簡介
私有網絡(VPC)
私有網絡是針對公有雲的基礎網絡(經典網絡)來定義的一種概念。
VPC(Virtual Private Cloud)是公有雲上自定義的邏輯隔離網絡空間,是一塊可我們自定義的網絡空間,與我們在資料中心運作的傳統網絡相似,托管在VPC内的是我們在私有雲上的服務資源,如雲主機、負載均衡、雲資料庫等。我們可以自定義網段劃分、IP位址和路由政策等,并通過安全組和網絡ACL等實作多層安全防護。同時也可以通過VPN或專線連通VPC與我們的資料中心,靈活部署混合雲。
VPC主要是一個網絡層面的功能,其目的是讓我們可以在雲平台上建構出一個隔離的、自己能夠管理配置和政策的虛拟網絡環境,進而進一步提升我們在AWS環境中的資源的安全性。我們可以在VPC環境中管理自己的子網結構,IP位址範圍和配置設定方式,網絡的路由政策等。由于我們可以掌控并隔離VPC中的資源,是以對我們而言這就像是一個自己私有的雲計算環境。
我們可以通過VPC及其他相關的雲服務來把企業自己的資料中心與其在雲上的環境進行內建,構成一個混合雲的架構。
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLiUDa10SOEVnRPdGZxxWewJkUNhTW140UDdHM1Z0LcVmZpxmL1ITNuU2Zh1Wavw1LcpDc0RHaiojIsJye.jpg)
使用私有網絡的好處
1) 靈活部署:自定義網絡劃分、路由規則,配置實施立即生效
2) 安全隔離:100%邏輯隔離的網絡空間,我的地盤聽我的
3) 豐富接入:支援公網VPN接入和專線接入
4) 通路控制:精确到端口的網絡控制,滿足金融政企的安全要求
應用場景
安全網絡
通過 VPC 網絡建構起具有嚴格安全通路控制的網絡,同時兼顧核心資料的安全隔離和來自公網通路的有效接入。使用者可以将處理核心資料和業務的核心伺服器或資料庫系統部署在公網無法通路的子網中,而将面向公網通路的web伺服器部署于另一個子網環境中,并将該子網設定與公網連接配接。在 VPC 網絡中,使用者可以通過子網間的通路控制來實作對核心資料和業務伺服器的通路控制,在確定核心資料安全可控的同時滿足公網的通路需求。
混合雲網絡
通過 VPC 網絡提供的隧道或 VPN 服務,建立一套安全高效的網絡連接配接。在 VPC 中部署 Web 應用,通過分布式防火牆獲得額外的隐私保護和安全性。使用者可以建立防火牆規則,使 Web 應用響應 HTTP/HTTPS 等請求的同時拒絕通路 Internet,以此鞏固網站的安全保護,進而實作部署于公有雲上的應用與部署在自有資料中心的業務之間的互聯互通,建構混合雲的架構。
托管網站
通過 VPC 網絡提供的目的位址 NAT 功能,實作無 EIP 的安全通路網際網路。
解決網絡瓶頸
通過 VPC 網絡提供的隧道/VPN/專線服務,友善将企業應用部署到雲中。
災難恢複
通過 VPC 網絡提供的隧道/VPN/專線服務,友善建構災備環境。
私有網絡(VPC)與基礎網絡(經典網絡)的差別
經典網絡:公有雲上所有使用者共享公共網絡資源池,使用者之間未做邏輯隔離。使用者的内網IP由系統統一配置設定,相同的内網IP無法配置設定給不同使用者。
VPC:是在公有雲上為使用者建立一塊邏輯隔離的虛拟網絡空間。在VPC内,使用者可以自由定義網段劃分、IP位址和路由政策,安全可提供網絡ACL及安全組的通路控制,是以,VPC有更高的靈活性和安全性。
經典網絡和VPC的架構對比圖:
對比可以看到,VPC優勢明顯,通過VPC,使用者可以自由定義網段劃分、IP位址和路由政策;安全方面,VPC可提供網絡ACL及安全組的通路控制,VPC靈活性和安全性更高。可适用于對安全隔離性要求較高的業務、托管多層web應用、彈性混合雲部署等使用場景中,符合金融、政企等行業的強監管、資料安全要求。
基礎網絡與私有網絡是雲上的兩種網絡模式,使用者未标注為VPC網絡的雲資源均部署在基礎網絡中。
路由器和交換機
路由器(VRouter)是專有網絡的樞紐。作為專有網絡中重要的功能元件,它可以連接配接VPC内的各個交換機,同時也是連接配接VPC和其他網絡的網關裝置。每個專有網絡建立成功後,系統會自動建立一個路由器。每個路由器關聯一張路由表。更多資訊,參見路由。
交換機(VSwitch)是組成專有網絡的基礎網絡裝置,用來連接配接不同的雲産品執行個體。建立專有網絡之後,您可以通過建立交換機為專有網絡劃分一個或多個子網。同一專有網絡内的不同交換機之間内網互通。您可以将應用部署在不同可用區的交換機内,提高應用的可用性。
私網位址範圍
在建立專有網絡和交換機時,您需要以CIDR位址塊的形式指定專有網絡使用的私網網段。關于CIDR的相關資訊,參見維基百科上的Classless Inter-Domain Routing條目說明。也可參考文末。
您可以使用下表中标準的私網網段及其子網作為VPC的私網位址。專有網絡建立成功之後,無法修改網段。建議使用比較大的網段,盡量避免後續擴容。
網段 | 可用私網IP數量 (不包括系統保留) |
---|---|
192.168.0.0/16 | 65532 |
172.16.0.0/12 | 1048572 |
10.0.0.0/8 | 16777212 |
交換機的網段不能和所屬的專有網絡的網段重疊,可以是其子集或者相同,網段大小在16位網絡掩碼與29位網絡掩碼之間。
經典網絡使用者如何平滑遷移
對于已經在經典網絡内有較多雲主機的客戶如何實作經典網絡和VPC之間的平滑遷移呢?
AWS(classiclink)和騰訊雲(基礎網絡互通)都提供了平滑過渡方案,可以将經典網絡内的雲伺服器關聯至指定VPC,使經典網絡中的雲伺服器可以與VPC内的雲伺服器、資料庫等雲服務通信。
VPC網絡規劃
問題一 應該使用幾個VPC
單個VPC
如果您沒有多地域部署系統的要求且各系統之間也不需要通過VPC進行隔離,那麼推薦使用一個VPC。目前,單個VPC内運作的雲産品執行個體可達15000個,這樣的容量基本上可以滿足您的需求。
說明:可用區是指在同一地域内,電力和網絡互相獨立的實體區域,在同一地域内可用區與可用區之間内網互通
多個VPC
如果您有如下任何一個需求,推薦您使用多個VPC。
多地域部署系統
VPC是地域級别的資源,是不能跨地域部署的。當您有多地域部署系統的需求時,就必然需要使用多個VPC。基于阿裡巴巴骨幹網建構的高速通道産品能輕松實作跨地域,跨國VPC間的互通。詳情參考高速通道VPC互通。
多業務系統隔離
如果在一個地域的多個業務系統需要通過VPC進行嚴格隔離,比如生産環境和測試環境,那麼也需要使用多個VPC,如下圖所示。
問題二 應該使用幾個交換機
首先,即使隻使用一個VPC,也盡量使用至少兩個交換機,并且将兩個交換機分布在不同可用區,這樣可以實作跨可用區容災。
同一地域不同可用區之間的網絡通信延遲很小,但也需要經過業務系統的适配和驗證。由于系統調用複雜加上系統處理時間、跨可用區調用等原因可能産生期望之外的網絡延遲。建議您進行系統優化和适配,在高可用和低延遲之間找到平衡。
其次,使用多少個交換機還和系統規模、系統規劃有關。如果前端系統可以被公網通路并且有主動通路公網的需求,考慮到容災可以将不同的前端系統部署在不同的交換機下,将後端系統部署在另外的交換機下。
問題三 應該選擇什麼網段
在建立VPC和交換機時,您必須以無類域間路由塊 (CIDR block) 的形式為您的專有網絡劃分私網網段。
VPC網段
您可以根據以下建議規劃VPC網段。
網段 | 可用私網IP數量 (不包括系統保留) |
---|---|
192.168.0.0/16 | 65532 |
172.16.0.0/12 | 1048572 |
10.0.0.0/8 | 16777212 |
注意:VPC建立成功後,網段無法再修改。
您可以使用下表中标準的私網網段及其子網作為VPC的私網位址範圍。
如果有多個VPC,或者有VPC和線下IDC建構混合雲的需求,建議使用上面這些标準網段的子網作為VPC的網段,掩碼建議不超過16位。
如果雲上隻有一個VPC并且不需要和本地IDC互通時,可以選擇上表中的任何一個網段或其子網。
VPC網段的選擇還需要考慮到是否使用了經典網絡。如果您使用了經典網絡,并且計劃将經典網絡的ECS執行個體和VPC網絡連通,那麼,建議您選擇非10.0.0.0/8作為VPC的網段,因為經典網絡的網段也是10.0.0.0/8。
交換機網段
您可以根據以下建議規劃交換機網段。同樣,交換機建立成功後,網段無法再修改。
交換機的網段的大小在16位網絡掩碼與29位網絡掩碼之間,可提供8-65536個位址。16位掩碼能支援65532個ECS執行個體,而小于29位掩碼又太小,沒有意義。
交換機的網段可以和其所屬的VPC網段相同,或者是其VPC網段的子網。比如VPC的網段是192.168.0.0/16,那麼該VPC下的虛拟交換機的網段可以是192.168.0.0/16,也可以是192.168.0.0/17一直到192.168.0.0/29。
注意:如果您的交換機網段和所屬VPC網段相同,您在該VPC下隻能建立一台交換機。
每個交換機的第一個和最後三個IP位址為系統保留位址。以192.168.1.0/24為例,192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255這些位址是系統保留位址。
ClassicLink功能允許經典網絡的ECS和192.168.0.0/16,10.0.0.0/8,172.16.0.0/12這三個VPC網段的ECS通信。例如,如果要和經典網絡通信的VPC網段是10.0.0.0/8,則要和經典網絡ECS通信的交換機的網段必須是10.111.0.0/16。詳情參考ClassicLink。
交換機網段的确定還需要考慮該交換機下容納ECS的數量。
問題四 VPC與VPC互通或者與本地資料中心互通時,如何規劃網段
如下圖所示,比如您在華東1、華北2、華南1三個地域分别有VPC1、VPC2和VPC3三個VPC。VPC1和VPC2通過高速通道内網互通,VPC3目前沒有和其他VPC通信的需求,将來可能需要和VPC2通信。另外,您在上海還有一個自建IDC,需要通過高速通道(專線功能)和華東1的VPC1私網互通。
此例中VPC1和VPC2使用了不同的網段,而VPC3暫時沒有和其他VPC互通的需求,是以VPC3的網段和VPC2的網段相同。但考慮到将來VPC2和VPC3之間有私網互通的需求,是以兩個VPC中的交換機的網段都不相同。VPC互通要求互通的交換機的網段不能一樣,但VPC的網段可以一樣。
在多VPC的情況下,建議遵循如下網段規劃原則:
盡可能做到不同VPC的網段不同,不同VPC可以使用标準網段的子網來增加VPC可用的網段數。
如果不能做到不同VPC的網段不同,則盡量保證不同VPC的交換機網段不同。
如果也不能做到交換機網段不同,則保證要通信的交換機網段不同。
各家VPC對比
目前,VPC也是各大雲廠商正在力推的網絡方案。AWS、阿裡雲、騰訊雲等官網對VPC都有詳細的介紹:
總的來說,AWS和騰訊雲的評分最高,能支援彈性網卡、VPN服務、網絡ACL等多項服務,很大程度上降低了使用者使用VPC時的技術門檻,讓複雜的VPC配置變得更加簡便、安全、靈活。
同時,從騰訊雲的官網說明看,騰訊雲還支援外網IP直通、子網廣播群組播、專線NAT功能,這些是目前公有雲市場的獨家服務。
AWS VPC相關
CIDR概述及其位址塊計算
CIDR中文全稱是無分類域間路由選擇,英文全稱是Classless Inter-Domain Routing,在平常,大家多稱之為無分類編址,它也是構成超網的一種技術實作。CIDR在一定程度上解決了路由表項目過多過大的問題。CIDR之是以稱為無分類編址,就是因為CIDR完全放棄了之前的分類IP位址表示法,它真正消除了傳統的A類、B類、C類位址以及劃分子網的概念,它使用如下的IP位址表示法:
IP位址 ::= {<網絡字首>, <主機号>} / 網絡字首所占位數
CIDR僅将IP位址劃分為網絡字首和主機号兩個部分,可以說又回到了二級IP位址的表示,不過大家要注意,最後面用“/”斜線分隔,在其後寫上了網絡字首所占的位數,這樣就不需要告知路由器位址掩碼,僅需要通過網絡字首所占的位數就可以得到位址掩碼,為了統一,CIDR中的位址掩碼依然稱為子網路遮罩。
CIDR表示法給出任何一個IP位址,就相當于給出了一個CIDR位址塊,這是由連續的IP位址組成的,是以CIDR表示法構成了超網,實作了路由聚合,即從一個IP位址就可以得知一個CIDR位址塊。例如:已知一個IP位址是:128.14.35.7/20,那麼這個已知條件告訴大家的并不僅僅是一個IP位址這麼簡單,我們來分析一下。
128.14.35.7/20 = 10000000 00001110 00100011 00000111
即前20位是網絡字首,後12位是主機号,那麼我們通過令主機号分别為全0和全1就可以得到一個CIDR位址塊的最小位址和最大位址,即
最小位址是:128.14.32.0 = 10000000 00001110 00100000 00000000
最大位址是:128.14.47.255 = 10000000 00001110 00101111 11111111
子網路遮罩是:255.255.240.0 = 11111111 11111111 11110000 00000000
是以就可以看出來,這個CIDR位址塊可以指派(47-32+1)*256=4096個位址,這裡沒有把全0和全1除外。
CIDR子網劃分
在CIDR表示法中也可以進行進一步的子網劃分,和前面的子網劃分類似,我們隻需要從主機号中借走一定的位數即可,這裡與前面的基本子網劃分不同,借走2位時可以劃分成4個子網,不用減2,其他位數類似。下面通過一個例子來講解CIDR中的子網劃分。
例:某個機構擁有一個大的CIDR位址塊,即206.0.64.0/18,現在某個高校需要申請一個較大的CIDR位址塊以供學校使用,學校内部又分為4個系,由于每個系的人數不一樣,是以要給人數較多的系配置設定較多的IP位址,人數較少的系配置設定較少的IP位址,現在采用以下的配置設定方案:
機構配置設定給該高校一個CIDR位址塊:206.0.68.0/22,然後該高校内部的配置設定方案如下:
一系:206.0.68.0/23,一系内部又分為206.0.68.0/25、206.0.68.128/25、206.0.69.0/25和206.0.69.128/25四個子網。
二系:206.0.70.0/24,二系内部又分為206.0.70.0/26、206.0.70.64/26、206.0.70.128/26和206.0.70.192/26四個子網。
三系:206.0.71.0/25,三系内部又分為206.0.71.0/26和206.0.71.64/26兩個子網。
四系:206.0.71.128/25,四系内部又分為206.0.71.128/26和206.0.71.192/26兩個子網。
請分析以上方案劃分的具體細節。
答:這是一個CIDR子網劃分中比較複雜的例子,如果大家能分析透徹這個例子,那麼對于CIDR的子網劃分的計算就基本不在話下了。
我們一步一步來讨論:
第一,這個機構擁有的位址塊是206.0.64.0/18 =206.0.0100 0000.0000 0000/18,網絡字首是18位,是以其
最小位址是:206.0.64.0/18 = 206.0.0100 0000.0000 0000/18
最大位址是:206.0.127.255/18 = 206.0.0111 1111.1111 1111/18
子網路遮罩是:255.255.192.0/18 = 1111 1111.1111 1111.1100 0000.0000 0000/18
擁有的位址數:(127-64+1)*(255-0+1)=16384
然後,我們來看一下這個機構給該高校配置設定的CIDR位址塊,即206.0.68.0/22,由此可以看出來網絡字首由18增加到了22,是以該機構相當于将其CIDR位址塊劃分成了16個子塊即子網,然後給該高校了第二個子網,即206.0.0100 0100.0/22,黑色加粗的部分是原來的網絡字首,後面紅色部分類似于前面介紹的子網号,由于是4位,是以可以從0000~1111,共16個子網,0001自然就是第二個子網。
第二,既然高校擁有了機構的第二個子網的CIDR位址塊206.0.68.0/22 = 206.0.0100 0100.0/22,其網絡字首是22位,是以其
最小位址是:206.0.68.0/22 = 206.0.0100 0100.0000 0000/22
最大位址是:206.0.71.255/22 = 206.0.0100 0111.1111 1111/22
子網路遮罩是:255.255.252.0/22 = 1111 1111.1111 1111.1111 1100.0000 0000/22
擁有的位址數:(71-68+1)*(255-0+1)=1024
然後該高校内部又對這個CIDR位址塊進行了劃分,進一步得到了高校内部的子網,緊接着我們來看看一系的CIDR位址塊是怎麼得到的。
第三,一系的CIDR位址塊是206.0.68.0/23,可以看出來其網絡字首相對于高校的CIDR位址塊來說增加了1位,說明高校首先将其CIDR位址塊劃分成了2個子網,其中一個給了一系。那麼這兩個子網分别是:一系的:206.0.68.0/23 = 206.0.0100 0100.0/23和剩餘的(記為餘1):206.0.70.0/23 =206.0.0100 0110.0/23,注意其中的紅色部分就是新增的這一位,用來标志兩個子網。
那麼,一系的
最小位址是:206.0.68.0/23 = 206.0.0100 0100.0000 0000/23
最大位址是:206.0.69.255/23 = 206.0.0100 0101.1111 1111/23
子網路遮罩是:255.255.254.0/23 = 1111 1111.1111 1111.1111 1110.0000 0000/23
擁有的位址數:(69-68+1)*(255-0+1)=512
餘1的
最小位址是:206.0.70.0/23 = 206.0.0100 0110.0000 0000/23
最大位址是:206.0.71.255/23 = 206.0.0100 0111.1111 1111/23
子網路遮罩是:255.255.254.0/23 = 1111 1111.1111 1111.1111 1110.0000 0000/23
擁有的位址數:(71-70+1)*(255-0+1)=512
現在,一系的CIDR位址塊已經很明确,然後一系内部又進行了劃分,即又分為206.0.68.0/25、206.0.68.128/25、206.0.69.0/25和206.0.69.128/25四個子網,網絡字首從23位變成了25位,相當于占用了主機号兩位,是以可以劃分為4個子網,分别對應00、01、10、11這四個子網,這四個子網的最小位址、最大位址以及子網路遮罩和擁有的位址數按照上述的方法就可以得到,這個比較簡單,建議大家可以自己手動計算一下,正好看看自己掌握了多少,這裡就不再給出這四個子網的細節。
第四,一系明确以後,就要考慮其他系的劃分,可以看到二系配置設定到的CIDR位址塊是206.0.70.0/24,可以看出來其網絡字首相對于餘1的CIDR位址塊來說增加了1位,說明餘1的CIDR位址塊被劃分成了2個子網,其中一個給了二系。那麼這兩個子網分别是:二系的:206.0.70.0/24 = 206.0.0100 0110.0/24和剩餘的(記為餘2):206.0.71.0/24 =206.0.0100 0111.0/24,注意其中的紅色部分就是新增的這一位,用來标志兩個子網。
那麼,二系的
最小位址是:206.0.70.0/24 = 206.0.0100 0100.0000 0000/24
最大位址是:206.0.70.255/24 = 206.0.0100 0100.1111 1111/24
子網路遮罩是:255.255.255.0/24 = 1111 1111.1111 1111.1111 1111.0000 0000/24
擁有的位址數:(70-70+1)*(255-0+1)=256
餘2的
最小位址是:206.0.71.0/24 = 206.0.0100 0111.0000 0000/24
最大位址是:206.0.71.255/24 = 206.0.0100 0111.1111 1111/24
子網路遮罩是:255.255.255.0/24 = 1111 1111.1111 1111.1111 1111.0000 0000/24
擁有的位址數:(70-70+1)*(255-0+1)=256
現在,二系的CIDR位址塊已經很明确,然後二系内部又進行了劃分,即又分為206.0.70.0/26、206.0.70.64/26、206.0.70.128/26和206.0.70.192/26四個子網,網絡字首從24位變成了26位,相當于占用了主機号兩位,是以可以劃分為4個子網,分别對應00、01、10、11這四個子網,這四個子網的最小位址、最大位址以及子網路遮罩和擁有的位址數按照上述的方法就可以得到,這個比較簡單,建議大家可以自己手動計算一下,正好看看自己掌握了多少,這裡就不再給出這四個子網的細節。
第五,二系明确以後,就要考慮其他系的劃分,可以看到三系配置設定到的CIDR位址塊是206.0.71.0/25,而四系配置設定到的CIDR位址塊是206.0.71.128/25,可以看出來其網絡字首相對于餘2的CIDR位址塊來說增加了1位,說明餘2的CIDR位址塊被劃分成了2個子網,其中一個給了三系,另外一個給了四系。那麼這兩個子網分别是:三系的:206.0.71.0/25 = 206.0.71.0000 0000/25和四系的:206.0.71.128/25 = 206.0.71.1000 0000/25,注意其中的紅色部分就是新增的這一位,用來标志兩個子網。
那麼,三系的
最小位址是:206.0.71.0/25 = 206.0.0100 0100.0000 0000/25
最大位址是:206.0.71.127/25 = 206.0.0100 0100.0111 1111/25
子網路遮罩是:255.255.255.128/25 = 1111 1111.1111 1111.1111 1111.1000 0000/25
擁有的位址數:(71-71+1)*(127-0+1)=128
四系的
最小位址是:206.0.71.128/25 = 206.0.0100 0100.1000 0000/25
最大位址是:206.0.71.255/25 = 206.0.0100 0100.1111 1111/25
子網路遮罩是:255.255.255.128/25 = 1111 1111.1111 1111.1111 1111.1000 0000/25
擁有的位址數:(71-71+1)*(255-128+1)=128
現在,三系和四系的CIDR位址塊已經很明确,到目前為止,該高校已經将所有的CIDR位址塊配置設定給了四個系,一系有512個位址,二系有256個位址,三系和四系各有128個位址。然後三系内部又進行了劃分,即又分為206.0.71.0/26和206.0.71.64/26兩個子網,網絡字首從25位變成了26位,相當于占用了主機号一位,是以可以劃分為2個子網,分别對應0、1這兩個子網,同時,四系内部也又進行了劃分,即又分為206.0.71.128/26和206.0.71.192/26兩個子網,網絡字首從25位變成了26位,相當于占用了主機号一位,是以可以劃分為2個子網,分别對應0、1這兩個子網,三系和四系各自的兩個子網的最小位址、最大位址以及子網路遮罩和擁有的位址數按照上述的方法就可以得到,這個比較簡單,建議大家可以自己手動計算一下,正好看看自己掌握了多少,這裡就不再給出這些子網的細節。
最後,我用一副圖來展示下這個劃分過程。
總之,目前已經廣泛使用CIDR表示法,之前的分類方法和子網劃分已經很少使用,是以大家要重點掌握CIDR表示法及其子網劃分,了解以前的基本分類和劃分方法即可。
aws的vpc配置步驟
向導模式
選擇帶有公網和私網的vpc
輸入名稱 選擇相關可用區就可以
單步模式
建立vpc網段
劃分為public部分和private部分
建立internet網關
建立nat網關
編輯public子網的路由表加入internet網關 0.0.0.0/0
編輯private子網的路由表加入nat網關 0.0.0.0/0
申請彈性ip綁定到nat網關
S3可以挂到privte子網
參考文獻:
https://blog.csdn.net/dan15188387481/article/details/49873923
https://yunlongs.cn/wordpress/?p=302