專有網絡vpc(virtual private cloud)是阿裡雲推薦的網絡類型,越來越多的使用者選擇使用vpc,可以說vpc是現在使用者上雲第一個考慮的産品。使用vpc主要有兩方面的核心優勢。一是安全,即使用者需要更安全的網絡隔離,vpc基于隧道技術,實作資料鍊路層的隔離,為每個租戶提供一張獨立、隔離的安全網絡。二是vpc讓使用者有了網絡管理能力,比如ip規劃,路由管理等等。在vpc出現之前,雲上使用者是缺乏網絡管理能力的。
使用者在考慮使用vpc的時候,首先遇到的一個問題就是,如何進行vpc網絡規劃?本文拆分成下面幾個小問題進行分析。
<b>問題一</b>,應該使用幾個vpc?
<b>問題二</b>,應該使用幾個虛拟交換機?
<b>問題三</b>,應該選擇什麼網段?
<b>問題四</b>,考慮一個比較複雜的業務系統,雲上存在多個vpc且需要和雲下idc互通,如何規劃網段?
<b>問題一,我應該使用幾個vpc?</b>
這個問題,從下面兩點考慮,如果
1)沒有多地域部署系統的要求
2)各系統之間也不需要通過vpc進行隔離
那麼推薦使用一個vpc。如圖1.1所示。
圖1.1 單vpc示意圖
使用一個vpc,容量和性能是不是夠呢?阿裡雲有使用者在單vpc内運作了近5000個執行個體,實際上還可以支撐更多的執行個體。這樣的容量基本上可以絕大多數使用者需求。
如果有多地域部署系統的要求,就必然需要使用多個vpc,因為vpc是地域級别的資源,是不能跨地域的。如圖1.2所示
圖1.2 多地域部署vpc 示意圖
大家可能會問,使用多個vpc,怎麼能内網互通呢?基于阿裡巴巴骨幹網建構的高速通道産品能輕松實作跨地域,跨國vpc間的互通。後面的文章會再詳細介紹,先回到網絡規劃問題上。
上文提到在多地域部署系統是需要多個vpc的,但如果在一個地域的多個業務系統需要通過vpc進行嚴格隔離,比如生産環境和測試環境要嚴格進行隔離,那麼,也需要使用多個vpc。如圖1.3所示。
圖1.3 一個地域使用多個vpc隔離生産和測試環境
<b>問題二,應該使用幾個虛拟交換機?</b>
首先,即使隻使用一個vpc,也盡量使用至少兩個虛拟交換機,并且兩個虛拟交換機分布在不同可用區,做到跨可用區容災。
注:
可用區是指在同一地域内,電力和網絡互相獨立的實體區域,在同一地域内可用區與可用區之間内網互通。
同一地域不同可用區之間的網絡通信延遲很小,但也需要經過業務系統的适配和驗證,系統調用複雜加上系統處理時間,跨可用區調用也可能産生期望之外的延遲。建議進行系統優化和适配,能夠容忍這種延遲,在高可用和低延遲之間找到平衡。
其次,使用多少個虛拟交換機還和系統規模和系統規劃有關。如前端系統都可以被公網通路并且都有主動通路公網的需求。考慮到容災,可以考慮将不同的前端系統,部署在不同的虛拟交換機下。而後端系統部署在另外的虛拟交換機下。
<b>問題三,應該選擇什麼網段?</b>
網段選擇涉及到兩處,一是建立vpc的時候,二是建立虛拟交換機的時候。
對于vpc使用的網段,目前阿裡雲公有雲預設提供下面三個标準私網網段給使用者選擇。
網段
可以主機數
備注
192.168.0.0/16
65532
去除系統占用位址
172.16.0.0/12
1048572
10.0.0.0/8
16777212
使用者可以使用這些網段及其子網作為vpc的網段。
如果可能有多個vpc或者vpc和線下idc有建構混合雲的需求,建議使用上面這些标準網段的子網作為vpc的網段,掩碼建議不超過/16。
注:如有除此之外的特殊網段要求,也可以提工單或者通過客戶經理申請開通。
如果雲上隻有一個vpc并且不需要和線下idc互通,那麼選擇以上任何一個網段或其子網均可,使用者可自由選擇,但需要注意的是,一旦選擇後不可修改。
最後,vpc網段的選擇還需要考慮到是否使用了經典網絡。大家知道,經典網絡的網段是10.0.0.0/8,如果使用者在雲上使用了經典網絡,并且計劃将經典網絡的主機和vpc網絡打通(阿裡雲正計劃提供classiclink功能),以實作将經典網絡遷移到vpc,那麼,建議使用者選擇非10.0.0.0/8作為vpc的網段。
classiclink功能可以允許經典網絡ecs和192.168.0.0/16,10.0.0.0/8,172.16.0.0/12 三個vcp網段的主機通信,但隻能和10.0.0.0/8中的特定虛拟交換機的網段通信,即,如果使用者經典網絡的ecs要和使用了10.0.0.0/8作為vpc網段的主機通信,那麼該主機必須是某個特定的10.0.0.0/8下的子網,具體子網還未确定。是以,有classiclink功能需求的使用者,建議選擇非10.0.0.0/8作為vpc的網段。
對于虛拟交換機的網段。首先掩碼必須在16到29之間。做這個限制的原因是/16掩碼也能支援65532個主機,規模足夠大了,沒必要更大。而小于/29有太小,沒有意義。
其次,虛拟交換機的網段要求和其vpc網段一樣或者是其vpc網段的子網。比如vpc的網段是192.168.0.0/16,那麼該vpc下的虛拟交換機的網段可以是192.168.0.0/16,也可以是192.168.0.0/17,一直到192.168.0.0/29。
最後,虛拟交換機網段的确定還需要考慮該交換機下容納主機的數量。
<b>問題四,雲上存在多個vpc且和雲下idc需要互通,如何規劃網段?</b>
考慮如下圖1.4,雲上多vpc和雲下idc互通網段規劃示意圖,使用者在華東1,華北2,華南1三個地域分别有vpc,并且華東1和華北2兩個地域的vpc需要通過高速通道-vpc互聯功能實作私網互通,華南1地域的vpc暫時沒有和其它地域通信需求,但未來也可能和華北2的vpc私網通信。另外,使用者在上海還有一個自建idc,需要通過高速通道-專線功能和華東1的vpc私網互通。
圖1.4 雲上多vpc和雲下idc互通網段規劃示意圖
由于vpc之間,vpc和線下idc之間需要互通的ip段不能相同,是以,上圖中使用者上海idc,華東1 vpc1,華北2 vpc2 使用不同的網段。而華南1暫時沒有和其它vpc之間互通的需求,是以,可以使用和華北2相同的網段,但考慮到将來華南1有和華北2可能有私網互通的需求,華南1 vpc3中的兩個虛拟交換機的網段和華北2 vpc2 中虛拟交換機的網段規劃使用不同的網段,也就是說vpc網段一樣,但虛拟交換機的網段不一樣。
總結一下,阿裡雲vpc互通要求要求位址不能沖突,指的是虛拟交換機的網段不能一樣,但vpc的網段可以一樣。當然,如前文說述,盡量規劃不同vpc的網段不一樣。
是以,在多vpc需要互通并且和線下idc需要互通的情況下,可以總結如下的網段規劃原則:
1)盡可能做到不同vpc的網段不同。不同vpc可以使用标準網段的子網來增加vpc可用的網段數。
2)如上面1)做不到,則盡量保證不同vpc的虛拟交換機網段不同。
3)如上面2)也做不到,則保證要通信的虛拟交換機網段不同。
可能還會有極端情況,如果線下idc網段已經确定無法修改,雲上vpc的網段也已經确定無法修改,但現在要通信怎麼辦呢?阿裡雲正在規劃專線網關功能,可以解決這一問題。
另外,阿裡雲也會提供虛拟交換機網段可修改的功能,盡量幫助使用者解決位址沖突和網絡規劃修改的問題。