随着云计算的不断发展,对虚拟化网络的要求越来越高,比如弹性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且还有极高的互联性能(performance)需求,因此催生了多种多样的网络虚拟化技术。
比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公共云的巨大用户量。
什么是专有网络VPC:
专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。
您可以完全掌控自己的虚拟网络,例如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问。此外,您也可以通过专线或v*n等连接方式将您的专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
关于阿里云VPC的详细内容:阿里云专有网络VPC使用教程
(专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/v*n/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务)
您可以将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
组成部分
每个VPC都由一个私网网段、一个路由器和至少一个交换机组成。
-
私网网段
在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。
说明 如果要使用标准网段的子网作为VPC的私网网段,您需要通过调用 CreateVpc接口创建VPC。
-
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
-
交换机
交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。创建专有网络之后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。
专有网络VPC架构图:
阿里云专有网络VPC具有以下优势:
专有网络安全性高、配置灵活、支持多种连接方式。
- 安全
每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。专有网络之间通过隧道ID进行隔离:
- 专有网络内部由于交换机和路由器的存在,所以可以像传统网络环境一样划分子网,每一个子网内部的不同云服务器使用同一个交换机互联,不同子网间使用路由器互联。
- 不同专有网络之间内部网络完全隔离,可以通过对外映射的IP(弹性公网IP和NAT IP)互连。
- 由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同专有网络间二层网络隔离。
- 专有网络内的ECS使用安全组防火墙进行三层网络访问控制。
-
可控
您可以通过安全组规则、访问控制白名单等方式灵活地控制访问专有网络内云资源的出入流量。
-
易用
您可以通过专有网络控制台快速创建、管理专有网络。专有网络创建后,系统会自动为其创建一个路由器和路由表。
-
可扩展
您可以在一个专有网络内创建不同的子网,部署不同的业务。此外,您可以将一个VPC和本地数据中心或其他VPC相连,扩展网络架构。
专有网络(VPC)是完全隔离的网络环境,配置灵活,可满足不同的应用场景。
-
托管应用程序
您可以将对外提供服务的应用程序托管在VPC中,并且可以通过创建安全组规则、访问控制白名单等方式控制Internet访问。您也可以在应用程序服务器和数据库之间进行访问控制隔离,将Web服务器部署在能够进行公网访问的子网中,将应用程序的数据库部署在没有配置公网访问的子网中。
- 托管主动访问公网的应用程序
您可以将需要主动访问公网的应用程序托管在VPC中的一个子网内,通过网络地址转换 (NAT) 网关路由其流量。通过配置SNAT规则,子网中的实例无需暴露其私网IP地址即可访问Internet,并可随时进行公网IP替换,避免被外界攻击。
- 跨可用区容灾
您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中,实现跨可用区容灾。
- 业务系统隔离
不同的VPC之间逻辑隔离。如果您有多个业务系统比如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以在两个VPC之间建立对等连接。
-
构建混合云
VPC提供专用网络连接,可以将本地数据中心和VPC连接起来,扩展本地网络架构。通过该方式,您可以将本地应用程序无缝地迁移至云上,并且不必更改应用程序的访问方式。
- 多个应用流量波动大
如果您的应用带宽波动很大,您可以通过NAT网关配置DNAT转发规则,然后将EIP添加到共享带宽中,实现多IP共享带宽,减轻波峰波谷效应,从而减少您的成本。