随着雲計算的不斷發展,對虛拟化網絡的要求越來越高,比如彈性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且還有極高的互聯性能(performance)需求,是以催生了多種多樣的網絡虛拟化技術。
比較早的解決方案,是将虛拟機的網絡和實體網絡融合在一起,形成一個扁平的網絡架構,例如大二層網絡。随着虛拟化網絡規模的擴大,這種方案中的ARP欺騙、廣播風暴、主機掃描等問題會越來越嚴重。為了解決這些問題,出現了各種網絡隔離技術,把實體網絡和虛拟網絡徹底隔開。其中一種技術是使用者之間用VLAN進行隔離,但是VLAN的數量最大隻能支援到4096個,無法支撐公共雲的巨大使用者量。
什麼是專有網絡VPC:
專有網絡是您自己獨有的雲上私有網絡。您可以完全掌控自己的專有網絡,例如選擇IP位址範圍、配置路由表和網關等,您可以在自己定義的專有網絡中使用阿裡雲資源如雲伺服器、雲資料庫RDS版和負載均衡等。
您可以完全掌控自己的虛拟網絡,例如選擇自己的IP位址範圍、劃分網段、配置路由表和網關等,進而實作安全而輕松的資源通路和應用程式通路。此外,您也可以通過專線或VPN等連接配接方式将您的專有網絡與傳統資料中心相連,形成一個按需定制的網絡環境,實作應用的平滑遷移上雲和對資料中心的擴充。
關于阿裡雲VPC的詳細内容:阿裡雲專有網絡VPC使用教程
(專有網絡VPC可以幫助您基于阿裡雲建構出一個隔離的網絡環境,并可以自定義IP 位址範圍、網段、路由表和網關等;此外,也可以通過專線/VPN/GRE等連接配接方式實作雲上VPC與傳統IDC的互聯,建構混合雲業務)
您可以将專有網絡連接配接到其他專有網絡或本地網絡,形成一個按需定制的網絡環境,實作應用的平滑遷移上雲和對資料中心的擴充。
組成部分
每個VPC都由一個私網網段、一個路由器和至少一個交換機組成。
-
私網網段
在建立專有網絡和交換機時,您需要以CIDR位址塊的形式指定專有網絡使用的私網網段。
說明 如果要使用标準網段的子網作為VPC的私網網段,您需要通過調用 CreateVpc接口建立VPC。
-
路由器
路由器(VRouter)是專有網絡的樞紐。作為專有網絡中重要的功能元件,它可以連接配接VPC内的各個交換機,同時也是連接配接VPC和其他網絡的網關裝置。每個專有網絡建立成功後,系統會自動建立一個路由器。每個路由器關聯一張路由表。
-
交換機
交換機(VSwitch)是組成專有網絡的基礎網絡裝置,用來連接配接不同的雲産品執行個體。建立專有網絡之後,您可以通過建立交換機為專有網絡劃分一個或多個子網。同一專有網絡内的不同交換機之間内網互通。您可以将應用部署在不同可用區的交換機内,提高應用的可用性。
專有網絡VPC架構圖:
阿裡雲專有網絡VPC具有以下優勢:
專有網絡安全性高、配置靈活、支援多種連接配接方式。
- 安全
每個VPC都有一個獨立的隧道号,一個隧道号對應着一個虛拟化網絡。專有網絡之間通過隧道ID進行隔離:
- 專有網絡内部由于交換機和路由器的存在,是以可以像傳統網絡環境一樣劃分子網,每一個子網内部的不同雲伺服器使用同一個交換機互聯,不同子網間使用路由器互聯。
- 不同專有網絡之間内部網絡完全隔離,可以通過對外映射的IP(彈性公網IP和NAT IP)互連。
- 由于使用隧道封裝技術對雲伺服器的IP封包進行封裝,是以雲伺服器的資料鍊路層(二層MAC位址)資訊不會進入實體網絡,實作了不同雲伺服器間二層網絡隔離,是以也實作了不同專有網絡間二層網絡隔離。
- 專有網絡内的ECS使用安全組防火牆進行三層網絡通路控制。
- 可控
您可以通過安全組規則、通路控制白名單等方式靈活地控制通路專有網絡内雲資源的出入流量。
- 易用
您可以通過專有網絡控制台快速建立、管理專有網絡。專有網絡建立後,系統會自動為其建立一個路由器和路由表。
- 可擴充
您可以在一個專有網絡内建立不同的子網,部署不同的業務。此外,您可以将一個VPC和本地資料中心或其他VPC相連,擴充網絡架構。
專有網絡(VPC)是完全隔離的網絡環境,配置靈活,可滿足不同的應用場景。
- 托管應用程式
您可以将對外提供服務的應用程式托管在VPC中,并且可以通過建立安全組規則、通路控制白名單等方式控制Internet通路。您也可以在應用程式伺服器和資料庫之間進行通路控制隔離,将Web伺服器部署在能夠進行公網通路的子網中,将應用程式的資料庫部署在沒有配置公網通路的子網中。
- 托管主動通路公網的應用程式
您可以将需要主動通路公網的應用程式托管在VPC中的一個子網内,通過網絡位址轉換 (NAT) 網關路由其流量。通過配置SNAT規則,子網中的執行個體無需暴露其私網IP位址即可通路Internet,并可随時進行公網IP替換,避免被外界攻擊。
- 跨可用區容災
您可以通過建立交換機為專有網絡劃分一個或多個子網。同一專有網絡内不同交換機之間内網互通。您可以通過将資源部署在不同可用區的交換機中,實作跨可用區容災。
- 業務系統隔離
不同的VPC之間邏輯隔離。如果您有多個業務系統比如生産環境和測試環境要嚴格進行隔離,那麼可以使用多個VPC進行業務隔離。當有互相通信的需求時,可以在兩個VPC之間建立對等連接配接。
- 建構混合雲
VPC提供專用網絡連接配接,可以将本地資料中心和VPC連接配接起來,擴充本地網絡架構。通過該方式,您可以将本地應用程式無縫地遷移至雲上,并且不必更改應用程式的通路方式。
- 多個應用流量波動大
如果您的應用帶寬波動很大,您可以通過NAT網關配置DNAT轉發規則,然後将EIP添加到共享帶寬中,實作多IP共享帶寬,減輕波峰波谷效應,進而減少您的成本。