络掩码之间.
更多网络规划的信息,参考VPC网络规划.
基础架构背景信息随着云计算的不断发展,对虚拟化网络的要求越来越高,比如弹性(flexibility)、安全性(security)、可靠性(reliability)和私密性(privacy),并且还有极高的互联性能(performance)需求,因此催生了多种多网段可用私网IP数量(不包括系统保留)192.
168.
0.
0/1665532172.
16.
0.
0/12104857210.
0.
0.
0/816777212专有网络VPC产品简介2样的网络虚拟化技术.
比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络.
随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重.
为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开.
其中一种技术是用户之间用VLAN进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公共云的巨大用户量.
原理描述基于目前主流的隧道技术,专有网络(VirtualPrivateCloud,简称VPC)隔离了虚拟网络.
每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络.
一个VPC内的ECS(ElasticComputeService)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道ID标识,然后送到物理网络上进行传输.
不同VPC内的ECS实例因为所在的隧道ID不同,本身处于两个不同的路由平面,所以不同VPC内的ECS实例无法进行通信,天然地进行了隔离.
基于隧道技术和软件定义网络(SoftwareDefinedNetwork,简称SDN)技术,阿里云的研发在硬件网关和自研交换机设备的基础上实现了VPC产品.
逻辑架构如下图所示,VPC包含交换机、网关和控制器三个重要的组件.
交换机和网关组成了数据通路的关键路径,控制器使用自研的协议下发转发表到网关和交换机,完成了配置通路的关键路径.
整体架构里面,配置通路和数据通路互相分离.
交换机是分布式的结点,网关和控制器都是集专有网络VPC产品简介3qqqqqqqqqqq群部署并且是多机房互备的,并且所有链路上都有冗余容灾,提升了VPC产品的整体可用性.
交换机和网关性能在业界都是领先的.
自研的SDN协议和控制器,能轻松管控公共云成千上万张虚拟网络.
产品优势产品优势阿里云的专有网络具有如下明显优势:安全隔离不同用户的云服务器部署在不同的专有网络里.
不同专有网络之间通过隧道ID进行隔离.
专有网络内部由于交换机和路由器的存在,所以可以像传统网络环境一样划分子网,每一个子网内部的不同云服务器使用同一个交换机互联,不同子网间使用路由器互联.
不同专有网络之间内部网络完全隔离,只能通过对外映射的IP(弹性公网IP和NATIP)互联.
由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同专有网络间二层网络隔离.
专有网络内的ECS使用安全组防火墙进行三层网络访问控制.
访问控制灵活的访问控制规则.
满足政务,金融的安全隔离规范.
软件定义网络按需配置网络设置,软件定义网络.
管理操作实时生效.
丰富的网络连接方式支持软件VPN.
支持专线连接.
专有网络VPC产品简介4----VPC通信专有网络是完全隔离的网络环境.
默认情况下,相同专有云网络内的ECS和云服务可以进行私网通信,但VPC与VPC之间、VPC与经典网络或公网不能互通.
您可以使用弹性公网IP、高速通道、NAT、VPN网关或公网负载均衡等公网产品实现专有网络间的通信.
本文介绍了如下情况的VPC通信:VPC与VPC通信VPC与经典网络通信VPC与Internet通信VPC与本地IDC通信VPC与VPC通信默认情况,不同专有网络间的ECS不能直接进行私网通信.
专有网络VPC产品简介5您可以使用高速通道的路由器接口,在两侧VPC的路由器上分别创建路由器接口,以及自有的骨干传输网络来搭建高速通道,轻松实VPC之间安全可靠、方便快捷的通信.
配置详情参考同账号下专有网络内网互通.
VPC与经典网络通信如下图所示,专有网络内的ECS不能访问经典网络的ECS或者云服务.
VPC访问经典网络VPC与经典网络可以通过公网IP进行通信.
只要VPC和经典网络中的ECS实例或云实例的公网IP符合下表中的任意一一条要求,专有网络就可以访问经典网络的云服务.
网络配置要求VPC创建ECS实例时为其分配了一个公网IP.
-在ECS实例上绑定一个弹性公网IP.
-在ECS实例上配置NAT网关(SNAT).
-专有网络VPC产品简介6经典网络访问VPC反之,经典网络也可以通过公网IP访问VPC,只要VPC中的ECS实例或云服务也配置了公网IP.
VPC与Internet通信默认情况下,专有网络内的ECS不能与公网互通.
您可以通过以下途径中的一种打通VPC与公网的通信:为专有网络中的ECS实例分配公网IP,实现专有网络与公网的通信.
详情参考分配公网IP.
您可以通过在ECS上绑定弹性公网IP,实现专有网络与公网的互通.
详情参考弹性公网IP.
经典网络ECS实例有可用的公网IP.
-该ECS实例被添加到一个公网负载均衡实例中.
此时专有网络的云服务通过访问公网负载均衡的服务地址将请求转发给后端ECS实例.
-网络配置要求经典网络ECS实例有可用的公网IP.
-VPC创建ECS实例时为其分配了一个公网IP.
-在ECS实例上绑定一个弹性公网IP.
-在ECS实例上配置NAT网关(DNAT).
-该ECS实例被添加到一个公网负载均衡实例中.
此时来自公网的请求可以经过公网负载均衡实例转发给后端ECS服务器.
-专有网络VPC产品简介7在专有网络的ECS上设置NAT网关,实现专有网络与公网的互通.
详情参考端口映射和SNAT设置.
专有网络VPC产品简介8注意:如果您有多台ECS需要和公网互通,您可以使用NAT网关的共享带宽包,一个带宽包内的所有ECS实例共享带宽,以节省您的费用.
专有网络的ECS实例添加到一个公网负载均衡实例中.
详情参考配置公网负载均衡.
注意:此情形下,专有网络中的ECS实例不能访问公网,只能接收负载均衡转发的公网请求.
VPC与本地IDC通信默认情况下,本地IDC网络中心和专有网络之间不能通信,您可以通过以下途径打通本地IDC与VPC之间的通信:您可以使用高速通道的物理专线来连通本地IDC到阿里云的专线接入点,并建立虚拟边界路由器作为VPC到IDC的数据转发桥梁.
详情参考专线接入.
专有网络VPC产品简介9您可以使用VPN网关来实现本地IDC网络中心与专有网络的互通,详情参考搭建VPN网关.
名词解释术语英文说明专有网络VPC专有网络是您基于阿里云创建的自定义私有网络,不同的专有网络之间彻底逻辑隔离.
您可以在自己创建的专有网络内创建和管理云产品实例,例如ECS,SLB,RDS等.
交换机VSwitch交换机是组成专有网络的基础网络设备.
它可以连接不同的云产品实例.
在专有网络内创建云产品实例时,必须指定云产品实例所链接的交换机.
路由器VRouter路由器是专有网络的枢纽.
它可以连接专有网络的各个交换机,同时也是连接专有网络与其它网络的网关设备.
路由器根据具体的路由条目的设置来转发网络流量.
路由条目RouteEntry路由表中的每一项是一条路由条目.
路由条目定义了通向指定目标网段的网络流量的下一跳地址.
路由条目包括系统路由和自定义路由两种类型.
路由表RouteTable路由表是指路由器上管理路由条目的列表.
专有网络VPC产品简介10使用限制路由器和交换机限制项普通用户限制说明例外申请方式单个账号的专有网络个数10个工单专有网络可选的网段范围192.
168.
0.
0/16,172.
16.
0.
0/12,10.
0.
0.
0/8以及它们的子网工单单个专有网络的路由器个数1个没有例外单个专有网络的交换机个数24个没有例外单个专有网络的路由表个数1个没有例外单个路由表的路由条目数量48条工单单个专有网络容纳云产品数量15,000个没有例外分类限制说明路由器每个VPC有且只有1个路由器.
-路由器不支持BGP和OSPF等动态路由协议.
-每个路由器有且只有1个路由表.
-路由表的路由条目会影响VPC中的所有云产品实例.
目前不支持指定交换机和云产品实例的源地址策略路由.
-交换机VPC的交换机不支持二层广播和组播.
-交换机本身对云产品实例数量没有限制.
它能够容纳多少实例,取决于所在专有网络当前的云产品实例数量,即10,000减去当前已保有的云产品数量.
-交换机的网段不可以进行修改.
-专有网络VPC产品简介11