虚拟私有云简介
虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。
VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表等。
此外,您可以通过弹性公网IP连通云内VPC和公网网络,通过云专线、虚拟专用网络等连通云内VPC和线下数据中心,构建混合云网络,灵活整合资源。
VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群部署等多种技术,保障网络的安全、稳定、高可用。
虚拟私有云产品架构
接下来,本文档将从虚拟私有云VPC的基本元素、VPC的网络安全、VPC的网络连接以及VPC的网络运维方面进行介绍,带您详细了解VPC的产品架构。
下表为您介绍VPC产品架构内容。
| 项目分类 | 简要说明 | 详细说明 |
|---|---|---|
| VPC 基本元素 |
VPC是您在云上的私有网络,您可以指定VPC的IP地址范围。 通过在VPC内划分子网来进一步细化IP地址范围。 同时,您可以配置VPC内的路由表来控制网络流量走向。 不同VPC之间的网络不通,同一个VPC内的多个子网之间网络默认互通。 |
IP地址范围:您在创建VPC时,需要指定VPC的IP网段,支持的网段有, 10.0.0.0/24-10.0.0.0/8; 172.16.0.0/24-172.16.0.0/12; 192.168.0.0/24-192.168.0.0/16。 子网:您可以根据业务需求在VPC内划分子网,VPC内至少需要包含一个子网。 实例(云主机、云容器、云数据库等)必须部署在子网内,实例的私有IP地址从子网网段中分配。 路由表:在创建VPC时,系统会为您自动创建一个默认路由表,默认路由表确保同一个VPC内的子网网络互通。 您可以在默认路由表中添加路由来管控网络,如果默认路由表无法满足需求时,您还可以创建自定义路由表。 |
| VPC 网络安全 |
安全组与网络ACL(Access Control List)用于保障VPC内部署实例的安全。 | 安全组:对实例进行防护,您可以在安全组中设置入方向和出方向规则,将实例加入安全组内后,该实例会受到安全组的保护。 网络ACL:对整个子网进行防护,您可以在网络ACL中设置入方向和出方向规则,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。 相比安全组,网络ACL的防护范围更大。当安全组和网络ACL同时存在时,流量优先匹配网络ACL规则,然后匹配安全组规则。 |
| VPC 网络连接 |
您可以使用VPC和云上的其他网络服务,基于您的业务诉求,构建不同功能的组网。 连通同区域VPC:通过VPC对等连接连通同区域内的不同VPC。 连通跨区域VPC:通过云专网或虚拟专用网络VPN连通不同区域的VPC。 连通VPC和公网:通过弹性公网IP (EIP)或者NAT网关,连通云内VPC和公网。 连通VPC和线下数据中心:通过云专线DC或者虚拟专用网络VPN,连通云内VPC和线下数据中心。 |
连通同区域VPC:对等连接用于连通同一个区域内的VPC,您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 连通跨区域VPC: 云专网:云专网可以接入不同区域的VPC,快速实现跨区域网络构建。若需要使用云专网业务,您可联系您所在地区的中国电信客户经理。 连通VPC和公网: EIP:弹性公网IP为您提供独立的公网IPv4地址。您可以为实例绑定EIP,为实例提供访问公网的能力。 NAT网关:公网NAT网关能够为VPC内的实例(云主机、物理机等),提供最高20Gbit/s能力的网络地址转换服务,实现多个实例使用一个EIP访问公网。 连通VPC和线下数据中心: DC:云专线DC用于搭建线下数据中心和云上VPC之间高速、低时延、稳定安全的专属连接通道,通过DC可以构建大规模混合云组网。若需要使用云专线业务,您可联系您所在地区的中国电信客户经理。 VPN:VPN用于在线下数据中心和云上VPC之间建立一条安全加密的公网通信隧道。 相比通过DC构建混合云,使用VPN更加快速,成本更低。 |
| VPC 网络运维 |
VPC流日志和流量镜像可以监控VPC内的流量,用于网络运维。 | 流日志:通过流日志功能可以实时记录VPC中的流量日志信息。通过这些日志信息,您可以优化安全组和网络ACL的控制规则,监控网络流量、进行网络攻击分析等。 流量镜像:通过流量镜像功能可以镜像弹性网卡符合筛选条件的报文到目的实例中,在目的实例中进行流量分析,不会影响运行业务的实例,适用于网络流量检查、审计分析以及问题定位等场景。 |
