阿裡雲面向客戶提供的網絡類型服務有經典網絡和
專有網絡兩種,但這兩者有什麼差別呢?阿裡官網給的解釋是:
經典網絡:IP位址由阿裡雲統一配置設定,配置簡便,使用友善,适合對操作易用性要求比較高、需要快速使用 ECS 的使用者。
:是指邏輯隔離的私有網絡,您可以自定義網絡拓撲和 IP 位址,支援通過專線連接配接。适合于熟悉網絡管理的使用者
相信很多人看了這個解釋還是雲裡霧裡,作為使用者你該如何判斷哪一種是适合自己的網絡類型呢:
其實,可以這樣簡單地了解,從公網ip來講,
和專有網絡沒有差別;從内網ip來講,
是DHIP,也就是自動配置設定區域網路ip位址,而專有網絡則是手工配置設定區域網路ip位址,這樣友善有多台雲伺服器的使用者自行定義内網ip結構。是以,如果使用者隻有一台伺服器,或者有多台伺服器但不需要進行内網互聯,那麼這兩種網絡都可以選擇的。
但從安全上講,因為
是阿裡雲自動配置設定的ip位址,有一定的規律性,那麼黑客也就可以利用内網ip進行區域網路攻擊,雖然在阿裡雲的安全體系下有些難度,但事實也證明了有被攻擊的可能性。而
因為是自定義區域網路ip,那麼黑客就沒那麼容易進入使用者的内網進行攻擊了。
阿裡雲一經初始化了很多參數,适合快速入門ECS的使用者;專有網絡:适合精通網絡管理的使用者,定制型可擴充型更強,是邏輯隔離的私有網絡支援使用者自定義網絡拓撲和ip位址。
那麼什麼是VPC呢:
VPC(Virtual Private Cloud)就好像是在雲上的一個家,我可以在家裡放很多喜歡的東西(雲産品),比如ECS,RDS,負載均衡等等,如下圖。
那麼為什麼要有VPC呢:
在vpc之前的網絡類型就叫
,VPC的主要作用為了解決使用者在雲端的安全隔離問題。
舉個例子,我建在
裡的家,其他人到我家預設是沒有路的。而建在
裡的家,其他人到我家是有路的,隻不過路上被很多荊棘擋住了,是以經典網絡存在被攻擊的可能性。當然VPC還有很多其他好處,比如網絡管理更靈活。
天生是隔離的安全網絡,預設情況下,别人不能通過私網通路使用者VPC,使用者的VPC也不能通過私網通路别人。這裡的别人包括:其他VPC和
。
前面介紹到專有網絡适合精通網絡管理的使用者,定制型可擴充型更強,那麼使用者利用VPC可以做些什麼呢?
IP自主選擇
目前,阿裡雲VPC提供的IP位址有192.168.0.0/16,172.16.0.0/12和10.0.0.0/8。使用者可以選擇一段IP位址來識别雲産品,同時可以把IP位址拆分成很多子網給不同的應用使用,能夠做到很好的網絡管理。
安全自主可控
裡沒經過授權任何外部通路都是被禁止的網絡内的成員(如ECS)預設也不能随便通路公網或者其他專有網絡。成員之間(如ECS)預設可以通信,但管理者也可以對成員的通信進行管制(通過安全組)
實作路由的自定義規則
實作VPC内的路由控制
雙可用區(機房)備援備份
把雲産品放置在不同的可用區,這樣萬一一個可用區(機房)出現問題,另外一個可用區(機房)還可以繼續服務
VPC 的NAT網關功能
NAT網關在VPC中的位置:
NAT網關的特性:
DNAT:目的網絡位址轉換(入方向代理),用于VPC内的ECS面向網際網路提供服務;支援端口映射、IP映射;
SNAT:源網絡位址轉換(出方向代理),用于VPC内的ECS通路網際網路内容;
多IP共享帶寬:NAT網關上購買公網IP和公網帶寬時以“共享帶寬包”形式購買,一個帶寬包内的所有IP共享帶寬;
共享帶寬使用場景:
實作多個雲上多個VPC之間的通路
為了安全,使用者要将測試業務和生産業務分開,是以可以在雲上建立兩個VPC,A VPC 負責生産業務,B VPC負責測試業務,兩個PVC之間預設不能通信。如果A VPC 負責生産業務,優先級高,需要經常通路B VPC,但反之則不行,這個時候就需要使用高速通道把A VPC 單向連到B VPC 就可以了。
實作雲上VPC和雲下IDC
除了雲上VPC,使用者在雲下自己的機房還有很多伺服器,也可以使用高速通道把雲上VPC和雲下機房連起來。這就是現在流行的混合雲。
我們優先推薦客戶使用VPC網絡環境來部署應用系統,VPC下的網絡環境會更靈活,安全更加有保證。關于阿裡雲網絡環境的任何使用問題,我們為您提供最專業的服務。