活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云AI产品特惠 NEW 8折特惠,新老同享不限购
  • 中小企业服务商合作专区 国家云助力中小企业腾飞,高额上云补贴重磅上线
  • 出海产品促销专区 NEW 爆款云主机低至2折,高性价比,不限新老速来抢购!
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
算力互联调度平台
  • 算力市场
  • 裸金属
  • 定制裸金属
训推服务
  • 模型开发
  • 训练任务
  • 服务部署
模型推理服务
  • 模型广场
  • 体验中心
  • 服务接入
应用托管
  • 应用市场
  • MCP市场
  • 应用实例
科研助手
  • 科研智能体
  • 科研服务
  • 开发机
  • 并行计算
大模型
  • DeepSeek-V3.1
  • DeepSeek-R1-0528
  • DeepSeek-V3-0324
  • Qwen3-235B-A22B
  • Qwen3-32B
  • Qwen2.5-VL-72B-Instruct
  • StableDiffusion-V2.1
智算一体机
  • 智算一体机
模型适配专家服务
  • 模型适配专家服务

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
AI应用
  • 泛微合同管理解决方案
  • 泛微数智大脑Xiaoe.AI解决方案
  • MaxKB知识库解决方案
  • 天翼AI文创
AI服务
  • 昆仑AI训推服务解决方案
  • 国信模型服务解决方案
企业应用
  • 翼电子签约解决方案
  • 翼协同解决方案
  • 翼电签-契约锁解决方案
  • 翼视频云归档解决方案
教育应用
  • 翼电子教室
  • 潜在AI教育解决方案
建站工具
  • SSL证书
  • 翼定制建站解决方案
  • 翼多端小程序解决方案
办公协同
  • 天翼云企业云盘
  • 安全邮箱
灾备迁移
  • 云管家2.0
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)

定价

协助您快速了解云产品计费模式、价格详情,轻松预估上云成本
价格计算器
  • 动态测算产品价格
定价策略
  • 快速了解计费模式

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 定价
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
      • 文档
      • 控制中心
      • 备案
      • 管理中心
      文档中心

      虚拟私有云

      虚拟私有云

      • 虚拟私有云

      无数据

        • 产品动态
        • 产品简介
        • 产品定义
        • 产品优势
        • 功能特性
        • 产品应用场景
        • 基本概念
        • 产品使用限制
        • 资源池区别
        • 计费说明
        • 计费说明
        • 虚拟私有云VPC管理
        • 创建虚拟私有云VPC
        • 查看虚拟私有云
        • 修改虚拟私有云
        • 删除虚拟私有云
        • VPC网段和扩展网段
        • 开启/关闭虚拟私有云IPv6
        • 统一身份认证与权限管理
        • 快速入门
        • 入门准备
        • 搭建IPv4私有网络
        • 搭建IPv6私有网络
        • 创建VPC、子网搭建私有网络
        • 子网管理
        • 创建子网
        • 修改子网
        • 删除子网
        • 查看子网
        • 子网的高级配置
        • 虚拟IP
        • 虚拟IP概述
        • 申请虚拟IP地址
        • 虚拟IP列表
        • 绑定弹性IP
        • 解绑弹性IP
        • 绑定服务器
        • 解绑服务器
        • 删除虚拟IP
        • 弹性网卡
        • 弹性网卡基本知识
        • 创建弹性网卡
        • 查看弹性网卡
        • 修改弹性网卡基本信息、分配IPv6、辅助私网IP
        • 弹性网卡绑定/解绑云主机、物理机服务器等实例
        • 实例内部配置已分配的辅助私网IP地址
        • 为多网卡的ECS配置策略路由
        • 路由表
        • 路由表概述
        • 创建路由表
        • 路由表关联子网
        • 创建路由规则
        • 修改路由规则
        • 删除路由规则
        • DHCP选项集
        • DHCP选项集概述
        • 使用DHCP选项集
        • 创建DHCP选项集
        • 编辑DHCP选项集
        • 关联VPC
        • VPC解除、更换关联的DHCP选项集
        • 删除DHCP选项集
        • 查看DHCP选项集
        • 安全组
        • 安全组概述
        • 创建安全组
        • 查看安全组
        • 添加安全组规则
        • 快速添加多条安全组规则
        • 复制安全组规则
        • 导入/导出安全组规则
        • 实例加入/移出安全组
        • 删除安全组规则
        • 删除安全组
        • 修改安全组规则
        • 克隆安全组
        • 安全组与云服务器的关联管理
        • 安全组与辅助网卡的关联管理
        • 查看弹性云主机的安全组
        • 云主机的常用端口
        • 安全组配置示例
        • 安全组标签管理
        • 标签概述
        • 绑定标签
        • 解绑标签
        • 使用标签筛选资源
        • TCP、UDP数据包过安全组的特殊说明
        • 网络ACL
        • ACL概述
        • 网络ACL简介
        • 安全组和网络ACL的区别
        • 创建ACL
        • 修改ACL
        • 删除ACL
        • 添加ACL规则
        • ACL默认规则
        • 修改ACL规则
        • 停用/启用ACL规则
        • 删除ACL规则
        • 调整ACL规则优先级
        • 导入/导出ACL规则
        • ACL关联子网
        • ACL取消关联子网
        • 配置示例
        • ACL典型应用
        • 前缀列表
        • 前缀列表概述
        • 创建前缀列表
        • 管理前缀列表
        • 克隆前缀列表
        • 删除前缀列表
        • 流量镜像
        • 流量镜像概述
        • 产品使用限制
        • 计费说明
        • 创建筛选条件
        • 修改筛选条件
        • 删除筛选条件
        • 管理筛选规则
        • 创建镜像会话
        • 删除镜像会话
        • 启动镜像会话
        • 停止镜像会话
        • 添加和删除镜像源
        • 变更镜像目的
        • 流量镜像配置示例
        • 统一身份认证与权限管理
        • IPv4网关
        • IPv4网关概述
        • IPv4网关绑定路由表
        • IPv4网关解绑路由表
        • IPv4网关更换路由表
        • IPv6网关
        • IPv6网关概述
        • 创建IPv6网关
        • 删除IPv6网关
        • 组播
        • 组播概述
        • 组播计费说明
        • 应用场景
        • 基本概念
        • 使用限制
        • 创建组播域
        • 组播转发展示
        • 修改组播域
        • 删除组播域
        • 对等连接
        • 产品定义
        • 基本概念
        • 产品优势
        • 功能特性
        • 产品应用场景
        • 对等连接操作指导
        • VPC终端节点
        • 产品定义
        • 基本概念
        • 产品优势
        • 功能特性
        • 产品应用场景
        • VPC终端节点操作指导
        • NAT网关
        • 产品定义
        • 产品优势
        • 功能特性
        • 应用场景
        • NAT网关操作指导
        • 路径分析
        • 路径分析概述
        • 创建路径分析实例
        • 查看路径分析报告
        • 删除路径分析报告
        • 删除路径分析实例
        • 最佳实践
        • 云网架构设计指南
        • 单资源池单VPC网络设计
        • 单资源池多VPC网络设计
        • VPC的IPv6改造
        • 可用区资源池IPv4单栈VPC如何改造为IPv4、IPv6双栈
        • 地域资源池IPv4单栈VPC如何改造为IPv4、IPv6双栈
        • 如何规划VPC网段、数量
        • 如何规划子网网段、数量
        • 如何规划路由策略
        • 安全组最佳实践
        • VPC与外部网络连接
        • 弹性云主机如何修改内网IP、切换VPC
        • 常见公网访问方法
        • 公网产品分类
        • 如何对外提供服务
        • 如何主动访问公网
        • 如何使用弹性IP或者NAT网关访问公网
        • 虚拟IP结合keepalived实现主备双机高可用
        • 如何通过对等连接部署第三方公共防火墙
        • API参考
        • API使用说明
        • 常见问题
        • 基础知识
        • 操作类
        • 使用限制类
        • 路由类
        • 通用类
        • 计费类
        • 安全类
        • 相关协议
        • 虚拟私有云服务协议
        • 文档下载
        • 文档下载
        • 视频专区
          无相关产品

          本页目录

          帮助中心虚拟私有云最佳实践云网架构设计指南单资源池单VPC网络设计
          单资源池单VPC网络设计
          更新时间 2025-10-11 11:04:07
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          最近更新时间: 2025-10-11 11:04:07
          分享文章
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          帮助您在单资源池单VPC场景下进行网络设计。

          背景介绍

          虚拟私有云VPC作为天翼云最基础的IaaS服务之一,是每个用户上云都需要用到的产品。合理的网络设计、有前瞻性的网络规划、充分的网络安全考量能够极大的便利您在天翼云上使用部署业务,降低业务运行和扩展面临的潜在网络问题。以下是一份单资源池、单VPC云网络架构设计指南,涵盖规划、部署、安全及优化关键点。本文适用于虚拟私有云的可用区资源池,不同资源池列表见产品简介-资源池区别页面,实际情况以控制台展现为准。

           

          设计目标

          1. 简单高效:通过单一VPC满足单资源池业务需求,降低复杂度。

          2. 安全隔离:通过子网分层、安全组实现内部资源隔离。

          3. 高可用性:多可用区部署关键服务,避免单点故障。

          4. 可扩展性:预留IP地址空间,支持未来扩展业务。

           

          基础架构组件

          组件

          作用

          虚拟私有云VPC

          创建逻辑隔离的私有网络环境

          子网

          按业务分层划分网络段(Web/App/DB)

          路由表

          路由表是管理和控制网络流量的关键,用于控制虚拟私有云内网络流量走向

          安全组

          实例级流量控制(有状态防火墙)

          网络ACL

          子网级流量过滤(无状态规则)

          弹性负载均衡

          流量分发至多台后端服务器

          NAT网关

          私有子网访问互联网的统一出口

          弹性IP

          为云主机或NAT网关绑定公网地址

          云监控

          网络流量监控

           

          网络架构设计步骤

          1. VPC与子网规划

            1. CIDR分配

              1. 建议使用较大私有地址段(如 10.0.0.0/8),按业务分层划分子网

              2. Web层子网:10.0.1.0/24(公网子网,能够访问公网) 

              3. 应用层子网:10.0.2.0/24(私网子网,仅能进行内网访问) 

              4. 数据库子网:10.0.3.0/24(私网子网,严格隔离)  

          2. 路由表配置

            1. 公网子网路由表:默认路由指向NAT网关(用于出向互联网访问)。

            2. 私网子网路由表:仅保留VPC内网路由,禁止直接访问公网。

          3. 安全策略设计

            1. 安全组规则

              1. Web层安全组:仅开放80/443端口给公网,限制内网访问应用层端口(如8080)

              2. 数据库安全组:仅允许应用层子网IP访问3306(MySQL)或5432(PostgreSQL)等。

            2. 网络ACL

              1. 入站规则:按需限制来源IP(如仅允许企业办公网段)。

              2. 出站规则:禁止私有子网直接访问公网。

          4. 网络连接与高可用

            1. 互联网访问

              1. 在VPC中部署NAT网关,通过弹性IP,作为私有子网访问外网的唯一出口。  

              2. 对于需要接入公网的私有子网,通过NAT网关配置SNAT、DNAT规则管理VPC与公网互通。

            2. 跨可用区负载均衡

              1. 每个子网部署云主机跨2个可用区部署。

              2. 使用天翼云弹性负载均衡(CT-ELB),将流量分发至处于不同可用区的主机实例。

              3. 配置负载均衡健康检查,自动剔除故障节点。

            3. 跨可用区冗余:关键服务(如数据库、中间件)部署在多个可用区,通过主从复制保持数据同步。

           

           

          典型架构图

           

           

          安全增强措施

          1. 数据加密

            1. 使用SSL/TLS加密公网传输流量(如HTTPS)

            2. 数据库启用透明数据加密(TDE)和天翼云KMS服务

          2. 安全防护

            1. 根据业务情况使用天翼云提供的安全产品进行公网防护。

          成本优化建议

          1. 按需分配公网IP:公网流量通过NAT网关共享出口,仅对必须暴露的服务使用独享的弹性IP(需要为云主机所在的子网配置指向IPv4网关的默认路由)。

          2. 合理选择带宽:

            1. 优先使用共享带宽降低弹性IP带宽成本。

            2. 根据业务峰谷情况选择弹性IP的固定带宽或按流量计费模式。 

          3. 清理闲置资源:定期删除未使用的EIP、安全组、路由表等资源。  

          运维与监控

          1. 自动化部署:使用天翼云原生API实现VPC、子网、安全组等资源的自动化编排。

          2. 监控告警:配置云监控对使用的云资源进行告警,重点关注以下指标:

            1. 弹性IP、共享带宽网络出入带宽利用

            2. NAT网关并发连接数

            3. 弹性负载均衡健康/异常后端主机数

          常见问题规避

          1. IP地址耗尽:预留至少20%的IP空间(如使用/16的VPC,按/24划分子网)。  如果出现VPC地址不足的情况,可以通过为VPC增加扩展网段的方式,扩容地址。

          2. 安全组配置错误:遵循最小权限原则,禁止开放0.0.0.0/0到高危端口(如22、3389)。  

          3. 单可用区风险:确保关键服务(如数据库)部署在至少2个可用区。  

           

          通过以上设计,可在天翼云单地域单VPC环境下构建安全、高可用且易于扩展的网络架构,适用于中小型企业或独立业务系统。

          文档反馈

          建议您登录后反馈,可在建议与反馈里查看问题处理进度

          鼠标选中文档,精准反馈问题

          选中存在疑惑的内容,即可快速反馈问题,我们会跟进处理

          知道了

          上一篇 :  云网架构设计指南
          下一篇 :  单资源池多VPC网络设计
          搜索 关闭
          ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
          公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
          备案 京公网安备11010802043424号 京ICP备 2021034386号
          ©2025天翼云科技有限公司版权所有
          京ICP备 2021034386号
          备案 京公网安备11010802043424号
          增值电信业务经营许可证A2.B1.B2-20090001
          用户协议 隐私政策 法律声明