云网络架构揭秘：VPC、子网、安全组如何构建你的云上私网-天翼云开发者社区

在传统数据中心，网络工程师需要规划物理交换机、路由器、防火墙，并手动配置VLAN和ACL规则。这个过程复杂、缓慢且容易出错。云平台将网络功能软件化、API化，赋予了开发者定义和管理网络的能力。理解云网络模型，是成为一名全栈云工程师的关键一步。

一、范式转变：从物理网络到软件定义网络

云网络的核心是虚拟私有云（VPC）。您可以把它理解为在云平台的巨型物理网络上，通过软件模拟出来的一个完全属于您自己的、逻辑隔离的私有数据中心。

自助服务与自动化： 通过API或控制台，几分钟内即可创建一个VPC，无需采购硬件和等待审批。
超大规模： VPC的地址空间可以非常庞大（例如10.0.0.0/8），远超物理数据中心的限制。
无缝扩展： 网络配置与计算、存储资源一样，可以随需创建、修改和删除，实现了真正的弹性。

二、VPC的核心组件与设计哲学

1. IP地址规划：一切的基础

创建VPC时，首先需要指定一个私有的IP地址段（CIDR块），例如10.0.0.0/16。这是您在这个云上“王国”的领土范围。所有内部的网络资源都将从这个地址段中分配IP。

最佳实践： 预留足够的地址空间以供未来扩展。避免使用过小的网段（如192.168.0.0/24）。

2. 子网：实现网络分区与隔离

一个VPC通常会被划分为多个子网，这类似于在办公楼里划分不同的楼层或部门。

公有子网与私有子网：
- 公有子网： 配置了通往互联网网关的路由。通常用于部署需要直接面向互联网服务的资源，如负载均衡器、NAT网关、堡垒机。
- 私有子网： 没有通往互联网网关的路由。通常用于部署不需要直接访问互联网，但需要对外提供服务的核心业务资源，如应用服务器、数据库。这是保障内网安全的关键设计。
跨可用区部署： 为了高可用，您应该在VPC的不同可用区（机房）创建多个子网，并将资源分布部署，这样一个可用区故障不会导致服务完全中断。

3. 路由表：网络的交通指挥系统

每个子网都必须关联一个路由表。路由表决定了数据包离开子网后的下一跳目的地。

本地路由： 系统会自动创建一条指向VPC内部CIDR的本地路由，确保VPC内网互通。
自定义路由： 您可以根据需要添加路由规则。
- 指向互联网网关的路由，使子网成为公有子网。
- 指向NAT网关的路由，使私有子网内的资源可以访问外网以下载更新，但外网无法主动访问它们。
- 指向对等连接或VPN网关的路由，用于实现VPC之间或与本地数据中心的互通。

三、安全防线：安全组与网络ACL的纵深防御

云平台提供了两层虚拟防火墙，构成了纵深防御体系。

1. 安全组：实例级别的“贴身保镖”

状态化防火墙： 这是其核心特性。如果您在入站规则中允许了某个端口（如80）的访问，那么对应的出站响应流量会被自动允许，无需额外配置出站规则。
白名单机制： 默认拒绝所有流量，您必须显式地添加允许规则。
作用范围： 作用于一张或多张网卡（弹性网卡），是实例级别的防护。
实践建议：
- 遵循最小权限原则： 只为应用需要的确切端口和源IP开放访问。例如，Web服务器安全组只需开放80/443端口来自负载均衡器的流量，以及22端口来自运维堡垒机的流量。
- 按角色分组： 为Web层、应用层、数据层分别创建不同的安全组，实现精细化的访问控制。

2. 网络ACL：子网级别的“边境检查站”

无状态防火墙： 您必须分别配置入站和出站规则。允许入站的请求，其出站响应也需要有对应的出站规则。
规则顺序： 规则有明确的优先级号码，从上到下匹配。
作用范围： 作用于整个子网，是子网边界的防护。
与安全组的协同：
- 安全组是主要的安全手段，因为它更精细、易于管理。
- 网络ACL可作为额外的、粗粒度的安全层，用于实现子网级别的强制访问控制，例如，明确拒绝某个异常IP段访问整个子网。

四、一个典型的Web应用网络架构

让我们将这些组件组合起来，设计一个安全、高可用的三-tier Web应用网络：

VPC： 10.0.0.0/16
公有子网 A & B（在不同可用区）：
- 路由： 指向互联网网关。
- 资源： 负载均衡器、NAT网关。
- 安全： 负载均衡器的安全组仅允许80/443来自0.0.0.0/0。
私有子网 A & B（在不同可用区）：
- 路由： 默认路由指向NAT网关（用于出网），本地路由用于VPC内通信。
- 资源： Web/应用服务器集群、数据库。
- 安全：
  - Web服务器安全组： 入站允许80来自负载均衡器的安全组ID，出站允许443到互联网（用于调用外部API）。
  - 数据库安全组： 入站允许3306仅来自Web服务器安全组ID。

这个架构确保了数据库等核心资产隐藏在私有子网内，互联网流量必须经过负载均衡器和安全组的严格过滤，并通过多可用区部署保障了高可用性。

结论

云网络赋予了我们前所未有的灵活性和控制力。通过深入理解VPC、子网、路由表、安全组和网络ACL这五大核心组件，您将能够像搭积木一样，设计和构建出满足任何业务需求、既开放又安全的云上网络环境。这不仅是运维工程师的职责，更是每一位设计和部署云上应用的开发者应当掌握的架构能力。

一、范式转变：从物理网络到软件定义网络

自助服务与自动化： 通过API或控制台，几分钟内即可创建一个VPC，无需采购硬件和等待审批。
超大规模： VPC的地址空间可以非常庞大（例如10.0.0.0/8），远超物理数据中心的限制。
无缝扩展： 网络配置与计算、存储资源一样，可以随需创建、修改和删除，实现了真正的弹性。

二、VPC的核心组件与设计哲学

1. IP地址规划：一切的基础

最佳实践： 预留足够的地址空间以供未来扩展。避免使用过小的网段（如192.168.0.0/24）。

2. 子网：实现网络分区与隔离

一个VPC通常会被划分为多个子网，这类似于在办公楼里划分不同的楼层或部门。

公有子网与私有子网：
- 公有子网： 配置了通往互联网网关的路由。通常用于部署需要直接面向互联网服务的资源，如负载均衡器、NAT网关、堡垒机。
- 私有子网： 没有通往互联网网关的路由。通常用于部署不需要直接访问互联网，但需要对外提供服务的核心业务资源，如应用服务器、数据库。这是保障内网安全的关键设计。
跨可用区部署： 为了高可用，您应该在VPC的不同可用区（机房）创建多个子网，并将资源分布部署，这样一个可用区故障不会导致服务完全中断。

3. 路由表：网络的交通指挥系统

每个子网都必须关联一个路由表。路由表决定了数据包离开子网后的下一跳目的地。

本地路由： 系统会自动创建一条指向VPC内部CIDR的本地路由，确保VPC内网互通。
自定义路由： 您可以根据需要添加路由规则。
- 指向互联网网关的路由，使子网成为公有子网。
- 指向NAT网关的路由，使私有子网内的资源可以访问外网以下载更新，但外网无法主动访问它们。
- 指向对等连接或VPN网关的路由，用于实现VPC之间或与本地数据中心的互通。

三、安全防线：安全组与网络ACL的纵深防御

云平台提供了两层虚拟防火墙，构成了纵深防御体系。

1. 安全组：实例级别的“贴身保镖”

状态化防火墙： 这是其核心特性。如果您在入站规则中允许了某个端口（如80）的访问，那么对应的出站响应流量会被自动允许，无需额外配置出站规则。
白名单机制： 默认拒绝所有流量，您必须显式地添加允许规则。
作用范围： 作用于一张或多张网卡（弹性网卡），是实例级别的防护。
实践建议：
- 遵循最小权限原则： 只为应用需要的确切端口和源IP开放访问。例如，Web服务器安全组只需开放80/443端口来自负载均衡器的流量，以及22端口来自运维堡垒机的流量。
- 按角色分组： 为Web层、应用层、数据层分别创建不同的安全组，实现精细化的访问控制。

2. 网络ACL：子网级别的“边境检查站”

无状态防火墙： 您必须分别配置入站和出站规则。允许入站的请求，其出站响应也需要有对应的出站规则。
规则顺序： 规则有明确的优先级号码，从上到下匹配。
作用范围： 作用于整个子网，是子网边界的防护。
与安全组的协同：
- 安全组是主要的安全手段，因为它更精细、易于管理。
- 网络ACL可作为额外的、粗粒度的安全层，用于实现子网级别的强制访问控制，例如，明确拒绝某个异常IP段访问整个子网。

四、一个典型的Web应用网络架构

让我们将这些组件组合起来，设计一个安全、高可用的三-tier Web应用网络：

VPC： 10.0.0.0/16
公有子网 A & B（在不同可用区）：
- 路由： 指向互联网网关。
- 资源： 负载均衡器、NAT网关。
- 安全： 负载均衡器的安全组仅允许80/443来自0.0.0.0/0。
私有子网 A & B（在不同可用区）：
- 路由： 默认路由指向NAT网关（用于出网），本地路由用于VPC内通信。
- 资源： Web/应用服务器集群、数据库。
- 安全：
  - Web服务器安全组： 入站允许80来自负载均衡器的安全组ID，出站允许443到互联网（用于调用外部API）。
  - 数据库安全组： 入站允许3306仅来自Web服务器安全组ID。

这个架构确保了数据库等核心资产隐藏在私有子网内，互联网流量必须经过负载均衡器和安全组的严格过滤，并通过多可用区部署保障了高可用性。

结论

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

云网络架构揭秘：VPC、子网、安全组如何构建你的云上私网

云网络架构揭秘：VPC、子网、安全组如何构建你的云上私网

活动

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

云网络架构揭秘：VPC、子网、安全组如何构建你的云上私网

云网络架构揭秘：VPC、子网、安全组如何构建你的云上私网